GESTIONE SANITARIA ITALIANA SRL
“VILLA LUANA”
COMPLIANCE POLICY – PRIVACY
Adempimenti relativi al Regolamento UE 2016/679 (G.D.P.R.) e T.U. 196/03 aggiornato al D. Lgs n. 101/2018
(Norme in materia di protezione dei dati personali)
Aggiornamento precedente versione del 30/06/2020
INTRODUZIONE
A quindici anni dall’emanazione del D. Lgs. 196 del 30.06.03, noto come “Codice in materia di protezione dei dati personali”, il tema della privacy è divenuto oggetto di un importante atto normativo a livello comunitario. Con il Regolamento UE 2016/679, le cui prescrizioni sono direttamente applicabili in Italia come in tutti gli altri Paesi membri dell’Unione a decorrere dal 25.05.2018, senza necessità di alcun atto di recepimento a livello nazionale, si tenta quindi di uniformare la normativa degli stati membri su una tematica sempre più di attualità.
Il predetto nuovo Regolamento (noto come “GDPR”) segna un mutamento storico, non solo perché si passa da un sistema basato su direttive di armonizzazione e legislazioni nazionali spesso divergenti ad una normativa unitaria, ma anche perché vengono dettate regole per fenomeni globali come i social network, i web analytics o i Big Data che all’epoca della Direttiva CE 95/46 non erano neanche all’orizzonte.
A differenza del D. Lgs. 196/2003, gli articoli che compongono il nuovo Regolamento UE 2016/679 delineano un impianto normativo dinamico che richiede un’attenta valutazione dei rischi da parte delle aziende, ora onerate della creazione di un proprio modello organizzativo costituito da un insieme di procedure interne di gestione del trattamento dei dati, da tenere sempre al passo con l’evoluzione tecnologica.
Tra i principi di maggiore rilevanza del GDPR meritano particolare attenzione il principio di trasparenza, il diritto all’oblio ed il principio di accountability.
Il principio della trasparenza impone che le informazioni destinate all’interessato siano facilmente accessibili e di facile comprensione e che sia quindi utilizzato un linguaggio semplice e chiaro. Ciò riguarda in particolare l’informazione circa le finalità del trattamento, l’identità del titolare del trattamento e i diritti del cittadino.
Il diritto all’oblio concerne invece il diritto di ogni persona ad ottenere la rettifica e la cancellazione dei propri dati personali, se la conservazione di tali dati non è conforme al GDPR o se non sono più necessari per le finalità le quali sono stati raccolti o altrimenti trattati.
In base al principio di accountability invece il titolare del trattamento è obbligato ad adottare politiche e misure adeguate per garantire ed essere in grado di dimostrare che il trattamento dei dati personali effettuato è conforme allo stesso Regolamento. Tale importante principio si compone di almeno tre elementi:
- la “trasparenza”, intesa come garanzia della completa accessibilità alle informazioni;
- la “responsabilità”, intesa come la capacità di rendere conto di scelte, comportamenti e azioni;
- la “compliance”, intesa come capacità di far rispettare le norme.
Il Regolamento prevede poi una serie di figure e attività per far sì che tali principi vengano concretamente adempiuti. Nello specifico, le novità più rilevanti rispetto al previgente Codice nazionale sono le seguenti:
– L’introduzione della figura del Responsabile del Protezione dei Dati (“DPO”), un soggetto che svolge funzioni di audit in materia di trattamento dati e che funge da interfaccia tra i soggetti coinvoli (autorità, titolare, interessati, ecc.). La nomina di tale figura è obbligatoria in tre casi specifici:
– il trattamento è svolto da un’autorità pubblica o da un organismo pubblico;
– le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala;
– le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati.
– Altra importante novità è prevista dall’art. 30 del GDPR, secondo cui ogni titolare del trattamento ed il suo eventuale rappresentante devono tenere un registro delle attività di trattamento svolte sotto la propria responsabilità, contenente le seguenti informazioni:
– Nome e dati di contatto del titolare del trattamento e di ogni contitolare del trattamento;
– Finalità del trattamento;
– Descrizione delle categorie di interessati e delle categorie di dati personali;
– Categorie di destinatari a cui i dati personali sono stati o saranno comunicati;
– Ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale e l’eventuale documentazione delle relative garanzie;
– Ove possibili, i termini previsti per la cancellazione dei dati;
– Ove possibile, una descrizione generale delle misure di sicurezza tecniche ed organizzative.
