DOCUMENTO SULLA SICUREZZA 2016 - casacaf.cna.it CAF... · Programmatico sulla Sicurezza, DPS, (su...

C A F C N A S R L

P I A Z Z A M A R I A N O A R M E L L I 9 A 0 6 / 4 4 1 8 8 6 0 1 0 6 / 4 4 1 8 8 6 0 2

2 7 / 0 4 / 2 0 1 6

DOCUMENTO SULLA SICUREZZA 2016 Redatto su base volontaria con valenza probatoria ex art. 2050 del Codice Civile e al fine di prevenire reati informatici e trattamenti illeciti di dati ex art. 24-bis D. Lgs. 8.6.2001, n. 231.

Sede Legale e Sede Amministrativa P.I./C.F. 04417981000 00162 Roma - Piazza M. Armellini 9/a Tel. 06-44188601 fax 06-44188602 Capitale Sociale: € 140.000,00 int. versato

e-mail: [email protected] internet: www.caf.cna.it Iscriz. CCIAA 1654/1993

Documento Sulla Sicurezza Pagina 2

CAF CNA SRL - AGENZIA PER LE IMPRESE

DOCUMENTO SULLA SICUREZZA 2015 Redatto su base volontaria

con valenza probatoria ex art. 2050 del Codice Civile e al fine di prevenire reati informatici e trattamenti illeciti di dati

ex art. 24-bis D. Lgs. 8.6.2001, n. 231. Redazione al 27 Aprile 2016

http://www.caf.cna.it/




SOMMARIO

INDICE DELLE TABELLE ....................................................................................................... 5

INDICE DELLE SCHEDE ......................................................................................................... 6

INTRODUZIONE E SCOPO DEL DOCUMENTO ................................................................. 7

REVISIONE E VALIDITÀ DEL PRESENTE DOCUMENTO ............................................... 9

DEFINIZIONI ............................................................................................................................. 9

GUIDA ALLA LETTURA ........................................................................................................... 12

ULTERIORI NORMATIVE CONSIDERATE ALLA DATA DI REDAZIONE DI QUESTO DOCUMENTO ............................................................................................................................ 13

Amministratore di Sistema ......................................................................................................... 13 Legge 18 marzo 2008, n° 48 sui crimini informatici ....................................................................... 13 Provvedimento del Garante dell'8 maggio 2014 in materia di cookie .................................................... 13 Provvedimento del Direttore dell’Agenzia delle entrate del 23 febbraio 2015 ......................................... 14

SEZIONE 1 – CAF CNA SRL ..................................................................................................... 15

1. ELENCO DEI TRATTAMENTI DI DATI PERSONALI ................................................ 15

Contenuti. ................................................................................................................................ 15 Informazioni essenziali. .............................................................................................................. 15

2. DISTRIBUZIONE DEI COMPITI E DELLE RESPONSABILITÀ (REGOLA 19.2) ..... 19

Contenuti. ................................................................................................................................ 19 Organigramma del personale. ....................................................................................................... 20 Organigramma Responsabilità Gestione Trattamenti CAF CNA SRL ............................................. 21

3. ANALISI DEI RISCHI CHE INCOMBONO SUI DATI (REGOLA 19.3) E REATI INFORMATICI .......................................................................................................................... 22

Contenuti................................................................................................................................. 22 Informazioni essenziali ............................................................................................................... 22

4. MISURE IN ESSERE E DA ADOTTARE ....................................................................... 27

Contenuti................................................................................................................................. 27 Informazioni essenziali. .............................................................................................................. 27 Informazioni descrittive analitiche delle misure di sicurezza .............................................. 28

SCHEDE DESCRITTIVE DELLE MISURE ADOTTATE ..................................................... 31

5. CRITERI E MODALITÀ DI RIPRISTINO DELLA DISPONIBILITÀ DEI DATI ...... 38

Contenuti................................................................................................................................. 38 Informazioni essenziali. .............................................................................................................. 38

6. PIANIFICAZIONE DEGLI INTERVENTI FORMATIVI PREVISTI .......................... 42






7. TRATTAMENTI AFFIDATI ALL’ESTERNO................................................................. 44


SEZIONE 2 – CAF AGENZIA PER LE IMPRESE ................................................................. 47

1. ELENCO DEI TRATTAMENTI DI DATI PERSONALI ............................................... 47

Contenuti. ................................................................................................................................ 47 Informazioni essenziali. .............................................................................................................. 47

2. DISTRIBUZIONE DEI COMPITI E DELLE RESPONSABILITÀ (REGOLA 19.2) ..... 51

Contenuti. ................................................................................................................................ 51 Organigramma personale. ............................................................................................................ 52 Organigramma Responsabilità Gestione Trattamenti CAF Agenzia per le Imprese. .............................. 53 Organigramma Gestione Trattamento Attestazione Conformità Imprese. ............................................. 54

3. ANALISI DEI RISCHI CHE INCOMBONO SUI DATI (REGOLA 19.3) E REATI INFORMATICI .......................................................................................................................... 55


4. MISURE IN ESSERE E DA ADOTTARE ....................................................................... 60

Contenuti................................................................................................................................. 60 Informazioni essenziali. .............................................................................................................. 60 Informazioni descrittive analitiche delle misure di sicurezza ................................................................ 61

SCHEDE DESCRITTIVE DELLE MISURE ADOTTATE .................................................... 64

5. CRITERI E MODALITÀ DI RIPRISTINO DELLA DISPONIBILITÀ DEI DATI ...... 70


6. PIANIFICAZIONE DEGLI INTERVENTI FORMATIVI PREVISTI .......................... 74


7. TRATTAMENTI AFFIDATI ALL’ESTERNO................................................................. 76


DICHIARAZIONE D’IMPEGNO E FIRMA ........................................................................... 78

ALLEGATI .................................................................................................................................. 79

ALLEGATO A - ELENCO DELLE SEDI OPERATIVE DEL CAF CNA.............................. 80

ALLEGATO B - ELENCO DELLE STRUTTURE CHE OPERANO PER CONTO DI CAF CNA .............................................................................................................................................. 81

ALLEGATO C - ELENCO DEGLI INCARICATI ................................................................... 82





ALLEGATO D – MODULO ACCESSI AGLI ARCHIVI ED AI LOCALI FUORI DALL’ORARIO DI LAVORO .................................................................................................... 83

ALLEGATO E – PROVVEDIMENTO TELEMATICO AGENZIA ENTRATE ................... 84

ALLEGATO F – OPERAZIONI SICUREZZA ENTRATEL ................................................. 118

ALLEGATO G – EMAIL CONFERMA POLITICA PASSWORD PER CAF ........................ 119

ALLEGATO H – MODELLO DI NOMINA RESPONSABILE DEL TRATTAMENTO DATI DELLE SEDI OPERATIVE PROVINCIALI ............................................................... 120

ALLEGATO I – DESIGNAZIONE A RESPONSABILE ESTERNO ED ATTRIBUZIONE DELLA FUNZIONE DI AMMINISTRATORE DI SISTEMA (SIXTEMA S.P.A. – OCEAN TOOL) ........................................................................................................................................ 122

ALLEGATO L – VERIFICA ANNUALE AMMINISTRATORE DI SISTEMA (SIXTEMA S.P.A. – OCEAN TOOL) ........................................................................................................... 125

ALLEGATO N – MODULO CONSEGNA ISTRUZIONI AGLI INCARICATI ................... 139

ALLEGATO O – CHECK LIST COMITATO ISPETTIVO CNA CAF SRL .......................... 140

ALLEGATO P – AGGIORNAMENTO PRIVACY PER INCARICATI ................................. 148

BIBLIOGRAFIA ........................................................................................................................ 149

