Informativa ai clienti / fornitori dei quali e’ necessario ottenere il consenso
Spett.le…………………………. cliente / fornitore
Oggetto : Informativa sul trattamento dei Vostri dati personali, ai sensi dell’art. 13 del D.Lgs. n. 196/2003 in materia di protezione dei dati personali
(e richiesta del Vostro consenso per poter effettuare alcuni trattamenti particolari).
Vi informiamo che, per l’esecuzione dei rapporti contrattuali con Voi in corso, la Nostra Società è in possesso di dati (oppure se il rapporto commerciale non è ancora stato instaurato: per l’instaurazione dei rapporti contrattuali con la Vostra Società è necessario raccogliere dati) a Voi relativi, acquisiti(oppure da acquisire) anche verbalmente, direttamente o tramite terzi, qualificati come “dati personali” dal D.Lgs n. 196/2003 (cosiddetto”Codice della privacy”). La normativa in oggetto prevede innanzi tutto che chi effettua trattamenti di dati personali è tenuto ad informare il soggetto interessato su quali dati vengano trattati e su taluni elementi qualificanti il trattamento, che in ogni caso deve avvenire con correttezza liceità e trasparenza, tutelando la Vostra riservatezza ed i Vostri diritti. Pertanto, secondo quanto disposto dall’art. 13 del D.Lgs n. 196/2003, Vi forniamole seguenti motivazioni: Natura dei dati trattati Trattiamo(oppure E’ nostra intenzione trattare) i Vostri dati anagrafici e fiscali, nonché i dati di natura economica che sono necessari per lo svolgimento dei rapporti contrattuali, in essere(oppure che intratterremo in futuro), con la Vostra Società. Non siamo in possesso(oppure Non intendiamo acquisire) di alcun Vostro dato qualificabile come sensibile o di natura giudiziaria ai sensi dell’art. 4, comma 1, del D.Lgs. n. 196/2003. Per effettuare determinati trattamenti di alcuni Vostri dati, è previsto che ci accordiate il consenso al trattamento: qualora fosse Vostra intenzione accordarcelo, Vi preghiamo di restituirci firmata l’apposita dichiarazione, che troverete in calce alla presente informativa. Finalità del trattamento I Vostri dati vengono/verranno trattati in relazione alle esigenze contrattuali ed ai conseguenti adempimenti degli obblighi legali e fiscali, nonché per consentire una efficace gestione dei rapporti finanziari e commerciali. I dati verranno trattati per tutta la durata del rapporto contrattuale ed anche successivamente, per l’espletamento di obblighi di legge e per finalità amministrative e commerciali. Modalità del trattamento Il trattamento dei dati avviene/avverrà mediante l’utilizzo di strumenti e procedure idonei a garantirne la sicurezza e la riservatezza e potrà essere effettuato sia mediante supporti cartacei, sia attraverso l’ausilio di strumenti elettronici. Obbligo o facoltà di conferire i dati e conseguenze dell’eventuale rifiuto Per quanto concerne i dati che siamo obbligati a conoscere, al fine di adempiere agli obblighi previsti da leggi, da regolamenti e dalla normativa comunitaria, ovvero da disposizioni impartite da Autorità a ciò legittimate dalla legge e da organi di vigilanza e controllo, il loro mancato conferimento da parte Vostra comporterà l’impossibilità di instaurare o proseguire il rapporto, nei limiti in cui tali dati sono necessari all’esecuzione dello stesso. Per quanto riguarda i dati che non siamo obbligati a conoscere, il loro mancato ottenimento sarà da noi valutato di volta in volta, e determinerà le conseguenti decisioni rapportate all’importanza per noi dei dati richiesti e da Voi non conferitici. Comunicazione e diffusione I Vostri dati non verranno da noi “diffusi”, con tale termine intendendosi il darne conoscenza a soggetti indeterminati in qualunque modo, anche mediante la loro messa a disposizione o consultazione. I Vostri dati potranno invece essere da noi “comunicati”, con tale termine intendendosi il darne conoscenza ad uno o più soggetti determinati, nei seguenti termini:
* a soggetti incaricati all’interno della nostra Società di trattare i Vostri dati, ed in particolare agli addetti all’Ufficio amministrazione, agli addetti all’Ufficio commerciale,…………….; (eccetera, indicare tutele categorie di soggetti interni ai quali i dati possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati)
* a soggetti che possono accedere ai dati in forza di disposizione di legge, di regolamento o di normativa comunitaria, nei limiti previsti da tali norme;
* a soggetti che hanno necessità di accedere ai Vostri dati per finalità ausiliarie al rapporto che intercorre tra Voi e noi, nei limiti strettamente necessari per svolgere i compiti ausiliari loro affidati (ad esempio:gli istituti di credito e gli spedizionieri);
* a soggetti nostri consulenti, nei limiti necessari per svolgere il loro incarico presso la nostra Società, previa nostra lettera di incarico che imponga il dovere di riservatezza e sicurezza nel trattamento dei Vostri dati. I Vostri diritti Riportiamo di seguito l’estratto dell’art. 7 del D.Lgs. n. 196/2003, per ricordarVi che potete esercitare nei nostri confronti i seguenti diritti:
* ottenere la conferma dell’esistenza di dati personali che Vi riguardano, anche se non ancora registrati, e la comunicazione in forma intelligibile dei medesimi dati e della loro origine, nonché, delle finalità e delle modalità del trattamento e della logica applicata in caso di trattamento effettuato con strumenti elettronici;
* ottenere la cancellazione, la trasformazione in forma anonima o il blocco dei dati di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti e trattati;
* ottenere l’aggiornamento, la rettificazione e l’integrazione dei Vostri dati;
* opporVi, in tutto o in parte, per motivi legittimi, al trattamento dei dati personali che Vi riguardano, ancorché pertinenti allo scopo della raccolta. Per esercitare tali diritti Vi potete rivolgere al responsabile, da noi all’uopo nominato ai sensi dell’art. 13 del D.Lgs. n. 196/2003, nella persona del (ad esempio: Direttore amministrativo Sig. …………………..), reperibile come segue: telefono: ………………….., indirizzo di posta elettronica: ………………….., indirizzo postale presso la sede della nostra Società Titolare e responsabili del trattamento Il titolare del trattamento dei Vostri dati personali è …………………(nome della Società), i cui dati anagrafici sono riportati nell’intestazione della presente lettera. L’elenco completo di tutti i responsabili per il trattamento dei dati personali, da noi nominati, è reperibile sul sito Internet della nostra Società, al seguente indirizzo: www._____________.it
Distinti saluti.
