Privacy Policy

1. OBIETTIVI E DEFINIZIONI
IL TITOLARE DEL TRATTAMENTO DEI DATI intende dotarsi di linee guida che consentano di affrontare in maniera organica gli obblighi normativi in materia di protezione dei dati personali, così da conseguire i migliori risultati nel proteggere le informazioni e i dati gestiti nell’ambito delle proprie attività da tutte le minacce interne o esterne, intenzionali o accidentali, secondo le disposizioni previste dalla normativa comunitaria e nazionale. Obiettivo del presente documento e di quelli ad esso collegati è definire il Modello Organizzativo Privacy (Policy Privacy), ovvero individuare strategia, linee guida generali e disposizioni operative interne volte a disciplinare il trattamento dei dati personali effettuato, ai sensi del D.Lgs. 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali” (Codice della Privacy), come modificato dal D.Lgs. 10 agosto 2018, n. 101 e del Regolamento (UE) del Parlamento Europeo e del Consiglio del 27 aprile 2016, n. 679 (GDPR – General Data Protection Regulamentation), nonché ulteriori provvedimenti in materia di fonte normativa secondaria in vigore al momento dell’approvazione della seguente policy. In essa sono quindi disciplinati i ruoli e le responsabilità nonché gli adempimenti da seguire in materia di protezione dei Dati Personali ai sensi del “Codice della Privacy” e del “GDPR”, anche con riferimento alle decisioni e ai provvedimenti emessi dal Garante Europeo della Protezione dei Dati (GEPD) e dall’Autorità Garante Nazionale per la protezione dei dati personali.
Ai fini del presente Modello Organizzativo Privacy si applicano le seguenti definizioni, coerenti con quanto previsto dalla normativa di settore:

  • Regolamento: Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, che abroga la direttiva 95/46/CE (GDPR – Regolamento Generale sulla Protezione dei Dati);
  • Normativa: D.Lgs. 2003/196 (come modificato dal D.Lgs. 2018/101) e Regolamento (UE) 2016/679, nonché ulteriori provvedimenti in materia di fonte normativa secondaria in vigore al momento dell’approvazione del presente Modello Organizzativo Privacy;
  • Codice Privacy: Decreto legislativo 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali” come modificato dal Decreto Legislativo 10 agosto 2018, n. 101;
  • Dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
  • Dati genetici: i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall’analisi di un campione biologico della persona fisica in questione;
  • Dati biometrici: i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici;
  • Dati relativi alla salute: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute;
  • Interessato: la persona fisica cui si riferiscono i dati personali;
  • Titolare del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali;
  • Responsabile del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;
  • Autorizzato: le persone fisiche autorizzate a compiere operazioni di trattamento dal Titolare del trattamento o dal Responsabile del trattamento (anche soggetti designati);
  • Terzo: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare del trattamento o del responsabile del trattamento;
  • Trattamento: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;
  • Trattamento transfrontaliero: a) trattamento di dati personali che ha luogo nell’ambito delle attività di stabilimenti in più di uno Stato membro di un titolare del trattamento o responsabile del trattamento nell’Unione ove il titolare del trattamento o il responsabile del trattamento siano stabiliti in più di uno Stato membro; oppure b) trattamento di dati personali che ha luogo nell’ambito delle attività di un unico stabilimento di un titolare del trattamento o responsabile del trattamento nell’Unione, ma che incide o probabilmente inciderebbe in modo sostanziale sugli interessati in più di uno Stato membro.
  • Paesi terzi: paesi non appartenenti all’UE o allo spazio Economico Europeo (Norvegia, Islanda, Liechtenstein);

2. AMBITO DI APPLICAZIONE

Tale documento si applica all’azienda nella sua interezza, a tutti gli organi e alle strutture di qualsiasi livello organizzativo o funzionale. La sua attuazione è obbligatoria per tutto il personale e deve essere inserita come parte integrante nella regolamentazione di qualsiasi accordo con tutti i soggetti esterni coinvolti con il trattamento di informazioni che rientrano nel campo del Sistema di Gestione della Privacy (SGP). L’azienda consente la comunicazione e la diffusione delle informazioni di tipo procedurale e organizzativo verso l’esterno esclusivamente per il corretto svolgimento delle attività aziendali che avvengono nel rispetto delle regole e delle norme vigenti.

