Home > Modello Organizzativo Privacy

Modello Organizzativo Privacy


  1. OBIETTIVI E DEFINIZIONI

    Trivision Point srl(di seguito anche denominata “ente”) intende dotarsi di linee guida che consentano di affrontare in maniera organica gli obblighi normativi in materia di protezione dei dati personali, così da conseguire i migliori risultati nel proteggere le informazioni e i dati gestiti nell’ambito delle proprie attività da tutte le minacce interne o esterne, intenzionali o accidentali, secondo le disposizioni previste dalla normativa comunitaria e nazionale

    Obiettivo del presente documento e di quelli ad esso collegati è definire il Modello Organizzativo Privacy (Policy Privacy), ovvero individuare strategia, linee guida generali e disposizioni operative interne volte a disciplinare il trattamento dei dati personali effettuato dalla società, ai sensi del D.Lgs. 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali” (Codice della Privacy), come modificato dal D.Lgs. 10 agosto 2018, n. 101 e del Regolamento (UE) del Parlamento Europeo e del Consiglio del 27 aprile 2016, n. 679 (GDPR – General Data Protection Regulamentation), nonché ulteriori provvedimenti in materia di fonte normativa secondaria in vigore al momento dell’approvazione della seguente policy. In essa sono quindi disciplinati i ruoli e le responsabilità nonché gli adempimenti da seguire in materia di protezione dei Dati Personali ai sensi del “Codice della Privacy” e del “GDPR”, anche con riferimento alle decisioni e ai provvedimenti emessi dal Garante Europeo della Protezione dei Dati (GEPD) e dall’Autorità Garante Nazionale per la protezione dei dati personali.

    Ai fini del presente Modello Organizzativo Privacy si applicano le seguenti definizioni, coerenti con quanto previsto dalla normativa di settore:

    • Regolamento: Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, che abroga la direttiva 95/46/CE (GDPR - Regolamento Generale sulla Protezione dei Dati);
    • Normativa: D.Lgs. 2003/196 (come modificato dal D.Lgs. 2018/101) e Regolamento (UE) 2016/679, nonché ulteriori provvedimenti in materia di fonte normativa secondaria in vigore al momento dell’approvazione del presente Modello Organizzativo Privacy.
    • Codice Privacy: Decreto legislativo 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali” come modificato dal Decreto Legislativo 10 agosto 2018, n. 101;
    • Società: Trivision Point srl
    • Affiliate: società controllate o collegate da Trivision Point srl stabilite nel territorio dello Stato italiano o in un luogo comunque soggetto alla sovranità dello Stato italiano;
    • Dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
    • Dati genetici: i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall'analisi di un campione biologico della persona fisica in questione;
    • Dati biometrici: i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici;
    • Dati relativi alla salute: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute;
    • Interessato: la persona fisica cui si riferiscono i dati personali;
    • Titolare del trattamento: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali;
    • Responsabile del trattamento: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;
    • Referente privacy: le persone fisiche autorizzate a compiere operazioni di trattamento dal Titolare o dal Responsabile con compiti di coordinamento di più o soggetti autorizzati (o designati);
    • Autorizzato: le persone fisiche autorizzate a compiere operazioni di trattamento dal Titolare del trattamento o dal Responsabile del trattamento (anche soggetti designati);
    • Terzo: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che non sia l'interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l'autorità diretta del titolare del trattamento o del responsabile del trattamento;
    • Trattamento: qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;
    • Trattamento transfrontaliero: a) trattamento di dati personali che ha luogo nell'ambito delle attività di stabilimenti in più di uno Stato membro di un titolare del trattamento o responsabile del trattamento nell'Unione ove il titolare del trattamento o il responsabile del trattamento siano stabiliti in più di uno Stato membro; oppure b) trattamento di dati personali che ha luogo nell'ambito delle attività di un unico stabilimento di un titolare del trattamento o responsabile del trattamento nell'Unione, ma che incide o probabilmente inciderebbe in modo sostanziale sugli interessati in più di uno Stato membro.
    • Paesi terzi: paesi non appartenenti all'UE o allo spazio Economico Europeo (Norvegia, Islanda, Liechtenstein);

     

  2. AMBITO DI APPLICAZIONE

    La politica della privacy (policy) che discende dal presente Modello Organizzativo Privacy si applica all’azienda nella sua interezza, a tutti gli organi e alle strutture di qualsiasi livello organizzativo o funzionale.