Firma del Titolare del trattamento
Data,__________ ___________________________
Nota bene Nel caso di particolari trattamenti dei dati, può essere necessario acquisire uno specifico consenso espresso, come ad esempio nel caso sotto riportato, che implica una “diffusione” dei dati a mezzo Internet e quindi occorre aggiungere una richiesta di consenso all’informativa precedente. Appendice: Richiesta del Vostro consenso al trattamento di taluni dati E’ intenzione della nostra Società diffondere, mediante pubblicazione sul nostro sito Internet www.galleriapianetti.it, le informazioni sulla realizzazione, da parte nostra, delle commesse che Voi ci avete affidato. In particolare, in tale sito vorremmo pubblicare i dati anagrafici della Vostra Società nonché le descrizioni tecnico-economiche e le immagini contenute nel dossier, che alleghiamo alla presente informativa per sottoporlo alla Vostra approvazione. Trattandosi di informazioni che hanno stretta attinenza con le conoscenze tecniche relative al Vostro processo industriale, in base alla vigente normativa sulla protezione dei dati personali, per potere procedere a tale pubblicazione, necessitiamo del Vostro consenso espresso. Alleghiamo pertanto alla presente il testo per la concessione di tale consenso che, qualora fosse Vostra intenzione, potrete esprimere restituendoci copia della presente lettera, firmata dal Vostro rappresentante legale.
Formula per la concessione del consenso
La sottoscritta______________________________________, previo ricevimento da parte della _______________________________di completa informativa ai sensi dell’art.13 del D.Lgs. n. 196/2003, concede alla suddetta Società il proprio consenso, per la diffusione dei dati concernenti la/le commessa/e_______________________________, mediante la pubblicazione di documenti ed immagini ad essa/e relativi sul sito www.galleriapianetti.it, nei termini che verranno concordati con corrispondenza a parte tra le nostre Società.
Firma del legale rappresentante
Data_________________________________________________
COPERTINA DEL FAX Egr.io Sig. / Spett.le Società DA_____________________________________________________________ A_______________________________________________________________
OGGETTO: NUMERO PAGINE TRASMESSE (ESCLUSA LA PRESENTE):________________
URGENTE SI ATTENDE VOSTRA CORTESE RISPOSTA _________ Le informazioni contenute nella presente comunicazione e i relativi allegati possono essere riservate e sono, comunque, destinate esclusivamente alle persone o alla Società sopraindicati. La diffusione, distribuzione e/o copiatura del documento trasmesso da parte di qualsiasi soggetto diverso dal destinatario è proibita, sia ai sensi dell’art. 616 c.p., che ai sensi del D.Lgs. n. 196/2003. Se avete ricevuto questo messaggio per errore, vi preghiamo di distruggerlo e di informarci immediatamente per telefono allo 071/9170737 o inviando un messaggio all’indirizzo: info@galleriapianetti.it In caso di ricezione mancata o incompleta, telefonare al numero 071/9170737
The information in this fax is confidential and may be legally privileged. It is intended for the address only. Access to this fax by anyone else is unauthorised.It is not to be relied upon by any person other than the address except with our prior written approval. If no such approval is given, refraining from acting on such information. Unauthorised recipients are required to maintain confidentiality. If you have recived this fax in error please notify us immediately, destroy any copies. Any use, dissemination, forwarding, printing or copying of this fax is prohibitede. Copyright in this fax and any document created by us will be and remain vested in us and will not be transferred to you. We assert the right to be identified as the author of and to object to any misuses of the contents of this fax or such documents.
