Fac  simile da rielaborare in base alla operatività di ciascun Studio
 
Documento Programmatico sulla Sicurezza
per amministratori condominiali
 
1 – Premessa
Il presente Documento Programmatico sulla Sicurezza è redatto, ai sensi degli articoli 33 e seguenti del D.Lgs 196/2003 e secondo le previsioni dell’Allegato B  a tale decreto, per definire e descrivere le politiche di sicurezza adottate dall’impresa in materia di trattamento di dati personali ed i criteri organizzativi seguiti per la loro attuazione e per fornire idonee informazioni a riguardo anche a parti terze.
 
2  -  Individuazione del titolare del trattamento dei dati
Il titolare del trattamento dei dati è il Dr …………………………………………….in qualità di titolare dello Studio  di Amministrazione Condominiale con sede in ………………………………………………………........ – C.F. …………………………………………...

3 -   Elenco dei trattamenti dati
Si premette che lo Studio svolge l'attività di amministrazione condominiale e di elaborazione dati amministrativi e contabili, gestione del personale e predisposizione di atti ed adempimenti amministrativi, societari richiesti dalla clientela e dalle norme vigenti.
Sono stati individuati i seguenti trattamenti riepilogati in tabella effettuati dallo Studio:
 
Categoria Dati 
soggetti a trattamento e soggetti a cui si riferiscono
(ai sensi dell’art. 4 D.Lgs 196/2003 c. 1 lettera a)
Finalità 
del trattamento
Modalità 
di trattamento
raccolta, registrazione, modifica, cancellazione comunicazione ed elaborazione dati
Luogo di custodia
dei dati
-Archivi dati contabili,anagrafici ed amministrativi riferiti a condomini – inquilini e fornitori dello  Studio.
- Elenco condomini.
- Amministrazione condominiali
-Predisposizione dei rendiconti condominiali;
-Predisposizione delle comunicazioni / dichiarazioni  richieste dalle norme in vigore
-Predisposizione di atti e corrispondenza.
Il trattamento è svolto mediante software applicativi e di gestione contabile
I dati sono custoditi  nella memoria degli  elaboratori, collegati in rete.
I libri in uso e la documentazione contabile cartacea  ( Es.: fatture, corrispondenza, documenti bancari,buste paga, deleghe di versamento, visure, contratti), viene  raccolta in apposite cartelle, e conservata negli uffici dello  Studio.
 
Archivi dati sensibili relativi:
-ai dipendenti, collaboratori;
 
 
-Predisposizione delle dichiarazioni ed eventuali altre comunicazioni richieste dalla normativa vigente
-Amministrazione del personale (es. elaborazione paghe)
 
 
Il trattamento è svolto mediante software applicativi e di gestione contabile.
 
I dati sono custoditi  nella memoria degli elaboratori sopraidentificati .
La documentazione cartacea raccolta in appostiti fascicoli archiviati in armadi ad accesso limitato siti nella sede della società.
Archivi dichiarazioni ed altri dati: (Es.: curriculum, contratti, dichiarazioni fiscali e previdenziali, societari, corrispondenza, istanze e documentazione amministrativa contabile in genere.
-Archiviazione storica dei documenti e gestione attività commerciale
-Predisposizione contratti, atti, istanze, documenti amministrativi, adempimenti societari fiscali.
Il trattamento è svolto mediante software applicativi; inoltre per ogni cliente è creato anche un fascicolo cartaceo in cui inserire la documentazione di pertinenza fornita o prodotta
I dati sono custoditi sugli elaboratori in uso; le copie cartacee, raccolte in appositi fascicoli, sono tenute negli armadi ad accesso limitato presso l'ufficio sede della società.
 
Gestione Curriculum Vitae
Nell’ambito della propria attività l’azienda riceve dall’esterno curriculum inviati spontaneamente ricomprendenti l’autorizzazione al trattamento dati. Le tipologie di dati sono costituite da dati comuni personali (anagrafica, profili professionali, esperienze lavorative) e dati sensibili (es. appartenenza a categorie protette).
I curriculum vengono custoditi in fascicoli ed archiviati in armadi ad accesso controllato.
 