Indice delle tabelle TABELLA 1. ELENCO DEI TRATTAMENTI: INFORMAZIONI DI BASE. ............................................................ 17 TABELLA 2 ELENCO DEI TRATTAMENTI: DESCRIZIONE DEGLI STRUMENTI UTILIZZATI ............................... 18 TABELLA 3 STRUTTURE PREPOSTE AI TRATTAMENTI ................................................................................ 19 TABELLA 4 ANALISI DEI RISCHI .............................................................................................................. 23 TABELLA 5 REATI INFORMATICI E ATTIVITÀ DI CONTROLLO ART. 24 BIS D.LGS. N. 231/01 ....................... 25 TABELLA 6 LE MISURE DI SICUREZZA ADOTTATE O DA ADOTTARE ............................................................ 29 TABELLA 7 PROCEDURE SALVATAGGIO ................................................................................................. 39 TABELLA 8 PROCEDURE DI RIPRISTINO .................................................................................................. 41 TABELLA 9 INTERVENTI FORMATIVI ....................................................................................................... 43 TABELLA 10 TRATTAMENTI AFFIDATI ALL’ESTERNO ................................................................................ 45 TABELLA 11. ELENCO DEI TRATTAMENTI: INFORMAZIONI DI BASE. .......................................................... 49 TABELLA 12 ELENCO DEI TRATTAMENTI: DESCRIZIONE DEGLI STRUMENTI UTILIZZATI ............................. 50 TABELLA 13 STRUTTURE PREPOSTE AI TRATTAMENTI .............................................................................. 51 TABELLA 14 ANALISI DEI RISCHI ............................................................................................................ 56 TABELLA 15 REATI INFORMATICI E ATTIVITÀ DI CONTROLLO ART. 24 BIS D.LGS. N. 231/01 ..................... 58 TABELLA 16 LE MISURE DI SICUREZZA ADOTTATE O DA ADOTTARE .......................................................... 62 TABELLA 17 PROCEDURE SALVATAGGIO ............................................................................................... 71 TABELLA 18 PROCEDURE DI RIPRISTINO ................................................................................................ 73 TABELLA 19 INTERVENTI FORMATIVI ..................................................................................................... 75 TABELLA 20 TRATTAMENTI AFFIDATI ALL’ESTERNO ................................................................................ 77





Indice delle schede SCHEDA 1 TUTELA DELLE PASSWORD CAF CNA SRL ............................................................................ 31 SCHEDA 2 SOSPENSIONE POSTAZIONE DI LAVORO DOPO PERIODO DI INATTIVITÀ CAF CNA SRL ............. 31 SCHEDA 3 FORMAZIONE CAF CNA SRL ................................................................................................ 32 SCHEDA 4 NORME GIUSLAVORISTICHE CAF CNA SRL ........................................................................... 32 SCHEDA 5 COPIE DI SICUREZZA CAF CNA SRL ..................................................................................... 33 SCHEDA 6 ANTIVIRUS CAF CNA SRL .................................................................................................... 34 SCHEDA 7 FIRMA DIGITALE CAF CNA SRL ........................................................................................... 34 SCHEDA 8 FILTRO ACCESSI CAF CNA SRL ............................................................................................ 35 SCHEDA 9 APPLICAZIONE DELLE MISURE DI SICUREZZA VOLTE AD EVITARE LA COMMISSIONE DI REATI

INFORMATICI E TRATTAMENTI ILLECITI CAF CNA SRL ................................................................... 35 SCHEDA 10 OBBLIGO DI VERIFICA ANNUALE SU ATTIVITÀ DEGLI AMMINISTRATORI DI SISTEMA CAF CNA

SRL .............................................................................................................................................. 35 SCHEDA 11 ADEGUAMENTO NORMATIVO SITO INTERNET CAF CNA SRL ................................................ 37 SCHEDA 12 ATTENZIONE ALLA CORRETTA GESTIONE DELLE DELEGHE .................................................... 37 SCHEDA 13 TUTELA DELLE PASSWORD CAF AGENZIA PER LE IMPRESE .................................................. 64 SCHEDA 14 SOSPENSIONE POSTAZIONE DI LAVORO DOPO PERIODO DI INATTIVITÀ CAF AGENZIA PER LE

IMPRESE ...................................................................................................................................... 64 SCHEDA 15 FORMAZIONE CAF AGENZIA PER LE IMPRESE ..................................................................... 65 SCHEDA 16 NORME GIUSLAVORISTICHE CAF AGENZIA PER LE IMPRESE ................................................. 65 SCHEDA 17 COPIE DI SICUREZZA CAF AGENZIA PER LE IMPRESE........................................................... 66 SCHEDA 18 ANTIVIRUS CAF AGENZIA PER LE IMPRESE.......................................................................... 67 SCHEDA 19 FIRMA DIGITALE CAF AGENZIA PER LE IMPRESE ................................................................. 67 SCHEDA 20 FILTRO ACCESSI CAF AGENZIA PER LE IMPRESE ................................................................. 68 SCHEDA 21 APPLICAZIONE DELLE MISURE DI SICUREZZA VOLTE AD EVITARE LA COMMISSIONE DI REATI

INFORMATICI E TRATTAMENTI ILLECITI CAF AGENZIA PER LE IMPRESE ........................................... 68 SCHEDA 22 ATTENZIONE ALLA CORRETTA GESTIONE DELLE DELEGHE .................................................... 69 SCHEDA 23 OBBLIGO DI VERIFICA ANNUALE SU ATTIVITÀ AMMINISTRATORI DI SISTEMA CAF AGENZIA PER

LE IMPRESE .................................................................................................................................. 69





Introduzione e Scopo del Documento

Si dichiara che anche per i trattamenti dell’anno 2015 si è provveduto alla compilazione del Documento Programmatico sulla Sicurezza, DPS, (su base volontaria, in quanto l'obbligo è venuto meno in base al D.L. 9.2.2012, n. 5, convertito con modifiche dalla L. 4 aprile 2012, n. 35) con valenza probatoria ex art. 2050 del Codice Civile e al fine di prevenire reati informatici e trattamenti illeciti di dati ex art. 24-bis D. Lgs. 8.6.2001, n. 231. Si è optato per questa scelta per mantenere un alto livello di consapevolezza e di attenzione in relazione alla sicurezza nel trattamento dei dati. Per valorizzare questo tipo di scelta da alcuni anni il DPS, ha assunto la denominazione di Documento Sulla Sicurezza (DSS) e si basa in gran parte, in attesa dell’approvazione del Regolamento europeo sul trattamento dei dati (in quanto destinato a modificare aspetti sostanziali in materia), sulle indicazioni contenute nella “Guida operativa per redigere il Documento programmatico sulla sicurezza (DPS)” (a suo tempo rilasciata dal Garante per la protezione dei dati personali1) , su numerose altre disposizioni o provvedimenti provenienti dalla stessa Authority , sulle note rilasciate dall’Agenzia delle Entrate nel 2011 (miranti a dettare regole minime gestionali sulla Privacy per i soggetti sottoposti a verifica ispettiva), e sui precedenti Documenti di CAF CNA S.r.l., per mantenere un filo logico e coerente rispetto alle analisi precedenti ed alla misure di sicurezza già poste in essere. Le misure individuate perseguono la finalità di ridurre al minimo, con riferimento alla tipologia dei dati trattati, i rischi di distruzione o perdita degli stessi, nonché i rischi di accesso non autorizzato, il trattamento non consentito o non conforme alle finalità di raccolta nonché come modello informativo finalizzato alla prevenzione dei reati informatici. In tal senso il presente documento, mantenendo inalterata l’individuazione dei soggetti, compiti e responsabilità in materia di sicurezza dei trattamenti, e descrivendo le modalità per l’analisi e la valutazione dei rischi, introduce ed amplia le misure necessarie per ridurre tali rischi al minimo, con particolare riferimento ai rischi informatici In termini operativi il presente documento individua non soltanto la protezione del patrimonio informativo da accessi non autorizzati e rischi di cancellazione, distruzione o perdita di dati, ma limita anche gli effetti causati dal verificarsi di tali cause. Il sistema informativo descritto nel presente documento mira a garantire: - la disponibilità dell’informazione e dei servizi per il trattamento in termini funzionali ai livelli di servizio attesi; - l’integrità delle informazioni e dei servizi per il trattamento attraverso l’attribuzione di specifici e definiti incarichi; - l’autenticità delle informazioni quale certificazione delle fonti di provenienza dei dati; - la confidenzialità e la riservatezza delle informazioni in quanto definisce responsabilità, incarichi e istruzioni per i soggetti autorizzati ad effettuare i trattamenti. Il presente documento si applica a tutte le attività svolte dalla società CAF CNA Srl. che comportino trattamento dei dati personali ed utilizzo di strumenti informatici. Il Documento sulla Sicurezza è stato redatto dal Titolare del Trattamento attraverso il “Responsabile per il trattamento dei dati personali”, figura rimasta formalizzata, di CAF CNA SRL identificato nella persona di Roberto Vitale, con l’ausilio di consulenti della società Sixtema Spa.

