Aggiornamento delle istruzioni operative per l’esportazione verso gli USA
Data privacy istruzioni operative 2016
-
Upload
ivan-scandariato -
Category
Law
-
view
65 -
download
0
Transcript of Data privacy istruzioni operative 2016
ASSOCIAZIONE GRUPPO ABELE - ONLUS
Istruzioni per gli Incaricati del
Trattamento di Dati Personali
Versione estesa
in riferimento al
Decreto legislativo 30 giugno 2003, n. 196
(Codice in materia di protezione di dati personali)
Istruzioni per Incaricati del Trattamento dei Dati – Vers. estesa 15/10/2012
All. 05 - ASSOCIAZIONE GRUPPO ABELE - ONLUS PAGINA 2 DI 20
SOMMARIO
1 PREMESSA ............................................................................................................... 3
2 GLOSSARIO ............................................................................................................ 4
3 IL DECRETO LEGISLATIVO 196/2003 ........................................................... 6
4 NORME GENERALI PER LA PROTEZIONE DEI DATI ................................ 8
4.1 Norme logistiche di carattere generale .................................................... 8
4.2 Informazione verso i soggetti interessati ................................................ 8
4.2.1 Dati degli ospiti delle Comunità ........................................................... 8
4.2.2 Dati di persone esterne......................................................................... 9
4.2.3 Dati del personale ................................................................................... 9
5 UTILIZZO DEL PC E DELLA RETE AZIENDALE ......................................... 11
5.1 Gestione username e password .................................................................. 11
5.1.1 Selezione della password .................................................................... 11
5.1.2 Gestione della password ...................................................................... 12
5.2 Gestione della sessione di lavoro .............................................................. 12
5.3 Installazione di hw / sw e configurazione del PC .................................. 13
5.4 Protezione contro i virus informatici ....................................................... 14
5.5 Gestione dei computer portatili ................................................................ 14
5.6 Salvataggio dei dati ...................................................................................... 15
5.6.1 Dati residenti su server ...................................................................... 15
5.6.2 Dati residenti sul PC ............................................................................. 15
5.7 Utilizzo di supporti rimovibili..................................................................... 16
5.8 Utilizzo di servizi vari su Internet e altre reti..................................... 16
5.9 Utilizzo del servizio di posta elettronica ................................................ 17
6 GESTIONE DEI DOCUMENTI “NON ELETTRONICI” .............................. 18
6.1 Misure di sicurezza ...................................................................................... 18
6.2 Norme di gestione ........................................................................................ 19
Istruzioni per Incaricati del Trattamento dei Dati – Vers. estesa 15/10/2012
All. 05 - ASSOCIAZIONE GRUPPO ABELE - ONLUS PAGINA 3 DI 20
1 PREMESSA
Il presente documento contiene le istruzioni operative per il trattamento
dei dati personali nell’Associazione Gruppo Abele ONLUS (di seguito
“Associazione”), conformemente al Decreto Legislativo n.196/2003 “Codice
in materia di protezione dei dati personali” (di seguito “Legge”).
I dipendenti, i collaboratori, i consulenti, i volontari ed in generale tutti
coloro che operano nell’Associazione devono ispirarsi a un principio generale
di diligenza e correttezza nell’utilizzo delle risorse informatiche,
telematiche e del patrimonio informativo.
Ogni utilizzo del sistema informativo dell’Associazione diverso da finalità
strettamente professionali è espressamente vietato. Di seguito vengono
esposte le regole comportamentali da seguire per evitare e prevenire
condotte che anche inconsapevolmente potrebbero comportare rischi alla
sicurezza del sistema informativo e all’immagine dell’Associazione.
Istruzioni per Incaricati del Trattamento dei Dati – Vers. estesa 15/10/2012
All. 05 - ASSOCIAZIONE GRUPPO ABELE - ONLUS PAGINA 4 DI 20
2 GLOSSARIO
Dati Personali Tutte le informazioni relative a persone fisiche o giuridi-
che, oppure ad enti o associazioni, che consentano
l’identificazione diretta o indiretta di questi stessi sog-
getti e/o l’attribuzione ad essi di atti, stati e condizioni,
che la Legge considera attinenti alla loro sfera di riserva-
tezza.