La Società dispone in azienda anche di archivi cartacei con i quali vengono trattati i dati descritti nella sopra indicata tabella:
-                     ARCHIVI CORRENTI;
-                     ARCHIVI PERMANENTI (STORICO).
 
L’archivio corrente – l’archivio permanente (storico) – contenuto in classificatori – è tenuto in armadi chiudibili negli uffici adibiti alla amministrazione quotidiana, riguardano l’anno in corso e gli anni precedenti. Gli uffici sono provvisti di porta con chiusura e sono accessibili solo da incaricati, soci ed autorizzati.
 
Al personale dell’impresa vengono assegnati compiti specifici attinenti il trattamento dei dati e della documentazione. Agli stessi sono impartite, anche attraverso lettera di incarico prevista ex D.Lgs 196/03 le disposizioni riguardanti:
-           le modalità di conservazione della documentazione;
-           la riservatezza dei dati e delle notizie di cui vengono a conoscenza;
-           i metodi di archiviazione della documentazione in maniera da tutelare e preservare la privacy dei clienti e fornitori dell’impresa.
 
Il nuovo personale viene istruito dal responsabile del trattamento sui comportamenti da adottare all’interno dell’impresa secondo quanto sotto esposto.
 
Questa breve procedura definisce le modalità di accesso, modifica e archiviazione dei documenti cartacei:
 
1.1.             Quando applicabile i documenti generati dall’azienda devono riportare il nome della Società;
1.2.             Di norma ogni documento è ordinato in ordine cronologico, alfabetico e protocollo;
1.3.             La lingua utilizzata, salvo diverse previsioni contrattuali, è quella italiana;
1.4.             L’originale di ogni documento sarà archiviato a cura dell’ufficio emittente e da incaricati alla gestione dei dati personali;
1.5.             In caso di modifica di un documento l’incaricato che la seguirà applicherà sul documento una data di variazione.
1.6.             La documentazione contenente eventuali dati sensibili (come trattenuta sindacale o stato salute del lavoratore o eventuali trattenute del 1/5) sarà così disciplinata:
-           Conservazione separata dei dati sanitari dei lavoratori;
-           Conservazione separata a mezzo di sottofascicoli o buste chiuse;
-           Applicazione misure di sicurezza per la conservazione e il trattamento dei fascicoli del personale;
-           Istruzioni al personale (vedi lettera di incarico) per la conservazione e consultazione dei fascicoli;
-           Limitazione dell’accesso ai soli soggetti autorizzati in virtù di loro incarico.
 
4 -  Descrizione degli strumenti elettronici
 
La società utilizza n. ……….  elaboratori collegati in rete locale ……………….. basata su collegamenti fisici ed un server.
 
I sistemi operativi utilizzati sono:
- Windows 98 – 2000 – XP;
 
 
I software in uso sono:
- Word – Excel;
- Star Office;
 
 
 
5 - Distribuzione dei compiti e delle responsabilità
 
Il Dott. ……………………………………………. è stato nominato  RESPONSABILE DEL TRATTAMENTO a tutti gli effetti legali, secondo i criteri, le modalità e le istruzioni specificate nel documento di nomina allegato.
Si è valutato che il Dott. ………………………………………. sia in possesso dei requisiti di esperienza, capacità ed affidabilità richiesti dal comma 2 dell’ art. 29 del Dlgs 196/2003.
Il Responsabile ha individuato con atto scritto i seguenti incaricati al trattamento dei dati consentendo loro l'accesso ai soli dati necessari per lo svolgimento delle mansioni di loro competenza:
 
o Rossi
o Bianchi
In questo ruolo e nei limiti delle mansioni affidate, tali soggetti potranno eseguire le operazioni di trattamento dei dati, attenendosi alle istruzioni impartite dal titolare o dal responsabile del trattamento.
L’ambito di trattamento consentito ai singoli incaricati è rivalutato ed eventualmente riveduto sistematicamente ogni anno.
Il responsabile della Privacy Dr …………………………………… svolge anche la funzione di custode delle password
 