INFORMATIVA BREVE A CLIENTI / FORNITORI
(nota bene: è possibile riportare questa informativa breve sulle fatture o sulle bolle di accompagnamento delle merci, cioè su documenti che il cliente/fornitore deve necessariamente vedere, dato che per il trattamento di dati “comuni” è sufficiente poter provare semplicemente di avere fornito l’informativa, mentre ai sensi dell’art. 24, comma 1, lettere a), b), d), non è necessario il consenso espresso dell’interessato)
Informativa ai sensi dell’art.13 del D.Lgs. n. 196/2003 in materia dei dati personali Vi informiamo che, per l’instaurazione e l’esecuzione dei rapporti contrattuali tra di noi, la nostra Società deve trattare Vostri “dati personali”, pertanto, secondo quanto disposto dall’art. 13 del D.Lgs. n. 196/2003, Vi forniamo le seguenti informazioni essenziali, rimandandoVi per una più completa informativa al sito Internet della nostra Società: www.galleriapianetti.it I Vostri dati vengono/verranno trattati in relazione alle esigenze contrattuali ed ai conseguenti adempimenti degli obblighi legali e fiscali, nonché per consentire una efficace gestione dei rapporti finanziari e commerciali; tale trattamento avverrà per tutta la durata del rapporto contrattuale ed anche successivamente, per l’espletamento di obblighi di legge e per finalità amministrative e commerciali. Il trattamento dei dati avviene/avverrà mediante l’utilizzo di strumenti e procedure idonei a garantire la sicurezza e la riservatezza e potrà essere effettuato sia mediante supporti cartacei, sia attraverso l’ausilio di strumenti elettronici. Per quanto concerne i dati che siamo obbligati a conoscere, al fine di adempiere agli obblighi di legge, il loro mancato conferimento da parte Vostra comporta l’impossibilità di instaurare o proseguire il rapporto, nei limiti in cui tali dati sono necessari all’esecuzione dello stesso; mentre per i dati che non siamo obbligati a conoscere, il loro mancato ottenimento sarà da noi valutato di volta in volta, e determinerà le conseguenti decisioni rapportate all’importanza per noi dei dati richiesti e da Voi non conferitici. I Vostri dati non verranno diffusi, mentre potranno essere da noi comunicati ai soggetti incaricati del loro trattamento all’interno della nostra Società, ed in particolare agli addetti all’Ufficio amministrazione, agli addetti all’Ufficio commerciale, ……………….(eccetera, indicare tutte le categorie di soggetti interni ai quali i dati possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati); inoltre essi potranno essere comunicati a soggetti che hanno necessità di accedere ai Vostri dati per finalità ausiliarie al rapporto che intercorre tra Voi e noi, nei limiti strettamente necessari a svolgere i compiti ausiliari loro affidati, come ad esempio: gli istituti di credito e gli spedizionieri. In relazione ai Vostri dati personali potrete esercitare tutti i diritti previsti dall’art. 7 del D.LGS. N. 196/2003, Vi potete rivolgere al responsabile, da noi nominato ai sensi dell’art. 13, nella persona del Direttore responsabile Pianetti Giorgio, reperibile come segue: telefono 071/9170737,indirizzo di posta elettronica : info@galleriapianetti.it, indirizzo postale presso la sede della nostra Società. Il Titolare del trattamento (Pianetti Giorgio) ____________________________________
ALLEGATO 4 TRACCIA DI DOCUMENTO PROGRAMMATICO SULLA SICUREZZA DOCUMENTO PROGRAMMATICO SULLA SICUREZZA PER IL TRATTAMENTO DEI DATI PERSONALI NELL’AMBITO DELLA ……………………….(nome dell’Azienda) Scopo di questo documento è quello di descrivere e tenere aggiornato il sistema di protezione dei Dati personali che vengono trattati nell’ambito della………………….(descrivere l’ambito del D.P.S.S. e la dislocazione fisica della/delle unità produttive aziendali cui si riferisce il D.P.S.S.), e la dislocazione fisica delle unità produttive aziendali nelle persone del Sig. Pianetti Giorgio, delineando il quadro delle misure di sicurezza organizzative, fisiche e logiche poste a tutela del trattamento dati. Il presente documento redatto da……………., in qualità di “Responsabile per la sicurezza”, che provvede a sottoscriverlo in calce unitamente al Titolare del trattamento si articola nei seguenti punti: 1. Titolare e responsabili dei trattamenti 2. Tipologia dei dati trattati ed elenco dei trattamenti effettuati 3. Analisi dei flussi dei dati 4. Distribuzione dei compiti e delle responsabilità 5. Analisi dei rischi che incombono sui dati 6. Misure tecniche ed organizzative per la protezione delle aree e dei locali in cui si trattano i dati e per controllare l’accesso delle persone 7. Misure e procedure per assicurare l’integrità e la disponibilità dei dati, il loro corretto trattamento, nonché la sicurezza nella trasmissione dei dati 8. Formazione degli incaricati del trattamento dei dati 9. Controllo generale periodico sullo stato della sicurezza
*************
1. TITOLARE / I DEI TRATTAMENTI E RESPONSABILE / I Il “Titolare” dei trattamenti dei dati personali è…………………………….. con sede in…………………………… (indicare il titolare dei trattamenti, cioè l’Azienda ed il suo indirizzo) Il “Responsabile” dei trattamenti dei dati personali relativi a…………………(specificare quali trattamenti) è ………………, con sede in……………………(indicare la persona fisica e/o la Società esterna eventualmente nominata responsabile dei trattamenti) Il “Responsabile della sicurezza” dei trattamenti dei dati personali è………………………, con sede in…………………………(indicare la persona fisica e/o la Società esterna eventualmente nominata responsabile della sicurezza dei trattamenti dati)
2. TIPOLOGIA DEI DATI TRATTATI / ELENCO DEI TRATTAMENTI DI DATI
2.1. I dati personali trattati nell’ambito della……..(nome dell’Azienda) sono prevalentemente “dati comuni”, secondo la definizione che deriva per esclusione dall’art. 4, lettera a) del D.Lgs. n. 196/03. Tali dati consistono essenzialmente in informazioni di carattere anagrafico dei clienti e dei fornitori e del personale dipendente. Vi sono inoltre informazioni anagrafiche riguardanti…………(descrivere quali)…………ed altre informazioni di carattere “comune”, il cui trattamento è necessario in relazione allo svolgimento della normale attività della………..(nome dell’Azienda)
2.2. Vengono inoltre trattati alcuni specifici dati che rientrano tra i “dati sensibili individuali” dall’art. 4 lettera d) del D.Lgs. n.196/03.