Dati Sensibili Dati Personali idonei a rivelare l’origine razziale ed etnica,
le convinzioni religiose, filosofiche o di altro genere, le
opinioni politiche, l’adesione a partiti, sindacati,
associazioni o organizzazioni a carattere religioso, poli-
tico, filosofico o sindacale, nonché i Dati Personali idonei a
rivelare lo stato di salute e la vita sessuale.
Dati Giudiziari Dati Personali idonei a rivelare provvedimenti di cui
all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del
d.P.R. 14 novembre 2002, n. 313, in materia di casellario
giudiziale, di anagrafe delle sanzioni amministrative
dipendenti da reato e dei relativi carichi pendenti, o la
qualita' di imputato o di indagato ai sensi degli articoli 60
e 61 del codice di procedura penale.
Incaricato del
Trattamento
Colui che compie le operazioni di Trattamento dei Dati
Personali, attenendosi alle istruzioni impartite dal Tito-
lare o dal Responsabile. N.B.: nel seguito del documento sarà referenziato semplicemente come “Incaricato”.
Interessato La persona fisica, la persona giuridica, l’ente o
l’associazione cui si riferiscono i Dati Personali.
Responsabile del
Trattamento
Ai sensi del D.Lgs n.196/2003 è la persona fisica, la per-
sona giuridica, la pubblica amministrazione e qualsiasi altro
ente, associazione od organismo preposti dal Titolare al
Trattamento di Dati Personali.
Istruzioni per Incaricati del Trattamento dei Dati – Vers. estesa 15/10/2012
All. 05 - ASSOCIAZIONE GRUPPO ABELE - ONLUS PAGINA 5 DI 20
Trattamento dei
Dati Personali
Ai sensi del D.Lgs n.196/2003 è qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati.
Istruzioni per Incaricati del Trattamento dei Dati – Vers. estesa 15/10/2012
All. 05 - ASSOCIAZIONE GRUPPO ABELE - ONLUS PAGINA 6 DI 20
3 IL DECRETO LEGISLATIVO 196/2003
Il 30 giugno 2003 è stato emanato il D.Lgs n.196 “ Codice in materia di
protezione dei dati personali” che è entrato in vigore il 1 gennaio 2004 ed ha
contestualmente abrogato la precedente Legge 675/96. Tale Decreto
intende garantire che il Trattamento dei Dati Personali si svolga nel rispetto
dei diritti e delle libertà fondamentali nonché della dignità delle persone, con
particolare riferimento alla riservatezza dei dati personali. Esso intende
principalmente definire dei Criteri di Correttezza che regolamentino per
grandi linee le attività che ai Dati Personali sono legate.
Per Dati Personali vengono intese tutte le informazioni relative a
persone (fisiche o giuridiche), oppure ad enti o associazioni, che consentano
l’identificazione diretta o indiretta di questi stessi soggetti e/o
l’attribuzione ad essi di atti, stati e condizioni, che la Legge considera atti-
nenti alla loro sfera di riservatezza.
È importante sottolineare che la tutela di tali dati non si limita a quelli
relativi a personale aziendale, ma deve considerarsi estesa a qualsivoglia
Dato Personale, anche di soggetti esterni, che sia comunque oggetto di
Trattamento da parte della Società. In quest’ottica dunque debbono ad
esempio essere tutelati anche i Dati Personali di clienti e fornitori (intesi
tanto come persone quanto come società), visitatori, familiari di dipendenti e
via dicendo.
Esiste, inoltre, una categoria di Dati Personali - i cosiddetti Dati
Sensibili - attinenti alla sfera personalissima dei singoli: Dati Personali idonei
a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di
altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni
o organizzazioni a carattere religioso, politico, filosofico o sindacale, nonché
i Dati Personali idonei a rivelare lo stato di salute e la vita sessuale. I dati
sensibili sono una categoria “chiusa”, ovvero sono quelli sopra definiti e non è
possibile definire per analogia altri tipi di dati come “sensibili”
La Legge contempla inoltre un’ulteriore categoria di dati, ovvero i Dati
Giudiziari, che sono i dati personali idonei a rivelare provvedimenti in materia
Istruzioni per Incaricati del Trattamento dei Dati – Vers. estesa 15/10/2012
All. 05 - ASSOCIAZIONE GRUPPO ABELE - ONLUS PAGINA 7 DI 20
di casellario giudiziale, di anagrafe della sanzioni amministrative dipendenti
da reato e dei relativi carchi pendenti, o la qualità di imputato o di indagato
ai sensi del codice di procedura penale.
