Fac simile da rielaborare in
base alla operatività di ciascun Studio
Documento
Programmatico sulla Sicurezza
per
amministratori condominiali
1 – Premessa
Il
presente Documento Programmatico sulla Sicurezza è redatto, ai sensi degli
articoli 33 e seguenti del D.Lgs 196/2003 e secondo le previsioni dell’Allegato
B a tale decreto, per definire e
descrivere le politiche di sicurezza adottate dall’impresa in materia di
trattamento di dati personali ed i criteri organizzativi seguiti per la loro
attuazione e per fornire idonee informazioni a riguardo anche a parti terze.
2 -
Individuazione del titolare del trattamento dei dati
Il
titolare del trattamento dei dati è il Dr …………………………………………….in qualità di
titolare dello Studio di Amministrazione
Condominiale con sede in ………………………………………………………........ – C.F. …………………………………………...
3 -
Elenco dei trattamenti dati
Si
premette che lo Studio svolge l'attività di amministrazione condominiale e di elaborazione
dati amministrativi e contabili, gestione del personale e predisposizione di
atti ed adempimenti amministrativi, societari richiesti dalla clientela e dalle
norme vigenti.
Sono
stati individuati i seguenti trattamenti riepilogati in tabella effettuati dallo
Studio:
|
Categoria Dati (ai sensi
dell’art. 4 D.Lgs 196/2003 c. 1 lettera a) |
Finalità |
Modalità raccolta, registrazione, modifica, cancellazione
comunicazione ed elaborazione dati |
Luogo di custodia |
|
-Archivi dati contabili,anagrafici
ed amministrativi riferiti a condomini – inquilini e fornitori dello Studio. - Elenco
condomini. |
-
Amministrazione condominiali -Predisposizione
dei rendiconti condominiali; -Predisposizione
delle comunicazioni / dichiarazioni
richieste dalle norme in vigore -Predisposizione
di atti e corrispondenza. |
Il trattamento
è svolto mediante software applicativi e di gestione contabile |
I dati sono
custoditi nella memoria degli elaboratori, collegati in rete. I libri in uso
e la documentazione contabile cartacea
( Es.: fatture, corrispondenza, documenti bancari,buste paga, deleghe
di versamento, visure, contratti), viene
raccolta in apposite cartelle, e conservata negli uffici dello Studio. |
|
Archivi dati
sensibili relativi: -ai dipendenti,
collaboratori; |
-Predisposizione
delle dichiarazioni ed eventuali altre comunicazioni richieste dalla
normativa vigente -Amministrazione
del personale (es. elaborazione paghe) |
Il trattamento
è svolto mediante software applicativi e di gestione contabile. |
I dati sono
custoditi nella memoria degli
elaboratori sopraidentificati . La
documentazione cartacea raccolta in appostiti fascicoli archiviati in armadi
ad accesso limitato siti nella sede della società. |
|
Archivi
dichiarazioni ed altri dati: (Es.: curriculum, contratti, dichiarazioni
fiscali e previdenziali, societari, corrispondenza, istanze e documentazione
amministrativa contabile in genere. |
-Archiviazione
storica dei documenti e gestione attività commerciale -Predisposizione
contratti, atti, istanze, documenti amministrativi, adempimenti societari
fiscali. |
Il trattamento
è svolto mediante software applicativi; inoltre per ogni cliente è creato
anche un fascicolo cartaceo in cui inserire la documentazione di pertinenza
fornita o prodotta |
I dati sono
custoditi sugli elaboratori in uso; le copie cartacee, raccolte in appositi
fascicoli, sono tenute negli armadi ad accesso limitato presso l'ufficio sede
della società. |
Gestione Curriculum Vitae
Nell’ambito
della propria attività l’azienda riceve dall’esterno curriculum inviati
spontaneamente ricomprendenti l’autorizzazione al trattamento dati. Le
tipologie di dati sono costituite da dati comuni personali (anagrafica, profili
professionali, esperienze lavorative) e dati sensibili (es. appartenenza a categorie
protette).
