DOCUMENTO PROGRAMMATICO SULLE MISURE DI SICUREZZA ADOTTATE PER IL TRATTAMENTO DEI DATI PERSONALI CON STRUMENTI ELETTRONICI E SUPPORTI CARTACEI
In base al disciplinare tecnico in materia di misure di sicurezza (Allegato B) del D. Lgs. 30-06-2003 n. 196.
La sottoscritta VALERIA CERON
nata a Busto Arsizio VA il 24 marzo 1955
residente a Busto Arsizio VA
viale Luigi Cadorna 31
in qualità di Presidente dell’Associazione Anep Italia, con sede legale a Milano Via Domenico Millelire 13 –
20147 Milano e sede operativa a Busto Arsizio Viale Luigi Cadorna 31
IN CONSIDERAZIONE
dell’obbligo di adottare gli accorgimenti per garantire le misure minime di sicurezza previste dagli articoli 33-36 del D. Lgs. 30-06-2003 n. 196 e successivi regolamenti UE al fine di proteggere gli archivi elettronici e cartacei contenenti i dati personali
REDIGE
il seguente documento programmatico
- Premessa
La sottoscritta per lo svolgimento dell’attività associativa detiene archivi elettronici e cartacei contenenti dati personali comuni e dati “sensibili”. In conseguenza dell’attività associativa anzidetta, la sottoscritta detiene e tratta i dati personali: a) dei propri soci-utenti; b) dei propri fornitori.
Il titolare del trattamento intende pertanto custodire e controllare tali dati in modo da ridurre al minimo – mediante l’adozione di idonee e preventive misure di sicurezza – i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità di raccolta.
I dati degli archivi elettronici sono contenuti in una banca dati identificata come “Elenco Soci” gestita mediante il software applicativo “Office Excel”.
I dati su supporto cartaceo risiedono fisicamente presso la sede legale come sopra identificato.
I dati su supporto elettronico (elaboratore e gli altri supporti magnetici utilizzati per le copie di sicurezza) risiedono fisicamente presso la sede operativa come sopra identificato.
Il titolare accede ai dati tramite (pc, notebook, palmare, cellulare, etc.).
- Distribuzione dei compiti e delle responsabilità
Il trattamento è eseguito dalla Presidente, in qualità di Titolare. I trattamenti di competenza della Titolare sono: acquisizione, caricamento dei dati, consultazione, comunicazione a terzi se dovuta o autorizzata, manutenzione tecnica dei programmi utilizzati per il trattamento, gestione operativa della base dati e cioè salvataggi, ripristini. La Titolare in sua assenza delega uno dei soci dell’associazione per adempiere provvisoriamente a tali mansioni.
Analisi dei rischi
I rischi correlati al trattamento dei dati comprendono diverse tipologie di eventi:
- a) Eventi dovuti al comportamento dell’operatore
- errori materiali
- furto del codice identificato e/o parola chiave del Titolare
- b) Eventi relativi agli strumenti:
- azioni di virus informatici
- spamming o altre tecniche di sabotaggio
- malfunzionamento e degrado degli strumenti
- c) Eventi relativi al contesto
- accessi non autorizzati ai locali
- asportazione o furto di strumenti contenenti dati
- eventi distruttivi dolosi, accidentali o dovuti a incuria
- Misure adottate
La sottoscritta ha adottato le seguenti misure di sicurezza:
– individuazione di un codice identificativo personale non utilizzabile da altri per l’accesso al computer;
– lo strumento elettronico non viene lasciato incustodito durante il trattamento;
– il sistema è dotato di idonei programmi contro il rischio di intrusione e di danneggiamento (antivirus, firewall, ecc.) che vengono aggiornati almeno ogni sei mesi;
– adozione di precise modalità di consegna e restituzione dei documenti agli utenti.
4.1 Protezione dei locali
Al termine dell’orario di lavoro l’ingresso viene chiuso a chiave, così come il locale protetto dove sono conservati i dati.
Circa la protezione dei locali ove fisicamente risiedono i dati su elaboratore o altro supporto magnetico si ritiene sufficiente l’introduzione di credenziale e parola chiave.