Si evidenzia l’esigenza di gestire con particolare attenzione i Dati Perso-
nali Sensibili e Giudiziari oggetto di Trattamento. Infatti, per tali dati la
Legge prevede una tutela maggiore rispetto agli altri dati, e le possibilità di
aprire gravi contenziosi di carattere legale a fronte di violazioni sono di
fatto molto consistenti (basti considerare, come esempio, la violazione della
riservatezza di una cartella clinica).
Istruzioni per Incaricati del Trattamento dei Dati – Vers. estesa 15/10/2012
All. 05 - ASSOCIAZIONE GRUPPO ABELE - ONLUS PAGINA 8 DI 20
4 NORME GENERALI PER LA PROTEZIONE DEI DATI
Nel capitolo successivo sono esposte le modalità di uso del PC e della rete
aziendale. In questo capitolo sono descritti:
1. le norme logistiche di carattere generale;
2. le modalità per informare i soggetti i cui dati sono oggetto di
trattamento.
4.1 Norme logistiche di carattere generale
Laddove si esegue il trattamento di Dati Personali, deve essere
possibile ricoverare in luogo sicuro i documenti cartacei ed i supporti
rimovibili contenenti tali dati. Pertanto devono essere dotati di serratura con
chiave:
Le porte degli uffici;
Almeno un armadio per sede, meglio un armadio per ufficio;
Al termine dell’orario lavorativo, ove la dinamica delle attività ed il
numero di occupanti lo consentano, è necessario chiudere sempre a chiave gli
uffici nei quali vengono svolti trattamenti di Dati Personali.
Ove possibile, si raccomanda di dotare le sedi dell’Associazione di un
servizio di rilevazione delle presenze e di un servizio di reception /
sorveglianza. In questo caso, ogni Incaricato è tenuto ad utilizzare sempre i
sistemi di rilevazione presenze disponibili, allo scopo di segnalare la propria
presenza e legittimare le attività in corso di svolgimento.
4.2 Informazione verso i soggetti interessati
4.2.1 Dati degli ospiti delle Comunità
Sono i dati, anche sensibili e giudiziari, relativi agli utenti che
frequentano o sono domiciliati presso le Comunità gestite dall’Associazione.
Il Responsabile dell’Attività o della Comunità di competenza, eventualmente
tramite l’incaricato per il trattamento dei dati:
Istruzioni per Incaricati del Trattamento dei Dati – Vers. estesa 15/10/2012
All. 05 - ASSOCIAZIONE GRUPPO ABELE - ONLUS PAGINA 9 DI 20
1. Informa gli ospiti delle Comunità con il documento in Allegato 7 –
“Dichiarazione di consenso informato per Ospiti delle Comunità” sulle
modalità e le finalità del trattamento dei loro dati.
2. Nel caso di utilizzo di immagini di minori nell’ambito di attività
dell’Associazione, chiede il consenso utilizzando il documento in
Allegato 8 “Consenso_Liberatoria_Foto”.
3. Rileva i dati e li trasferisce su supporto informatico o su cartella
individuale cartacea.
4. Quando non sono utilizzati, i documenti cartacei originali sono
archiviati in appositi armadi chiusi a chiave. La chiave è custodita dal
Responsabile dell’Attività o della Comunità o da un suo delegato. La
cartella individuale viene conservata in armadi chiusi a chiave.
4.2.2 Dati di persone esterne
Sono i dati, anche sensibili e giudiziari, relativi a persone esterne
coinvolte dai vari Progetti dell’Associazione, finalizzati in vario modo alla
loro assistenza e possibile recupero. In linea di massima questi dati sono
gestiti con le stesse modalità del punto precedente.