In particolare si tratta dei dati che si riferiscono al personale dipendente della……….(nome dell’Azienda) strettamente necessari per il loro trattamento giuridico ed economico e dei dati dei dipendenti necessari per l’elaborazione delle buste paga da parte di……………….(indicare ragione sociale e indirizzo dello Studio Professionale o della Società che elabora le paghe) ed in particolare i dati sulle malattie ed infortuni dei dipendenti e i dati relativi all’eventuale delega per la trattenuta sindacale. Infine vi sono i dati relativi al personale dipendente che riveste cariche sindacali interne e/o esterne e i dati relativi ai dipendenti che rivestono cariche all’interno delle organizzazioni sindacali territoriali e di categoria, i quali sono necessari per la gestione dei normali diritti sindacali. Altri dati personali “sensibili” possono eventualmente essere contenuti nei curriculum gestiti dall’Ufficio del Personale (come ad esempio i dati dei candidati relativi alle origini razziali ed etniche, all’adesione ad associazioni od organizzazioni a carattere politico o sindacale e i dati a rilevare lo stato di salute dei candidati stessi).
2.3. Non vengono trattati “dati giudiziari” di cui all’art. 4 lettera e) del D.Lgs. n. 196/03 (in caso affermativo specificare quali dati vengono trattati e per quali finalità). 2.4. I trattamenti di dati personali che vengono effettuati sono i seguenti: – ……………………….. – ……………………….. – ……………………….. (descrivere brevemente quali “trattamenti” ai sensi dell’art.4, lettera a) del D.Lgs. n. 196/03 vengono fatti in Azienda)
3. ANALISI DEI FLUSSI DEI DATI Le operazioni di trattamento effettuate nell’ambito della………………….(nome dell’Azienda) si possono idealmente suddividere in tre macro-tipologie, in funzione del fatto che il loro fine sia il reperimento delle informazioni, il trattamento interno delle informazioni o il loro uso nei rapporti con l’esterno.
3.1. Il reperimento delle informazioni Tale tipologia di operazione riguarda la raccolta dei dati personali, ovvero l’acquisizione delle informazioni, in qualunque modo essa avvenga, vale a dire direttamente dalla persona interessata, presso terzi, o mediante consultazione di elenchi pubblici. (eventualmente descrivere brevemente dove vengono reperiti i vari dati che vengono trattati)
3.2. Il trattamento interno delle informazioni Si raggruppano in tale macro-tipologia le varie operazioni poste in essere da chi raccoglie informazioni, per organizzarle e renderle agevolmente usufruibili da se stesso o da altri utilizzatori autorizzati. Esse sono: – la registrazione dei dati, cioè il loro inserimento in supporti informatici o cartacei al fine di rendere i dati stessi disponibili per i successivi trattamenti; – l’organizzazione dei dati in senso stretto, cioè le operazioni che ne favoriscono la fruibilità attraverso l’aggregazione o la disaggregazione, l’accorpamento, la catalogazione, eccetera; – l’elaborazione ed in particolare la selezione, l’estrazione ed il raffronto, vale a dire quelle operazioni che attribuiscono significatività ai dati in relazione allo scopo per il quale essi sono stati raccolti; – la modificazione dei dati registrati, in relazione a variazioni o a nuove acquisizioni; – l’interconnessione, cioè la messa in relazione di banche dati diverse e distinte tra loro al fine di compiere ulteriori processi di elaborazione, selezione estrazione o raffronto; – la conservazione dei dati per tutto il tempo necessario agli scopi per i quali sono stati raccolti o successivamente trattati; – la cancellazione o la distruzione dei dati, quando sono terminati gli scopi per i quali essi sono stati inizialmente raccolti.
3.3. L’uso delle informazioni nei rapporti con l’esterno Questa tipologia di operazione riguarda l’utilizzo vero e proprio dei dati personali raccolti, vale a dire la realizzazione dello scopo per cui si è provveduto alla raccolta e ai successivi trattamenti dei dati personali. L’utilizzo può essere: – diretto, instaurando cioè un rapporto o un contratto con la persona fisica o giuridica sul conto della quale si sono raccolte le informazioni; – indiretto, cioè mettendo a disposizione di terzi attraverso la comunicazione o la diffusione delle informazioni raccolte; – ovvero può consistere nella cessione delle informazioni ad altro titolare, per trattamenti aventi finalità analoghe agli scopi per i quali i dati sono stati raccolti.