L’azienda si impegna a garantire e dimostrare che il trattamento dei dati personali avviene in maniera conforme a quanto previsto dalla normativa e, secondo i seguenti principi di liceità, questi sono:

  • trattati in modo lecito, corretto e trasparente nei confronti dell’interessato;
  • raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità;
  • adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
  • esatti e, se necessario, aggiornati; a tal proposito sono state adottate misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati;
  • conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati;
  • trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.

Le presenti indicazioni sono valide, oltre che per i trattamenti dei dati personali di cui l’ente è Titolare, anche per tutti quei trattamenti di cui l’azienda è nominata Responsabile del trattamento da altri Titolari del trattamento, salvo la presenza di misure più restrittive in materia di protezione dei dati personali contenute nei documenti che regolano i rapporti con il Titolare del trattamento. Poiché analoghe garanzie di protezione e l’adozione di adeguate misure di sicurezza sono richieste ai soggetti terzi ai quali l’azienda affida l’incarico di Responsabile del trattamento, la policy in oggetto è resa disponibile presso tali Responsabili del trattamento.

 

3. SICUREZZA DELLE INFORMAZIONI

Il patrimonio informativo da tutelare è costituito dall’insieme delle informazioni trattate nell’espletamento delle procedure aziendali, rispetto alle quali l’azienda assicura l’integrità e la protezione e consente l’accesso esclusivamente ai ruoli e alle funzioni necessarie e preventivamente autorizzate. Per conseguire sempre l’allineamento normativo e aumentare la capacità di controllo l’azienda ha istituito e mantiene aggiornato un registro delle attività di trattamento. L’azienda identifica, quando ritenuto necessario a seguito delle risultanze dell’analisi dei rischi connessi al trattamento dei dati personali, le ulteriori esigenze di sicurezza tramite la valutazione di impatto sulla protezione dei dati che consente di acquisire un livello aggiuntivo di consapevolezza sul livello di esposizione a minacce dei propri sistemi di gestione dei dati. La valutazione del rischio, eseguita su tutti i trattamenti in essere o previsti, permette di valutare le potenziali conseguenze e i danni che possono derivare dalla mancata applicazione delle misure di sicurezza al sistema informativo e in generale all’intera organizzazione oltre a indicare quale sia la probabilità che le minacce identificate trovino reale attuazione. I risultati di questa valutazione determinano le azioni necessarie per individuare le corrette e adeguate misure di sicurezza e i meccanismi per garantire la protezione dei dati personali.

La gestione della sicurezza delle informazioni è fondata su alcuni imprescindibili principi generali, di seguito enunciati:

Gli accessi ai sistemi informativi sono sottoposti a una procedura di identificazione e autenticazione. Inoltre, le autorizzazioni di accesso alle informazioni sono differenziate in base al ruolo e agli incarichi ricoperti dai singoli individui, in modo che ogni utente possa accedere alle sole informazioni di cui necessita;
È incoraggiata la piena consapevolezza da parte del personale delle problematiche relative alla sicurezza delle informazioni attraverso una precisa formazione in materia GDPR;
Per poter prevenire o almeno gestire in modo tempestivo gli incidenti, tutti sono chiamati a rendersi partecipi del sistema di sicurezza aziendale e pertanto devono notificare qualsiasi problema relativo alla sicurezza di cui sono a conoscenza;
È necessario prevenire l’accesso non autorizzato ai locali e alle apparecchiature dove sono gestite le informazioni;
È predisposto un piano di continuità che permette all’azienda di affrontare efficacemente un evento imprevisto, garantendo il ripristino dei servizi critici in tempi e con modalità che limitino le conseguenze negative sulla missione aziendale. Gli aspetti di sicurezza sono inclusi in tutte le fasi di progettazione, sviluppo, esercizio, manutenzione, assistenza e dismissione dei sistemi e dei servizi informatici;
Sono garantiti il rispetto delle disposizioni di legge, di statuti, regolamenti o obblighi contrattuali e di ogni requisito inerente alla sicurezza delle informazioni, riducendo al minimo il rischio di sanzioni legali o amministrative, di perdite rilevanti o danni alla reputazione.

