Il documento analizza le normative relative alla sicurezza dei dati personali, evidenziando i rischi associati alla gestione di basi di dati cartacee ed elettroniche e le misure di sicurezza necessarie per proteggerli. Inoltre, descrive i ruoli e le responsabilità di titolari e incaricati del trattamento, inclusi criteri di accesso e procedure di autenticazione. Infine, viene menzionato un programma regolare di formazione e controllo per garantire la compliance con le normative di sicurezza.

1. RIFERIMENTI NORMATIVI ANALISI DEI RISCHI INCOMBENTI SUI DATI
- D.Lgs 30/06/2003 n.196: Codice in materia di protezione dei dati personali - Localizzazione fisica delle basi di dati
- G.U. n. 58 dd 10/03/2007: Trattamento di dati personali relativo all’utilizzo di strumenti - Rischi per le basi di date cartacee: incendi, inondazioni, accessi non consentiti, …
elettronici da parte dei lavoratori. - Rischi per le basi di dati elettroniche: Virus e malware, catastrofe, accessi non consentiti, …
- D.Lgs 82/2005: Codice dell’Amministrazione Digitale - ….
- G.U. n. 30 05/02/08 (Provvedimento del Garante dd 17/01/2008): Sicurezza dei dati di
traffico telefonico e telematico
- Provvedimento del Garante dd 24/07/2008: Modifica al Provvedimento del 17/01/2008
MISURE DI ATTENUAZIONE DEI RISCHI
sulla conservazione dei dati di traffico – Misure e accorfimentia tutale dell’interessato in
attuazione dell’art. 132 del dLgs 30/06/2003 n. 196” - Misure adottate per garantire l’integrità e la disponibilità dei dati: sistemi di backup e
- Provvedimento del Garante 27/11/2008: Misure e accorgimenti prescritti ai titolari dei recovery, regole di accesso, misura pericolo di violazione dei perimetri
trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di - Meccanismi di Identificazione ed Autrnticazione: autenticazione fisica all’accesso in
Amministratore di Sistema. Aziendo e autenticazione per accesso alle basi di dati
- Comunicato del Garante 10/12/2009: Nomina Amministratore di Sistema. - Politiche adottate per la gestione delle parole chiave: complessità, timeout, ecc.
- DL "Disposizioni urgenti in materia di semplificazione e sviluppo" dd 03/02/2012, - Tecnologie per il contrasto di virus
n.5: Eliminato l’obbligo di predisporre e aggiornare il DPS - Impianto ausiliario di alimentazione elettrica
- Criteri e Procedure per la Sicurezza nella Trasmissione dei dati
- Criteri per la protezione delle Aree e dei Locali
DEFINIZIONI E FIGURE ATTIVE DEL TRATTAMENTO - Tempi di Ripristino dei dati
- Titolare del Trattamento (art. 28 D.Lgs 96/03): esercita un potere decisionale del tutto - Interventi Formativi agli Incaricati del trattamento
autonomo sulle finalità e sulle modalità del trattamento - Controlli Periodici
- Responsabile del Trattamento (art. 29 D.Lgs 96/03): - …..
o promuovere lo sviluppo, la realizzazione ed il mantenimento dei programmi di
sicurezza contenuti nel presente Documento Programmatico sulla Sicurezza dei Dati
Personali; NOTE
o informare il Titolare del trattamento sulle non corrispondenze con le norme di
sicurezza e su eventuali incidenti; _______________________________________________________________________
o promuovere lo svolgimento di un continuo programma di addestramento degli
Incaricati del Trattamento e mantenere attivo un programma di controllo e
_______________________________________________________________________
l o r e n z o l e o n e l l i [at] h o t m a i l [dot] c o m
monitoraggio della corrispondenza con le regole di sicurezza.
- Incaricato del trattamento:
o svolgere le attività previste dai trattamenti secondo le prescrizioni contenute nel
presente Documento Programmatico sulla Sicurezza e le direttive del Responsabile; _______________________________________________________________________
o non modificare i trattamenti esistenti o introdurre nuovi trattamenti senza l’esplicita
autorizzazione del Responsabile del trattamento;
o rispettare e far rispettare le norme di sicurezza per la protezione dei dati personali; _______________________________________________________________________
o informare il Responsabile in caso di incidente di sicurezza che coinvolga dati personali.
- Dati Personali e Sensibili
- …… _______________________________________________________________________
DB AZIENDALI E REGOLE DI ACCESSO
DPS Checklist - Aprile 2013
_______________________________________________________________________
- DB Cartacei ed Elettronici presenti in Azienda
- Matrice di accesso ai DB
o Dipendente: nome, cognome, dipartimento, ruolo. _______________________________________________________________________
o Tipo di accesso: lettura, scrittura, controllo completo, …
o Descrizione dei dati disponibili
o Dispositivi di accesso: PC Desktop, notebook, Smartphone, … _______________________________________________________________________
o ……..
- Regole generali di accesso ai DB:
o Accessi alle stanze contenenti DB cartacei _______________________________________________________________________
o Accessi ai DB elettronici (credenziali, tempi di accesso, ecc.)
- ……

2. LETTERA DI INCARICO INTERVENTO DI FORMAZIONE PERIODICA in MERITO AI TEMI LEGATI ALLA SICUREZZA
DEI DATI (Art. 34 Comma 1 lettera G del DLGS 196/2003 e successive modifiche)
Il sottoscritto <Titolare del trattamento>, in qualità di “Titolare del Trattamento” dei dati
personali della società <……>, conformemente a quanto stabilito dal DPR n. 196 del 30 giugno In ottemperanza alla normativa vigente, si ricorda che la scrivente Azienda redige annualmente un
2003, affida a Signor Documento Programmatico sulla Sicurezza consultabile da chiunque ne faccia richiesta
all’Amministratore di Sistema, i cui punti principali vengono sommariamente di seguito riassunto:
<Responsabiledel trattamento>
1. La funzione di Amministratore di Sistema e’ svolta da <….>
l’incarico del Trattamento dei dati personali (“Incaricato”) in relazione alla Sua 2. La parola chiave di accesso alla rete Aziendale Windows viene cambiata ogni <n> mesi, la
mansione come sotto descritto nuova parola chiave deve essere indicata sull’apposito modulo e viene custodita dal
Responsabile del trattamento.