4. DISTRIBUZIONE DEI COMPITI E DELLE RESPONSABILITA’
Per assicurare un trattamento corretto e sicuro dei dati personali si è provveduto in primo luogo ad assegnare compiti e responsabilità a tutto il personale dipendente della……………….(nome dell’Azienda) che tratta dati personali. Sono stati innanzitutto nominati per iscritto i diversi “incaricati del trattamento”, a ciascuno dei quali è stata consegnata una specifica lettera di incarico individuale, nella quale sono stati precisati quali sono i dati personali ( o meglio le “banche dati”) che ciascun addetto è autorizzato a trattare e con quali strumenti elettronici è possibile il loro trattamento e sono state inoltre fornite a ciascuno precise istruzioni sulle modalità di effettuazione del trattamento, con particolare riguardo alle operazioni consentite ed a quelle vietate, nonché alle misure minime di sicurezza da osservare scrupolosamente. A mano a mano che è stato assunto nuovo personale alle dipendenze della………………….(nome dell’Azienda), destinato a trattare dati personali, si è provveduto a nominarlo formalmente “incaricato” e a fornirgli le necessarie istruzioni per il trattamento dei dati. Si è provveduto inoltre a nominare per iscritto i diversi “responsabili dei trattamenti” che vengono effettuati dalla………………….(nome dell’Azienda). In particolare si tratta di …………………………(indicare nome cognome e funzione dei vari “responsabili” eventualmente nominati dall’Azienda). E ‘ stato anche nominato per iscritto un incaricato della custodia delle credenziali di autenticazione degli “incaricati”, al quale gli stessi devono consegnare periodicamente una busta chiusa, firmata e datata esternamente, contenente la propria password segreta. Si è infine provveduto a nominare formalmente per iscritto la Società………………..(indicare nome ed indirizzo della Software-House che gestisce il sistema informativo aziendale e fornisce i relativi programmi) quale incaricata di garantire l’operatività del sistema informativo aziendale nelle sue varie articolazioni e di provvedere alla manutenzione dei relativi software oltre che di fornire l’hardware necessario.
5. ANALISI DEI RISCHI CHE INCOMBONO SUI DATI
I rischi ai quali possono essere soggetti i dati trattati dal personale della……………..(nome dell’Azienda) nell’ambito della propria normale attività, possono essere tutti quelli indicati nell’art. 31 del D.Lgs. n. 196/03, vale a dire: – la distruzione o la perdita, anche accidentale; – l’accesso non autorizzato; – il trattamento non consentito; – il trattamento non conforme alle finalità per le quali è avvenuta la raccolta dei dati personali. Per evitare o ridurre al minimo tutti questi rischi la……………………….(nome dell’Azienda), sulla base delle conoscenze tecniche disponibili, della natura dei dati trattati e delle specifiche caratteristiche dei trattamenti effettuati, si è dotata di una serie di idonee misure di sicurezza, sia di carattere organizzativo, sia di carattere fisico e logico, che riguardano le varie operazioni di trattamento che vengono effettuate ed in particolare la custodia dei dati personali ed il controllo della loro integrità.
6. MISURE TECNICHE ED ORGANIZZATIVE PER LA PROTEZIONE DELLE AREE E DEI LOCALI IN CUI SITRATTANO I DATI E PER CONTROLLARE L’ACCESSO DELLE PERSONE
Descrivere brevemente tutte le misure di protezione “fisica” delle aree e dei locali nei quali sono custoditi e trattati i dati personali, con particolare riguardo alle misure di sicurezza volte ad impedire l’accesso alle persone non autorizzate e alle misure atte ad impedire la distruzione o la sottrazione dei dati custoditi. AD ESEMPIO: L’interro immobile nel quale è situata la ………………(nome dell’Azienda) è soggetto a vigilanza notturna, che è stata affidata alla Società…………………(nome della Società di vigilanza notturna). In ciascun piano dell’immobile vi sono n……… prese per gli idranti (indicarne l’ubicazione ed allegare la pianta del sistema antincendio) e n……… estintori antincendio (descriverne l’ubicazione precisa e indicarli sulla pianta) che vengono revisionati periodicamente a cura della…………………………………(indicare nome e indirizzo dell’azienda addetta alla manutenzione) Durante il normale orario di lavoro, all’ingresso degli uffici si trova………(indicare se vi è un portiere, un centralinista, un addetto alla reception,………), che controlla l’accesso di tutti i visitatori. Le porte di accesso ai locali vengono chiuse a chiave da………………(indicare chi è l’addetto) al termine della giornata lavorativa, quando tutti gli addetti hanno lasciato il proprio posto di lavoro e viene attivato il sistema di allarme automatico, che è collegato con la predetta Società di vigilanza privata (indicarne il nome). Nei diversi uffici gli addetti controllano costantemente che abbiano accesso ai dati solamente le persone espressamente autorizzate. I dati sensibili contenuti su supporti cartacei sono custoditi in armadi e/o classificatori muniti di serratura, ai quali hanno accesso solo le persone “incaricate del trattamento” espressamente autorizzate dal titolare/dal responsabile (indicare da chi sono autorizzate). Il trattamento dei dati sensibili al di fuori del normale orario di lavoro da parte dei vari “incaricati del trattamento” è consentito solamente previa autorizzazione scritta da parte del titolare/responsabile (indicare da chi sono autorizzate). Fuori del normale orario di lavoro è consentito trattenersi nei locali della…………………(nome dell’Azienda) solamente ai vari “incaricati del trattamento” (se nominati), ovvero al personale espressamente autorizzato dal titolare o dal rispettivo “responsabile”.