Merita comunque sottolineare che, nei punti di maggiore interesse, il nuovo Regolamento comunitario conferma l’impostazione della precedente normativa italiana in materia di trattamento dei dati personali.
Principio fondamentale della disciplina è sempre il medesimo: il trattamento dei dati personali (ovvero qualsiasi informazione che consente di identificare un soggetto, sia persona fisica che giuridica) deve essere esercitato per determinate finalità, in modo lecito e corretto, con modalità tali da ridurre al minimo i rischi di perdita dei dati o accesso non autorizzato, ed è possibile con il consenso dell’interessato.
Tale consenso, che costituisce una condizione di liceità del trattamento, deve essere prestato prima della raccolta dei dati e previa informazione all’interessato circa alcuni elementi elencati negli artt. 12-14 del GDPR.
Il consenso dell’interessato non è necessario ovvero il trattamento è comunque considerato lecito in alcuni casi espressamente elencati dall’art. 6 del GDPR. Nello specifico, quando è stato effettuato:
- Per adempiere ad un obbligo previsto dalla Legge;
- Per eseguire obblighi contrattuali o precontrattuali con l’interessato;
- Per la salvaguardia degli interessi vitali dell’interessato o di altra persona fisica;
- Per l’esecuzione di compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
- Per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato;
- Traendo i dati da pubblici registri, elenchi, atti o documenti conoscibili da chiunque.
In ogni caso, l’interessato al trattamento dei dati ha diritto di ottenere:
- La conferma dell’esistenza o meno di dati che lo riguardano;
- L’indicazione delle finalità e modalità di trattamento;
- Gli estremi del titolare e del responsabile del trattamento dei dati;
- L’aggiornamento dei dati;
- La cancellazione dei dati trattati in violazione della Legge;
- La portabilità dei dati, ovvero la facoltà di richiedere e ricevere dal Titolare del trattamento, in formato leggibile, i dati che lo riguardano nonché il loro trasferimento da un Titolare del trattamento a un altro, senza impedimenti o perdita dei dati.
Ha inoltre diritto di opporsi:
- Per motivi legittimi al trattamento dei dati che lo riguardano;
- Al trattamento di dati che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato.
Il Regolamento prevede poi un complesso sistema di tutela giurisdizionale dei diritti relativi alla privacy ed un altrettanto specifico sistema sanzionatorio, le cui conseguenze vanno da una mera diffida amministrativa a pesanti sanzioni fino a 20 milioni di euro.
Al fine di armonizzare le normativa nazionale al GDPR è stato poi emanato dal legislatore nazionale il d.lgs. 101 del 10.08.2018, che da un lato contiene l’espressa abrogazione di numerose norme del precedente Codice Privacy del 2003, norme che tuttavia già con l’emanazione del Regolamento 2016/679, secondo il principio della gerarchia delle fonti, dovevano semplicemente essere disapplicate, da un lato contiene una serie di novità che si riportano di seguito.
Le modifiche del citato decreto riguardano tutte e tre le Parti del Codice della Privacy e sono contenute negli artt. 1-16. Seguono nell’art. 17 le modifiche al Decreto legislativo 1° settembre 2011, n. 150 (viene sostituito l’art. 10 del Codice – Controversie in materia di applicazione delle disposizioni in materia di protezione dei dati personali). Invece, gli artt. 18-26 sono disposizioni transitorie e finali e finanziarie nonché riferimenti alle sanzioni amministrative alle violazioni anteriormente commesse (art. 24).
Le novità introdotte dal Decreto n. 101/2018 al Codice del 2003 più significative sono:
– la nuova soglia (14 anni, invece di 16) a partire dalla quale il minore potrà autorizzare al trattamento dei dati personali su internet (per i minori di 14 anni occorre il consenso di chi esercita la responsabilità genitoriale).
– Le nuove definizioni contenute nel nuovo art. 2 ter (v. paragrafo successivo).