6 - Analisi sintetica dei rischi che incombono sui dati:
L’analisi dei rischi ha consentito di evidenziare il livello di esposizione al rischio del patrimonio informativo aziendale e di predisporre una metodologia  operativa volta ad attuare le contromisure di sicurezza da implementare al fine di garantire la tutela dei dati.
Ad un livello generale sono state individuate le seguenti principali minacce alla sicurezza dei dati gestiti dall’impresa:
             
OPERATORI
Furto credenziali autenticazione:
 
- sottrazione fraudolenta da parte di terzi
Rischio: ( ) alto  ( ) medio   (x) basso
- rivelazione  o incauta esposizione delle credenziali  
Rischio: ( ) alto  ( ) medio   (x) basso
Azione: rinnovo e disattivazione
 
 Carenza di consapevolezza, disattenzione od   incuria ed errore materiale
 
- pratiche incustodite 
Rischio: ( ) alto  ( ) medio   (x) basso
- postazione informatica accessibile
Rischio: ( ) alto  ( ) medio   (x) basso
Azione: formazione in tema di sicurezza
 
Comportamenti sleali o fraudolenti:
 
- accesso abusivo al sistema informatico
Rischio: ( ) alto  ( ) medio   (x) basso
- sottrazione informazioni dati fascicoli
Rischio: ( ) alto  ( ) medio   (x) basso
Azione: denuncia e verifica integrità dati. Disattivazione credenziali
 
Strumenti
Azione virus informatici:
 
- infezione tramite posta elettronica
Rischio: ( ) alto  ( ) medio   (x) basso
- infezione tramite supporti (floppy)
Rischio: ( ) alto  ( ) medio   (x) basso
Azione. Adozione antivirus. Immediato ripristino situazione precedente all’evento.
 
Spamming:
 
- ricevimento mail indesiderate
Rischio: ( ) alto  ( ) medio   (x) basso
 
Azione. Evitare apertura e-mail provenienti da fonte non riconosciuta. Quando è possibile risalire alla fonte ed effettuare segnalazione al Garante.
 
 Malfunzionamento e degrado degli strumenti
 
- Componenti difettosi od obsoleti
Rischio: ( ) alto  ( ) medio   (x) basso
Azione: Messa in sicurezza dei dati a rischio. Sostituzione strumenti
 
Accessi esterni non autorizzati
 
- collegamento notebook alla rete informatica
Rischio: ( ) alto  ( ) medio   (x) basso
Azione: predisposizione rete per riconoscimento IP autorizzati
 
Intercettazione di informazioni in rete
 
- posta elettronica con / senza allegati 
Rischio: ( ) alto  ( ) medio   (x) basso
Azione. Verificare sicurezza linee telefoniche
 
Accessi non autorizzati a locali / reparti ad accesso ristretto
 
- archivio cartaceo
Rischio: ( ) alto  ( ) medio   (x) basso
Azione: Regolamento per orari, accesso e modalità
 
Asportazione e furto di strumenti contenenti dati:
 
- Asportazione computer   
Rischio: ( ) alto  ( ) medio   (x) basso
Azione. Sistemi di controllo ingressi. Ripristino da copia backup entro sette giorni su nuovo strumento.
 