4.2.3 Dati del personale
Sono i dati anagrafici, di residenza e di studio relativi al personale
dipendente, al personale a contratto ed ai volontari operanti nell’ambito
dell’Associazione. Tutti questi dati sono gestiti unicamente dal Servizio
Risorse Umane con le seguenti modalità:
1. Nel momento in cui si instaura un rapporto di lavoro (assunzione a
tempo indeterminato oppure contratto di collaborazione continuativa),
dipendenti e collaboratori dell’Associazione sottoscrivono il documento
in Allegato 9 – “Consenso_Dipendenti_Collaboratori” con il quale:
a. Ricevono le informazioni circa le modalità e le finalità del
trattamento dei loro dati;
b. sottoscrivono un documento liberatorio di responsabilità per
l’utilizzo dei dati, compresa l’eventuale trasmissione all’esterno
unicamente a titolo operativo.
Istruzioni per Incaricati del Trattamento dei Dati – Vers. estesa 15/10/2012
All. 05 - ASSOCIAZIONE GRUPPO ABELE - ONLUS PAGINA 10 DI 20
2. I volontari per poter operare presso l’Associazione devono
sottoscrivere il documento in Allegato 10 –
“Consenso_Domanda_Volontari”, che comprende una sezione sulle
modalità e finalità del trattamento dei loro dati.
Istruzioni per Incaricati del Trattamento dei Dati – Vers. estesa 15/10/2012
All. 05 - ASSOCIAZIONE GRUPPO ABELE - ONLUS PAGINA 11 DI 20
5 UTILIZZO DEL PC E DELLA RETE AZIENDALE
Come principio generale, sia i dispositivi di memorizzazione del proprio
PC sia le unità di rete e le aree di condivisione devono contenere
informazioni strettamente professionali e non possono essere utilizzate per
scopi diversi (immagini, video e documenti personali).
I paragrafi seguenti descrivono le regole di utilizzo del PC e della rete
aziendale.
5.1 Gestione username e password
L’accesso al PC, sia esso collegato in rete o meno, è protetto da un
sistema di autenticazione che richiede all’Incaricato di inserire sulla videata
di accesso all’elaboratore (Log-in) un codice utente (username) ed una parola
chiave (password).
L’adozione ed il corretto utilizzo della combinazione username /
password è fondamentale per il corretto utilizzo del PC, in quanto:
tutela l’utilizzatore ed in generale l’Associazione da accessi illeciti,
atti di vandalismo e, in generale, violazioni e danneggiamenti del
proprio patrimonio informativo;
tutela l’Incaricato da false imputazioni, garantendo che nessuno
possa operare a suo nome e che, con il suo profilo (ossia con le sue
userid e password) solo lui possa svolgere determinate azioni;
è necessario per gestire correttamente gli accessi a risorse
condivise.
In tale ottica ogni Incaricato è tenuto ad attenersi a quanto di seguito
prescritto, che deve ritenersi valido per qualsivoglia tipologia di password
(password di accesso al computer, alla rete, a sistemi remoti, a documenti
riservati e così via).
5.1.1 Selezione della password
Ciascun incaricato deve scegliere le password in base ai seguenti
criteri:
Istruzioni per Incaricati del Trattamento dei Dati – Vers. estesa 15/10/2012
All. 05 - ASSOCIAZIONE GRUPPO ABELE - ONLUS PAGINA 12 DI 20
devono essere lunghe almeno otto caratteri;
non devono fare riferimento ad informazioni agevolmente
riconducibili ai soggetti utilizzatori o ai loro famigliari;
devono contenere una combinazione di numeri e/o segni speciali,
lettere, maiuscole e minuscole,
Non deve essere uguali alle precedenti
5.1.2 Gestione della password
Cose da fare:
Almeno ogni TRE mesi è obbligatorio cambiare la password.
Ogni password ricevuta va modificata al primo utilizzo.
Avvertenze:
La password deve essere conservata in un luogo sicuro.
Non rivelare o condividere la password con i colleghi di lavoro,
famigliari e amici, soprattutto attraverso il telefono;
Non utilizzare la funzione, offerta da alcuni software, di salvare
automaticamente la password per successivi utilizzi delle applicazioni.
5.2 Gestione della sessione di lavoro
Al termine delle ore di servizio il PC deve essere spento, a meno che
non stia svolgendo elaborazioni particolari. In tal caso gli uffici debbono
tassativamente essere chiusi a chiave.