    La sua attuazione è obbligatoria per tutto il personale e deve essere inserita come parte integrante nella regolamentazione di qualsiasi accordo con tutti i soggetti esterni coinvolti con il trattamento di informazioni che rientrano nel campo del Sistema di Gestione della Privacy.

    La società consente la comunicazione e la diffusione delle informazioni di tipo procedurale e organizzativo verso l’esterno esclusivamente per il corretto svolgimento delle attività aziendali che avvengono nel rispetto delle regole e delle norme vigenti.

    La presente policy è di applicazione immediata per la società.

    La società si impegna a garantire e dimostrare che il trattamento dei dati personali avviene in maniera conforme a quanto previsto dalla normativa e, secondo i seguenti principi di liceità, questi sono:

    • trattati in modo lecito, corretto e trasparente nei confronti dell’interessato;
    • raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità;
    • adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
    • esatti e, se necessario, aggiornati; a tal proposito sono state adottate misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati;
    • conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati;
    • trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.

    Le presenti indicazioni sono valide, oltre che per i trattamenti dei dati personali di cui la società è Titolare, anche per tutti quei trattamenti di cui la società è nominato Responsabile del trattamento da altri Titolari del trattamento, salvo la presenza di misure più restrittive in materia di protezione dei dati personali contenute nei documenti che regolano i rapporti con il Titolare del trattamento.

    Poiché analoghe garanzie di protezione e l’adozione di adeguate misure di sicurezza sono richieste ai soggetti terzi ai quali la società affida l’incarico di Responsabile del trattamento, la policy in oggetto è resa disponibile presso tali Responsabili del trattamento.

     

  3. SICUREZZA DELLE INFORMAZIONI

    Il patrimonio informativo da tutelare è costituito dall’insieme delle informazioni trattate nell’espletamento delle procedure aziendali, rispetto alle quali la società assicura l’integrità e la protezione e consente l’accesso esclusivamente ai ruoli e alle funzioni necessarie e preventivamente autorizzate.

    La mancanza di adeguati livelli di sicurezza può infatti comportare il danneggiamento dell’immagine aziendale, la mancata soddisfazione della clientela, il rischio di incorrere in sanzioni legate alla violazione delle leggi vigenti nonché altri danni di natura economica e finanziaria.

    Per conseguire sempre l’allineamento normativo e aumentare la capacità di controllo la società ha istituito e mantiene aggiornato un registro delle attività di trattamento.

    La società identifica, quando ritenuto necessario a seguito delle risultanze dell’analisi dei rischi connessi al trattamento dei dati personali, le ulteriori esigenze di sicurezza tramite la valutazione di impatto sulla protezione dei dati che consente di acquisire un livello aggiuntivo di consapevolezza sul livello di esposizione a minacce dei propri sistemi di gestione dei dati.

    La valutazione del rischio, eseguita su tutti i trattamenti in essere o previsti, permette di valutare le potenziali conseguenze e i danni che possono derivare dalla mancata applicazione delle misure di sicurezza al sistema informativo e in generale all’intera organizzazione oltre a indicare quale sia la probabilità che le minacce identificate trovino reale attuazione. I risultati di questa valutazione determinano le azioni necessarie per individuare le corrette e adeguate misure di sicurezza e i meccanismi per garantire la protezione dei dati personali.

    La gestione della sicurezza delle informazioni è fondata su alcuni imprescindibili principi generali, di seguito enunciati:

    • Le informazioni sono classificate in base al loro livello di criticità, in modo da essere gestite con livelli di riservatezza, integrità e disponibilità coerenti e appropriati;
    • Gli accessi ai sistemi informativi sono sottoposti a una procedura di identificazione e autenticazione. Inoltre, le autorizzazioni di accesso alle informazioni sono differenziate in base al ruolo e agli incarichi ricoperti dai singoli individui, in modo che ogni utente possa accedere alle sole informazioni di cui necessita, e tali autorizzazioni sono periodicamente sottoposte a revisione
    • È incoraggiata la piena consapevolezza da parte del personale delle problematiche relative alla sicurezza delle informazioni;
    • Per poter prevenire o almeno gestire in modo tempestivo gli incidenti, tutti sono chiamati a rendersi partecipi del sistema di sicurezza aziendale e pertanto devono notificare qualsiasi problema relativo alla sicurezza di cui sono a conoscenza;
    • È necessario prevenire l’accesso non autorizzato ai locali e alle apparecchiature dove sono gestite le informazioni;
    • È assicurata la conformità con i requisiti legali e con i principi legati alla sicurezza delle informazioni nei contratti con le terze parti;
    • È predisposto un piano di continuità che permette all’azienda di affrontare efficacemente un evento imprevisto, garantendo il ripristino dei servizi critici in tempi e con modalità che limitino le conseguenze negative sulla missione aziendale.
    • Sono garantiti il rispetto delle disposizioni di legge, di statuti, regolamenti o obblighi contrattuali e di ogni requisito inerente la sicurezza delle informazioni, riducendo al minimo il rischio di sanzioni legali o amministrative, di perdite rilevanti o danni alla reputazione.

     

  4. RISERVATEZZA DELLE INFORMAZIONI

    La società si impegna a garantire la riservatezza e la confidenzialità delle informazioni e dei dati degli interessati acquisiti nel corso della propria attività in conformità alle procedure interne previste, coerenti con il presente Modello Organizzativo Privacy.

    Il trattamento dei dati può essere effettuato attraverso strumenti manuali, informatici e telematici atti a memorizzare, elaborare, gestire e trasmettere i dati stessi nel rispetto delle misure di sicurezza previste. Tutti i soggetti in qualsiasi modo coinvolti nel trattamento dei dati personali, indipendentemente dal rispetto degli obblighi derivanti dal codice deontologico relativo alla professione regolamentata eventualmente esercitata nell’espletamento delle proprie mansioni, sono tenuti al segreto previsto dall’art. 2407 del codice civile.

    La società si impegna a garantire adeguati livelli minimi di sicurezza delle informazioni rese disponibili da terzi con la medesima diligenza e livello di protezione utilizzati per la sicurezza e la riservatezza dei propri dati.

     

  5. ATTUAZIONE DELLA POLICY

    L’osservanza e l’attuazione della politica della privacy (policy) che discende dal presente Modello Organizzativo Privacy sono responsabilità di:

    • tutto il personale che, a qualsiasi titolo, collabora con l’azienda ed è in qualche modo coinvolto con il trattamento di dati e informazioni che rientrano nel campo di applicazione del Sistema di Gestione della Privacy. Il personale è infatti responsabile, ciascuno per quanto di propria competenza, della segnalazione di tutte le anomalie e violazioni di cui dovesse venire a conoscenza;
    • tutti i soggetti esterni che intrattengono rapporti e collaborano con l’azienda e che devono garantire il rispetto dei requisiti contenuti nella politica della privacy (policy);
    • L’azienda si impegna a:
      • condurre l’analisi dei rischi con le opportune metodologie e adottare le misure per la gestione del rischio;
      • stabilire le norme di comportamento necessarie alla conduzione sicura delle attività aziendali;
      • registrare eventuali violazioni alla sicurezza, adottare le contromisure necessarie e controllare l’esposizione dell’azienda alle principali minacce e rischi;
      • organizzare la formazione e promuovere la consapevolezza del personale per tutto ciò che concerne la qualità, la sicurezza e la sicurezza delle informazioni;

    Il personale dell’azienda che, in modo intenzionale o riconducibile a negligenza, disattenda le regole di sicurezza stabilite e in tal modo provochi un danno, potrà essere perseguito nelle opportune sedi, nel pieno rispetto dei vincoli di legge e contrattuali.

     

  6. MONITORAGGIO DEL SISTEMA GESTIONE PRIVACY

    La direzione aziendale verifica almeno una volta all’anno l’efficacia e l’efficienza del Sistema di Gestione della Privacy, in modo di assicurare un supporto adeguato all’introduzione di tutte le migliorie necessarie e di favorire l’attivazione di un processo di aggiornamento continuo.

    La revisione deve verificare lo stato delle azioni preventive e correttive e l’aderenza alla politica privacy delle procedure in atto così come di quelle previste e non ancora applicate.