7. MISURE E PROCEDURE PER ASSICURARE L’INTEGRITA’ E LA DISPONIBILITA’ DEI DATI, IL LORO CORRETTO TRATTAMENTO, NONCHE’ LA SICUREZZA NELLA TRASMISSIONE DEI DATI
7.1. Prescrizioni generali su come deve avvenire il trattamento dei dati I dati personali oggetto di trattamento da parte degli “incaricati” devono essere: a. trattati in modo lecito e secondo correttezza: b. raccolti e registrati per scopi determinati, espliciti e legittimi ed utilizzati in altre operazioni di trattamento in termini non incompatibili con tali scopi ed in ogni caso nei limiti in cui il trattamento sia necessario per l’esercizio dell’attività aziendale; c. esatti e, se necessario, aggiornati; d. pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono stati raccolti o successivamente trattati; e. conservati in una forma che consenta l’identificazione dell’interessato a cui si riferiscono, per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati. Ciascun “incaricato del trattamento” può effettuare solamente quelle operazioni di trattamento che gli vengono affidate dal “titolare” (ovvero dal rispettivo “responsabile” se è stato nominato), nel rispetto delle disposizioni di legge. E’ cura del “titolare” (oppure dei vari “responsabili del trattamento” se sono stati nominati) verificare che ai soggetti interessati (cioè i soggetti ai quali si riferiscono i dati personali che vengono raccolti) sia stata data l’informativa preventiva prevista dall’art. 13 del D.Lgs. n. 196/03 e ne sia stato ottenuto il consenso espresso ai sensi dell’art. 23 salvo che lo stesso non sia richiesto ai sensi dell’art. 24 dello stesso D.Lgs. n. 196/03. Nell’ambito della prescrizione generale per cui il trattamento deve avvenire secondo correttezza, ciascun “incaricato del trattamento” è stato informato dal “titolare” (ovvero dal rispettivo “responsabile”se è stato nominato), sulla necessità di esaudire prontamente le richieste che i soggetti interessati possono rivolgergli conformemente a quanto prescritto dall’art. 7 del D.Lgs. n. 196/03, segnalandoli inoltre al “titolare” (ovvero al “responsabile” se è stato nominato), qualora il loro soddisfacimento esuli dai compiti a lui attribuiti direttamente.
7.2. Misure fisiche di custodia dei dati – Prescrizioni
7.2.1 Dati comuni I dati di natura comune contenuti su supporti cartacei o su supporti, necessari per lo svolgimento delle varie mansioni lavorative, sono custoditi negli archivi collocati negli armadi e negli scaffali posti nei locali degli uffici, ai quali vari addetti possono accedere nei limiti in cui ciò sia strettamente necessario per prelevare e riporre gli atti, i documenti ed i supporti informatici necessari per lo svolgimento delle proprie mansioni lavorative. Gli atti e i documenti debbono essere controllati e custoditi dagli incaricati durante l’intero ciclo necessario per lo svolgimento delle operazioni di trattamento, per poi essere restituiti all’archivio al termine di tale ciclo. Durante i periodi di temporanea assenza dall’ufficio (ad esempio durante la pausa per il pranzo) ed al termine della giornata lavorativa, gli atti e i documenti contenenti dati personali debbono essere riposti nei cassetti o negli armadi e scaffali di cui sono dotati gli uffici dei vari incaricati del trattamento Una volta terminato il lavoro per cui si è reso necessario utilizzare i documenti contenenti dati personali, essi devono essere ricollocati nell’archivio del rispettivo Ufficio dal quale erano stati prelevati.