1 Guida operativa per redigere il Documento programmatico sulla sicurezza (DPS) in

http://www.garanteprivacy.it/garante/document?ID=1007740&DOWNLOAD=tru







Copia del presente documento, compresi gli allegati, è disponibile presso la sede del titolare del trattamento e conservato dal Responsabile che ne dovrà curare gli aggiornamenti come da specifico compito assegnato dal Titolare del Trattamento.





Revisione e Validità del Presente Documento

Il presente Documento è valido fino a quando gli elementi della società CAF CNA Srl (Centro di assistenza fiscale e Agenzia per le Imprese) che intervengono durante il corso del trattamento dei dati non subiscono variazioni. Nel momento in cui uno o più elementi sostanziali subissero variazioni, il presente Documento potrà essere aggiornato. Gli aggiornamenti terranno presente anche i livelli di rischio a cui sono soggetti i dati personali, comuni, sensibili e giudiziari nonché eventuali modifiche della tecnologia informatica.

DEFINIZIONI

Trattamento: qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca dati. Dato anonimo: dato che, in origine o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile. Dato personale: qualunque informazione relativa a persona fisica identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale. Dato identificativo: dato personale che permette l’identificazione diretta dell’interessato. Dato sensibile: dato personale idoneo a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché dato personale idoneo a rivelare lo stato di salute e la vita sessuale. Dato giudiziario: dato personale idoneo a rivelare provvedimenti di cui all’art. 3, comma 1, lettere da a) a o) e da r) a u), del D.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli artt. 60 e 61 del Codice di Procedura Penale. Titolare del trattamento: la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisione in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza. Responsabile del trattamento: la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali. La designazione di un responsabile è facoltativa e non esonera da responsabilità il titolare, il quale ha comunque l’obbligo di impartirgli precise istruzioni e di vigilare sull’attuazione di queste. Il responsabile deve essere un soggetto che fornisce, per esperienza, capacità ed affidabilità, idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. Il responsabile del trattamento dei dati personali, ai fini della sicurezza, ha le responsabilità indicate nella lettera di incarico. Incaricato del trattamento:





il soggetto, designato dal titolare o dal responsabile del trattamento, che tratta i dati. L’incaricato del trattamento dei dati, con specifico riferimento alla sicurezza, ha le responsabilità indicate nella lettera di incarico.





Amministratore di Sistema: neppure il Garante è riuscito a dare una vera e propria definizione dui AdsS, rinviando all’allegato B del Codice privacy l’individuazione delle sue attività tipiche, delle quali riporta diversi esempi quali: gestione dei sistemi di autenticazione e di autorizzazione; disattivazione dei codici identificativi degli incaricati; custodia delle credenziali; gestione del sistema della disattivazione delle parole chiave degli incaricati”; protezione del sistema informatico contro i rischi di intrusione mediante idonei programmi di protezione; organizzazione dei flussi di rete; gestione dei supporti di memorizzazione e gestione del salvataggio dei dati. Interessato del trattamento: la persona fisica cui si riferiscono i dati personali. Comunicazione: il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall’interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione. Cookie: i cookie sono piccoli file di testo che i siti visitati dagli utenti inviano ai loro terminali, ove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla visita successiva. I cookie sono usati per differenti finalità: esecuzione di autenticazioni informatiche, monitoraggio di sessioni, memorizzazione di informazioni su specifiche configurazioni riguardanti gli utenti che accedono al server, memorizzazione delle preferenze, ecc. Il Garante li distingue in cookie tecnici, analitici, di profilazione. Per ognuna di queste tipologie di cookie sono previsti obblighi per il titolare del sito di natura diversa Diffusione: il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione. Blocco: la conservazione di dati personali con sospensione temporanea di ogni altra operazione del trattamento. Banca dati: qualsiasi complesso di dati personali, ripartito in una o più unità dislocate in uno o più siti, organizzato secondo una pluralità di criteri determinati tali da facilitarne il trattamento. Misure di sicurezza: il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello di protezione adeguato richiesto in relazione ai rischi previsti nell’art. 31 del d. Lgs. 196/2003. Reato informatico: qualsiasi condotta realizzata per mezzo delle nuove tecnologie o comunque rivolta contro i beni informatici, sanzionata dall’ordinamento penale. Può essere considerato reato informatico tanto la frode commessa attraverso il computer che il danneggiamento del sistema informatico.





Guida alla lettura

Il DSS di CAF CNA è stato diviso in due sezioni, una riferita all’attività svolta come Centro Assistenza Fiscale, l’altra riferita all’attività svolta come Agenzia per le Imprese, per dar risalto alla differenziazione posta in essere con l’introduzione di adempimenti specifici richiesti dall’Agenzia pe le Imprese e che potrebbero essere richiesti, in futuro, anche dal Ministero dello Sviluppo Economico (MISE) ed è articolato in capitoli seguendo il modello a suo tempo proposto dal Garante per il DPS. Ogni capitolo si riferisce ad uno dei punti indicati della regola 19 – ora abrogata - dell’allegato B; anche se su forma volontaria si rispetterà lo stesso costrutto. Oltre a tali capitoli è stato inserito un capitolo finale che comprende allegati, modulistica e documentazione di approfondimento, in questo caso tali documenti hanno valore per entrambe le sezioni.





Ulteriori normative considerate alla data di redazione di questo documento

Amministratore di Sistema In relazione al provvedimento del Garante per la protezione dei dati personali dal titolo “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema2” del 27 novembre 2008, in G.U. n. 300 del 24 dicembre 2008 la società ha provveduto: • a nominare gli “amministratori di sistema” per i trattamenti interessati; • a predisporre lettere di incarico e lista degli “Amministratori di Sistema” per i trattamenti interessati; • a richiedere alle società terze a cui sono affidati in outsourcing i trattamenti di dati personali la lista degli eventuali “Amministratori di Sistema” che gestiscono tali trattamenti e l’attestazione (per iscritto) che tali “Amministratori” hanno le caratteristiche richieste dalla legge; • a comunicare a tutto il personale (tramite via email, o intranet, o pubblicazione in bacheca) in quanto il sistema permette di trattare loro dati personali:

i nominativi degli Amministratori di Sistema, i contenuti del provvedimento del Garante,

• a predisporre un “piano formativo” ad hoc per gli “amministratori di sistema”; • a predisporre un sistema di log per gli accessi effettuati dagli “amministratori di sistema”. • alla verifica delle società esterne che svolgono le funzioni di Amministratore di sistema a norma del punto 2, lett. b) del provvedimento del Garante 27 Novembre 2008 e successive modifiche ed integrazioni come dal provvedimento del 25 Giugno 2009.

Legge 18 marzo 2008, n° 48 sui crimini informatici

Si tratta della “Legge 18 marzo 2008, n. 48 - Ratifica ed esecuzione della Convenzione del Consiglio d’Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001, e norme di adeguamento dell’ordinamento interno” che ha introdotto nuovi adempimenti per la sicurezza informatica in quanto ha modificato (art. 10) sia il “Codice in materia di protezione dei dati personali” sia (art. 7) il decreto legislativo 8 giugno 2001, n. 231 (la cosiddetta “Responsabilità amministrativa delle imprese”). In relazione a tale nuova normativa la società: • ha sensibilizzato, per iscritto (mail) e mediante la intranet sia tutto il personale sia gli addetti all’IT (ed in particolare gli “Amministratori di Sistema”) sui nuovi requisiti di legge e sui comportamenti richiesti.