Se l’incaricato si assenta momentaneamente dalla propria postazione
deve accertarsi che l’eventuale sessione di lavoro aperta non sia accessibile
da altre persone. Pertanto deve chiudere la sessione di lavoro sul PC facendo
Logout, oppure in alternativa deve avere attivo un salvaschermo (screen-
saver) protetto dalle credenziali di autenticazione. Relativamente all’utilizzo
dello screen-saver, occorre osservare le seguenti norme:
Non deve mai essere disattivato;
Il suo avvio automatico deve essere previsto non oltre i primi 10 minuti
di inattività del PC;
Istruzioni per Incaricati del Trattamento dei Dati – Vers. estesa 15/10/2012
All. 05 - ASSOCIAZIONE GRUPPO ABELE - ONLUS PAGINA 13 DI 20
Deve essere messo in funzione manualmente ogni volta che si lascia il
PC incustodito ed acceso.
Non utilizzare screensaver non appartenenti al sistema operativo del
PC.
Quando si esegue la stampa di un documento contenente dati personali,
in particolare su una stampante condivisa, occorre ritirare
tempestivamente i documenti stampati per evitare l’accesso a soggetti
non abilitati al trattamento.
5.3 Installazione di hw / sw e configurazione del PC
Sui PC dell’Associazione, l’installazione di hardware e software nonché la
modifica dei parametri di configurazione possono essere eseguiti solamente
dalle persone del Servizio Informatico su mandato del Responsabile Gestione
e Manutenzione Sistemi Elettronici. Pertanto si raccomanda agli utenti dei PC
di rispettare i seguenti divieti:
Non utilizzare sul PC dispositivi personali, o comunque non aziendali,
quali lettori dispositivi di memorizzazione dei dati.
Non installare sistemi per connessione esterne (es : modem, wifi); tali
connessioni, aggirando i sistemi preposti alla sicurezza della rete
aziendale, aumentano sensibilmente i rischi di intrusioni e di attacchi
dall’esterno.
Non installare programmi, anche in versione demo. In particolare, è
vietata l’installazione di giochi, programmi in prova (shareware),
programmi gratuiti (freeware), programmi pirata, e in generale di
tutto il software non autorizzato dal Servizio Informatico: tale
software potrebbe essere portatore di virus o anche causa di
violazioni di legge.
Non modificare i parametri di configurazione del proprio PC senza
espressa autorizzazione e senza il supporto di personale tecnico
qualificato.
Si ricorda che normalmente la condivisione di aree e di risorse del proprio
PC è vietata. Può essere autorizzata dal Servizio Informatico, solo in casi
eccezionali e solo per il tempo strettamente necessario allo svolgimento delle
Istruzioni per Incaricati del Trattamento dei Dati – Vers. estesa 15/10/2012
All. 05 - ASSOCIAZIONE GRUPPO ABELE - ONLUS PAGINA 14 DI 20
attività di lavoro. In questi casi devono essere adottate password di lettura
e scrittura e la condivisione deve operare solo su singole directory del PC, e
non sull’intero disco rigido.
5.4 Protezione contro i virus informatici
Per prevenire eventuali danneggiamenti al software causati dalla presenza
o dall’azione di programmi virus informatici, su ogni elaboratore
dell’Associazione è stato installato un software antivirus aziendale che si
aggiorna automaticamente all’ultima versione disponibile. L’antivirus aziendale
non deve mai essere disattivato o sostituito con altro antivirus non
ufficialmente fornito.
Si ricorda che nonostante la presenza del software antivirus è possibile
che riescano ugualmente a installarsi sul computer virus informatici non
identificati o riconoscibili. Pertanto nel caso il programma antivirus installato
sul proprio PC riscontri la presenza di un virus, oppure si sospetti la presenza
di un virus non rilevato dal programma antivirus è necessario darne
immediatamente segnalazione al responsabile del Servizio Informatico.
Si raccomanda di non scaricare e né tantomeno aprire file provenienti via
e-mail da mittenti sconosciuti. Tali file, possono essere portatori di virus e
compromettere la funzionalità del PC, l’integrità dei dati in essa contenuti e
soprattutto l’integrità dei sistemi collegati al PC stesso.