    Deve inoltre tenere conto di tutti i cambiamenti che possono influenzare l’approccio alla gestione della sicurezza delle informazioni, includendo i cambiamenti organizzativi, l’ambiente tecnico, la disponibilità di risorse, le condizioni legali, regolamentari o contrattuali e dei risultati dei precedenti riesami.

    Il risultato dell’intero processo di revisione periodica include tutte le decisioni prese e le azioni adottate in merito al miglioramento del Sistema di Gestione della Privacy.

     

  7. INFORMAZIONE E FORMAZIONE

    L’obiettivo di garantire un corretto trattamento dei dati, conforme ai requisiti previsti dalla normativa[1], viene raggiunto dalla società anche e soprattutto grazie alla particolare attenzione risposta nei confronti della formazione del proprio personale.

    Allo scopo creare un ecosistema favorevole nell’ambiente di lavoro e formare con particolare cura i soggetti che per il ruolo ricoperto risultano inseriti nel Sistema di Gestione della Privacy, la società:

    • adotta un piano formativo con l’obiettivo di alfabetizzazione iniziale in materia di protezione dei dati personali, destinato a tutto il personale della società;
    • prevede un piano di formazione programmato sulla formazione erogata in ambito privacy a tutti i dipendenti della società;
    • conserva la documentazione distribuita e la modulistica attestante la partecipazione agli interventi formativi.

    La formazione dei soggetti autorizzati al trattamento e, ove ritenuto necessario, delle altre figure chiave nel Sistema di Gestione della Privacy (SGP), riguarda in particolare:

    • gli aspetti generali della disciplina di protezione dei dati personali;
    • le minacce, le vulnerabilità, la probabilità di accadimento e di conseguenza i rischi che minacciano i dati trattati;
    • le conseguenze derivanti dalla violazione dei dati personali (Data Breach);
    • le procedure da seguire in caso di violazione dei dati personali;
    • le misure di prevenzione per evitare o almeno ridurre la probabilità di accadimento delle violazioni e le misure di mitigazione del danno in caso si verifichino;
    • l’addestramento specifico per aggiornare il personale sulle misure di sicurezza e protezione dei dati personali ritenute adeguate e adottate dal Titolare del trattamento.

    La formazione deve essere:

    • adeguata al proprio sistema di trattamento dei dati personali;
    • efficace nella trasmissione delle informazioni in materia di protezione dei dati personali;
    • documentabile, in quanto la formazione è parte integrante della policy della società e l’articolazione e gli esiti di tale attività devono essere sempre disponibili.

     

  8. IMPEGNO DEGLI ORGANI DI GOVERNO

    La direzione della società sostiene attivamente le attività inerenti la gestione della privacy, o protezione dei dati personali, tramite indirizzi precisi, impegno evidente, incarichi espliciti e riconoscimento delle responsabilità specifiche relative alla sicurezza delle informazioni.

    L’impegno della direzione si attua tramite un’adeguata struttura i cui compiti sono:

    • garantire che siano identificati tutti gli obiettivi relativi alla sicurezza delle informazioni e che questi siano coerenti con la realtà della struttura a cui si riferiscono;
    • stabilire i ruoli e relative responsabilità per lo sviluppo e il mantenimento del Sistema di Gestione della Privacy;
    • fornire risorse sufficienti alla pianificazione, implementazione, organizzazione, controllo, revisione, gestione e miglioramento continuo del Sistema di Gestione della Privacy;
    • approvare e sostenere tutte le iniziative volte al miglioramento della sicurezza delle informazioni;
    • attivare programmi per la diffusione della consapevolezza e della cultura della sicurezza delle informazioni.

    La società riconosce la propria responsabilità che discende dalla normativa vigente e si impegna a proteggere i dati personali che gli utenti affidano ad essa da perdita, uso improprio o accesso non autorizzato. Per la protezione dei dati personali degli utenti, l’azienda si avvale di tecnologie e procedure aziendali di protezione secondo le migliori pratiche (best practices) di volta in volta disponibili.

     

  9. ORGANIGRAMMA, SISTEMA DI NOMINE E RESPONSABILITA’

    Al fine di garantire la tutela dei diritti delle persone fisiche relativamente al trattamento dei dati personali, la società garantisce sempre la precisa individuazione dei soggetti che ricoprono ruoli attivi nel trattamento. Ciò avviene con l’allestimento e il mantenimento efficiente nel tempo di un sistema tracciabile delle nomine e delle relative mansioni.