 

4. RISERVATEZZA DELLE INFORMAZIONI

L’azienda si impegna a garantire la riservatezza e la confidenzialità delle informazioni e dei dati degli interessati acquisiti nel corso della propria attività in conformità alle procedure interne previste, coerenti con il presente Modello Organizzativo Privacy. Il trattamento dei dati può essere effettuato attraverso strumenti manuali, informatici e telematici atti a memorizzare, elaborare, gestire e trasmettere i dati stessi nel rispetto delle misure di sicurezza previste. Tutti i soggetti in qualsiasi modo coinvolti nel trattamento dei dati personali, indipendentemente dal rispetto degli obblighi derivanti dal codice deontologico relativo alla professione regolamentata eventualmente esercitata nell’espletamento delle proprie mansioni, sono tenuti al segreto previsto dall’art. 2407 del codice civile. L’azienda si impegna a garantire adeguati livelli minimi di sicurezza delle informazioni rese disponibili da terzi con la medesima diligenza e livello di protezione utilizzati per la sicurezza e la riservatezza dei propri dati.

 

5. ATTUAZIONE DELLA POLICY

L’osservanza e l’attuazione della politica della privacy (policy) che discende dal presente Modello Organizzativo Privacy sono responsabilità di:

  • tutto il personale che, a qualsiasi titolo, collabora con l’azienda ed è in qualche modo coinvolto con il trattamento di dati e informazioni che rientrano nel campo di applicazione del Sistema di Gestione della Privacy (SGP). Il personale è infatti responsabile, ciascuno per quanto di propria competenza, della segnalazione di tutte le anomalie e violazioni di cui dovesse venire a conoscenza;
  • tutti i soggetti esterni che intrattengono rapporti e collaborano con l’azienda e che devono garantire il rispetto dei requisiti contenuti nella politica della privacy (policy);
  • il titolare del trattamento quale responsabile del Sistema di Gestione della Privacy (SGP). Questi deve:
    • condurre l’analisi dei rischi con le opportune metodologie e adottare le misure per la gestione del rischio;
    • stabilire le norme di comportamento necessarie alla conduzione sicura delle attività aziendali;
    • verificare le violazioni alla sicurezza, adottare le contromisure necessarie e controllare l’esposizione dell’azienda alle principali minacce e rischi;
    • organizzare la formazione e promuovere la consapevolezza del personale per tutto ciò che concerne la qualità, la POLITICA PRIVACY MOD. 01 Edizione 4 Revisione 5C Data 01Giugno 2020 Pagina 5 di 10 Politica Privacy – MOD – 01 sicurezza e la sicurezza delle informazioni;
    • verificare periodicamente l’efficacia e l’efficienza del Sistema di Gestione della Privacy (SGP).

Il personale dell’azienda che, in modo intenzionale o riconducibile a negligenza, disattenda le regole di sicurezza stabilite e in tal modo provochi un danno, potrà essere perseguito nelle opportune sedi, nel pieno rispetto dei vincoli di legge e contrattuali.

 

6. MONITORAGGIO DEL SISTEMA GESTIONE PRIVACY

Il Titolare del trattamento, quale responsabile del Sistema di Gestione della Privacy (SGP), ha il compito di condurre operativamente la revisione di questa politica. La revisione deve verificare lo stato delle azioni preventive e correttive e l’aderenza alla politica privacy delle procedure in atto così come di quelle previste e non ancora applicate. Deve inoltre tenere conto di tutti i cambiamenti che possono influenzare l’approccio alla gestione della sicurezza delle informazioni, includendo i cambiamenti organizzativi, l’ambiente tecnico, la disponibilità di risorse, le condizioni legali, regolamentari o contrattuali e dei risultati dei precedenti riesami. Il risultato dell’intero processo di revisione periodica include tutte le decisioni prese e le azioni adottate in merito al miglioramento del Sistema di Gestione della Privacy (SGP).