I
curriculum vengono custoditi in fascicoli ed archiviati in armadi ad accesso
controllato.
La
Società dispone in azienda anche di archivi cartacei con i quali vengono
trattati i dati descritti nella sopra indicata tabella:
-
ARCHIVI
CORRENTI;
-
ARCHIVI
PERMANENTI (STORICO).
L’archivio
corrente – l’archivio permanente (storico) – contenuto in classificatori – è
tenuto in armadi chiudibili negli uffici adibiti alla amministrazione
quotidiana, riguardano l’anno in corso e gli anni precedenti. Gli uffici sono
provvisti di porta con chiusura e sono accessibili solo da incaricati, soci ed
autorizzati.
Al
personale dell’impresa vengono assegnati compiti specifici attinenti il
trattamento dei dati e della documentazione. Agli stessi sono impartite, anche
attraverso lettera di incarico prevista ex D.Lgs 196/03 le disposizioni
riguardanti:
-
le
modalità di conservazione della documentazione;
-
la
riservatezza dei dati e delle notizie di cui vengono a conoscenza;
-
i
metodi di archiviazione della documentazione in maniera da tutelare e
preservare la privacy dei clienti e fornitori dell’impresa.
Il
nuovo personale viene istruito dal responsabile del trattamento sui
comportamenti da adottare all’interno dell’impresa secondo quanto sotto
esposto.
Questa
breve procedura definisce le modalità di accesso, modifica e archiviazione dei
documenti cartacei:
1.1.
Quando
applicabile i documenti generati dall’azienda devono riportare il nome della
Società;
1.2.
Di
norma ogni documento è ordinato in ordine cronologico, alfabetico e protocollo;
1.3.
La
lingua utilizzata, salvo diverse previsioni contrattuali, è quella italiana;
1.4.
L’originale
di ogni documento sarà archiviato a cura dell’ufficio emittente e da incaricati
alla gestione dei dati personali;
1.5.
In
caso di modifica di un documento l’incaricato che la seguirà applicherà sul
documento una data di variazione.
1.6.
La
documentazione contenente eventuali dati sensibili (come trattenuta sindacale o
stato salute del lavoratore o eventuali trattenute del 1/5) sarà così
disciplinata:
-
Conservazione
separata dei dati sanitari dei lavoratori;
-
Conservazione
separata a mezzo di sottofascicoli o buste chiuse;
-
Applicazione
misure di sicurezza per la conservazione e il trattamento dei fascicoli del personale;
-
Istruzioni
al personale (vedi lettera di incarico) per la conservazione e consultazione
dei fascicoli;
-
Limitazione
dell’accesso ai soli soggetti autorizzati in virtù di loro incarico.
4 - Descrizione degli strumenti elettronici
La società
utilizza n. ………. elaboratori collegati
in rete locale ……………….. basata su collegamenti fisici ed un server.
I sistemi
operativi utilizzati sono:
- Windows 98 – 2000 – XP;
I software in
uso sono:
- Word – Excel;
- Star Office;
5 -
Distribuzione dei compiti e delle responsabilità
Il Dott. ……………………………………………. è stato nominato RESPONSABILE DEL TRATTAMENTO a tutti gli
effetti legali, secondo i criteri, le modalità e le istruzioni specificate nel
documento di nomina allegato.
Si
è valutato che il Dott. ………………………………………. sia in possesso dei requisiti di
esperienza, capacità ed affidabilità richiesti dal comma 2 dell’ art. 29 del
Dlgs 196/2003.
Il Responsabile
ha individuato con atto scritto i seguenti incaricati al trattamento dei dati
consentendo loro l'accesso ai soli dati necessari per lo svolgimento delle
mansioni di loro competenza:
o Rossi
o Bianchi
In
questo ruolo e nei limiti delle mansioni affidate, tali soggetti potranno
eseguire le operazioni di trattamento dei dati, attenendosi alle istruzioni
impartite dal titolare o dal responsabile del trattamento.