    In accordo con la normativa di riferimento e con la policy che discende dal presente Modello Organizzativo Privacy, costituiscono figure imprescindibili quelle di seguito descritte.

     

    1. Titolare del Trattamento

      Conformemente a quanto previsto dalla normativa la società è Titolare del trattamento e in tale ruolo si impegna a:

      • adeguare il proprio assetto organizzativo per rendere il governo della privacy allineato ai dettami normativi;
      • adottare le modalità operative necessarie alla corretta gestione degli adempimenti ai fini della protezione dei dati personali trattati;
      • assumere le decisioni in ordine alle finalità, alle modalità del trattamento dei dati e agli strumenti utilizzati, ivi compreso il profilo della sicurezza, sia per i trattamenti svolti all’interno che all’esterno della propria struttura;
      • individuare e designare i Responsabili del trattamento dei dati, impartendo loro le relative direttive e, se necessario, istruzioni specifiche;
      • vigilare sulla puntuale osservanza delle disposizioni e istruzioni impartite a tutti i soggetti che hanno un ruolo attivo nel trattamento dei dati personali;
      • garantire sempre il pieno controllo sulla piramide organizzativa di cui è al vertice, concedendo autorizzazioni generali o specifiche ai responsabili del trattamento secondo criteri di opportunità nelle diverse situazioni ed esprimendo o negando il gradimento nei confronti di sub-responsabili eventualmente proposti dai responsabili assumendo così un ruolo di effettivo controllo e indirizzo.

      Inoltre, si impegna a garantire l’esercizio dei diritti degli interessati e a tal scopo individua e mette in pratica apposite procedure al fine di informare gli interessati e garantire a ciascuno di essi almeno il:

      • diritto all’accesso, cioè di ottenere la conferma dell’esistenza o meno di dati personali che lo riguardano e di averne accesso. In particolare l’interessato ha diritto di conoscere l'origine dei dati personali; le finalità e modalità del trattamento; la logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici; gli estremi identificativi del titolare, dei responsabili e degli eventuali rappresentanti designati; l’elenco dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza a qualsiasi titolo in linea con la normativa e quello dei soggetti autorizzati al trattamento;
      • diritto alla rettifica, cioè di ottenere l'aggiornamento, la correzione ovvero, quando vi ha interesse, l'integrazione dei dati;
      • diritto alla cancellazione, cioè di ottenere la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;
      • diritto all’opposizione, cioè di limitare od opporsi, per motivi legittimi, al trattamento, seguendo le modalità descritte dalle norme vigenti.

       

      Al fine di esercitare i diritti sopra descritti, la società si impegna a rispondere senza ritardo alle richieste presentate da parte dell’interessato direttamente ad esso, ai Responsabili o ai soggetti autorizzati appositamente nominati, nelle forme e modalità nonché attraverso i mezzi ritenuti più idonei.

       

    2. Responsabile del Trattamento

      Il Titolare a seguito delle analisi svolte, non ha ritenuto, valutata anche la struttura organizzativa dell’azienda a nominare un Responsabile del trattamento dei dati.

       

    3. Responsabile Protezione dei Dati (RDP) ex. Art. 37 L. UE 2016/679 (GDPR).

      Il Titolare, a seguito delle analisi svolte, sui trattamenti e sulle tipologie di dati trattati, non rientrando nelle casistiche di nomina obbligatoria di un Responsabile della Protezione dei Dati (di cui all’art. 37 comma 1 lettere a, b, c, del GDPR) e svolgendo trattamenti semplificati in relazione alla quantità e alla tipologia di dati personali trattati, non ritiene necessaria la nomina di un Responsabile della Protezione dei Dati.

       

    4. Referenti privacy

      Il Titolare a seguito delle analisi svolte, non ha ritenuto, valutata anche la struttura organizzativa dell’azienda a nominare un Referente Privacy interno.

       

    5. Soggetti autorizzati al trattamento

      Il Titolare del trattamento nomina, presso le Unità Organizzative in cui vengono svolti i trattamenti, i soggetti autorizzati al trattamento dei dati (o soggetto designato).