Provvedimento del Garante dell'8 maggio 2014 in materia di cookie

Il Provvedimento dell’8 maggio 2014, che ha comportato per le imprese l’obbligo di adeguamento entro il 2 giugno 2015, ha regolamentato l’obbligo di informativa/consenso per quelle tipologie di trattamento di dati effettuate mediante l’utilizzo di cookie. I cookie sono stringhe di testo di piccole dimensioni che i siti visitati dall'utente inviano al suo terminale (solitamente al browser), dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla

2 http://www.garanteprivacy.it/garante/doc.jsp?ID=1577499


http://www.garanteprivacy.it/garante/doc.jsp?ID=1577499







successiva visita del medesimo utente. Nel corso della navigazione su un sito, l'utente può ricevere sul suo terminale anche cookie che vengono inviati da siti o da web server diversi (c.d. "terze parti"), sui quali possono risiedere alcuni elementi (quali, ad esempio, immagini, mappe, suoni, specifici link a pagine di altri domini) presenti sul sito che lo stesso sta visitando. I cookie possono essere tecnici, analitici e di profilazione. A seconda delle tipologia di cookie utilizzata cambiano gli obblighi per il titolare. Gli obblighi per CAF, che ad oggi si avvale sul suo sito solo di cookie tecnici e analitici, riguarderanno l’obbligo di integrazione della propria informativa.

Provvedimento del Direttore dell’Agenzia delle entrate del 23 febbraio 2015 Con questo Provvedimento sono state definite le modalità tecniche per consentire al contribuente e agli altri soggetti autorizzati di accedere alla dichiarazione 730 precompilata. Questo ha comportato per CAF una forte azione di adeguamento alle indicazioni, specie in tema di deleghe.





SEZIONE 1 – CAF CNA Srl Il CAF CNA è il centro di assistenza fiscale dipendenti e pensionati costituito dalla CNA. Il CAF CNA è autorizzato allo svolgimento dell’attività di assistenza fiscale con decreto 31/3/1993 ed è iscritto all’Albo Nazionale dei CAF con il numero 24 nonché socio fondatore della Consulta Nazionale dei CAF. È presente su tutto il territorio nazionale attraverso le sue unità periferiche, con oltre 1.000 uffici. Si avvale della professionalità delle società di servizio del Sistema CNA che sono a tua disposizione anche per il servizio di consulenza alla compilazione delle dichiarazioni

1. Elenco dei trattamenti di dati personali

CONTENUTI. In questa sezione è inserito l’elenco dei trattamenti effettuati dal titolare, direttamente o attraverso collaborazioni esterne, con l’indicazione della natura dei dati trattati e della struttura (o reparto, funzione, ufficio, etc.) interna od esterna che operativamente effettua il trattamento. Nella redazione della lista può essere utile fare riferimento anche alle informazioni contenute nelle notificazioni eventualmente inviate al Garante anche in passato.

INFORMAZIONI ESSENZIALI. Per ciascun trattamento sono riportate le seguenti informazioni: Identificativo del trattamento: consiste in un codice, facoltativo, ma utile per il titolare, in quanto consente

un’identificazione univoca e più rapida di ciascun trattamento nella compilazione delle altre tabelle.

Descrizione sintetica: descrive il trattamento in modo da consentire una comprensione immediata della tabella.

Natura dei dati trattati: indica se, tra i dati oggetto del singolo trattamento elencato, sono presenti dati sensibili o giudiziari, oltre ad altri dati personali.

Struttura di riferimento: indica la struttura (o reparto, funzione, ufficio, ecc.) all’interno della quale viene realizzato il trattamento. Il livello di sintesi utilizzato è stabilito dal titolare. Ad esempio, in caso di strutture complesse, è possibile indicare la macro-struttura (direzione del personale) oppure uffici specifici (uff. paghe, ufficio sviluppo risorse, ufficio controversie sindacali, ecc.).

Altre funzioni che concorrono al trattamento:

nel caso in cui un trattamento, per essere completato, comporti l’attività di diverse strutture è opportuno indicare oltre quella che primariamente detiene la responsabilità dell’attività, anche quelle che concorrono, siano esse interne od esterne all’organizzazione del titolare.

Banca dati: riporta il nome o l’identificativo dell’eventuale banca dati (ovvero del data base o dell’archivio informatico) in cui sono contenuti i dati che sono trattati. Uno stesso trattamento può richiedere l’utilizzo di dati che risiedono in più di una banca dati. In tal caso elencare le banche.

Ubicazione fisica dei supporti di memorizzazione:

contiene l’indicazione del luogo in cui risiedono fisicamente i dati, cioè dove si trova (in quale sede, centrale o periferica, presso quale fornitore di servizi, etc.) l’elaboratore sui cui dischi sono memorizzati, i luoghi di conservazione dei supporti magnetici utilizzati per le copie di sicurezza (nastri, Cd, ecc.). Il livello di dettaglio deve essere funzionale alla esigenze della politica della





sicurezza definita. Tipologia di dispositivi di accesso

elenco e descrizione sintetica degli strumenti utilizzati dagli incaricati per effettuare il trattamento: PC, terminale non intelligente, palmare, telefonino, ecc.

Tipologia di interconnessione:

descrizione sintetica e qualitativa della rete informatica che collega i dispositivi d’accesso utilizzati dagli incaricati ai dati: rete locale, Extranet, Internet, ecc.





Tabella 1. Elenco dei trattamenti: informazioni di base. Identificativo del

Trattamento Descrizione sintetica Natura dei dati

trattati Struttura di riferimento

Altre strutture (anche esterne) che

concorrono al trattamento

S G

Dichiarazioni 730

Dati relativi alla gestione delle dichiarazioni fiscali modello 730 e degli adempimenti attribuiti dalla legislazione dei CAF Dipendenti SI NO

CAF Sedi operative territoriali

Istituti Previdenziali e Assistenziali Sostituti Imposta Ministero delle Finanze

Certificazioni RED Dati relativi agli adempimenti concernenti la stesura delle Certificazioni RED indicate dalla legislazione e dal rapporto convenzionale con gli istituti previdenziali convenzionati

NO NO


Istituti Previdenziali e Assistenziali

Dichiarazione Sostitutiva Unica (DSU) ISE e servizi connessi

Dati relativi agli adempimenti concernenti la stesura delle dichiarazioni sostitutive uniche ISE/ISEE indicati dalla legislazione e dal rapporto convenzionale con l’INPS. Dati relativi agli adempimenti concernenti le altre prestazioni agevolate (es. assegni di maternità e nucleo familiare) previsti dalla legislazione o dalle convenzioni con gli enti locali.

SI NO


Istituti Previdenziali e Assistenziali Enti locali (Comuni Province Regioni) Altri enti erogatori di prestazioni agevolate

Modello INV CIV Dati relativi agli adempimenti concernenti le dichiarazioni di responsabilità indicate dalla legislazione e dal rapporto convenzionale con gli istituti previdenziali convenzionati

SI NO



Modello Detrazioni fiscali

Dati relativi agli adempimenti concernenti il modello di richiesta delle detrazioni fiscali previsti dalla legislazione e dalle convenzioni con gli istituti previdenziali

SI NO



Gestione del Personale dipendente

Dati concernenti gli elementi anagrafici, retributivi ed inerenti il rapporto di lavoro dipendente indicati dalla normativa vigente e dai contratti di lavoro

SI NO

Ufficio Amministrativo e del personale di CAF

CNA Nazionale

Gestione della Contabilità Aziendale

Dati inerenti la gestione della contabilità generale aziendale ai fini della gestione amministrativa e degli adempimenti sia civilistici che fiscali

NO NO

Ufficio Amministrativo di CAF

DATA AGGIORNAMENTO

27 Aprile 2016





Tabella 2 Elenco dei trattamenti: descrizione degli strumenti utilizzati Identificativo del Trattamento

Eventuale Banca Dati

Ubicazione fisica dei supporti di memorizzazione

Tipologia di dispositivi di accesso

Tipologia di interconnessione

Dichiarazioni 730

Software in WEB WEBFARM situate in Roma e Modena

Server, Personal computer Rete pubblica

Certificazioni RED Software in WEB WEBFARM situata a Modena – copia su WEBFARM situata a Roma


Dichiarazione Sostitutiva Unica (DSU) ISE e servizi connessi

Software in WEB WEBFARM situata a Modena – copia su WEBFARM situata a Roma


Modello INV CIV Software in WEB WEBFARM situata a Modena – copia su WEBFARM situata a Roma


Modelli di Detrazioni Software in WEB WEBFARM situata a Modena – copia su WEBFARM situata a Roma


Gestione del Personale dipendente

Software Gestione personale

Ufficio del personale Locali CED

Server, Personal computer Rete locale

Gestione della Contabilità Aziendale

Software gestione contabilità generale

Ufficio Amministrativo CAF

Server, Personal computer Rete locale

DATA AGGIORNAMENTO

27 Aprile 2016





2. Distribuzione dei compiti e delle responsabilità (regola 19.2)

CONTENUTI. I compiti e le responsabilità sono definiti dettagliatamente nella convenzione stipulata con le società di servizio convenzionate e con le unità locali relativamente a quanto disposto dalla normativa inerente i servizi dei CAF.