 

7. INFORMAZIONE E FORMAZIONE L’obiettivo di garantire un corretto trattamento dei dati, conforme ai requisiti previsti dalla normativa, viene raggiunto dall’azienda anche e soprattutto grazie alla particolare attenzione risposta nei confronti della formazione del proprio personale. A tale scopo il Modello Organizzativo Privacy è divulgato presso il personale già in servizio e, nel caso di nuove risorse umane inserite in organico, fin dal momento del loro ingresso nella compagine aziendale. Per gli stessi fini di conoscenza eventuali aggiornamenti sono diffusi con gli strumenti ritenuti di volta in volta più efficaci. Allo scopo creare un ecosistema favorevole nell’ambiente di lavoro e formare con particolare cura i soggetti che per il ruolo ricoperto risultano inseriti nel Sistema di Gestione della Privacy (SGP), l’azienda:

  • adotta un piano formativo con l’obiettivo di alfabetizzazione iniziale in materia di protezione dei dati personali, destinato a tutto il personale della società;
  • prevede l’erogazione di moduli specifici all’interno dei corsi di formazione per il ruolo ricoperto, sia in quelli organizzati all’immissione in servizio che al momento del cambio di mansione qualora sia di livello superiore o per ambito applicativo diverso;
  • prevede un piano di formazione programmato con cadenza annuale sulla formazione erogata in ambito privacy a tutti i dipendenti della società;
  • conserva la documentazione distribuita e la modulistica attestante la partecipazione agli interventi formativi.

La formazione dei soggetti autorizzati al trattamento e, ove ritenuto necessario, delle altre figure chiave nel Sistema di Gestione della Privacy (SGP), riguarda in particolare:

  • gli aspetti generali della disciplina di protezione dei dati personali;
  • le minacce, le vulnerabilità, la probabilità di accadimento e di conseguenza i rischi che minacciano i dati trattati;
  • le conseguenze derivanti dalla violazione dei dati personali (Data Breach);
  • le procedure da seguire in caso di violazione dei dati personali;
  • le misure di prevenzione per evitare o almeno ridurre la probabilità di accadimento delle violazioni e le misure di mitigazione del danno in caso si verifichino;
  • gli aspetti specifici della disciplina di protezione dei dati personali nel settore di azione dell’ente;
  • l’addestramento specifico per aggiornare il personale sulle misure di sicurezza e protezione dei dati personali ritenute adeguate e adottate dal Titolare del trattamento.

 

8. ORGANIGRAMMA, SISTEMA DI NOMINA E RESPONSABILITÀ

Al fine di garantire la tutela dei diritti delle persone fisiche relativamente al trattamento dei dati personali, l’azienda garantisce sempre la precisa individuazione dei soggetti che ricoprono ruoli attivi nel trattamento. Ciò avviene con l’allestimento e il mantenimento efficiente nel tempo di un sistema tracciabile delle nomine e delle relative mansioni. In questo modo risulta di immediata comprensione la conseguente ripartizione delle responsabilità di ogni soggetto, parametrate alla natura, all’ambito di applicazione, al contesto e alle finalità del trattamento, nonché ai rischi per i diritti e le libertà delle persone fisiche analizzati ogni volta ritenuto necessario. In accordo con la normativa di riferimento e con la policy che discende dal presente Modello Organizzativo Privacy, costituiscono figure imprescindibili quelle di seguito descritte:

8.1 Titolare del Trattamento

Conformemente a quanto previsto dalla normativa l’azienda è Titolare del trattamento e in tale ruolo si impegna a:

  • adeguare il proprio assetto organizzativo per rendere il governo della privacy allineato ai dettami normativi;
  • adottare le modalità operative necessarie alla corretta gestione degli adempimenti ai fini della protezione dei dati personali trattati;
  • assumere le decisioni in ordine alle finalità, alle modalità del trattamento dei dati e agli strumenti utilizzati, ivi compreso il profilo della sicurezza, sia per i trattamenti svolti all’interno che all’esterno della propria struttura;
  • individuare e designare i Responsabili del trattamento dei dati, impartendo loro le relative direttive e, se necessario, istruzioni specifiche;
  • vigilare sulla puntuale osservanza delle disposizioni e istruzioni impartite a tutti i soggetti che hanno un ruolo attivo nel trattamento dei dati personali;
  • garantire sempre il pieno controllo sulla piramide organizzativa di cui è al vertice, concedendo autorizzazioni generali o specifiche ai responsabili del trattamento secondo criteri di opportunità nelle diverse situazioni ed esprimendo o negando il gradimento nei confronti di sub-responsabili eventualmente proposti dai responsabili assumendo così un ruolo di effettivo controllo e indirizzo.