      Il soggetto autorizzato effettua tutte le operazioni di trattamento dei dati personali attinenti l’attività lavorativa di competenza dell’area di appartenenza e opera sotto l’autorità del Titolare, attenendosi alle istruzioni dallo stesso impartite nonché alle specifiche procedure che regolamentano le modalità di utilizzo delle banche dati cui lo stesso abbia accesso.

      In particolare, i compiti a esso attribuiti sono così sintetizzati:

      • segnalare al Titolare, eventuali richieste ricevute da parte dell’interessato sull’esercizio dei relativi diritti, nonché attenersi alla procedura interna sull’esercizio dei diritti;
      • segnalare al Titolare, se nello svolgimento di un’attività dovesse riscontrare il trattamento di nuovi dati e finalità per cui risultasse necessario aggiornare il registro dei trattamenti ed eseguire almeno un’analisi dei rischi, in applicazione dei principi di privacy by design e privacy by default;
      • segnalare al Titolare eventuali accessi non autorizzati;
      • viene rilasciata all’interessato l’informativa e acquisito il consenso laddove necessario, secondo le norme di legge.

       

    6. Amministratore di Sistema

      Il Titolare a seguito delle analisi svolte, non ha ritenuto, valutata anche la struttura organizzativa dell’azienda a nominare un Amministratore di Sistema, considerato altresì che la gestione e l’assistenza della struttura informatica è affidata esternamente con specifica Nomina a Responsabile.

       

  • MISURE DI SICUREZZA GENERALI

    1. La gestione della sicurezza: ruoli e responsabilità

      La responsabilità delle attività di impostazione e coordinamento dei sistemi che garantiscono la sicurezza e la tutela di tutti i dati oggetto di trattamento sono in carico ai relativi ruoli inseriti nell’organico della società. Tali sistemi possono essere sia logici che fisici e la responsabilità comprende la loro gestione diretta o tramite fornitori esterni.

      In considerazione della complessità delle implicazioni relative alla sicurezza logica, è redatto il Regolamento Informatico del Sistema di Gestione della Privacy.

       

    2. Misure per garantire la protezione dei dati

      Sono le misure di sicurezza volte a minimizzare i rischi che le informazioni siano rivelate o modificate senza autorizzazione, ovvero perse o alterate accidentalmente o intenzionalmente.

      Queste comprendono un sistema di autenticazione per assicurare che la persona che accede al sistema nelle sue diverse articolazioni sia identificata con certezza, basato su codice identificativo e password individuale segreta, nonché un sistema di autorizzazione che prevede che a ciascuna persona che accede al sistema sia assegnato un profilo di accesso che definisce i dati ai quali l’utente è autorizzato ad accedere e, ove applicabile, le operazioni che per ciascun dato o gruppo di dati è autorizzato ad eseguire (consultazione, inserimento, modifica, cancellazione).

      Ad eccezione degli Amministratori di Sistema qualora definiti e nominati secondo le disposizioni del Modello Organizzativo Privacy, nessun dipendente della società è Amministratore di Sistema della propria macchina e tutti gli utenti che dispongono di una postazione informatica sono censiti.

      Per ridurre i rischi di indisponibilità (parziale o totale) nell’accesso al sistema informatico della società sono previste una serie di attività, in particolare al momento dell’assunzione o della dimissione delle risorse umane con la procedura di allestimento o dismissione dell’utenza personale. Sempre al fine di controllo si procede a verificare con cadenza semestrale che la lista dei dipendenti cessati sia coerente con le utenze disabilitate.

      Tutti i dispositivi della società concessi in dotazione ai dipendenti vengono formattati a seguito delle dimissioni degli stessi al fine di rimuovere tutti i dati personali contenuti al loro interno.

      Tutti i dipendenti della società sono pertanto tenuti ad assicurarsi che venga correttamente eseguito il passaggio di consegne affinché venga assicurata la continuità dei servizi erogati e la conservazione dei documenti di lavoro.

       

    3. Scrivania sgombra e schermo inattivo (clean desk & clear screen Policy)

      La politica della scrivania sgombra (Clean Desk Policy) e dello schermo inattivo (Clear Screen Policy) è una delle migliori strategie da attuare per ridurre il rischio di violazioni della sicurezza della postazione di lavoro.