L’ambito
di trattamento consentito ai singoli incaricati è rivalutato ed eventualmente
riveduto sistematicamente ogni anno.
Il
responsabile della Privacy Dr …………………………………… svolge anche la funzione di
custode delle password
6 - Analisi sintetica dei rischi che incombono sui dati:
L’analisi dei
rischi ha consentito di evidenziare il livello di esposizione al rischio del
patrimonio informativo aziendale e di predisporre una metodologia operativa volta ad attuare le contromisure di
sicurezza da implementare al fine di garantire la tutela dei dati.
Ad un livello
generale sono state individuate le seguenti principali minacce alla sicurezza
dei dati gestiti dall’impresa:
OPERATORI
Furto credenziali
autenticazione:
|
-
sottrazione fraudolenta da parte di terzi |
Rischio:
( ) alto ( ) medio (x) basso |
|
-
rivelazione o incauta esposizione
delle credenziali |
Rischio:
( ) alto ( ) medio (x) basso |
Azione: rinnovo
e disattivazione
Carenza di consapevolezza, disattenzione od incuria ed errore materiale
|
-
pratiche incustodite |
Rischio:
( ) alto ( ) medio (x) basso |
|
-
postazione informatica accessibile |
Rischio:
( ) alto ( ) medio (x) basso |
Azione:
formazione in tema di sicurezza
Comportamenti sleali o
fraudolenti:
|
-
accesso abusivo al sistema informatico |
Rischio:
( ) alto ( ) medio (x) basso |
|
-
sottrazione informazioni dati fascicoli |
Rischio:
( ) alto ( ) medio (x) basso |
Azione: denuncia
e verifica integrità dati. Disattivazione credenziali
Strumenti
Azione virus informatici:
|
-
infezione tramite posta elettronica |
Rischio:
( ) alto ( ) medio (x) basso |
|
-
infezione tramite supporti (floppy) |
Rischio:
( ) alto ( ) medio (x) basso |
Azione. Adozione
antivirus. Immediato ripristino situazione precedente all’evento.
Spamming:
|
-
ricevimento mail indesiderate |
Rischio:
( ) alto ( ) medio (x) basso |
Azione. Evitare
apertura e-mail provenienti da fonte non riconosciuta. Quando è possibile
risalire alla fonte ed effettuare segnalazione al Garante.
Malfunzionamento e degrado degli strumenti
|
-
Componenti difettosi od obsoleti |
Rischio:
( ) alto ( ) medio (x) basso |
Azione: Messa in
sicurezza dei dati a rischio. Sostituzione strumenti
Accessi esterni non
autorizzati
|
-
collegamento notebook alla rete informatica |
Rischio:
( ) alto ( ) medio (x) basso |
Azione:
predisposizione rete per riconoscimento IP autorizzati
Intercettazione di
informazioni in rete
|
-
posta elettronica con / senza allegati
|
Rischio:
( ) alto ( ) medio (x) basso |
Azione.
Verificare sicurezza linee telefoniche
Accessi non autorizzati a
locali / reparti ad accesso ristretto
|
-
archivio cartaceo |
Rischio:
( ) alto ( ) medio (x) basso |
Azione:
Regolamento per orari, accesso e modalità
Asportazione e furto di
strumenti contenenti dati:
|
-
Asportazione computer |
Rischio:
( ) alto ( ) medio (x) basso |
Azione. Sistemi
di controllo ingressi. Ripristino da copia backup entro sette giorni su nuovo
strumento.
Eventi distruttivi
|
-
Incendio locali |
Rischio:
( ) alto ( ) medio (x) basso |
Azione:
ripristino dati entro sette giorni. Backup dati affidato a ditte specializzate
se tutti i supporti sono andati distrutti
Guasto impianto elettrico:
|
-
procedura non corretta chiusura sessioni |
Rischio:
( ) alto ( ) medio (x) basso |
Azione:
Attivazione automatica gruppi di continuità elettrici
Errori umani gestione
sicurezza fisica:
|
-
eliminazione fascicoli accidentale |
Rischio:
( ) alto ( ) medio (x) basso |
Azione:
Ripristino situazione precedente. Ricostruzione fascicolo
In riferimento
alla sicurezza dei dati personali gestiti l’impresa si pone i seguenti obbiettivi:
1.Riservatezza:
i dati devono essere
accessibili solo alle persone autorizzate
2.Integrità:
i dati devono essere
protetti da modificazioni e danneggiamenti
3.