Tabella 3 Strutture preposte ai trattamenti

Struttura Responsabile Trattamenti operati dalla struttura Compiti della struttura CAF CNA SRL e Società di Servizio convenzionate Sedi operative provinciali

Direttore/Responsabile delle strutture convenzionate

La raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati. Tali trattamenti sono similari per tutti i servizi erogati (730/RED/ISEE/DETRAZIONI)

Svolgere le attività previste dalla normativa concernente i servizi affidati ai CAF.

Ufficio Amministrativo del CAF CNA SRL Ufficio del personale della Cna Associazione

CAF CNA SRL La raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati.

Gestione dei dati relativi all’amministrazione del CAF e gestione della situazione anagrafica e lavorativa del personale

DATA AGGIORNAMENTO 27 Aprile 2016





ORGANIGRAMMA DEL PERSONALE. CAF CNA SRL

Cda

Presidente

Tamagnini Giuliano

Amministratore delegato Armando Prunecchi

Direttore

Roberto Vitale

Amministrazione

Cinzia Cruciani

Servizi ai clienti Sabrina Di Giovanni

Zitiello Patrizia Magalotti Alessandra

Servizi telematici

Teresa Diotallevi





ORGANIGRAMMA RESPONSABILITÀ GESTIONE TRATTAMENTI CAF CNA SRL





3. Analisi dei rischi che incombono sui dati (regola 19.3) e Reati Informatici

CONTENUTI Individuare i principali eventi potenzialmente dannosi per la sicurezza dei dati, valutarne le possibili conseguenze e la gravità e porli in correlazione con misure previste.

INFORMAZIONI ESSENZIALI Elenco degli eventi: contiene l’elenco degli eventi che possono generare danni e che comportano quindi

rischi per la sicurezza dei dati personali. L’elenco identifica pertanto diversi eventi che possono rilevare per l’analisi dei rischi per la sicurezza dei dati personali. Nella tabella riportata di seguito è proposta una lista esemplificativa di eventi, da prendere in considerazione eventualmente solo come base di partenza.

Impatto sulla sicurezza dei Dati:

contiene la descrizione delle principali conseguenze individuate per la sicurezza dei dati, in relazione a ciascun evento ed una valutazione della gravità delle stesse, anche in relazione alla probabilità stimata dell’evento. In questo modo consente di formulare un indicatore qualitativo di gravità omogeneo per i diversi eventi che deve essere esplicitato.

Rif. misure d’azione contiene il riferimento alla contromisura adottata Nota: l’analisi dei rischi può essere condotta utilizzando metodi di complessità diversa. L’approccio descritto vuole consentire una prima riflessione in contesti che, per dimensioni, per complessità organizzativa ridotta o per altre ragioni, non richiedano analisi più articolate. Quale criterio di valutazione del rischio si è convenuto di ricorrere alla indicazione numerica da 0 (per danno irrilevante) a 10 (danno irreparabile). Nel seguito è riportata una tabella che può facilitare l’organizzazione delle informazioni richieste al fine di dare adempimento all’analisi dei rischi.





Tabella 4 Analisi dei rischi

Evento Impatto sulla sicurezza dei dati Rif. Misure d’azione Descrizione

Gravità stimata 1/10

Comportamenti degli operatori

Furto di credenziali di autenticazione

Possibilità di accesso ai dati da parte di soggetti non autorizzati

5 Regole per corretta gestione delle password (Compito assegnato ai Responsabili del Trattamento delle sedi operative provinciali). Monitoraggio centrale delle connessioni in tempo reale

Carenza di consapevolezza disattenzione o incuria

Possibile diffusione o perdita dei dati

4 Formazione

Comportamenti sleali o fraudolenti


5 Formazione con richiami specifici alle norme giuslavoristi. Emanato MOG e Codice Etico

Errori umani nella gestione della sicurezza fisica

Possibile perdita dei dati 5 Copie di sicurezza

Commissione di reati informatici o trattamento illecito di dati ex art. 24 bis D.lgs. n. 231/01

Possibilità di commissione dei reati con responsabilità amministrativa della Società

3 Emanato ed approvato MOG e Codice Etico

Eventi relativi agli strumenti

Azione di virus informatico o codici maligni per colpa di terzi o degli incaricati

Possibile diffusione o perdita dei dati e responsabilità amministrativa della Società

8 Antivirus

Spamming o altre tecniche di sabotaggio per colpa di terzi o degli incaricati


8 Antivirus/Firewall

Malfunzionamento, indisponibilità o degrado degli strumenti

Possibile perdita dei dati 2 Copie di sicurezza. Continua manutenzione informatica e graduale sostituzione delle apparecchiature.

Accessi esterni non autorizzati per colpa di terzi o degli incaricati


6 Tutela password Monitoraggio centrale delle connessioni in tempo reale, attivazione screensaver

Intercettazioni di informazioni in rete per colpa di terzi o degli incaricati

Possibile diffusione dei dati e responsabilità amministrativa della Società

7 Si stanno approntando strumenti idonei per innalzare il livello di sicurezza

Accessi non autorizzati a locali/reparti ad accesso ristretto per colpa di terzi o degli incaricati


4 Aggiornamento della modulistica per l’autorizzazione agli archivi dopo l’orario di chiusura – Formazione Filtro accessi

Asportazione e furto di strumenti contenenti dati per colpa di terzi o degli incaricati


6 Filtro accessi

Eventi distruttivi, naturali o artificiali, dolosi, accidentali o dovuti a incuria

Possibile perdita dei dati 6 Copie di sicurezza.





Guasto a sistemi complementari (impianto elettrico climatizzazione ecc.)

Possibile perdita dei dati 5 Copie di sicurezza.


Sede Legale e Sede Amministrativa P.I./C.F. 04417981000 00162 Roma - Piazza M. Armellini 9/a Tel. 06-44188601 fax 06-44188602 Capitale Sociale: € 140.000,00 int. versato e-mail: [email protected] internet: www.caf.cna.it

Iscriz. CCIAA 1654/1993


Tabella 5 Reati Informatici e Attività di controllo art. 24 bis D.lgs. n. 231/01

Reati

Attività di controllo

Art. 615 ter

(accesso abusivo ad un sistema informatico

o telematico)

Art.615 quater

(detenzione e diffusione abusiva di codici di

accesso a sistemi

informatici o

telematici)

Art. 615 quinquies

(diffusione di apparecchiature,

dispositivi informatici

diretti a danneggiare o

interrompere un sistema

informatico o telematico)

Art. 617 quater (intercettazione, impedimento o

interruzione illecita di

comunicazioni informatiche o telematiche)

Art. 617 quinquies

(installazione di apparecchiature

atte ad intercettare, impedire od

interrompere comunicazioni informatiche o telematiche)

Art. 635 bis (danneggiamento di informazioni o

programmi informatici)

Art. 635 ter (danneggiamento di informazioni,

dati e programmi informatici

utilizzati dallo Stato o da altro ente pubblico, o

comunque di pubblica utilità)

Art. 635 quater (danneggiamento

di sistemi informatici o telematici)

Art. 635 quinquies

(danneggiamento di sistemi

informatici o telematici di

pubblica utilità)

Art. 491 bis (documenti informatici)

Art. 640 quinquies

(frode informatica del soggetto che presta servizi di

certificazione di firma digitale)

Creazione, modifica, cancellazione di account e di profili

X X X X X X X X X

Implementazione e manutenzione di nuove reti TLC

X X X X

Implementazione e manutenzione di sistemi Hardware

X X X X X X X

Implementazione, creazione e manutenzione software

X X X X X X X X

Monitoraggio dei sistemi hardware e software (tentativi di accesso, accessi anomali per frequenza,

X X X X X





modalità, temporalità)

Monitoraggio dei sistemi hardware e software (casi di disruption, interferenze, verifica fisica delle apparecchiature e scanning delle memorie di massa)

X X X X

Monitoraggio dei sistemi software (accessi al database o agli applicativi)

X X

Gestione delle credenziali fisiche (badge, pin, codici di accesso, token autenticati, valori biometrici, etc.)