      Lo scopo di tale politica è stabilire requisiti minimi per prevenire violazioni accidentali o dolose dei dati personali (Data Breach) e responsabilizzare i soggetti che nelle attività lavorative si trovano a loro contatto.

      Di seguito sono elencati i comportamenti virtuosi da applicare:

      • i dipendenti sono tenuti a garantire che tutte le informazioni sensibili o confidenziali in formato elettronico o cartaceo siano messe al sicuro nella propria postazione di lavoro, in particolare alla fine della giornata lavorativa e in caso di assenza prolungata;
      • i computer devono essere bloccati quando le postazioni di lavoro non sono occupate;
      • tutti i computer devono essere spenti alla fine della giornata lavorativa;
      • qualsiasi informazione e/o dato particolare/sensibile deve essere rimosso dalla scrivania e chiuso a chiave in un cassetto quando la postazione di lavoro non è occupata e alla fine della giornata lavorativa;
      • le cartelle contenenti informazioni riservate e/o sensibili e/o categorie particolari di dati personali devono essere tenute chiuse e bloccate quando non utilizzate;
      • le chiavi utilizzate per accedere alle informazioni riservate e/o ai dati sensibili e/o alle categorie particolari di dati personali non devono essere lasciate su una scrivania non presidiata;
      • i laptotp devono essere bloccati con un cavo di bloccaggio o conservati in un cassetto se non utilizzati;
      • le password non possono essere lasciate su note adesive attaccate sopra, sotto o nei pressi di un computer, né possono essere lasciate per iscritto in posizione accessibile;
      • le stampe contenenti informazioni riservate e/o dati particolari/sensibili devono essere immediatamente rimosse dalle stampanti;
      • al momento dello smaltimento, i documenti riservati o contenenti informazioni riservate e/o sensibili e/o categorie particolari di dati personali devono essere distrutti e, ove presenti, triturati nei distruggidocumenti appositi;
      • le lavagne contenenti informazioni riservate e/o sensibili e/o categorie particolari di dati personali devono essere cancellate;
      • i dispositivi portatili come laptop, smartphone o tablet non devono mai essere lasciati sbloccati e incustoditi;
      • tutti i dispositivi di archiviazione di massa come CDROM, DVD o chiavi USB contenenti informazioni riservate e/o sensibili e/o categorie particolari di dati personali devono essere conservati in cassetti chiusi a chiave.

      Il dipendente che viola queste norme di comportamento è soggetto alle azioni disciplinari previste, fino al licenziamento.

       

    4. Livelli di sicurezza

      I livelli di sicurezza applicati seguono i seguenti criteri generali:

      • applicazione del principio “need to know” o del minimo privilegio, secondo cui la definizione dei profili standard da assegnare agli utenti, con le autorizzazioni necessarie all’espletamento delle rispettive mansioni (definite per ruoli e competenze), avviene alla luce delle effettive esigenze operative.
      • la validità delle richieste di accesso alla rete è verificata automaticamente dal sistema stesso prima di consentire l’accesso ai dati, tramite un sistema di autenticazione costituito da User-ID e password;
      • sono adottate delle indicazioni per la gestione delle password che indicano la lunghezza, la complessità, la durata, la conservazione sicura richiesta nel caso di trattamenti dei dati effettuati con strumenti elettronici;
      • sono previsti presidi rafforzati per l’accesso da remoto, in particolare nei confronti di utenti appartenenti a soggetti terzi;
      • è prevista la revisione periodica delle misure di sicurezza, anche attraverso esercizi di penetration test, al fine di prevenire violazioni dei dati personali (Data Breach);
      • sono organizzate sessioni di formazione dei dipendenti, nonché regolamenti e altre forme di documentazione interna, al fine di rendere gli stessi edotti dei rischi in materia di sicurezza delle informazioni e di protezione dei dati personali;
      • sono previsti periodici controlli al fine di verificare l’adeguatezza, l’affidabilità complessiva e la tutela del sistema informativo.

 

[1] Art. 29 Regolamento – “Trattamento sotto l'autorità del titolare del trattamento o del responsabile del trattamentoIl responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell'Unione o degli Stati membri.

 Art. 2 quaterdecies Codice Privacy – “Attribuzione di funzioni e compiti a soggetti designati” Il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell'ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità.