Data privacy istruzioni operative 2016

ASSOCIAZIONE GRUPPO ABELE - ONLUS

Istruzioni per gli Incaricati del

Trattamento di Dati Personali

Versione estesa

in riferimento al

Decreto legislativo 30 giugno 2003, n. 196

(Codice in materia di protezione di dati personali)

Istruzioni per Incaricati del Trattamento dei Dati – Vers. estesa 15/10/2012

All. 05 - ASSOCIAZIONE GRUPPO ABELE - ONLUS PAGINA 2 DI 20

SOMMARIO

1 PREMESSA ............................................................................................................... 3

2 GLOSSARIO ............................................................................................................ 4

3 IL DECRETO LEGISLATIVO 196/2003 ........................................................... 6

4 NORME GENERALI PER LA PROTEZIONE DEI DATI ................................ 8

4.1 Norme logistiche di carattere generale .................................................... 8

4.2 Informazione verso i soggetti interessati ................................................ 8

4.2.1 Dati degli ospiti delle Comunità ........................................................... 8

4.2.2 Dati di persone esterne......................................................................... 9

4.2.3 Dati del personale ................................................................................... 9

5 UTILIZZO DEL PC E DELLA RETE AZIENDALE ......................................... 11

5.1 Gestione username e password .................................................................. 11

5.1.1 Selezione della password .................................................................... 11

5.1.2 Gestione della password ...................................................................... 12

5.2 Gestione della sessione di lavoro .............................................................. 12

5.3 Installazione di hw / sw e configurazione del PC .................................. 13

5.4 Protezione contro i virus informatici ....................................................... 14

5.5 Gestione dei computer portatili ................................................................ 14

5.6 Salvataggio dei dati ...................................................................................... 15

5.6.1 Dati residenti su server ...................................................................... 15

5.6.2 Dati residenti sul PC ............................................................................. 15

5.7 Utilizzo di supporti rimovibili..................................................................... 16

5.8 Utilizzo di servizi vari su Internet e altre reti..................................... 16

5.9 Utilizzo del servizio di posta elettronica ................................................ 17

6 GESTIONE DEI DOCUMENTI “NON ELETTRONICI” .............................. 18

6.1 Misure di sicurezza ...................................................................................... 18

6.2 Norme di gestione ........................................................................................ 19



1 PREMESSA

Il presente documento contiene le istruzioni operative per il trattamento

dei dati personali nell’Associazione Gruppo Abele ONLUS (di seguito

“Associazione”), conformemente al Decreto Legislativo n.196/2003 “Codice

in materia di protezione dei dati personali” (di seguito “Legge”).

I dipendenti, i collaboratori, i consulenti, i volontari ed in generale tutti

coloro che operano nell’Associazione devono ispirarsi a un principio generale

di diligenza e correttezza nell’utilizzo delle risorse informatiche,

telematiche e del patrimonio informativo.

Ogni utilizzo del sistema informativo dell’Associazione diverso da finalità

strettamente professionali è espressamente vietato. Di seguito vengono

esposte le regole comportamentali da seguire per evitare e prevenire

condotte che anche inconsapevolmente potrebbero comportare rischi alla

sicurezza del sistema informativo e all’immagine dell’Associazione.



2 GLOSSARIO

Dati Personali Tutte le informazioni relative a persone fisiche o giuridi-

che, oppure ad enti o associazioni, che consentano

l’identificazione diretta o indiretta di questi stessi sog-

getti e/o l’attribuzione ad essi di atti, stati e condizioni,

che la Legge considera attinenti alla loro sfera di riserva-

tezza.

Dati Sensibili Dati Personali idonei a rivelare l’origine razziale ed etnica,

le convinzioni religiose, filosofiche o di altro genere, le

opinioni politiche, l’adesione a partiti, sindacati,

associazioni o organizzazioni a carattere religioso, poli-

tico, filosofico o sindacale, nonché i Dati Personali idonei a

rivelare lo stato di salute e la vita sessuale.

Dati Giudiziari Dati Personali idonei a rivelare provvedimenti di cui

all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del

d.P.R. 14 novembre 2002, n. 313, in materia di casellario

giudiziale, di anagrafe delle sanzioni amministrative

dipendenti da reato e dei relativi carichi pendenti, o la

qualita' di imputato o di indagato ai sensi degli articoli 60

e 61 del codice di procedura penale.

Incaricato del

Trattamento

Colui che compie le operazioni di Trattamento dei Dati

Personali, attenendosi alle istruzioni impartite dal Tito-

lare o dal Responsabile. N.B.: nel seguito del documento sarà referenziato semplicemente come “Incaricato”.

Interessato La persona fisica, la persona giuridica, l’ente o

l’associazione cui si riferiscono i Dati Personali.

Responsabile del

Trattamento

Ai sensi del D.Lgs n.196/2003 è la persona fisica, la per-

sona giuridica, la pubblica amministrazione e qualsiasi altro

ente, associazione od organismo preposti dal Titolare al

Trattamento di Dati Personali.



Trattamento dei

Dati Personali

Ai sensi del D.Lgs n.196/2003 è qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati.



3 IL DECRETO LEGISLATIVO 196/2003

Il 30 giugno 2003 è stato emanato il D.Lgs n.196 “ Codice in materia di

protezione dei dati personali” che è entrato in vigore il 1 gennaio 2004 ed ha

contestualmente abrogato la precedente Legge 675/96. Tale Decreto

intende garantire che il Trattamento dei Dati Personali si svolga nel rispetto

dei diritti e delle libertà fondamentali nonché della dignità delle persone, con

particolare riferimento alla riservatezza dei dati personali. Esso intende

principalmente definire dei Criteri di Correttezza che regolamentino per

grandi linee le attività che ai Dati Personali sono legate.

Per Dati Personali vengono intese tutte le informazioni relative a

persone (fisiche o giuridiche), oppure ad enti o associazioni, che consentano

l’identificazione diretta o indiretta di questi stessi soggetti e/o

l’attribuzione ad essi di atti, stati e condizioni, che la Legge considera atti-

nenti alla loro sfera di riservatezza.

È importante sottolineare che la tutela di tali dati non si limita a quelli

relativi a personale aziendale, ma deve considerarsi estesa a qualsivoglia

Dato Personale, anche di soggetti esterni, che sia comunque oggetto di

Trattamento da parte della Società. In quest’ottica dunque debbono ad

esempio essere tutelati anche i Dati Personali di clienti e fornitori (intesi

tanto come persone quanto come società), visitatori, familiari di dipendenti e

via dicendo.

Esiste, inoltre, una categoria di Dati Personali - i cosiddetti Dati

Sensibili - attinenti alla sfera personalissima dei singoli: Dati Personali idonei

a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di

altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni

o organizzazioni a carattere religioso, politico, filosofico o sindacale, nonché

i Dati Personali idonei a rivelare lo stato di salute e la vita sessuale. I dati

sensibili sono una categoria “chiusa”, ovvero sono quelli sopra definiti e non è

possibile definire per analogia altri tipi di dati come “sensibili”

La Legge contempla inoltre un’ulteriore categoria di dati, ovvero i Dati

Giudiziari, che sono i dati personali idonei a rivelare provvedimenti in materia



di casellario giudiziale, di anagrafe della sanzioni amministrative dipendenti

da reato e dei relativi carchi pendenti, o la qualità di imputato o di indagato

ai sensi del codice di procedura penale.

Si evidenzia l’esigenza di gestire con particolare attenzione i Dati Perso-

nali Sensibili e Giudiziari oggetto di Trattamento. Infatti, per tali dati la

Legge prevede una tutela maggiore rispetto agli altri dati, e le possibilità di

aprire gravi contenziosi di carattere legale a fronte di violazioni sono di

fatto molto consistenti (basti considerare, come esempio, la violazione della

riservatezza di una cartella clinica).



4 NORME GENERALI PER LA PROTEZIONE DEI DATI

Nel capitolo successivo sono esposte le modalità di uso del PC e della rete

aziendale. In questo capitolo sono descritti:

1. le norme logistiche di carattere generale;

2. le modalità per informare i soggetti i cui dati sono oggetto di

trattamento.

4.1 Norme logistiche di carattere generale

Laddove si esegue il trattamento di Dati Personali, deve essere

possibile ricoverare in luogo sicuro i documenti cartacei ed i supporti

rimovibili contenenti tali dati. Pertanto devono essere dotati di serratura con

chiave:

Le porte degli uffici;

Almeno un armadio per sede, meglio un armadio per ufficio;

Al termine dell’orario lavorativo, ove la dinamica delle attività ed il

numero di occupanti lo consentano, è necessario chiudere sempre a chiave gli

uffici nei quali vengono svolti trattamenti di Dati Personali.

Ove possibile, si raccomanda di dotare le sedi dell’Associazione di un

servizio di rilevazione delle presenze e di un servizio di reception /

sorveglianza. In questo caso, ogni Incaricato è tenuto ad utilizzare sempre i

sistemi di rilevazione presenze disponibili, allo scopo di segnalare la propria

presenza e legittimare le attività in corso di svolgimento.

4.2 Informazione verso i soggetti interessati

4.2.1 Dati degli ospiti delle Comunità

Sono i dati, anche sensibili e giudiziari, relativi agli utenti che

frequentano o sono domiciliati presso le Comunità gestite dall’Associazione.

Il Responsabile dell’Attività o della Comunità di competenza, eventualmente

tramite l’incaricato per il trattamento dei dati:



1. Informa gli ospiti delle Comunità con il documento in Allegato 7 –

“Dichiarazione di consenso informato per Ospiti delle Comunità” sulle

modalità e le finalità del trattamento dei loro dati.

2. Nel caso di utilizzo di immagini di minori nell’ambito di attività

dell’Associazione, chiede il consenso utilizzando il documento in

Allegato 8 “Consenso_Liberatoria_Foto”.

3. Rileva i dati e li trasferisce su supporto informatico o su cartella

individuale cartacea.

4. Quando non sono utilizzati, i documenti cartacei originali sono

archiviati in appositi armadi chiusi a chiave. La chiave è custodita dal

Responsabile dell’Attività o della Comunità o da un suo delegato. La

cartella individuale viene conservata in armadi chiusi a chiave.

4.2.2 Dati di persone esterne

Sono i dati, anche sensibili e giudiziari, relativi a persone esterne

coinvolte dai vari Progetti dell’Associazione, finalizzati in vario modo alla

loro assistenza e possibile recupero. In linea di massima questi dati sono

gestiti con le stesse modalità del punto precedente.

4.2.3 Dati del personale

Sono i dati anagrafici, di residenza e di studio relativi al personale

dipendente, al personale a contratto ed ai volontari operanti nell’ambito

dell’Associazione. Tutti questi dati sono gestiti unicamente dal Servizio

Risorse Umane con le seguenti modalità:

1. Nel momento in cui si instaura un rapporto di lavoro (assunzione a

tempo indeterminato oppure contratto di collaborazione continuativa),

dipendenti e collaboratori dell’Associazione sottoscrivono il documento

in Allegato 9 – “Consenso_Dipendenti_Collaboratori” con il quale:

a. Ricevono le informazioni circa le modalità e le finalità del

trattamento dei loro dati;

b. sottoscrivono un documento liberatorio di responsabilità per

l’utilizzo dei dati, compresa l’eventuale trasmissione all’esterno

unicamente a titolo operativo.



2. I volontari per poter operare presso l’Associazione devono

sottoscrivere il documento in Allegato 10 –

“Consenso_Domanda_Volontari”, che comprende una sezione sulle

modalità e finalità del trattamento dei loro dati.



5 UTILIZZO DEL PC E DELLA RETE AZIENDALE

Come principio generale, sia i dispositivi di memorizzazione del proprio

PC sia le unità di rete e le aree di condivisione devono contenere

informazioni strettamente professionali e non possono essere utilizzate per

scopi diversi (immagini, video e documenti personali).

I paragrafi seguenti descrivono le regole di utilizzo del PC e della rete

aziendale.

5.1 Gestione username e password

L’accesso al PC, sia esso collegato in rete o meno, è protetto da un

sistema di autenticazione che richiede all’Incaricato di inserire sulla videata

di accesso all’elaboratore (Log-in) un codice utente (username) ed una parola

chiave (password).

L’adozione ed il corretto utilizzo della combinazione username /

password è fondamentale per il corretto utilizzo del PC, in quanto:

tutela l’utilizzatore ed in generale l’Associazione da accessi illeciti,

atti di vandalismo e, in generale, violazioni e danneggiamenti del

proprio patrimonio informativo;

tutela l’Incaricato da false imputazioni, garantendo che nessuno

possa operare a suo nome e che, con il suo profilo (ossia con le sue

userid e password) solo lui possa svolgere determinate azioni;

è necessario per gestire correttamente gli accessi a risorse

condivise.

In tale ottica ogni Incaricato è tenuto ad attenersi a quanto di seguito

prescritto, che deve ritenersi valido per qualsivoglia tipologia di password

(password di accesso al computer, alla rete, a sistemi remoti, a documenti

riservati e così via).

5.1.1 Selezione della password

Ciascun incaricato deve scegliere le password in base ai seguenti

criteri:



devono essere lunghe almeno otto caratteri;

non devono fare riferimento ad informazioni agevolmente

riconducibili ai soggetti utilizzatori o ai loro famigliari;

devono contenere una combinazione di numeri e/o segni speciali,

lettere, maiuscole e minuscole,

Non deve essere uguali alle precedenti

5.1.2 Gestione della password

Cose da fare:

Almeno ogni TRE mesi è obbligatorio cambiare la password.

Ogni password ricevuta va modificata al primo utilizzo.

Avvertenze:

La password deve essere conservata in un luogo sicuro.

Non rivelare o condividere la password con i colleghi di lavoro,

famigliari e amici, soprattutto attraverso il telefono;

Non utilizzare la funzione, offerta da alcuni software, di salvare

automaticamente la password per successivi utilizzi delle applicazioni.

5.2 Gestione della sessione di lavoro

Al termine delle ore di servizio il PC deve essere spento, a meno che

non stia svolgendo elaborazioni particolari. In tal caso gli uffici debbono

tassativamente essere chiusi a chiave.

Se l’incaricato si assenta momentaneamente dalla propria postazione

deve accertarsi che l’eventuale sessione di lavoro aperta non sia accessibile

da altre persone. Pertanto deve chiudere la sessione di lavoro sul PC facendo

Logout, oppure in alternativa deve avere attivo un salvaschermo (screen-

saver) protetto dalle credenziali di autenticazione. Relativamente all’utilizzo

dello screen-saver, occorre osservare le seguenti norme:

Non deve mai essere disattivato;

Il suo avvio automatico deve essere previsto non oltre i primi 10 minuti

di inattività del PC;



Deve essere messo in funzione manualmente ogni volta che si lascia il

PC incustodito ed acceso.

Non utilizzare screensaver non appartenenti al sistema operativo del

PC.

Quando si esegue la stampa di un documento contenente dati personali,

in particolare su una stampante condivisa, occorre ritirare

tempestivamente i documenti stampati per evitare l’accesso a soggetti

non abilitati al trattamento.

5.3 Installazione di hw / sw e configurazione del PC

Sui PC dell’Associazione, l’installazione di hardware e software nonché la

modifica dei parametri di configurazione possono essere eseguiti solamente

dalle persone del Servizio Informatico su mandato del Responsabile Gestione

e Manutenzione Sistemi Elettronici. Pertanto si raccomanda agli utenti dei PC

di rispettare i seguenti divieti:

Non utilizzare sul PC dispositivi personali, o comunque non aziendali,

quali lettori dispositivi di memorizzazione dei dati.

Non installare sistemi per connessione esterne (es : modem, wifi); tali

connessioni, aggirando i sistemi preposti alla sicurezza della rete

aziendale, aumentano sensibilmente i rischi di intrusioni e di attacchi

dall’esterno.

Non installare programmi, anche in versione demo. In particolare, è

vietata l’installazione di giochi, programmi in prova (shareware),

programmi gratuiti (freeware), programmi pirata, e in generale di

tutto il software non autorizzato dal Servizio Informatico: tale

software potrebbe essere portatore di virus o anche causa di

violazioni di legge.

Non modificare i parametri di configurazione del proprio PC senza

espressa autorizzazione e senza il supporto di personale tecnico

qualificato.

Si ricorda che normalmente la condivisione di aree e di risorse del proprio

PC è vietata. Può essere autorizzata dal Servizio Informatico, solo in casi

eccezionali e solo per il tempo strettamente necessario allo svolgimento delle



attività di lavoro. In questi casi devono essere adottate password di lettura

e scrittura e la condivisione deve operare solo su singole directory del PC, e

non sull’intero disco rigido.

5.4 Protezione contro i virus informatici

Per prevenire eventuali danneggiamenti al software causati dalla presenza

o dall’azione di programmi virus informatici, su ogni elaboratore

dell’Associazione è stato installato un software antivirus aziendale che si

aggiorna automaticamente all’ultima versione disponibile. L’antivirus aziendale

non deve mai essere disattivato o sostituito con altro antivirus non

ufficialmente fornito.

Si ricorda che nonostante la presenza del software antivirus è possibile

che riescano ugualmente a installarsi sul computer virus informatici non

identificati o riconoscibili. Pertanto nel caso il programma antivirus installato

sul proprio PC riscontri la presenza di un virus, oppure si sospetti la presenza

di un virus non rilevato dal programma antivirus è necessario darne

immediatamente segnalazione al responsabile del Servizio Informatico.

Si raccomanda di non scaricare e né tantomeno aprire file provenienti via

e-mail da mittenti sconosciuti. Tali file, possono essere portatori di virus e

compromettere la funzionalità del PC, l’integrità dei dati in essa contenuti e

soprattutto l’integrità dei sistemi collegati al PC stesso.

5.5 Gestione dei computer portatili

L’Associazione ha in dotazione alcuni PC portatili il cui utilizzo deve

essere ogni volta autorizzato. Per l’utilizzo dei PC portatili valgono le regole

elencate per i PC connessi alla rete, con le seguenti ulteriori

raccomandazioni:

prima della riconsegna, rimuovere eventuali file ivi elaborati;

quando il PC portatile è nei locali dell’Associazione, non lasciarlo mai

incustodito; in caso di brevi assenze assicurarlo alla scrivania o ad

elementi “sicuri” dell’arredamento (maniglie, intelaiature…) utilizzando

gli appositi cavi in acciaio dotati di lucchetto;

quando il PC portatile è all’esterno dell’Associazione, evitare di

lasciarlo incustodito;



per assenze prolungate, anche qualora l’ambiente venga ritenuto

“affidabile”, è necessario custodire il portatile in modo opportuno es.

cassaforte;

in caso di furto di un portatile è necessario avvertire tempestivamente

il responsabile del Servizio Informatico, onde prevenire possibili

intrusioni ai sistemi aziendali,

in caso di viaggio aereo trasportare tassativamente il portatile come

bagaglio a mano;

eseguire periodicamente salvataggi dei dati e non tenere tali backup

insieme al PC portatile.

5.6 Salvataggio dei dati

5.6.1 Dati residenti su server

Per i dati ed i documenti che risiedono sui server gestiti centralmente,

come ad esempio cartelle di rete e database, il Servizio Informatico esegue i

salvataggi con la possibilità di ripristinare in toto oppure selettivamente

eventuali files distrutti ad esempio per guasti hardware oppure per

cancellazioni involontarie.

5.6.2 Dati residenti sul PC

Per i dati ed i documenti che risiedono esclusivamente sul PC, ogni

Incaricato deve eseguire almeno una volta alla settimana la copia

(salvataggio, o backup). Questo allo scopo di garantire la disponibilità e la

“ripristinabilità” dei Dati Personali nel caso di una generica compromissione

delle risorse (cancellazioni accidentali, guasti, furti…).

L’Incaricato deve verificare che i supporti informatici utilizzati per il

backup, che normalmente sono dischi magnetici esterni, CD, DVD oppure

flash disks (chiavette) siano funzionali e non corrotti. Tali supporti

informatici devono essere conservati attenendosi alle norme descritte nel

paragrafo successivo “Utilizzo di supporti rimovibili”.



5.7 Utilizzo di supporti rimovibili

I supporti rimovibili, come ad esempio dischi magnetici esterni, penne

USB o CD riscrivibili, quando contengono dati personali devono essere

custoditi in luogo protetto e non accessibile (cassaforte, armadio chiuso a

chiave, etc.). Quando non sono più utilizzati devono essere distrutti o resi

inutilizzabili, ovvero possono essere riutilizzati da altri Incaricati non

autorizzati al trattamento degli stessi dati soltanto dopo essere stati ri-

formattati a basso livello. Tali operazioni vengono effettuate a cura del

servizio Sistemi.

Il trasferimento di file contenenti dati personali, sensibili e giudiziari

su supporti rimovibili, è da eseguire unicamente in via transitoria, ponendo la

massima attenzione alla destinazione di trasferimento e cancellando i file

appena possibile. I dati sensibili/giudiziari devono essere crittografati.

5.8 Utilizzo di servizi vari su Internet e altre reti

I servizi on line devono essere esclusivamente finalizzati al

reperimento di informazioni utili all’Associazione. Non è consentito utilizzare

l’accesso a Internet che non sia finalizzato al reperimento di informazioni

utili al lavoro dell’Associazione e in generale non pertinente all’attività

lavorativa.

L’accesso a Internet avviene attraverso un software di “Web

Filtering” sul quale sono definite le categorie di siti accessibili da parte degli

utenti dei PC aziendali. In ogni caso, al fine di non compromettere la

sicurezza dell’Associazione e di prevenire conseguenze legali o di altro

genere a carico dell’Associazione, gli utenti abilitati all’uso dei PC connessi a

Internet devono adottare i seguenti comportamenti:

Evitare di eseguire in modo autonomo lo scaricamento (download) di

programmi software, anche gratuiti. Se un utente ritiene che un

programma sia utile per esigenze professionali, deve chiedere

l’autorizzazione al responsabile del Servizio Informatico;



Evitare la partecipazione a forum non professionali, l’utilizzo di

chat, di bacheche elettroniche e, più in generale, qualunque utilizzo

di servizi Internet, attuali o futuri, non strettamente inerenti

all’attività professionale.

Sono inoltre espressamente vietati software per la condivisione di

file (“peer to peer”).

5.9 Utilizzo del servizio di posta elettronica Aziendale

Il servizio di posta elettronica viene fornito per permettere la

comunicazione con soggetti terzi interni ed esterni per le finalità della

Associazione e in stretta connessione con l’effettiva attività e mansioni del

lavoratore o del volontario che utilizza tale funzionalità. Non è possibile

utilizzare tale servizio per finalità in contrasto con quelle dell’Associazione, o

non pertinenti ad attività lavorative.

Al fine di non compromettere la sicurezza della Associazione e di

prevenire conseguenze legali a carico della stessa, bisogna adottare le

seguenti norme comportamentali:

Se si ricevono mail da destinatari sconosciuti contenenti file di

qualsiasi tipo, procedere alla loro immediata eliminazione evitando

di aprire le mail e a maggior ragione eventuali file allegati. Il

comportamento sopradescritto va seguito anche se si ricevono file

non concordati da destinatari sconosciuti.

È fatto divieto di utilizzare le caselle di posta elettronica per

l’invio di messaggi personali o per la partecipazione a dibattiti,

forum o mail list, salvo diversa ed esplicita autorizzazione.

La casella di posta elettronica assegnata deve essere mantenuta in

ordine, cancellando i documenti inutili specialmente se contengono

allegati ingombranti come dimensione.



6 GESTIONE DEI DOCUMENTI “NON ELETTRONICI”

Per “non elettronici” si intendono sia documenti cartacei sia documenti di

altro tipo come ad esempio microfilm, microfiches e lucidi.

I documenti di questo tipo contenenti dati sensibili o giudiziari devono

essere protetti in appositi armadi dotati di chiavi. Tutti i documenti

contenenti dati sensibili o giudiziari che si ritiene debbano essere eliminati

devono essere distrutti e non gettati nei cestini.

Si invita in sintesi a porre la massima attenzione ai documenti contenenti

dati personali che si usano. Per proteggere i dati personali è opportuno

evitare il deposito di documenti di qualsiasi genere negli ambienti di transito

o pubblici (corridoi o sale riunioni), come pure l’abbandono in vista sulle

scrivanie quando ci si debba assentare dal proprio posto di lavoro.

Nel caso di dati sensibili e/o giudiziari, il rispetto di queste norme è

obbligatorio.