7.2.2 Dati sensibili Gli archivi contenenti atti e documenti all’interno dei quali vi sono dati sensibili (ed eventualmente anche dati giudiziari), sono controllati ponendo in essi i seguenti accorgimenti: ATTENZIONE (Indicare quali sono le misure idonee a fare in modo che gli archivi accedano sempre e comunque i soli soggetti autorizzati, in particolare indicare l’ adozione di almeno una delle seguenti soluzioni) – dotare gli archivi di strumenti elettronici per il controllo degli accessi (ad esempio, tesserino magnetico distribuito agli incaricati autorizzati); – dare incarico ad alcune persone, di vigilare gli archivi: il che si può realizzare non solo ponendo una persona, specificamente addetta a tale controllo, soluzione eccessivamente dispendiosa, per le realtà di modeste dimensioni, ma anche adottando opportuni accorgimenti di carattere organizzativo ( ad esempio dando incarico per iscritto ad un numero di impiegati, aventi la scrivania vicino all’archivio, di fare in modo che almeno uno di loro sia sempre presente, durante tutto l’orario di apertura dell’archivio, e controlli chi vi accede); – nel caso in cui non venga adottata alcuna delle soluzioni di cui sopra, si deve autorizzare preventivamente le persone ad accedere agli archivi (in genere, ciò si abbina ad altri accorgimenti, che possono consistere semplicemente nel tenere l’archivio chiuso a chiave, dando la stessa a chi è autorizzato ad accedere, ed invitandolo a richiudere a chiave,ed eventualmente a restituire la stessa al termine dell’accesso). Un altro sistema, che trova applicazione per gli accessi che avvengono dopo l’orario di chiusura, consiste nell’obbligo di identificare e registrare le persone che accedono agli archivi, adottando ad esempio una delle seguenti soluzioni: – dotare gli archivi di strumenti elettronici per il controllo degli accessi, che siano in grado di abbinare al possessore l’informazione in merito all’attività svolta (ad esempio tesserino magnetico, distribuito agli incaricati autorizzati, dall’utilizzo si può risalire all’informazione che l’impiegato Rossi è entrato nell’archivio alle 23,30 di un determinato giorno); – affidare la chiave dell’archivio dopo l’orario di chiusura, al titolare o ai responsabili del trattamento, o in alternativa ad uno o più soggetti incaricati per iscritto, i quali annoteranno in un apposito registro i nominativi di chi ha richiesto di accedere all’archivio, al di fuori del periodo di apertura In ogni caso, si deve desumere che l’archivio contenente i dati in esame deve poter essere chiuso, perché altrimenti non potrebbe porre in essere le prescrizioni di cui ai punti precedenti. I dati di natura sensibile, necessari per lo svolgimento delle varie mansioni lavorative sono custodite negli armadi muniti di serratura, collocati nei locali degli uffici. I dati sensibili idonei a rivelare lo stato di salute degli interessati sono separati dagli altri dati personali e sono conservati …………(descrivere come dove sono custoditi separatamente). Gli archivi sono ad accesso controllato, per cui i vari addetti possono accedervi solo previa richiesta delle chiavi agli “incaricati del trattamento” (indicare quali sono gli incaricati che hanno le chiavi di accesso), che durante l’orario hanno il compiti di custodire le chiavi stesse. Qualora vi fosse la necessità di accedere agli archivi contenenti i dati sensibili su supporti cartacei dopo l’orario lavorativo, ciascun addetto deve rivolgersi al titolare (ovvero al “responsabile del trattamento” se è stato nominato) per la necessaria autorizzazione agli archivi muniti di serratura ed indicare nel “Registro degli accessi agli archivi controllati” posto nei vari uffici: la data e l’ora dell’accesso e la descrizione sintetica delle ragioni dell’accesso opponendo in calce la sua firma. Il suddetto “Registro” è costituito da un raccoglitore conservato in ciascun ufficio nel quale vengono conservate tutte le richieste di autorizzazione a trattenersi nei locali della………………….(nome dell’Azienda) al di fuori dell’orario di lavoro per effettuare operazioni di trattamento su dati sensibili contenuti su rapporti cartacei. Gli “incaricati del trattamento” durante i periodi di temporanea assenza ed al termine della giornata lavorativa devono riporre i documenti contenenti informazioni di carattere sensibile nei cassetti o negli armadi dotati di serratura situati nel proprio ufficio, avendo cura di chiudere gli stessi a chiave. Una volta terminato il lavoro per cui si è reso necessario utilizzare tali documenti, essi devono essere restituiti all’archivio del rispettivo Ufficio
7.3. Descrizione del sistema informativo e delle misure logiche di protezione dei dati personali
DESCRIVERE BREVEMENTE LA RETE LOCALE (LAN) AZIENDALE (facendosi assistere dalla propria software-House che ne fornisca una breve descrizione tecnica)
7.4. Utilizzo del software di protezione della rete (antivirus). DESCRIVERE BREVEMENTE I SISTEMI ANTIVIRUS ESISTENTI (farsi assistere dalla propria software-House che ne fornisca una breve descrizione tecnica dei sistemi antivirus)
7.5. Procedure per la sicurezza delle trasmissioni dei dati e per le restrizioni di accesso per via telematica Anche se il D.Lgs. n. 196/03 non impone in modo specifico di “adottare criteri e procedure per la sicurezza della trasmissioni dati, ivi compresi quelli per le restrizioni di accesso per via telematica” (come invece era previsto dal D.P.R. n. 318/99) sembra opportuno adottare e descrivere questi criteri e queste procedure quando esse sono necessarie a garantire l’integrità e la disponibilità dei dati. IN QUESTO CASO DESCRIVERE BREVEMENTE LE PROCEDURE IN ESSERE (facendosi assistere dalla propria software-House per una breve relazione tecnica)
7.6. Utilizzo della posta elettronica e di Internet Per lo svolgimento delle attività lavorative ad ogni addetto è stata attribuita una casella di posta elettronica che deve essere utilizzata esclusivamente per finalità legate alla specifica attività lavorative. DESCRIVERE BREVEMENTE LE PROCEDURE IN ESSERE (facendosi assistere dalla propria software-House)
7.7. Ripristino della disponibilità dei dati Descrivere brevemente i criteri e le modalità per il ripristino della disponibilità dei dati personali in seguito a loro distruzione o danneggiamento o in seguito a danneggiamento degli strumenti elettronici con i quali sono trattati, in tempi certi compatibili con i diritti degli interessati e, in ogni caso, non superiori a 7 giorni. (facendosi assistere dalla propria Software-House per una breve relazione tecnica sulle procedure di salvataggio dei dati e sull’eventuale”piano di continuità operativa”)
7.8. Custodia ed uso dei supporti rimovibili I supporti rimovibili sui quali sono memorizzati dati sensibili o giudiziari, vale a dire i compact disc ed i floppy disk, sono custoditi da…………………, in cassetti chiusi a chiave a cura degli “incaricati del trattamento”……………..(indicare le istruzioni organizzative impartite al fine di evitare accessi non autorizzati e trattamenti non consentiti).