Disponibilità: i dati
devono essere accessibili alle persone autorizzate
7 - Misure di sicurezza
adottate e da adottare
Protezione delle aree e dei
locali rilevanti ai fini della loro
custodia e accessibilità:
L’ingresso
della sede, posto al primo piano di un
edificio dotato di servizio di portineria, è protetto da porte a doppia
chiusura; le finestre degli uffici sono protette da serramenti in metallo a
doppia chiusura.
L’accesso
fisico agli uffici in cui sono conservati i documenti trattanti dati personali
e/o sensibili è controllato dal personale di segreteria. Nonché dagli
incaricati al trattamento dei dati con postazione di lavoro nei singoli locali
ad uso ufficio/archivio.
I
dati personali e/o sensibili sono raccolti in appositi fascicoli e conservati
in armadi dotati di accesso limitato.
Gestione strumenti elettronici:
·
Back up dati: il
salvataggio dati viene effettuato a cadenza almeno settimanale mediante l’utilizzo di appositi floppy e cassette conservate in luogo diverso
rispetto alla localizzazione del server.
·
Gestione dei
supporti removibili (Es.: Floppy, CD-Rom)
I predetti supporti,
se non più utilizzati, devono essere distrutti o resi inutilizzabili. Possono
essere usati da altri incaricati, aventi anche mansioni diverse, solo se non è
più possibile ricostruire il contenuto del supporto. Nessun supporto può essere
consegnato a terzi od introdotto nell'ufficio senza specifica
autorizzazione del titolare.
·
Antivirus
L’impresa si è
dotata del software antivirus ……………………………….. che è stato installato su tutti
gli strumenti elettronici in dotazione.
L’aggiornamento
dell’antivirus è continuo ed effettuato automaticamente.
·
Aggiornamento
sistema operativo e dei software in uso :
Il responsabile
del Trattamento provvede all’aggiornamento del sistema operativo e dei software
attualmente in uso almeno semestralmente.
·
Gruppo di
continuità
L’impresa si è
dotata di un gruppo di continuità per prevenire le conseguenze dei blackout
elettrici o dei picchi di sovra o sotto tensione elettrica.
·
Firewall
L’impresa si è
dotata del sistema firewall.
Il firewall è
stato configurato dalla società ………………………………………….. specializzata in sicurezza
informatica che ha fornito anche direttive e indicazioni in merito alla sua
manutenzione periodica.
·
Gestione
manutenzione strumenti elettronici:
La manutenzione
degli strumenti elettronici sia a livello hardware sia a livello software viene
affidata alla ditta ……………………………………………………………. con sede in ……………………………………
·
Sistema di
identificazione e autenticazione
L’impresa
ha attivato un sistema d’autenticazione per ognuno degli incaricati che
trattano dati personali.
E’ stato attribuito un codice identificativo strettamente personale
per l'utilizzazione degli strumenti elettronici (di solito personal computer).
I codici identificativi sono aggiornati: trimestralmente.
Il sistema di autenticazione prevede l’utilizzo di parole chiave
(password) sia a livello di sistema operativo sia a livello di singola
applicazione.
Il responsabile del trattamento è incaricato della gestione delle
password.
·
Trattamenti
senza l’ausilio di strumenti elettronici
La gestione dei
supporti cartacei presso la sede dello Studio nonché presso l'unità locale in
…………………………., è attuata nel rispetto delle seguenti indicazioni operative:
§Gli incaricati devono aver accesso ai soli
dati utili per l’esecuzione dell’incarico prescritto;
§I documenti devono essere conservati in
archivi ad accesso selezionato;
§Gli accessi agli archivi devono essere
sempre preventivamente autorizzati;
§I documenti, terminate le operazioni di
trattamento, devono essere restituiti.