6.1 Misure di sicurezza

Il trattamento sicuro di documenti contenenti Dati Personali richiede

la presenza di misure di sicurezza con le quali l’Incaricato possa interagire ed

una serie di accorgimenti direttamente gestibili dall’Incaricato stesso.

In particolare, si richiede:

la presenza e l’uso tassativo di armadi e cassetti dotati di

serratura adeguata;

la presenza e l’uso tassativo, ove si richieda la distruzione di

documenti contenenti dati sensibili e giudiziari, di un

tritadocumenti.



6.2 Norme di gestione

Le misure di sicurezza citate ai punti precedenti debbono essere

integrate da opportune attività di gestione delle risorse, allo scopo di essere

realmente efficaci e minimizzare eventuali rischi.

In tal senso, l’Incaricato deve attenersi alle seguenti prescrizioni:

in nessun caso è concesso l’accesso a documentazione contenente

Dati Personali per motivi non dettati da esigenze di lavoro

strettamente connesse ai trattamenti dichiarati, autorizzati e

tutelati dal Titolare;

la documentazione contenente Dati Personali che, per ragioni di

praticità operativa, risiede sulle scrivanie degli Incaricati, deve

comunque essere rimossa al termine dell’orario di lavoro;

l’accesso ai supporti deve essere limitato al tempo necessario a

svolgere i Trattamenti previsti

i supporti devono essere archiviati in ambiente ad accesso

controllato;

i documenti contenenti dati personali, non devono essere lasciati

incustoditi in un ambiente non controllato (ad es. a seguito della

stampa dei documenti su stampante di rete);

il numero di copie di documenti contenenti Dati Personali deve

essere strettamente funzionale alle esigenze di lavoro; in nessun

caso deve essere ecceduto il numero di copie sufficiente a svolgere

i Trattamenti previsti; le misure di sicurezza prescritte debbono

essere indifferentemente applicate agli originali ed alle copie di

detti documenti;

cassetti ed armadi contenenti documentazione riservata debbono

tassativamente essere chiusi a chiave fuori dell’orario di lavoro;

l’accesso fuori orario lavorativo a documenti contenti Dati

sensibili/giudiziari può avvenire da parte di personale Incaricato, o

tramite autorizzazione di quest’ultimo, unicamente previa registra-

zione dell’accesso a tali documenti;

la distruzione di documenti contenenti Dati Personali deve essere

operata, ove possibile, direttamente dal personale Incaricato; tale



operazione deve essere svolta utilizzando, ove disponibili, i tritado-

cumenti appositi;

ove non siano disponibili strumenti per la distruzione dei documenti

(tritadocumenti), o il volume di questi sia tale da imporre il ricorso

al servizio di macero, il personale Incaricato che avvia al macero la

documentazione è tenuto a confezionare tale documentazione in

modo che il pacco risulti anonimo e solido. Deve inoltre aver cura,

per quanto possibile, che il ritiro del pacco venga operato da

personale preposto;

quando gli atti e i documenti contenenti dati personali, sensibili o

giudiziari sono affidati agli Incaricati per lo svolgimento dei relativi

compiti, i medesimi atti e documenti sono controllati e custoditi

dagli Incaricati fino alla restituzione in maniera che ad essi non

accedano persone prive di autorizzazione, e sono restituiti al

termine delle operazioni affidate.

l’accesso agli archivi contenenti dati sensibili o giudiziari deve

essere controllato. Le persone ammesse, a qualunque titolo, dopo

l’orario di chiusura, sono identificate e registrate. Quando gli

archivi non sono dotati di strumenti elettronici per il controllo degli

accessi o di incaricati della vigilanza, le persone che vi accedono

devono essere preventivamente autorizzate.

le stampanti assegnate a gruppi di lavoro o singoli Incaricati

preposti al Trattamento di Dati Personali e/o Sensibili/Giudiziari

debbono necessariamente risiedere negli stessi locali occupati dal

personale Incaricato, ed in nessun caso possono essere condivise

con personale esterno all’ufficio o comunque estraneo al

Trattamento di tali dati.

è severamente vietato utilizzare documenti contenenti Dati

personali, sensibili o giudiziari come carta da riciclo o da appunti.

Data privacy istruzioni operative 2016

Law

Transcript of Data privacy istruzioni operative 2016