5.5 Gestione dei computer portatili
L’Associazione ha in dotazione alcuni PC portatili il cui utilizzo deve
essere ogni volta autorizzato. Per l’utilizzo dei PC portatili valgono le regole
elencate per i PC connessi alla rete, con le seguenti ulteriori
raccomandazioni:
prima della riconsegna, rimuovere eventuali file ivi elaborati;
quando il PC portatile è nei locali dell’Associazione, non lasciarlo mai
incustodito; in caso di brevi assenze assicurarlo alla scrivania o ad
elementi “sicuri” dell’arredamento (maniglie, intelaiature…) utilizzando
gli appositi cavi in acciaio dotati di lucchetto;
quando il PC portatile è all’esterno dell’Associazione, evitare di
lasciarlo incustodito;
Istruzioni per Incaricati del Trattamento dei Dati – Vers. estesa 15/10/2012
All. 05 - ASSOCIAZIONE GRUPPO ABELE - ONLUS PAGINA 15 DI 20
per assenze prolungate, anche qualora l’ambiente venga ritenuto
“affidabile”, è necessario custodire il portatile in modo opportuno es.
cassaforte;
in caso di furto di un portatile è necessario avvertire tempestivamente
il responsabile del Servizio Informatico, onde prevenire possibili
intrusioni ai sistemi aziendali,
in caso di viaggio aereo trasportare tassativamente il portatile come
bagaglio a mano;
eseguire periodicamente salvataggi dei dati e non tenere tali backup
insieme al PC portatile.
5.6 Salvataggio dei dati
5.6.1 Dati residenti su server
Per i dati ed i documenti che risiedono sui server gestiti centralmente,
come ad esempio cartelle di rete e database, il Servizio Informatico esegue i
salvataggi con la possibilità di ripristinare in toto oppure selettivamente
eventuali files distrutti ad esempio per guasti hardware oppure per
cancellazioni involontarie.
5.6.2 Dati residenti sul PC
Per i dati ed i documenti che risiedono esclusivamente sul PC, ogni
Incaricato deve eseguire almeno una volta alla settimana la copia
(salvataggio, o backup). Questo allo scopo di garantire la disponibilità e la
“ripristinabilità” dei Dati Personali nel caso di una generica compromissione
delle risorse (cancellazioni accidentali, guasti, furti…).
L’Incaricato deve verificare che i supporti informatici utilizzati per il
backup, che normalmente sono dischi magnetici esterni, CD, DVD oppure
flash disks (chiavette) siano funzionali e non corrotti. Tali supporti
informatici devono essere conservati attenendosi alle norme descritte nel
paragrafo successivo “Utilizzo di supporti rimovibili”.
Istruzioni per Incaricati del Trattamento dei Dati – Vers. estesa 15/10/2012
All. 05 - ASSOCIAZIONE GRUPPO ABELE - ONLUS PAGINA 16 DI 20
5.7 Utilizzo di supporti rimovibili
I supporti rimovibili, come ad esempio dischi magnetici esterni, penne
USB o CD riscrivibili, quando contengono dati personali devono essere
custoditi in luogo protetto e non accessibile (cassaforte, armadio chiuso a
chiave, etc.). Quando non sono più utilizzati devono essere distrutti o resi
inutilizzabili, ovvero possono essere riutilizzati da altri Incaricati non
autorizzati al trattamento degli stessi dati soltanto dopo essere stati ri-
formattati a basso livello. Tali operazioni vengono effettuate a cura del
servizio Sistemi.
Il trasferimento di file contenenti dati personali, sensibili e giudiziari
su supporti rimovibili, è da eseguire unicamente in via transitoria, ponendo la
massima attenzione alla destinazione di trasferimento e cancellando i file
appena possibile. I dati sensibili/giudiziari devono essere crittografati.
5.8 Utilizzo di servizi vari su Internet e altre reti
I servizi on line devono essere esclusivamente finalizzati al
reperimento di informazioni utili all’Associazione. Non è consentito utilizzare
l’accesso a Internet che non sia finalizzato al reperimento di informazioni
utili al lavoro dell’Associazione e in generale non pertinente all’attività
lavorativa.