8 - Criteri e
modalità di ripristino delle disponibilità dei dati.
Al fine di
garantire non solo la integrità, ma anche la pronta disponibilità dei dati
l’impresa si è dotata di strumenti e procedure di back up.
La frequenza con
cui vengono effettuate le copie di sicurezza è giornaliera.
Il
Sig. ………………………………………………….., dipendente dello studio, ed il dott. …………………………………….,
sono stati incaricati di gestire le
copie di sicurezza e le procedure di backup e sono stati edotti dal
responsabile del trattamento in riferimento alle procedure da seguire.
In caso di
assenza dei Signori …………………………………………………………………….., il responsabile del
trattamento si occuperà di persona della
procedura di backup.
I supporti di
back up vengono titolati e la loro custodia etichettata.
Le copie di back
up sono conservate in un locale diverso
da quello in cui sono posti gli elaboratori.
I supporti di
memorizzazione vengono distrutti qualora dagli stessi possano essere recuperate
le informazioni precedentemente registrate.
La procedura di
ripristino dei dati back-up è stata affidata alla società di s/w che si occupa
della manutenzione ed aggiornamento degli elaboratori elettronici in uso.
9 - Formazione
La formazione
degli incaricati al trattamento dei dati è ritenuta un elemento importante per
la riduzione dei rischi al proprio sistema informativo e pertanto l’impresa
s’impegna a promuovere momenti formativi. In particolare verranno organizzati
degli stage formativi appropriati:
–ad ogni nomina di incaricati al
trattamento dati;
–ad ogni installazione di nuovo s/w per il
trattamento dei dati;
–ad ogni modifica del s/w in uso;
–ad ogni cambiamento delle mansioni
affidate a ciascun incaricato;
–a richiesta da parte degli incaricati al
trattamento.
10 - Trattamenti affidati all’esterno
In conformità con quanto
disposto dal punto 19.7 del “Disciplinare Tecnico” (all. B del Codice),
rendendosi necessario l’affidamento di
alcuni trattamenti di dati a soggetti esterni,vengono stabiliti i criteri per
garantire la corretta gestione dei dati comunicati.
b) Elenco
operatori esterni:
1) Attività: assistenza informatica – h/w
Natura dati: dati personali ed
identificativi
Operatore: ……………………………………………
2) Attività: (commercialista,
consulente del lavoro)
Natura dati: dati personali ed
identificativi
Operatore: ………………………………………….
Operatore: …………………………………………
Descrizione criteri
Ciascun operatore esterno, in
forma scritta dovrà documentare:
c)
di
essere consapevole che i dati che tratterà nell’espletamento dell’incarico
ricevuto sono dati personali e/o sensibili e pertanto soggetti all’approvazione
della normativa sulla privacy.
d)
Di
porre in essere gli adempimenti previsti dal codice sulla privacy per la
protezione dei dati personali.
e)
Di
adottare le prescrizioni eventualmente comunicate in tema di gestione dei dati
in aggiunta a quelle già in essere.
f)
Di
comunicare senza indugio il verificarsi di situazioni che mettano a rischio la
corretta gestione dei dati ricevuti o la perdita degli stessi;
g)
Di
relazionare personalmente circa le misure minime di sicurezza adottate.
11 - Modalità aggiornamento
del Documento Programmatico per la Sicurezza:
Il responsabile del trattamento è il soggetto
preposto all’aggiornamento ed alla custodia del documento programmatico per la
sicurezza.
Il documento in
oggetto non deve rimanere statico ma deve essere aggiornato ogni volta che vi
siano cambiamenti significativi che incidano sulle misure minime di sicurezza.
In ogni caso
ogni anno entro il 31 marzo, il responsabile del trattamento dovrà procedere
alla completa revisione del documento in oggetto.
Data………………….luogo………………………
Il Titolare del trattamento