– Per la Biometria: in base al Codice, come modificato dal D.Lgs. n.101/2018 per i dati genetici, biometrici e relativi alla salute il trattamento avviene comunque nel rispetto di quanto previsto dall’articolo 2-septies, il quale a sua volta i rimanda all’art. 9 comma 4 del Regolamento UE sulla privacy (art.9 comma 4) che indica i casi di deroga al divieto di trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché i dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, oltre ai dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.
– Viene sostituito completamente l’Art. 96 (Trattamento di dati relativi a studenti) del Codice e l’Art. 97 (Ambito applicativo) di disciplina del trattamento dei dati personali effettuato a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, ai sensi dell’articolo 89 del regolamento.
– Sostituito l’articolo 111 del Codice con il nuovo «Art. 111 (Regole deontologiche per trattamenti nell’ambito del rapporto di lavoro).
– Nell’ambito della sezione “Comunicazioni elettroniche” ampliata la parte dei “Servizi interessati” che vede aggiungersi il comma 1-bis all’art. 121 con diverse definizioni quali «comunicazione elettronica», «chiamata», «reti di comunicazione elettronica», «rete pubblica di comunicazioni», «servizio di comunicazione elettronica», «contraente», «utente», «dati relativi al traffico», «dati relativi all’ubicazione», «servizio a valore aggiunto», «posta elettronica»
Per quanto concerne invece le Sanzioni:
– Alla parte III “TUTELA DELL’INTERESSATO E SANZIONI” prima del capo I del titolo I viene inserito il «Capo 0.I (Alternatività delle forme di tutela) in base al quale in caso di violazione dei dati l’interessato può proporre reclamo al Garante o ricorso dinanzi all’autorità giudiziaria.
Cambiano l’«Art. 166 (Criteri di applicazione delle sanzioni amministrative pecuniarie e procedimento per l’adozione dei provvedimenti correttivi e sanzionatori) e l’Art. 167 (Trattamento illecito di dati) punito con la reclusione da sei mesi a un anno e sei mesi. Introdotto un «Art. 167-bis (Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala) punito con la reclusione da uno a sei anni. Introdotto anche l’ Art. 167-ter (Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala) punito con la reclusione da uno a quattro anni. Si vedano poi le sostituzioni dell’«Art. 168 (Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante) e l’«Art. 170 (Inosservanza di provvedimenti del Garante).
– Viene Sostituito l’«Art. 171 (Violazioni delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori) in base al quale la violazione delle disposizioni di cui agli articoli 4 (Impianti audiovisivi e altri strumenti di controllo), comma 1., e 8 della legge 20 maggio 1970, n. 300, vien punita con le sanzioni di cui all’articolo 38 della medesima legge.
DEFINIZIONI
L’art. 4 del GDPR fornisce un dettagliato elenco di definizioni in materia di privacy:
– “dato personale”: qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
– “trattamento”: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;
- “limitazione di trattamento”: il contrassegno dei dati personali conservati con l’obiettivo di limitarne il trattamento in futuro;
- “profilazione”: qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica;
- “pseudonimizzazione”: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile;
– “archivio”: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;
– “titolare del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri;
– “responsabile del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;
– “destinatario”: la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi;
– “terzo”: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile;
– “consenso dell’interessato”: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;
– “violazione dei dati personali”: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati;
– “dati genetici”: i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall’analisi di un campione biologico della persona fisica in questione;
– “dati biometrici”: i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici;
– “dati relativi alla salute”: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute;
– “rappresentante”: la persona fisica o giuridica stabilita nell’Unione che, designata dal titolare del trattamento o dal responsabile del trattamento per iscritto ai sensi dell’articolo 27, li rappresenta per quanto riguarda gli obblighi rispettivi a norma del presente regolamento;
– “impresa”: la persona fisica o giuridica, indipendentemente dalla forma giuridica rivestita, che eserciti un’attività economica, comprendente le società di persone o le associazioni che esercitano regolarmente un’attività economica;
– “norme vincolanti d’impresa”: le politiche in materia di protezione dei dati personali applicate da un titolare del trattamento o responsabile del trattamento stabilito nel territorio di uno Stato membro al trasferimento o al complesso di trasferimenti di dati personali a un titolare del trattamento o responsabile del trattamento in uno o più paesi terzi, nell’ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un’attività economica comune;
– “autorità di controllo”: l’autorità pubblica indipendente istituita da uno Stato membro ai sensi dell’articolo 51 del GDPR, quale l’Autorità Garante della Privacy del nostro Paese.