L’accesso a Internet avviene attraverso un software di “Web
Filtering” sul quale sono definite le categorie di siti accessibili da parte degli
utenti dei PC aziendali. In ogni caso, al fine di non compromettere la
sicurezza dell’Associazione e di prevenire conseguenze legali o di altro
genere a carico dell’Associazione, gli utenti abilitati all’uso dei PC connessi a
Internet devono adottare i seguenti comportamenti:
Evitare di eseguire in modo autonomo lo scaricamento (download) di
programmi software, anche gratuiti. Se un utente ritiene che un
programma sia utile per esigenze professionali, deve chiedere
l’autorizzazione al responsabile del Servizio Informatico;
Istruzioni per Incaricati del Trattamento dei Dati – Vers. estesa 15/10/2012
All. 05 - ASSOCIAZIONE GRUPPO ABELE - ONLUS PAGINA 17 DI 20
Evitare la partecipazione a forum non professionali, l’utilizzo di
chat, di bacheche elettroniche e, più in generale, qualunque utilizzo
di servizi Internet, attuali o futuri, non strettamente inerenti
all’attività professionale.
Sono inoltre espressamente vietati software per la condivisione di
file (“peer to peer”).
5.9 Utilizzo del servizio di posta elettronica Aziendale
Il servizio di posta elettronica viene fornito per permettere la
comunicazione con soggetti terzi interni ed esterni per le finalità della
Associazione e in stretta connessione con l’effettiva attività e mansioni del
lavoratore o del volontario che utilizza tale funzionalità. Non è possibile
utilizzare tale servizio per finalità in contrasto con quelle dell’Associazione, o
non pertinenti ad attività lavorative.
Al fine di non compromettere la sicurezza della Associazione e di
prevenire conseguenze legali a carico della stessa, bisogna adottare le
seguenti norme comportamentali:
Se si ricevono mail da destinatari sconosciuti contenenti file di
qualsiasi tipo, procedere alla loro immediata eliminazione evitando
di aprire le mail e a maggior ragione eventuali file allegati. Il
comportamento sopradescritto va seguito anche se si ricevono file
non concordati da destinatari sconosciuti.
È fatto divieto di utilizzare le caselle di posta elettronica per
l’invio di messaggi personali o per la partecipazione a dibattiti,
forum o mail list, salvo diversa ed esplicita autorizzazione.
La casella di posta elettronica assegnata deve essere mantenuta in
ordine, cancellando i documenti inutili specialmente se contengono
allegati ingombranti come dimensione.
Istruzioni per Incaricati del Trattamento dei Dati – Vers. estesa 15/10/2012
All. 05 - ASSOCIAZIONE GRUPPO ABELE - ONLUS PAGINA 18 DI 20
6 GESTIONE DEI DOCUMENTI “NON ELETTRONICI”
Per “non elettronici” si intendono sia documenti cartacei sia documenti di
altro tipo come ad esempio microfilm, microfiches e lucidi.
I documenti di questo tipo contenenti dati sensibili o giudiziari devono
essere protetti in appositi armadi dotati di chiavi. Tutti i documenti
contenenti dati sensibili o giudiziari che si ritiene debbano essere eliminati
devono essere distrutti e non gettati nei cestini.
Si invita in sintesi a porre la massima attenzione ai documenti contenenti
dati personali che si usano. Per proteggere i dati personali è opportuno
evitare il deposito di documenti di qualsiasi genere negli ambienti di transito
o pubblici (corridoi o sale riunioni), come pure l’abbandono in vista sulle
scrivanie quando ci si debba assentare dal proprio posto di lavoro.
Nel caso di dati sensibili e/o giudiziari, il rispetto di queste norme è
obbligatorio.
6.1 Misure di sicurezza
Il trattamento sicuro di documenti contenenti Dati Personali richiede
la presenza di misure di sicurezza con le quali l’Incaricato possa interagire ed
una serie di accorgimenti direttamente gestibili dall’Incaricato stesso.
In particolare, si richiede:
la presenza e l’uso tassativo di armadi e cassetti dotati di
serratura adeguata;
la presenza e l’uso tassativo, ove si richieda la distruzione di
documenti contenenti dati sensibili e giudiziari, di un
tritadocumenti.