Eventi distruttivi
 
- Incendio locali
Rischio: ( ) alto  ( ) medio   (x) basso
Azione: ripristino dati entro sette giorni. Backup dati affidato a ditte specializzate se tutti i supporti sono andati distrutti
 
Guasto impianto elettrico:
 
- procedura non corretta chiusura sessioni
Rischio: ( ) alto  ( ) medio   (x) basso
Azione: Attivazione automatica gruppi di continuità elettrici
 
Errori umani gestione sicurezza fisica:
 
- eliminazione fascicoli accidentale
Rischio: ( ) alto  ( ) medio   (x) basso
Azione: Ripristino situazione precedente. Ricostruzione fascicolo
 
In riferimento alla sicurezza dei dati personali gestiti l’impresa si pone i seguenti obbiettivi:
1.Riservatezza: i dati devono essere accessibili solo alle persone autorizzate
2.Integrità: i dati devono essere protetti da modificazioni e danneggiamenti
3. Disponibilità: i dati devono essere accessibili alle persone autorizzate
 
7 - Misure di sicurezza adottate e da adottare
            Protezione delle aree e dei locali  rilevanti ai fini della loro custodia e accessibilità:
L’ingresso della sede, posto al primo  piano di un edificio dotato di servizio di portineria, è protetto da porte a doppia chiusura; le finestre degli uffici sono protette da serramenti in metallo a doppia chiusura.
L’accesso fisico agli uffici in cui sono conservati i documenti trattanti dati personali e/o sensibili è controllato dal personale di segreteria. Nonché dagli incaricati al trattamento dei dati con postazione di lavoro nei singoli locali ad uso ufficio/archivio.
I dati personali e/o sensibili sono raccolti in appositi fascicoli e conservati in armadi dotati di accesso limitato.
            Gestione strumenti elettronici:
·         Back up dati: il salvataggio dati viene effettuato a cadenza almeno settimanale  mediante l’utilizzo di appositi floppy  e cassette conservate in luogo diverso rispetto alla localizzazione del server.
·         Gestione dei supporti removibili (Es.: Floppy, CD-Rom)
I predetti supporti, se non più utilizzati, devono essere distrutti o resi inutilizzabili. Possono essere usati da altri incaricati, aventi anche mansioni diverse, solo se non è più possibile ricostruire il contenuto del supporto. Nessun supporto può essere consegnato a terzi od introdotto nell'ufficio senza specifica autorizzazione  del titolare.
·         Antivirus
L’impresa si è dotata del software antivirus ……………………………….. che è stato installato su tutti gli strumenti elettronici in dotazione.
L’aggiornamento dell’antivirus è continuo ed effettuato automaticamente.
·         Aggiornamento sistema operativo e dei software in uso :
 
Il responsabile del Trattamento provvede all’aggiornamento del sistema operativo e dei software attualmente in uso almeno semestralmente.
·         Gruppo di continuità
L’impresa si è dotata di un gruppo di continuità per prevenire le conseguenze dei blackout elettrici o dei picchi di sovra o sotto tensione elettrica.
·         Firewall
L’impresa si è dotata del sistema firewall.
Il firewall è stato configurato dalla società ………………………………………….. specializzata in sicurezza informatica che ha fornito anche direttive e indicazioni in merito alla sua manutenzione periodica.
·                                                               Gestione manutenzione strumenti elettronici:
La manutenzione degli strumenti elettronici sia a livello hardware sia a livello software viene affidata alla ditta ……………………………………………………………. con sede in ……………………………………
·                                                               Sistema di identificazione e autenticazione
L’impresa ha attivato un sistema d’autenticazione per ognuno degli incaricati che trattano dati personali.
E’ stato attribuito un codice identificativo strettamente personale per l'utilizzazione degli strumenti elettronici (di solito personal computer).
I codici identificativi sono aggiornati: trimestralmente.
Il sistema di autenticazione prevede l’utilizzo di parole chiave (password) sia a livello di sistema operativo sia a livello di singola applicazione.
Il responsabile del trattamento è incaricato della gestione delle password.
·                                                               Trattamenti senza l’ausilio di strumenti elettronici
La gestione dei supporti cartacei presso la sede dello Studio nonché presso l'unità locale in …………………………., è attuata nel rispetto delle seguenti indicazioni operative:
§Gli incaricati devono aver accesso ai soli dati utili per l’esecuzione dell’incarico prescritto;
§I documenti devono essere conservati in archivi ad accesso selezionato;
§Gli accessi agli archivi devono essere sempre preventivamente autorizzati;
§I documenti, terminate le operazioni di trattamento, devono essere restituiti.
 