X X X X X X X X X

Gestione delle attività di security dei siti dei sistemi IT

X X X X X X X X X

Scanning dei documenti

X X

Verifica della firma digitale

X X

Invio di documentazione in formato digitale

X X

Storing ed accesso ai sistemi informatici

X X





4. Misure in essere e da adottare

CONTENUTI In questa sezione vengono riportate, in forma sintetica, le misure in essere e da adottare a contrasto dei rischi individuati dall’analisi dei rischi. Per misura si intende non solo lo specifico intervento tecnico od organizzativo posto in essere per prevenire, contrastare o ridurre gli effetti relativi ad una specifica minaccia ma anche tutte quelle attività di verifica e controllo nel tempo, essenziali per assicurarne l’efficacia. Senza procedure di controllo periodico, infatti, nessuna misura può essere considerata completa. Le misure da adottare sono inserite anche in una apposita sezione dedicata ai programmi di miglioramento della sicurezza.

INFORMAZIONI ESSENZIALI. Misure Descrive sinteticamente la misura di sicurezza adottata Rischio contrastato per ogni misura è indicato il riferimento all’elemento dell’analisi dei rischi che ha

motivato l’adozione della misura in oggetto.

Data base/trattamento Interessato

riprta l’identificativo del (dei) data base o dell’archivio informatizzato e dei trattamenti interessati per ciascuna delle misure adottate.

È da notare che determinate misure possono non essere riconducibili a specifici trattamenti o basi di dati. Rif. Scheda analitica

contiene il riferimento ad una scheda analitica descrittiva della misura, eventualmente compilata anche utilizzando la successiva tabella 4.2.

Data di effettività: per ogni misura è indicata la data a partire dalla quale la misura è operativa o se già operativa una dicitura standard (ad es.: “in essere”).

Periodicità e modalità dei controlli:

contiene l’indicazione della periodicità con cui sono verificate la funzionalità e l’efficienza della misura in questione e della struttura operativa che ne ha la responsabilità.





Informazioni descrittive analitiche delle misure di sicurezza Oltre alle informazioni sintetiche sopra riportate è stata compilata, per ciascuna misura, una scheda analitica contenente un maggior numero di informazioni, utili nella gestione operativa della sicurezza ed, in particolare, nelle attività di verifica e controllo. Queste schede sono a formato libero e le informazioni utili devono essere decise in funzione della specifica misura. A puro titolo di esempio, potranno essere inserite informazioni relative a: • la minaccia che si intende contrastare;

• la tipologia della misura di sicurezza (preventiva, di contrasto, di contenimento degli effetti, ...);

• le informazioni relative alla responsabilità della attuazione e della gestione della specifica misura;

• i tempi di validità delle scelte adottate (contratti esterni, aggiornamento di prodotti, ecc.);

• gli ambiti a cui si applica (ambiti fisici: un reparto, un edificio, o logici: una procedura, un’applicazione).

Di seguito è riportata una tabella con relative schede che possono facilitare l’organizzazione delle informazioni richieste al fine di dare adempimento alle misure di sicurezza individuate.





Tabella 6 Le misure di sicurezza adottate o da adottare

Misura Rischio contrastato

Trattamento interessato

Eventuale banca dati interessata

Rif. Scheda

analitica

Misura già in essere

Misura da adottare

Periodicità e responsabilità dei controlli

Tutela password Furto di credenziali di autenticazione

730/RED/ISE/Detra ICRIC – INV CIV Gestione amministrativo contabile

Software WEB 730/RED/ISE/Detra ICRIC Gestione del personale – Paghe – Data base amministrativi

1 SI Bimestrale, in concomitanza scadenza password, in capo ai responsabili delle sedi operative provinciale

Sospensione postazione di lavoro

Accessi non autorizzati alle strumentazioni di lavoro



2 SI Anuale Titolare

Formazione Carenza di consapevolezza disattenzione o incuria



3 SI Annuale Titolare Responsabile

Applicazione norme giuslavoristiche




4 SI Permanente Titolare

Copie di sicurezza


730/RED/ISE/Detra ICRIC – INV CIV

Software WEB 730/RED/ISE/Detra ICRIC

5 SI Settimanale Titolare

Gestione amministrativo contabile

Gestione del personale – Paghe – Data base amministrativi

5 SI Mensile Titolare

Antivirus Azione di virus informatico o codici maligni. Spamming o altre tecniche di sabotaggio



6 SI In modalità Liveupdate Titolare

Firma digitale Intercettazioni di informazioni in rete

730/RED/ISE/Detra ICRIC – INV CIV


7 SI per quel che concerne

la trasmissione

alla PA Da adottare per i restanti

casi

Annuale Titolare

Filtro Accessi Accessi non autorizzati a locali/reparti ad accesso ristretto Asportazione e furto di strumenti contenenti dati



8 SI Annuale Titolare

Applicazione delle misure di sicurezza volte


730/RED/ISE/Detra ICRIC – INV CIV Gestione

Software WEB 730/RED/ISE/Detra ICRIC






ad evitare la commissione di reati informatici e trattamenti illeciti di dati (art. 24 bis D.lgs. n. 231/01)

amministrativo contabile

Gestione del personale – Paghe – Data base amministrativi

Obbligo di verifica annuale su attività Amministratori di Sistema

Comportamenti anomali nelle attività svolte dagli amministratori di sistema

Tutti Tutte 10 Si Annuale Titolare Responsabile Struttura Esterna di Supporto

Adeguamento Normativo sito Internet

Non individuazione di cookie eventualmente presenti e mancato adeguamento informativa estesa

Dati utenti di consultazione del sito

Dati relativi alla navigazione

11 Si Semestrale Responsabile ed eventuale struttura esterna di supporto

Attenzione alla corretta gestione delle deleghe

Accessi non autorizzati alle banche dati dell’Agenzia dell’entrate e del ministero delle finanze

Dati di utenti che regolarmente abbiano sottoscritto delega abilitante all’accesso ai loro dati detenuti c/o il ministero delle finanze

Gestione di acquisisione delle delelghe ed invio in tempi rapidi

12 Si Verifica in capo ai responsabili delle sedi operative provinciali

Data di aggiornamento 27 Aprile 2016





Schede descrittive delle misure adottate Scheda 1 Tutela delle Password CAF CNA Srl

Scheda 1 Compilata da: CAF CNA Srl

Data precedente aggiornamento 24 Marzo 2015

Misura

Tutela Password

Descrizione sintetica

Definizione delle norme necessarie alla Tutela delle password

Elementi descrittivi

La password deve essere obbligatoriamente composta dal almeno 8 caratteri alfanumerici. Alla scadenza, bimestrale, l'incaricato viene indirizzato ad una procedura automatizzata che obbliga al rinnovo della stessa impedendo al contempo l'accesso alle procedure. Nelle ipotesi di dimenticanza o prolungata assenza o impedimento dell’incaricato (per esclusive necessità di operatività e di sicurezza del sistema), il responsabile dovrà azzerare la password dandone comunicazione tempestiva dell’intervento all’interessato. La password dovrà essere sostituita seguendo le modalità sopra specificate. Le password degli incaricati hanno una scadenza di 60 giorni con emissione di avvisi in prossimità della scadenza stessa.

Data Aggiornamento 27 Aprile 2016 Scheda 2 Sospensione postazione di lavoro dopo periodo di inattività CAF CNA Srl

Scheda 2 Compilata da:

CAF CNA Srl Data precedente aggiornamento 24 Marzo 2015

Misura



Garanzie di secondo livello per la conservazione dei dati


La postazione prevede un blocco, attraverso l’impostazione di uno screensaver, passati i 10 minuti di inattività della postazione di lavoro e la riattivazione della postazione stessa è subordinata alla digitazione della password di accesso al sistema.