Inoltre, si impegna a garantire l’esercizio dei diritti degli interessati e a tal scopo individua e mette in pratica apposite procedure al fine di informare gli interessati e garantire a ciascuno di essi almeno il:

  • diritto all’accesso, cioè di ottenere la conferma dell’esistenza o meno di dati personali che lo riguardano e di averne accesso. In particolare l’interessato ha diritto di conoscere l’origine dei dati personali;
  • le finalità e modalità del trattamento;
  • la logica applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronici;
  • gli estremi identificativi del titolare, dei responsabili e degli eventuali rappresentanti designati;
  • l’elenco dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza a qualsiasi titolo in linea con la normativa e quello dei soggetti autorizzati al trattamento;
  • diritto alla rettifica, cioè di ottenere l’aggiornamento, la correzione ovvero, quando vi ha interesse, l’integrazione dei dati;
  • diritto alla cancellazione, cioè di ottenere la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;
  • diritto all’opposizione, cioè di limitare od opporsi, per motivi legittimi, al trattamento, seguendo le modalità descritte dalle norme vigenti.

Al fine di esercitare i diritti sopra descritti, l’azienda si impegna a rispondere senza ritardo alle richieste presentate da parte dell’interessato direttamente ad esso, ai Responsabili o ai soggetti autorizzati appositamente nominati, nelle forme e modalità nonché attraverso i mezzi ritenuti più idonei.

8.2 Responsabile del Trattamento

Il Responsabile del trattamento dei dati è il soggetto, persona fisica o giuridica, nominato dal Titolare al fine di garantire nelle operazioni di trattamento l’attuazione delle misure di sicurezza previste dalla normativa e dal presente Modello Organizzativo Privacy. Il soggetto preposto allo svolgimento della funzione viene individuato tra quelli in possesso dei necessari requisiti e con adeguate garanzie. Tra le sue funzioni sono comprese quelle di:

  • osservare le procedure in materia di protezione dei dati personali adottate dal Titolare;
  • organizzare, gestire e supervisionare tutte le operazioni di trattamento dei dati personali affinché esse vengano effettuate nel rispetto delle disposizioni di legge e predisporre tutti i documenti nonché le misure tecniche organizzative richiesti dal Codice e dal Regolamento;
  • adottare e verificare il rispetto delle misure di sicurezza indicate dal Codice e dal Regolamento e la conformità nel tempo dei sistemi e delle misure di sicurezza;
  • redigere e aggiornare il registro delle attività di trattamento, qualora sia necessario;
  • informare il Titolare del trattamento di tutte le misure adottate e contribuire alle attività di revisione, comprese le ispezioni, realizzate dal Titolare del trattamento o da un altro soggetto da questi incaricato al compito specifico;
  • nominare i soggetti autorizzati che svolgono tali funzioni per suo conto, conservando i relativi estremi identificativi, definendo gli ambiti di operatività consentiti e verificando almeno annualmente il relativo operato per controllarne la rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti il trattamento dei dati personali;
  • nominare i soggetti autorizzati al trattamento dei dati nelle altre funzioni ritenute necessarie conferendo loro apposite istruzioni sulle norme e le procedure da osservare e provvedendo alla relativa formazione;
  • controllare le operazioni di trattamento svolte dai soggetti autorizzati sottoposti alla propria responsabilità e la conformità all’ambito di trattamento consentito;
    redigere e aggiornare la lista dei nominativi dei soggetti autorizzati sottoposti alla propria responsabilità e verificarne almeno annualmente l’ambito di trattamento consentito;
  • proporre al Titolare del trattamento dei dati la nomina di soggetti per il ruolo di sub-Responsabile del trattamento dei dati in relazione all’affidamento agli stessi di determinate attività;
  • attuare gli obblighi di informazione ed acquisizione del consenso, quando richiesto, nei confronti degli interessati;
  • garantire all’interessato che ne faccia richiesta l’effettivo esercizio dei diritti previsti dalla normativa di settore inoltrando al Titolare del trattamento le richieste pervenute nel caso non possano essere evase autonomamente;
  • distruggere i dati personali alla fine del trattamento nei casi previsti dal Regolamento, secondo le procedure atte a garantire la sicurezza degli stessi e provvedere alle formalità di legge e agli adempimenti necessari;
  • comunicare immediatamente al titolare non oltre le 24 ore successive al loro ricevimento, ogni richiesta, ordine o attività di controllo da parte del Garante o dell’Autorità Giudiziaria;
    osservare le procedure in materia di protezione dei dati personali adottate dal Titolare del trattamento.

Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il Titolare del trattamento può modificare la propria struttura per conseguire i migliori risultati di protezione variando opportunamente l’articolazione del proprio Sistema di Gestione Privacy (SGP).

8.3 Soggetti autorizzati al trattamento

Il Titolare del trattamento (o il Responsabile del Trattamento) nomina, presso le Unità Organizzative in cui vengono svolti i trattamenti, i soggetti autorizzati al trattamento dei dati (o soggetto designato). Il soggetto autorizzato effettua tutte le operazioni di trattamento dei dati personali attinenti all’attività lavorativa di competenza dell’area di appartenenza e opera sotto l’autorità del Titolare (o del Responsabile del Trattamento), attenendosi alle istruzioni dallo stesso impartite nonché alle specifiche procedure che regolamentano le modalità di utilizzo delle banche dati cui lo stesso abbia accesso.

In particolare, i compiti a esso attribuiti sono così sintetizzati:

  • segnalare al Titolare del trattamento, eventuali richieste ricevute da parte dell’interessato sull’esercizio dei relativi diritti, nonché attenersi alla procedura interna sull’esercizio dei diritti;
  • avvisare il Titolare del trattamento qualora, nello svolgimento di un’attività, dovesse riscontrare il trattamento di nuovi dati e finalità per cui risultasse necessario aggiornare il registro dei trattamenti ed eseguire almeno un’analisi dei rischi, in applicazione dei principi di privacy by design e privacy by default;
  • informare immediatamente il Titolare del trattamento qualora le istruzioni ricevute risultino non conformi alla normativa sulla protezione dai dati;
  • segnalare al Titolare del trattamento eventuali accessi non autorizzati;
  • rilasciare all’interessato l’informativa e acquisire il consenso laddove necessario, secondo le istruzioni impartite dal Titolare del trattamento (o del Responsabile del trattamento di riferimento).

 

9. MISURE DI SICUREZZA GENERALI

9.1 La gestione della sicurezza: ruoli e responsabilità

La responsabilità delle attività di impostazione e coordinamento dei sistemi che garantiscono la sicurezza e la tutela di tutti i dati oggetto di trattamento sono in carico ai relativi ruoli inseriti nell’organico dell’ente. Tali sistemi possono essere sia logici che fisici e la responsabilità comprende la loro gestione diretta o tramite fornitori esterni.

9.2 Misure per garantire la protezione dei dati

Sono le misure di sicurezza volte a minimizzare i rischi che le informazioni siano rivelate o modificate senza autorizzazione, ovvero perse o alterate accidentalmente o intenzionalmente. Queste comprendono un sistema di autenticazione per assicurare che la persona che accede al sistema nelle sue diverse articolazioni sia identificata con certezza, basato su codice identificativo e password individuale segreta, nonché un sistema di autorizzazione che prevede che a ciascuna persona che accede al sistema sia assegnato un profilo di accesso che definisce i dati ai quali l’utente è autorizzato ad accedere e, ove applicabile, le operazioni che per ciascun dato o gruppo di dati è autorizzato ad eseguire (consultazione, inserimento, modifica, cancellazione). Ad eccezione degli Amministratori di Sistema definiti e nominati secondo le disposizioni del Modello Organizzativo Privacy, nessun dipendente dell’azienda è Amministratore di Sistema della propria macchina e tutti gli utenti che dispongono di una postazione informatica sono censiti. Per ridurre i rischi di indisponibilità (parziale o totale) nell’accesso al sistema informatico dell’ente sono previste una serie di attività, in particolare al momento dell’assunzione o della dimissione delle risorse umane con la procedura di allestimento o dismissione dell’utenza personale. Sempre al fine di controllo si procede a verificare con cadenza semestrale che la lista dei dipendenti cessati sia coerente con le utenze disabilitate. Tutti i dispositivi dell’ente concessi in dotazione ai dipendenti vengono formattati a seguito delle dimissioni degli stessi al fine di rimuovere tutti i dati personali contenuti al loro interno. Tutti i dipendenti dell’azienda sono pertanto tenuti ad assicurarsi che venga correttamente eseguito il passaggio di consegne affinché venga assicurata la continuità dei servizi erogati e la conservazione dei documenti di lavoro.