3. Ogni volta che un utente lascia la sua postazione di lavoro deve rendere la propria
Nome archivio: Le banche dati cartacee ed elettroniche riguardanti …. postazione di lavoro non fruibile per gli altri utenti (bloccando o spegnendo il PC oppure
Tipo di dati: Dati personali/personali sensibili …. tramite l’utilizzo di uno screen saver protetto da password)
4. E’ fatto divieto l’utilizzo di qualsiasi strumento informatico non autorizzato (per esempio PC
per l’effettuazione delle seguenti operazioni : e/o periferiche personali) all’interno della Rete Aziendale
5. E’ fatto divieto installare/utilizzare software non autorizzato all’interno della rete Aziendale
- inserimento modifica e cancellazione di elementi nell’archivio, 6. Il Personal Computer in dotazione così come ogni altro strumento informatico e’ uno
- consultazione, strumento di lavoro e come tale va utilizzato. Non e’ consentito qualsiasi altro uso degli
- selezione ed utilizzo ai fini dell’emissione dei documenti di Sua competenza strumenti informatici.
L’incaricato del Trattamento dichiara di essere a conoscenza di quanto stabilito dal DPR n. 7. In generale, ogni volta che un utente venga a contatto con Dati Comuni e/o Dati Sensibili
196 del 30 giugno 2003 e di quanto indicato nel “Documento programmatico sulla sicurezza”, che non siano di propria competenza è tenuto a darne comunicazione al Legale
redatto internamente all’azienda e revisionato annualmente; si impegna altresì ad adottare tutte le Rappresentante e all’Amministratore di Sistema.
misure necessarie all’attuazione delle nore in essi descritte. 8. ……….
9.
L’incaricato del Trattamento” non può installare ed utilizzare programmi per elaboratore Il Responsabile del trattamento (<Nome e Cognome del responsabile>)
non autorizzati dall’azienda né privi di licenza che legittimino l’uso.
Gli strumenti informatici e telematici messi a disposizione costituiscono degli strumenti di NOME PER ESTESO: ________________________
lavoro da utilizzare esclusivamente per l’esecuzione delle mansioni affidate.
FIRMA: ________________________
L’amministratore del sistema informativo aziendale Le comunicherà un identificativo utente
l o r e n z o l e o n e l l i [at] h o t m a i l [dot] c o m
ed una password personali. Lei dovrà conservare segreta la password. Per attivare una sessione di
lavoro, Lei dovrà utilizzare esclusivamente il Suo Identificativo Utente. Nel caso in cui dovesse
venire meno la segretezza della Sua password, dovrà darne immediatamente comunicazione
all’amministratore di sistema che provvederà ad assegnargliene una nuova e segreta. Nel caso Lei INFORMATIVA PER CLIENTI E FORNITORI
abbandoni il Suo posto di lavoro, dovrà chiudere la sessione riportando il suo personal computer La informiamo che, per l'instaurazione e l'esecuzione dei rapporti contrattuali in corso, la nostra
nello stato di accettazione dell’Identificativo Utente. società è in possesso di dati a Lei relativi, acquisiti anche verbalmente direttamente o tramite terzi,
qualificati come personali dal D.Lgs. 196/2003 (Codice Privacy).
L’incaricato del Trattamento nel trattare documenti contenenti dati sensibili o giudiziari è La legge in oggetto prevede innanzitutto che chi effettua trattamenti di dati personali è tenuto ad
tenuto a custodirli fino alla restituzione in modo da evitare l’accesso agli stessi dati a persone prive informare il soggetto interessato su quali dati vengano trattati e su taluni elementi qualificanti il
di autorizzazione. L’incaricato deve, inoltre, custodire gli archivi contenenti documenti con dati trattamento. Esso deve inoltre avvenire con correttezza liceità e trasparenza, tutelando la Sua
sensibili e giudiziari, ed evitare che personale non autorizzato vi acceda. L’accesso fuori dall’orario riservatezza e i Suoi diritti.
di lavoro impone la registrazione e identificazione delle persone ammesse ai locali.
- AMBITO DI VALIDITA' DELL'INFORMATIVA ….
I documenti (o copia degli stessi) non possono, senza specifica autorizzazione, essere
DPS Checklist - Aprile 2013
- NATURA DEI DATI TRATTATI ….
portati fuori dai luoghi di lavoro, salvo i casi di comunicazione dei dati terzi preventivamente
- MODALITA' DI RACCOLTA E ORGANIZZAZIONE DEI DATI …
autorizzati in via generale dall’azienda.
- FINALITA’ DEL TRATTAMENTO …
- MODALITA' DEL TRATTAMENTO …
- AFFIDAMENTO A TERZI DI ALCUNE OPERAZIONI DI TRATTAMENTO …
Titolare del Trattamento Incaricato del Trattamento - SICUREZZA DEI DATI PERSONALI …
__________________________ __________________________ - OBBLIGO O FACOLTA' DI CONFERIRE I DATI …
- COMUNICAZIONE E DIFFUSIONE …
- I SUOI DIRITTI …
□ SI □ NO Autorizzo <….> al trattaento Dati di cui sopra.
Timbro e firma del Cliente/fornitore Data
_____________________________
_________