L’art. 2-ter del D.Lgs. 196/2003, come aggiornato dal D.Lgs. 101/2018, all’art. 2-ter definisce altresì:
– “comunicazione”: il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall’interessato, dal rappresentante del titolare nel territorio dell’Unione europea, dal responsabile o dal suo rappresentante nel territorio dell’Unione europea, dalle persone autorizzate, ai sensi dell’articolo 2-quaterdecies, al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile, in qualunque forma, anche mediante la loro messa a disposizione, consultazione o mediante interconnessione;
– “diffusione”: il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione.
ORGANIGRAMMA AZIENDALE
Titolare del trattamento
Ditta |
Gestione Sanitaria Italiana S.r.l. |
Sede |
Via Tivoli n. 66 – Poli (RM) |
C.F. |
O9440071000 |
P. IVA |
O9440071000 |
Legale rappresentante
Nome |
Fabio |
Cognome |
Ascolani |
Data privacy officer
Nome |
Stefano |
Cognome |
Cattarulla |
Responsabili esterni del trattamento
Per l’elenco dei responsabili del trattamento si veda l’allegato 1
Incaricati al trattamento
Per l’elenco degli incaricati al trattamento si veda l’allegato 1
CARATTERISTICHE DEI DATI E DEL TRATTAMENTO
L’azienda eroga servizi di tipo sanitario e socio-assistenziale ad anziani non più completamente autosufficienti che, pertanto, non possono più risiedere presso il proprio domicilio o presso le proprie famiglie. La residenza si prende cura dei suoi ospiti non solo erogando loro servizi di tipo sanitario e socio-assistenziale , ma anche rendendo piacevole il loro soggiorno in RSA da un punto di vista umano, conferendo centrale importanza alla relazione che può instaurarsi tanto nel gruppo dei pazienti, quanto tra i pazienti e il personale che opera all’interno della casa di riposo.
La Clinica offre all’utenza prestazioni di diagnosi e cura, servizi ambulatoriali ed è fornita di un centro diagnostico per immagini e di un laboratorio analisi.
Caratteristiche dei dati trattati:
Dati comuni (ovvero qualsiasi informazione riguardante una persona fisica identificata o identificabile, ad eccezione dei dati particolari e dei dati giudiziari, cioè dati che permettono l’identificazione diretta – come i dati anagrafici , d esempio: nome e cognome, le immagini, etc. o dati che permettono l’identificazione indiretta, come un numero di identificazione, ad esempio, il codice fiscale, l’indirizzo IP, il numero di targa, etc.): I dati trattati dalla società sono quelli normalmente necessari allo svolgimento delle attività statutarie in ambito sanitario, articolate nelle distinte fasi delle eventuali trattative pre-contrattuali (compresa la necessità di acquisire informazioni circa la solvibilità ed affidabilità economica della controparte), della stipula ed esecuzione dei contratti (comprese le obbligazioni accessorie), della gestione contabile ed amministrativa.
Dati “particolari” (Art. 9 GDPR, ovvero dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona): possono essere trattati, previo consenso degli interessati, dati personali che rivelino l’origine razziale o etnica, le convinzioni religiose, l’appartenenza sindacale, dati genetici, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.
Dati giudiziari (quelli che possono rivelare l’esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale, ad esempio, i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione etc. o la qualità di imputato o di indagato od i dati relativi alle condanne penali e ai reati o a connesse misure di sicurezza): non vengono trattati.
Origine dei dati:
I dati personali trattati dalla società hanno le seguenti origini:
- sono stati forniti direttamente dall’interessato;
- sono stati acquisiti da banche dati pubbliche accessibili a chiunque (es. CCIAA, anagrafe, pubblici registri, etc.);
- sono stati comunicati da precedenti detentori autorizzati in tal senso secondo le disposizioni vigenti.
Finalità del trattamento:
I dati in possesso della società vengono raccolti, gestiti e conservati per l’esecuzione del rapporto contrattuale con i propri clienti oltre che per gli adempimenti previsti dalla Legge.
Promozione della propria attività commerciale:
I dati in possesso della società non vengono utilizzati per la promozione della propria attività, tramite mailing list, contatto telefonico diretto o metodi similari.
Modalità del trattamento:
I dati comuni sono trattati sia attraverso la gestione cartacea che attraverso la strumentazione elettronica.
Durata del trattamento:
La durata del trattamento è legata ai tempi di prescrizione dei diritti nascenti dai rapporti contrattuali e quindi normalmente di 10 anni dalla loro esecuzione.
Eventuali destinatari o categorie di destinatari dei dati
I dati trattati non saranno in alcun modo ceduti a terzi nè a titolo gratuito nè oneroso, esportati o trasferiti, salvo per le ipotesi qui di seguito specificate.
I dati trattati verranno eventualmente comunicati a soggetti terzi rispetto al rapporto contrattuale (anche professionisti e collaboratori dell’azienda), che garantiscano il rispetto della normativa in materia di trattamento dei dati e previa informazione circa le finalità ed i limiti del trattamento, ai soli fini dell’adempimento di obblighi contrattuali, legali o fiscali ovvero per la tutela di interessi e diritti aziendali.
ANALISI DEI RISCHI E MISURE DI SICUREZZA
SEZIONE 1
Elencazione degli strumenti elettronici utilizzati per il trattamento dei dati
Gli strumenti presenti e utilizzati per il trattamento sono quelli indicati nell’allegato 2 al presente documento.
SEZIONE 2
Valutazione d’impatto sulla protezione dei dati (Art. 35 del GDPR) ed indicazione delle misure di sicurezza adottate
Il Titolare del Trattamento ritenuto che, stante l’utilizzo di tecnologie ormai collaudate, considerata la natura, l’oggetto, il contesto e la finalità del trattamento dei dati, detto trattamento non presenti alcun rischio elevato per i diritti e le libertà delle persone fisiche, ritiene congruo, ai fini di tutela della riservatezza dei dati trattati, il ricorso alle seguenti misure di sicurezza:
Sezione 2 – Sub. 1: misure di sicurezza per la protezione delle aree e dei locali
- Ubicazione degli uffici: gli uffici ove viene effettuato il trattamento dei dati sono situati in Via Tivoli, 66 – Poli (RM).
- Protezioni fisiche adottate per l’accesso agli uffici: gli uffici sono dotati di cancello esterno con serratura. Ulteriore porta con serratura a chiave. E’ presente un sistema di allarme con videosorveglianza.
- Protezione dei locali in cui sono posizionati il server e gli elaboratori: Le stanze in cui sono situati gli elaboratori sono dotate di porta con chiusura a chiave.
- Protezione dei locali ove sono conservati i documenti cartacei: gli armadi in cui sono conservati i documenti cartacei sono situati presso la stanza dedicata al Customer care o presso gli Uffici direzionali; dette stanze sono dotate di porte di ingresso con serrature e con accesso consentito ai soli dipendenti. I documenti sono conservati in appositi armadi dotati di chiusura a serratura con chiave.
Sezione 2 – Sub. 2: misure di sicurezza per il trattamento dei dati con strumenti elettronici
- A) Autenticazione informatica
Il trattamento dei dati personali, effettuato con strumenti elettronici, è consentito al titolare ed agli incaricati, formalmente nominati e dotati a tale scopo di un proprio codice identificativo (UserID) e di una propria password.
In particolare la password personale è composta da almeno otto caratteri (tra cui almeno una lettera maiuscola ed un carattere speciale) oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all’incaricato ed è modificata da quest’ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi.
I codici identificativi e le passwords abbinate, non utilizzati da almeno sei mesi verranno disattivati, salvo quelli preventivamente autorizzate per soli scopi di gestione tecnica o accesso del Titolare del trattamento. In ogni caso sarà facoltà del Titolare procedere all’assegnazione di nuovi codici identificativi per i medesimi soggetti ovvero alla riattivazione di quelli cancellati. I codici identificativi e le passwords abbinate saranno disattivati anche in caso di perdita della qualità che consente all’incaricato l’accesso ai dati personali.
- B) Procedura di gestione delle credenziali di autenticazione
Le credenziali di autenticazione, costituite dai codici identificativi personali (UserID) e dalle passwords, sono assegnate dal Titolare agli Incaricati.
Mentre rimarrà invariato il codice identificativo personale, la password inizialmente assegnata dovrà essere modificata personalmente dall’incaricato al primo utilizzo con altra conosciuta da esso soltanto.
Le credenziali valgono sino a che l’incaricato è autorizzato al trattamento.
Il Titolare del trattamento custodirà un elenco delle credenziali di autenticazione (codice identificativo personale e prima password) con il riferimento dell’incaricato al quale si riferiscono e può in ogni caso procedere alla revoca di tali credenziali (Allegato 3).
- C) Sistema di autorizzazione
Tutti gli incaricati al trattamento svolgono compiti equiparabili sui dati personali in possesso dell’azienda, con le stesse facoltà nel loro utilizzo; non si ritiene pertanto necessario prevedere distinte categorie di soggetti utilizzatori e quindi non viene previsto alcun sistema differenziato di autorizzazione.
- D) Protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici
Gli elaboratori utilizzati per il trattamento dei dati personali dovranno tutti essere dotati di una password di accesso impostata a livello di bios (password bios) che attivandosi all’accensione della macchina e prima del caricamento del sistema operativo impedisca l’utilizzo del computer ai soggetti non autorizzati.
L’accesso al sistema operativo dovrà poi essere filtrato dall’immissione delle passwords personali degli incaricati in abbinamento ai rispettivi codici personali.
Ogni software dedicato alla gestione dei dati personali infine dovrà consentire l’utilizzazione solo previa ulteriore immissione dei codici personali e passwords personali degli incaricati.
Il sistema operativo dovrà essere impostato in modo da prevedere l’intervento di un programma che impedisca la lettura dei dati a video (es. screen saver) ad attivazione automatica dopo 5 minuti di inattività ed il ritorno alla normale operatività solo a seguito dell’introduzione della password personale dell’incaricato ovvero della password bios.
La password bios potrà anche essere unica per tutti gli elaboratori e gli incaricati al trattamento.
Dovranno inoltre essere installati appositi software o apparecchi hardware capaci di impedire accessi non autorizzati dall’esterno ovvero collegamenti non autorizzati verso risorse esterne (cd. Firewall), anche facendo riferimento alle possibilità offerte in materia dagli ultimi sistemi operativi. Tali programmi dovranno essere periodicamente aggiornati; l’aggiornamento dovrà essere preferibilmente effettuato in maniera automatica.
Ugualmente si dovrà provvedere all’installazione di un programma antivirus a livello locale su ogni macchina ovvero a livello centrale sul server, dotato di aggiornamento automatico delle definizioni dei virus ovvero aggiornato manualmente con cadenza mensile.
Gli elaboratori utilizzati dovranno essere dotati di appositi sistemi di alimentazione in grado di prevenire la perdita di dati in caso di improvviso black out.
- E) Procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi
Con cadenza almeno settimanale il titolare del trattamento ovvero incaricati specificamente autorizzati provvederanno ad effettuare il back-up di tutti i dati personali presenti nel sistema mediante memorizzazione su supporto ottico (cd-r o dvd) non riscrivibile, su disco rimovibile, ovvero con altre modalità equivalenti.
Tali supporti saranno identificati anche mediante l’indicazione della data di memorizzazione e conservati, a cura del Titolare, in ambiente chiuso diverso e distante da quello dove si trovano i dati originali, dotato dei necessari accorgimenti atti ad evitare la distruzione o la sottrazione dei supporti ed inaccessibile a terzi.
La memorizzazione dei dati dovrà essere effettuata in maniera tale da garantire la possibilità di ripristino degli stessi in caso di deterioramento o distruzione degli originali. A tal fine il titolare dovrà avere comunque a disposizione anche le risorse software necessarie all’interpretazione dei dati memorizzati, curandone la conversione in caso di evoluzione delle tecnologie disponibili.
Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente.
In alternativa agli adempimenti sopra indicati si potrà prevedere il salvataggio dei dati su apposite piattaforme cloud, situate nel territorio dell’Unione Europea.
TABELLA RIASSUNTIVA
Analisi del Rischio (minaccia – vulnerabilità) |
Misure di sicurezza (fisiche – logiche – organizzativa |
Accesso abusivo ai dati |
Protezione accesso elaboratori con Pw bios – Autenticazione incaricati (password e user-id) – firewall |
Accesso non autorizzato |
Protezione accesso elaboratori con Pw bios – Autenticazione incaricati (password e user-id) – firewall |
Blocco sistema |
Aggiornamento dei programmi vs. rischio vulnerabilità (c.d. patch) |
Distruzione dei dati |
Back-up o salvataggio in cloud |
Errori divulgazione |
Formazione personale |
Guasto HW |
Disponibilità tecnico specializzato |
Guasto SW |
Disponibilità tecnico specializzato |
Incendio |
Estintori – conservazione copie back-up in ambienti diversi o salvataggio in cloud |
Interruzione corrente |
Gruppo di continuità |
Malfunzionamento HW |
Disponibilità tecnico specializzato |
Malfunzionamento SW |
Disponibilità tecnico specializzato |
Virus |
Software antivirus |
In riferimento ai dati trattati con modalità diverse dagli strumenti elettronici si adottano le seguenti misure volte ad assicurare un livello minimo di protezione:
Sezione 2 – Sub. 3: misure di sicurezza per il trattamento dei dati senza strumenti elettronici
- A) Procedure per un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti:
Gli atti ed i documenti contenenti dati personali rimarranno nella disponibilità e sotto la responsabilità dell’incaricato per il tempo strettamente necessario allo svolgimento dei compiti assegnati.
Non appena terminato lo svolgimento di tali compiti l’incaricato deve provvedere a riporre i documenti negli archivi a tale scopo predisposti, provvedendo alla chiusura degli stessi con idonea serratura o lucchetto le cui chiavi saranno in possesso solo ed esclusivamente degli incaricati nominati.
Il trattamento effettuato dagli incaricati deve avvenire nell’ambito della propria postazione di lavoro, possibilmente in locali senza la presenza di terzi o comunque in modo tale da preservare la segretezza dei dati personali in possesso dell’azienda. L’incaricato ha l’obbligo della custodia dei dati durante il trattamento degli stessi a lui affidato, ove dovesse allontanarsi dalla postazione di lavoro durante il trattamento deve prima provvedere a riporre i documenti negli appositi armadi dotati di chiusura.
Conservazione dei documenti: tutti i documenti e gli atti contenenti dati personali dovranno essere conservati in idonei locali ovvero in armadi, entrambi in ogni caso dotati di adeguati sistemi di chiusura a chiave e non accessibili a terzi. Il Titolare del trattamento provvederà a consegnare agli incaricati ovvero ad alcuni di essi le chiavi dei locali o degli armadi ove sono conservati i dati personali.
Tutta la documentazione cartacea contenente la stampa di dati personali, ove destinata alla smaltimento dei rifiuti, dovrà essere previamente trattata a mezzo di un apparecchio “distruggi-documenti” al fine di rendere impossibile la lettura dei dati stessi, ovvero riposto con cura negli appositi sacchi di plastica di colore nero o comunque non trasparenti. Tali sacchi dovranno essere chiusi in maniera che gli atti e i documenti in essi contenuti non possano, nemmeno accidentalmente, fuoriuscire e possano essere letti dall’esterno.
Nel caso in cui i dati contenuti sulla documentazione siano “particolari”, ovvero idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché idonei a rivelare lo stato di salute e la vita sessuale, il documento deve in ogni caso essere distrutto con l’apposita macchina “distruggi documenti”.
- B) Previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all’identificazione degli incaricati:
Gli atti contenenti dati particolari e nello specifico:
– Le buste paga contenenti eventuali trattenute sindacali;
– La documentazione medica del personale prescritta dalla normativa in materia di sicurezza ed igiene del lavoro;
sono contenuti in archivi specifici il cui accesso è limitato solo ed esclusivamente agli incaricati addetti alla gestione del personale. Non è ammesso l’accesso alcuno dopo l’orario di chiusura.
SEZIONE 3
Piano di ripristino della disponibilità dei dati a seguito di distruzione o danneggiamento ovvero degli strumenti elettronici
Nel predisporre il piano di ripristino, considerata la particolare natura della società e della specifica organizzazione, si è provveduto nel seguente modo:
– analisi degli eventi che possono causare la distruzione o il danneggiamento dei dati o degli strumenti elettronici;
– definizione dei ruoli e delle responsabilità;
– descrizione delle azioni da intraprendere in caso di emergenza al fine del ripristino dei dati e del sistema.