Istruzioni per Incaricati del Trattamento dei Dati – Vers. estesa 15/10/2012
All. 05 - ASSOCIAZIONE GRUPPO ABELE - ONLUS PAGINA 19 DI 20
6.2 Norme di gestione
Le misure di sicurezza citate ai punti precedenti debbono essere
integrate da opportune attività di gestione delle risorse, allo scopo di essere
realmente efficaci e minimizzare eventuali rischi.
In tal senso, l’Incaricato deve attenersi alle seguenti prescrizioni:
in nessun caso è concesso l’accesso a documentazione contenente
Dati Personali per motivi non dettati da esigenze di lavoro
strettamente connesse ai trattamenti dichiarati, autorizzati e
tutelati dal Titolare;
la documentazione contenente Dati Personali che, per ragioni di
praticità operativa, risiede sulle scrivanie degli Incaricati, deve
comunque essere rimossa al termine dell’orario di lavoro;
l’accesso ai supporti deve essere limitato al tempo necessario a
svolgere i Trattamenti previsti
i supporti devono essere archiviati in ambiente ad accesso
controllato;
i documenti contenenti dati personali, non devono essere lasciati
incustoditi in un ambiente non controllato (ad es. a seguito della
stampa dei documenti su stampante di rete);
il numero di copie di documenti contenenti Dati Personali deve
essere strettamente funzionale alle esigenze di lavoro; in nessun
caso deve essere ecceduto il numero di copie sufficiente a svolgere
i Trattamenti previsti; le misure di sicurezza prescritte debbono
essere indifferentemente applicate agli originali ed alle copie di
detti documenti;
cassetti ed armadi contenenti documentazione riservata debbono
tassativamente essere chiusi a chiave fuori dell’orario di lavoro;
l’accesso fuori orario lavorativo a documenti contenti Dati
sensibili/giudiziari può avvenire da parte di personale Incaricato, o
tramite autorizzazione di quest’ultimo, unicamente previa registra-
zione dell’accesso a tali documenti;
la distruzione di documenti contenenti Dati Personali deve essere
operata, ove possibile, direttamente dal personale Incaricato; tale
Istruzioni per Incaricati del Trattamento dei Dati – Vers. estesa 15/10/2012
All. 05 - ASSOCIAZIONE GRUPPO ABELE - ONLUS PAGINA 20 DI 20
operazione deve essere svolta utilizzando, ove disponibili, i tritado-
cumenti appositi;
ove non siano disponibili strumenti per la distruzione dei documenti
(tritadocumenti), o il volume di questi sia tale da imporre il ricorso
al servizio di macero, il personale Incaricato che avvia al macero la
documentazione è tenuto a confezionare tale documentazione in
modo che il pacco risulti anonimo e solido. Deve inoltre aver cura,
per quanto possibile, che il ritiro del pacco venga operato da
personale preposto;
quando gli atti e i documenti contenenti dati personali, sensibili o
giudiziari sono affidati agli Incaricati per lo svolgimento dei relativi
compiti, i medesimi atti e documenti sono controllati e custoditi
dagli Incaricati fino alla restituzione in maniera che ad essi non
accedano persone prive di autorizzazione, e sono restituiti al
termine delle operazioni affidate.
l’accesso agli archivi contenenti dati sensibili o giudiziari deve
essere controllato. Le persone ammesse, a qualunque titolo, dopo
l’orario di chiusura, sono identificate e registrate. Quando gli
archivi non sono dotati di strumenti elettronici per il controllo degli
accessi o di incaricati della vigilanza, le persone che vi accedono
devono essere preventivamente autorizzate.
le stampanti assegnate a gruppi di lavoro o singoli Incaricati
preposti al Trattamento di Dati Personali e/o Sensibili/Giudiziari
debbono necessariamente risiedere negli stessi locali occupati dal
personale Incaricato, ed in nessun caso possono essere condivise
con personale esterno all’ufficio o comunque estraneo al
Trattamento di tali dati.
è severamente vietato utilizzare documenti contenenti Dati
personali, sensibili o giudiziari come carta da riciclo o da appunti.