9.3 Scrivania sgombra e schermo inattivo (clean desk & clear screen Policy)

La politica della scrivania sgombra (Clean Desk Policy) e dello schermo inattivo (Clear Screen Policy) è una delle migliori strategie da attuare per ridurre il rischio di violazioni della sicurezza della postazione di lavoro. Lo scopo di tale politica è stabilire requisiti minimi per prevenire violazioni accidentali o dolose dei dati personali (Data Breach) e responsabilizzare i soggetti che nelle attività lavorative si trovano a loro contatto. Di seguito sono elencati i comportamenti virtuosi da applicare:

  • i dipendenti sono tenuti a garantire che tutte le informazioni sensibili o confidenziali in formato elettronico o cartaceo siano messe al sicuro nella propria postazione di lavoro, in particolare alla fine della giornata lavorativa e in caso di assenza prolungata;
  • i computer devono essere bloccati quando le postazioni di lavoro non sono occupate;
  • tutti i computer devono essere spenti alla fine della giornata lavorativa;
  • qualsiasi informazione e/o dato particolare/sensibile deve essere rimosso dalla scrivania e chiuso a chiave in un cassetto quando la postazione di lavoro non è occupata e alla fine della giornata lavorativa;
  • le cartelle contenenti informazioni riservate e/o sensibili e/o categorie particolari di dati personali devono essere tenute chiuse e bloccate quando non utilizzate;
  • le chiavi utilizzate per accedere alle informazioni riservate e/o ai dati sensibili e/o alle categorie particolari di dati personali non devono essere lasciate su una scrivania non presidiata;
  • i laptotp devono essere conservati in un cassetto se non utilizzati;
  • le password non possono essere lasciate su note adesive attaccate sopra, sotto o nei pressi di un computer, né possono essere lasciate per iscritto in posizione accessibile;
  • le stampe contenenti informazioni riservate e/o dati particolari/sensibili devono essere immediatamente rimosse dalle stampanti;
  • al momento dello smaltimento, i documenti riservati o contenenti informazioni riservate e/o sensibili e/o categorie particolari di dati personali devono essere distrutti e, ove presenti, triturati nei distruggidocumenti appositi;
  • le lavagne contenenti informazioni riservate e/o sensibili e/o categorie particolari di dati personali devono essere cancellate;
  • i dispositivi portatili come laptop, smartphone o tablet non devono mai essere lasciati sbloccati e incustoditi;
  • tutti i dispositivi di archiviazione di massa come CDROM, DVD o chiavi USB contenenti informazioni riservate e/o sensibili e/o categorie particolari di dati personali devono essere conservati in cassetti chiusi a chiave.

Il dipendente che viola queste norme di comportamento è soggetto alle azioni disciplinari previste, fino al licenziamento.

9.4 Livelli di sicurezza

L’amministrazione della sicurezza logica segue i seguenti criteri generali:

  • applicazione del principio “need to know” o del minimo privilegio, secondo cui la definizione dei profili standard da assegnare agli utenti, con le autorizzazioni necessarie all’espletamento delle rispettive mansioni (definite per ruoli e competenze), avviene alla luce delle effettive esigenze operative. A tal scopo viene limitato l’accesso logico a reti, sistemi e basi dati;
  • la validità delle richieste di accesso alla rete è verificata automaticamente dal sistema stesso prima di consentire l’accesso ai dati, tramite un sistema di autenticazione costituito da User-ID e password;
  • sono adottate delle indicazioni per la gestione delle password che indicano la lunghezza, la complessità, la durata, la conservazione sicura richiesta nel caso di trattamenti dei dati effettuati con strumenti elettronici;
  • sono previsti sistemi per la periodica validazione e il censimento delle utenze e delle abilitazioni;
  • sono adottate tecniche e metodologie per la verifica continua dell’utilizzo dei sistemi applicativi e per il controllo del traffico di rete generato, al fine di garantire un pronto intervento in caso di attività anomale;
  • sono previsti presidi rafforzati per l’accesso da remoto, in particolare nei confronti di utenti appartenenti a soggetti terzi;
  • sono organizzate sessioni di formazione dei dipendenti, nonché regolamenti e altre forme di documentazione interna, al fine di rendere gli stessi edotti dei rischi in materia di sicurezza delle informazioni e di protezione dei dati personali;
  • sono previsti periodici controlli al fine di verificare l’adeguatezza, l’affidabilità complessiva e la tutela del sistema informativo.