1) Eventi e minacce
La distruzione dei dati può essere conseguenza di:
- eventi umani o di natura tecnica (ad es. operazioni involontarie di cancellazione da parte di un incaricato, blocco del sistema)
- eventi naturali: incendio, allagamento, fulmine;
- atti illeciti: azione di hackers, incendio doloso, intrusione e distruzione archivi.
- Il danneggiamento dei dati può essere conseguenza di:
- programmi virus;
- hackers informatici;
- fulmini;
- blocco sistema informatico o blocco hard disk;
- mancanza o discontinuità nell’erogazione dell’energia elettrica.
- La distruzione o il danneggiamento degli strumenti elettronici, nonostante siano state adottate le misure di prevenzione in tema di sicurezza nei luoghi di lavoro (D.Lgs. 626/1994 e successive modificazioni e integrazioni) possono derivare da:
- incendio, allagamento, terremoto, fulmine, corto circuito, atto illecito, vandalismo.
2) Definizione di ruoli e di responsabilità
Responsabile della gestione della procedura di emergenza in caso di danneggiamento o di distruzione dei dati e di strumenti elettronici è il Titolare del Trattamento, coadiuvato dalla ditta (o dal tecnico), che forniscono assistenza e manutenzione al sistema informatico.
3) Descrizione delle azioni da intraprendere in caso di emergenza al fine del ripristino dei dati e del sistema
Qualora si riscontrino uno o più degli eventi di cui al punto 1), ovvero altre cause di distruzione o di danneggiamento degli strumenti o dei dati, occorre:
- dare immediato avviso al Titolare del Trattamento: l’obbligo riguarda ogni singolo incaricato;
- il Titolare del Trattamento verifica se siano stati distrutti sistemi hardware e di conseguenza si rivolge immediatamente alla ditta di assistenza entro il termine di cinque giorni;
- il Titolare del Trattamento, coadiuvato dalla ditta che fornisce assistenza, provvede alla nuova installazione dei programmi per elaborare e reinstallare tutti i dati contenuti nelle copie back-up, entro sei giorni;
- il tecnico manutentore ha la facoltà di suggerire ogni misura idonea al ripristino.
PROCEDURE DI VERIFICA DELL’EFFICACIA DELLE MISURE TECNICHE ED ORGANIZZATIVE DI SICUREZZA
(Art. 32 comma 1 lett. d) del GDPR)
Ai fini della verifica dell’efficacia delle misure tecniche ed organizzative adottate per garantire la sicurezza del trattamento il Titolare del Trattamento, con cadenza semestrale, adotta la presente procedura:
Dati trattati in modalità informatica:
- a) analisi della tenuta delle password;
- b) analisi di funzionalità del sistema di copie di sicurezza, di ripristino della disponibilità dei dati e della funzionalità dei sistemi;
- c) prove di stress sul sistema informatico mediante tentativi di accesso non autorizzato posti in essere da personale privo delle chiavi di autenticazione e comunque mediante ricorso a professionisti e/o tecnici esterni all’azienda ai fini della verifica della tenuta del sistema.
Aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici.
Con cadenza almeno annuale il Titolare del trattamento procederà ad aggiornare l’ambito del trattamento consentito ai singoli incaricati, come risultante dalle lettere di nomina ed i nominativi, con contestuale aggiornamento, se necessario, del documento “Nomina incaricati Privacy” allegato.
Procederà altresì, se del caso, ad indicare l’eventuale mutamento del soggetto incaricato per la manutenzione dei sistemi informatici.
Dati trattati in modalità cartacea:
- a) verifica della funzionalità e tenuta delle misure adottate per la limitazione all’accesso alle aree di detenzione dei dati mediante sopralluoghi, senza preavviso, da parte del Titolare del Trattamento anche per il tramite di professionisti e/o tecnici esterni all’azienda, prova di tenuta delle misure fisiche di protezione (verifica di funzionalità delle serrature, delle chiavi di apertura e chiusura, ecc.).
Aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione:
Con cadenza almeno annuale il Titolare del trattamento procederà ad aggiornare l’ambito del trattamento consentito ai singoli incaricati, come risultante dalle lettere di nomina ed i relativi nominativi, con contestuale aggiornamento, se necessario, del documento “Nomina incaricati Privacy” allegato.
Poli, 30/06/2020
Il Titolare del Trattamento
GSI Srl