8 - Criteri e modalità di ripristino delle disponibilità dei dati.
Al fine di garantire non solo la integrità, ma anche la pronta disponibilità dei dati l’impresa si è dotata di strumenti e procedure di back up.
La frequenza con cui vengono effettuate le copie di sicurezza è giornaliera.
Il Sig. ………………………………………………….., dipendente dello studio, ed il dott. ……………………………………., sono stati incaricati di  gestire le copie di sicurezza e le procedure di backup e sono stati edotti dal responsabile del trattamento in riferimento alle procedure da seguire.
In caso di assenza dei Signori …………………………………………………………………….., il responsabile del trattamento si occuperà  di persona della procedura di backup.
I supporti di back up vengono titolati e la loro custodia etichettata.
Le copie di back up sono conservate in un locale  diverso da quello in cui sono posti gli elaboratori.
I supporti di memorizzazione vengono distrutti qualora dagli stessi possano essere recuperate le informazioni precedentemente registrate.
La procedura di ripristino dei dati back-up è stata affidata alla società di s/w che si occupa della manutenzione ed aggiornamento degli elaboratori elettronici in uso.
 
9 -   Formazione
La formazione degli incaricati al trattamento dei dati è ritenuta un elemento importante per la riduzione dei rischi al proprio sistema informativo e pertanto l’impresa s’impegna a promuovere momenti formativi. In particolare verranno organizzati degli stage formativi appropriati:
–ad ogni nomina di incaricati al trattamento dati;
–ad ogni installazione di nuovo s/w per il trattamento dei dati;
–ad ogni modifica del s/w in uso;
–ad ogni cambiamento delle mansioni affidate a ciascun incaricato;
–a richiesta da parte degli incaricati al trattamento.
10 -  Trattamenti affidati all’esterno
In conformità con quanto disposto dal punto 19.7 del “Disciplinare Tecnico” (all. B del Codice), rendendosi necessario l’affidamento  di alcuni trattamenti di dati a soggetti esterni,vengono stabiliti i criteri per garantire la corretta gestione dei dati comunicati.
b)      Elenco operatori esterni:
1)  Attività: assistenza informatica – h/w
     Natura dati: dati personali ed identificativi
     Operatore: ……………………………………………
2) Attività: (commercialista, consulente del lavoro)
     Natura dati: dati personali ed identificativi
            Operatore: ………………………………………….
            Operatore: …………………………………………
 Descrizione criteri
Ciascun operatore esterno, in forma scritta dovrà documentare:
c)       di essere consapevole che i dati che tratterà nell’espletamento dell’incarico ricevuto sono dati personali e/o sensibili e pertanto soggetti all’approvazione della normativa sulla privacy.
d)       Di porre in essere gli adempimenti previsti dal codice sulla privacy per la protezione dei dati personali.
e)       Di adottare le prescrizioni eventualmente comunicate in tema di gestione dei dati in aggiunta a quelle già in essere.
f)         Di comunicare senza indugio il verificarsi di situazioni che mettano a rischio la corretta gestione dei dati ricevuti o la perdita degli stessi;
g)       Di relazionare personalmente circa le misure minime di sicurezza adottate.
11 - Modalità aggiornamento del Documento Programmatico per la Sicurezza:
Il  responsabile del trattamento è il soggetto preposto all’aggiornamento ed alla custodia del documento programmatico per la sicurezza.
Il documento in oggetto non deve rimanere statico ma deve essere aggiornato ogni volta che vi siano cambiamenti significativi che incidano sulle misure minime di sicurezza.
In ogni caso ogni anno entro il 31 marzo, il responsabile del trattamento dovrà procedere alla completa revisione del documento in oggetto.
 
 
             
Data………………….luogo………………………
                                    Il Titolare del trattamento