7.9. Reimpiego dei supporti di memorizzazione Al termine dell’utilizzo dei compact disc o dei floppy disc contenenti dati sensibili o giudiziari ciascun “incaricato del trattamento” deve adottare le procedure necessarie per cancellare ogni informazione contenuta in tali dischetti, in modo che ne sia possibile il reimpiego (ad esempio: cancellazione, formattazione del supporto magnetico, sovrascrittura, distruzione fisica del supporto,………)
7.10. Sicurezza dei dati sensibili o giudiziari affidati all’esterno ATTENZIONE Qualora il titolare affidi all’esterno il trattamento con strumenti elettronici di dati personali sensibili o giudiziari, occorre: -nominare il soggetto esterno “Responsabile del trattamento dei dati personali” (precisando di quale trattamento si tratta); -avere la garanzia che essi adottino le misure di sicurezza, previste dal D.Lgs. n. 196/03: · esigendo da loro una dichiarazione di avere redatto il documento programmatico sulla sicurezza, nel quale abbiano attestato di avere adottato le misure minime previste dal Disciplinare tecnico · esigendo da loro una copia del documento programmatico di sicurezza da essi redatto e/o del certificato di conformità rilasciato da chi ha curato la progettazione e l’attuazione delle loro misure minime di sicurezza · convenendo con loro clausole contrattuali, che disciplinano gli aspetti legati alla gestione dei dati personali
8. FORMAZIONE DEGLI INCARICATI DEL TRATTAMENTO DEI DATI
E’ stata fornita a tutti gli “incaricati del trattamento” un’adeguata informazione e formazione in materia di trattamento dei dati personali nel rispetto del D.Lgs. n. 196/03 recante il Codice in materia di protezione dei dati personali, con particolare riguardo all’adozione delle misure minime di sicurezza di cui al Disciplinare tecnico, allegato B) al predetto Codice. La formazione si è svolta attraverso: AD ESEMPIO: · mezze giornate di addestramento in aula degli “incaricati”, suddivisi in piccoli gruppi per fare pratica nell’uso degli strumenti informatici e della rete aziendale. · Riunioni di tutto il personale, nel corso delle quali sono state illustrate le linee guida della legislazione sulla privacy ed è stato edotto informato il personale sui rischi che incombono sui dati. Sono state inoltre fornite istruzioni pratiche per un corretto e sicuro trattamento dei dati personali da parte degli “incaricati”, dando precise indicazioni sui comportamenti da adottare, sia nelle operazioni quotidiane, che nelle situazioni di emergenza; · Consegna a tutti gli “incaricati” di un documento scritto (“Manuale della privacy”) contenente le norme comportamentali, vale a dire le istruzioni e le procedure per un corretto e sicuro trattamento dei dati personali più rilevanti, con particolare riguardo alle misure aziendalmente disponibili per prevenire eventi dannosi, alle responsabilità derivanti dalla gestione dei dati, alle modalità per aggiornarsi sulle misure minime di sicurezza adottate aziendalmente ed alla gestione della rete informatica aziendale.
9. CONTROLLO GENERALE PERIODICO SULLO STATO DELLA SICUREZZA
Il presente documento programmatico sulla sicurezza è sottoposto a revisione annuale nella sua interezza, entro la scadenza del 31 marzo di ciascun anno, come previsto dal punto 19. del Disciplinare tecnico, Allegato B) al D.Lgs. n. 196/03, in relazione al disposto dell’art. 34, lettera g) del decreto stesso. Nel corso dell’anno vengono in ogni caso adottate le seguenti procedure per il monitoraggio costante dello stato della sicurezza nel trattamento dei dati personali: ………………………(descrivere le procedure adottate aziendalmente)……………………………. Nel corso dell’anno vengono inoltre effettuati degli audit della sicurezza non programmati, con le seguenti modalità: ………………(descrivere le caratteristiche degli eventuali audit della sicurezza)…………………..
IL TITOLARE DEL TRATTAMENTO _______________ (Timbro e Firma dell’Azienda)
IL RESPONSABILE DELLA SICUREZZA DATI ___________( Firma del Responsabile)
© GALLERIA PIANETTI 2010 - Informativa sulla tutela dei dati personali (Legge 196/03) - PI 00762560423