I locali contenenti dati su supporti cartacei (archivi, mobili contenenti la documentazione) sono ubicati in modo tale che la titolare possa rilevare a vista il tentativo di accesso da parte di persone estranee e, di conseguenza,
impedirne l’accesso stesso. I locali vengono chiusi a chiave dopo ogni utilizzo. L’accesso agli archivi contenenti dati sensibili è controllato nel senso che le persone che hanno accesso al locale dopo l’orario di chiusura per pulizie ed altri interventi particolari sono identificate. Le pulizie dei locali protetti sono invece eseguite dalla titolare stessa.
Al di fuori dell’orario in cui la titolare è presente in Associazione, i locali protetti dove sono custoditi gli archivi sono chiusi a chiave. la titolare ha in custodia personale le chiavi di tali locali.
Gli armadi e i contenitori dell’archivio garantiscono che i dati siano custoditi con cura ed in modo da garantire il più alto livello di riservatezza e segretezza possibile; la qualità dei locali ove ha sede l’Associazione nonché degli armadi e dei contenitori ove è conservato l’archivio è ragionevolmente adeguata a preservare l’integrità dei dati dai rischi legati a eventi distruttivi accidentali, dolosi o dovuti a incuria.
L’ubicazione di stampanti ed apparecchi telefax tradizionali non consente ad esterni di leggere od asportare
eventualmente documenti non ancora prelevati dal titolare.
4.2 Integrità dei dati
4.2.1 Computer e supporti informatici
Il computer in dotazione è sollevato da terra, in modo da evitare eventuali perdite di dati dovuti ad allagamenti.
L’integrità dei dati è garantita mediante idonee procedure di salvataggio periodico.
Detto salvataggio viene effettuato settimanalmente, utilizzando uno schema di rotazione di memoria hard disk esterna.
I supporti di salvataggio nastri vengono archiviati e custoditi con le stesse modalità usate per i dati su supporto
cartaceo.
I supporti magnetici vengono sostituiti con una frequenza sufficiente a prevenirne il deterioramento (cinque anni).
I supporti magnetici contenenti dati personali, possono essere riutilizzati esclusivamente previa “formattazione”, in modo da impedire la lettura dei precedenti.
4.2.2 Supporti cartacei
In merito ai supporti cartacei è stato disposto che qualsiasi documento venga inserito in cartelline non trasparenti.
Le copie dei fax inviati mediante apparecchio tradizionale sono riconsegnate a colui che ha disposto la
trasmissione, avendo cura di porre, quale primo foglio, il rapporto di trasmissione formato A4 che viene stampato dal fax, con di seguito i fogli contenenti il messaggio.
Per quanto riguarda le trasmissioni dei telefax, è inserita nella copertina del messaggio un’apposita dicitura idonea a tutelare i dati personali contenuti nel messaggio: “Le informazioni contenute in questo fax sono dirette esclusivamente alla persona o all’istituzione sopra menzionata. Se, per errore, la persona che riceve questo messaggio non è la stessa sopra indicata, è invitata ad avvisarci telefonicamente. Si rammenta che la riproduzione del messaggio che segue, qualora contenga dati personali, è soggetta al Codice in materia di protezione dei dati personali (D. Lgs. 30/06/03, n. 196)” e regolamenti UE successivi.
Si ritiene pertanto che le misure fin qui descritte contrastino in modo accettabile i rischi descritti nell’analisi e
garantiscano perciò il livello di sicurezza minimo.
4.3 Misure in via di adozione
La sottoscritta è impegnata inoltre a perfezionare le misure già adottate.
- Conclusioni
Il presente documento scaturisce da un’analisi di valutazione dei rischi, ma è previsto l’aggiornamento del
medesimo nel caso di sostituzione di attrezzature o di cambiamento nella disposizione degli spazi di lavoro, che modifichino sostanzialmente i criteri di sicurezza sopra indicati. La sottoscritta provvederà a perfezionare le anzidette misure in base all’esperienza e ad una analisi sempre più approfondita dei rischi.
Luogo e data Firma
File PDF Documento Programmatico