Data Aggiornamento 27 Aprile 2016





Scheda 3 Formazione CAF CNA Srl



Misura Formazione Descrizione sintetica

Innalzamento della consapevolezza degli incaricati.


Programmazione di percorsi formativi, in modalità e-learning, finalizzati alla conoscenza delle metodologie utili alla gestione delle attività richieste dalle problematiche della sicurezza, della gestione dei dati, dell’utilizzo del software. Ad ulteriore supporto sono pubblicati documenti, istruzioni, help direttamente nelle aree di lavoro dei servizi. Seminari informativi a livello nazionale. Verifiche su strutture territoriali attraverso il comitato di controllo con apposita check list - allegata in calce

Data aggiornamento 27 Aprile 2016

Scheda 4 Norme giuslavoristiche CAF CNA Srl



Misura



Controllo dei doveri del lavoratore dipendente


Verifica della rispondenza dei comportamenti dei lavoratori ad un corretto rapporto di lavoro, effettuata nel rispetto dei principi di pertinenza e non eccedenza tutelati dalla normativa privacy.






Scheda 5 Copie di sicurezza CAF CNA Srl



Misura

Copie di sicurezza


Garanzie di primo livello per la conservazione dei dati


Per i sistemi WEB esiste una ridondanza dei dati che sono sincronizzati quotidianamente. La cadenza delle copie di salvataggio è giornaliera utilizzando un supporto magnetico diverso (evitando quindi di sovrascrivere il contenuto di copie di salvataggio precedenti che non siano almeno antecedenti di 2 mesi) Le copie di salvataggio effettuate al termine dell’erogazione dei servizi secondo le scadenze dettate dalla normativa sono conservate per il periodo definito dalle leggi fiscali o dalle convenzioni con enti. Per i sistemi in rete locale produrre copie dei dati su supporti magnetici residenti su apparecchiatura diverse da quelle che contengono il dato originale. Le copie vanno effettuate alla fine di ogni sessione di lavoro che comporta l’aggiornamento della banca dati. Ogni supporto prodotto deve contenere l’indicazione della data di salvataggio e del suo contenuto. Si rimanda al documento allegato per quel che concerne il corretto tempo di conservazione.






Scheda 6 Antivirus CAF CNA Srl Scheda 6 Compilata da:

CAF CNA Srl Data ultimo aggiornamento 24 Marzo 2015

Misura

Antivirus




Garantire la protezione dei dati dagli attacchi dei virus informatici mediante l’installazione e il mantenimento in memoria di programmi antivirus aggiornati con modalità liveupdate.

Data aggiornamento 27 Aprile 2016 Scheda 7 Firma digitale CAF CNA Srl Scheda 7 Compilata da:


Misura

Firma digitale


Garanzie di secondo livello per la protezione dei dati


Garantire la protezione dei dati nella fase di trasmissione in rete degli stessi verso la PA. Certificare l’identità del mittente e del destinatario e mantenere riservate le informazioni scambiate (crittografia). Occorre verificare che gli strumenti che consentano l’apposizione della stessa firma digitale siano a disposizione dei soli soggetti ai quali la stessa è stata rilasciata.






Scheda 8 Filtro accessi CAF CNA Srl



Misura

Filtro accessi


Garanzie di primo livello per la protezione dei dati


Controllo delle persone che accedono ai locali dove viene svolta l’attività, mediante filtro alla ricezione effettuato durante l’orario di lavoro anche in presenza di sportelli aperti al pubblico. Fuori orario di lavoro (notturno e/o festivo) protezione mediante idonei sistemi di sicurezza e aggiornamento dei moduli per l’autorizzazione agli archivi dopo l’orario di chiusura. I moduli raccolti nel territorio dovranno essere acquisiti e spediti ad opera del responsabile della sede operativa territoriale.

Data aggiornamento 27 Aprile 2016 Scheda 9 Applicazione delle misure di sicurezza volte ad evitare la commissione di reati informatici e trattamenti illeciti CAF CNA Srl



Misura

Applicazione delle misure di sicurezza volte ad evitare la commissione di reati informatici e trattamenti illeciti di dati (art. 24 bis D.lgs. n. 231/01)




Controllo dei doveri comportamentali dei: soggetti che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell’azienda o di una sua unità organizzativa, o che esercitano, anche di fatto, la gestione o il controllo delle stesse; soggetti sottoposti alla direzione o vigilanza dei soggetti di cui al precedente punto; soggetti terzi (consulenti/operatori/manutentori informatici esterni) al fine di evitare la commissione di reati informatici e trattamenti illeciti di dati Verifica quotidiana della rispondenza dei comportamenti dei soggetti sopra riportati in relazione alle misure organizzative individuate ed adottate tese a prevenire la commissione di reati informatici e trattamenti illeciti di dati A tutti gli incaricati sono state fornite istruzioni per iscritto integrate in conformità a quanto previsto dell’art. 24-bis del D. Lgs. 8.6.2001, n. 231 sulla responsabilità amministrativa degli enti.

Data Aggiornamento 27 Aprile 2016 Scheda 10 Obbligo di verifica annuale su attività degli Amministratori di Sistema CAF CNA Srl







Misura

Obbligo di verifica annuale su attività degli Amministratori di Sistema




Almeno annualmente incontro tra il Titolare del Trattamento, il Responsabile del Trattamento, supportato da strutture terze (a garanzia dei controlli), e società esterne con funzioni di Amministratore di Sistema, per effettuare una verifica puntuale delle misure in essere (sulla base del provvedimento del Garante del 27 11 2008 e successive integrazioni).






Scheda 11 Adeguamento Normativo sito Internet CAF CNA Srl



Misura

Adeguamento Normativo sito Internet




Analisi del sito web al fine di rilevare eventuali Cookie installati. Controllo, almeno semestrale con audit del sito web volto a rilevare eventuali variazioni in relazione ai Cookie. Sulla base dei Cookie riscontrati sarà previsto l’adeguamento normativo richiesto dal Garante (Informativa Estesa, Banner, Notificazione, Etc.).

Data Aggiornamento 27 Aprile 2016 Scheda 12 Attenzione alla corretta gestione delle deleghe


CAF CNA Srl Data precedente aggiornamento Nuova Scheda

Misura





Verifica e controllo della corretta gestione e delle credenziali di accesso degli incaricati alla gestione delle deleghe relative.






5. Criteri e modalità di ripristino della disponibilità dei dati

CONTENUTI In questa sezione sono descritti i criteri e le procedure adottati per il salvataggio dei dati e per il loro ripristino in

caso di danneggiamento o di inaffidabilità della base dati.

L’importanza di queste attività deriva direttamente dalla eccezionalità delle situazioni in cui il ripristino ha luogo:

è essenziale che quando sono necessarie le copie dei dati siano disponibili e le procedure efficaci.

INFORMAZIONI ESSENZIALI. Data base contiene l’identificativo del data base o dell’archivio interessato. Dati sensibili o giudiziari contenuti contiene l’elenco dei dati sensibili o giudiziari contenuti nel database o archivio. Criteri individuati per il salvataggio (procedure operative in essere):

contiene una descrizione della tipologia di salvataggio e della frequenza con cui viene effettuato.

Ubicazione di conservazione delle copie:

contiene l’indicazione del luogo fisico in cui sono custodite le copie dei dati salvati.

Struttura operativa o persona incaricata del salvataggio

contiene il nominativo della persona incaricata di effettuare il salvataggio e/o di controllarne l’esito o del coordinatore del gruppo preposto.





Tabella 7 Procedure Salvataggio

Salvataggio Data base Dati sensibili o

giudiziari contenuti Criteri individuati per il salvataggio (procedure operative in essere)

Struttura operativa incaricata del salvataggio

Dichiarazioni 730/RED/ISE/DETRA ICRIC

Informazioni relative alla salute ed alla religione (scelta 8 per mille) ed appartenenza sindacale

Ridondanza della banca dati sincronizzata. Copia di backup quotidiano Procedure di ripristino (restore)

WEBFARM di Modena e di ROMA, Società di assistenza informatica (Ocean Tools s.r.l.)

Gestione Personale

Informazioni relative alla salute

Salvataggi quotidiani eseguiti su supporto magnetico e successiva verifica dell’operazione di ripristino (restore)

CED della CNA Nazionale






Per quanto riguarda il ripristino, le informazioni essenziali sono le seguenti: Data base/archivio contiene l’identificativo del data base o dell’archivio interessato Scheda operativa:

contiene il riferimento alla scheda operativa che descrive la procedura di ripristino

Pianificazione delle prove di ripristino

contiene l’indicazione delle date in cui si prevede di effettuare dei test di efficacia delle procedure di salvataggio/ripristino dei dati adottate.





Tabella 8 Procedure di ripristino

Ripristino Database o archivio

Scheda operativa cui attenersi


Dichiarazioni 730

4 Ultimo lunedì del mese

Certificazioni RED


Dichiarazioni ISE e connessi


ICRIC 4 Ultimo lunedì del mese Modelli Detrazioni 4 Ultimo lunedì del mese Gestione del personale

4 Dopo l’esecuzione di ogni salvataggio

Data di aggiornamento: 27 Aprile 2016





6. Pianificazione degli interventi formativi previsti

CONTENUTI In questa sezione sono riportate le informazioni necessarie per disporre di un quadro sintetico dell’impegno formativo che si prevede di sostenere in attuazione della normativa.

INFORMAZIONI ESSENZIALI. Corso di formazione riporta l’identificativo del corso di formazione. Descrizione sintetica contiene la descrizione sintetica degli obiettivi del corso. Classi di incarico interessate contiene l’elenco delle classi omogenee di incarico a cui il corso è destinato e/o

le tipologie di incaricati interessati.

Numero di incaricati interessati contiene il numero di addetti interessati al corso.

Numero di incaricati già formati/da formare nell’anno

contiene l’indicazione del numero di addetti già formati negli anni precedenti e quelli di cui si prevede la formazione nell’anno in corso.





Tabella 9 Interventi formativi

Corso di

formazione

Descrizione

sintetica

Classi di incarico

interessate

Numero di incaricati interessati

Numero di incaricati già formati/da

formare nell’anno

Calendario

Aggiornamento formativo/informativo sulle variazione in merito alla normativa privacy ed alle procedure tecnologiche per la tutela delle informazioni, attraverso lo strumento di e-learning di Formerete.

Indicazione della normativa e delle procedure da svolgere ai fini della sicurezza e riservatezza

Operatori che erogano i servizi.

Tutti i soggetti designati dalle società di servizio convenzionate e gli incaricati delle unità locali


Fruizione attraverso il sito Intranet della società ed attraverso materiale didattico inviato dal Responsabile del trattamento via email






7. Trattamenti affidati all’esterno

CONTENUTI Obiettivo di questa sezione è redigere un quadro sintetico delle attività trasferite a terzi che comportano il trattamento di dati personali con l’indicazione sintetica del quadro contrattuale in cui tale trasferimento si inserisce, in riferimento alla protezione dei dati personali.

INFORMAZIONI ESSENZIALI Attività delegata: contiene l’identificativo dell’attività che è stata oggetto di delega a terzi.

Descrizione sintetica contiene una descrizione sintetica dell’attività.

Dati personali, sensibili o giudiziari interessati

contiene l’elenco dei dati personali, sensibili o giudiziari oggetto di trattamento per la realizzazione dell’attività delegata

Soggetto delegato riporta l’identificativo della società o del consulente a cui è stato affidato l’incarico; Descrizione dei criteri per garantire l’adozione delle misure

perché sia garantito un adeguato trattamento dei dati è necessario che il soggetto esterno a cui viene affidato il trattamento si assuma alcuni impegni su base contrattuale Il soggetto cui le attività sono affidate dichiara: 1. di essere consapevole che i dati che tratterà nell’espletamento dell’incarico ricevuto sono dati personali e come tali sono soggetti all’applicazione del codice per la protezione dei dati personali; 2. di ottemperare agli obblighi previsti dal Codice per la protezione dei dati personali; 3. di adottare le istruzioni specifiche eventualmente ricevute per il trattamento dei dati personali o di integrarle nelle procedure già in essere; 4. di impegnarsi a relazionare annualmente sulle misure di sicurezza adottate e di allertare immediatamente il proprio committente in caso di situazioni anomale o di emergenze; 5. di riconoscere il diritto del committente a verificare periodicamente l’applicazione delle norme di sicurezza adottate. In questa casella sono riportati gli impegni contrattualmente assunti nel caso specifico.

Date delle verifiche contiene l’indicazione del numero e delle date delle verifiche previste





Tabella 10 Trattamenti affidati all’esterno

Attività affidata

all’esterno

Descrizione

Sintetica

Dati personali,

sensibili o giudiziari interessati

Soggetto esterno

Descrizione dei

criteri per l’adozione delle

misure Controllo del servizio inerente la piattaforma WEB Sviluppo e Manutenzione Software

Stesura del codice necessario per la realizzazione del Software utilizzato per i servizi in WEB (730/RED/ISE/ICRIC/Detra). Gestione del processo di controllo informatico con relativa assistenza e manutenzione tecnica e procedurale. Controlli e verifiche sistemistiche sulla configurazione dei sistemi e sul flusso dei dati.

Dati contenuti nelle dichiarazioni presenti in archivio

Ocean Tools S.R.L.

Nominato Responsabile Esterno con funzioni di Amministratore di Sistema; con previsione di clausole di rispetto delle misure di sicurezza

Sviluppo e Manutenzione Software

Spedizione ISE verso l’INPS. Assistenza agli operatori della Regione toscana per 730 Web

Dati anagrafici contenuti negli archivi che presentano anomalie e malfunzioni o dati presenti in archivi utilizzati come base per il test delle procedure

Sixtema S.p.a. Nominato Responsabile Esterno con funzioni di Amministratore di Sistema; con previsione di clausole di rispetto delle misure di sicurezza

Web Housing Servizi di Web Housing Dati contenuti nelle dichiarazioni presenti in archivio

Sixtema S.p.A. Nominato Responsabile Esterno con funzioni di Amministratore di Sistema; con previsione di clausole di rispetto delle misure di sicurezza

Gestione e manutenzione degli strumenti informatici

Gestione e manutenzione delle apparecchiature informatiche della sede nazionale comportante l’accesso agli strumenti elettronici di CNA

Dati sensibili e personali presenti all’interno dei pc dei dipendenti della sede nazionale di CAF CNA Srl.

Gruppo Servizi Nazionale S.r.l.,

Nominato Responsabile Esterno

Erogazione cedolini paghe

Dati sensibili e personali relativi ai dipendenti di CAF CNA Srl.

CNA Nazionale – Ufficio del Personale

Nominato Responsabile Esterno; con previsione di





clausole di rispetto delle misure di sicurezza






SEZIONE 2 – CAF Agenzia per le Imprese

CAF Agenzia per le imprese svolge funzioni di natura istruttoria e di asseverazione nei procedimenti amministrativi concernenti l'accertamento dei requisiti e dei presupposti di legge per la realizzazione, la trasformazione, il trasferimento e la cessazione delle attività di produzione di beni e servizi da esercitare in forma di impresa. Per l'esercizio delle attività, CAF ha ottenuto l'accreditamento del Ministero dello Sviluppo Economico, mediante presentazione di relativa istanza, nel rispetto delle modalità previste dal d.P.R. 9 luglio 2010 n.159 per operare in una o più Regioni italiane e per determinate attività produttive.

1. Elenco dei trattamenti di dati personali

CONTENUTI. In questa sezione deve essere inserito l’elenco dei trattamenti effettuati dal titolare, direttamente o attraverso collaborazioni esterne, con l’indicazione della natura dei dati trattati e della struttura (o reparto, funzione, ufficio, etc.) interna od esterna che operativamente effettua il trattamento. Nella redazione della lista può essere utile fare riferimento anche alle informazioni contenute nelle notificazioni eventualmente inviate al Garante anche in passato.

INFORMAZIONI ESSENZIALI. Per ciascun trattamento sono riportate le seguenti informazioni: Identificativo del trattamento: consiste in un codice, facoltativo, ma utile per il titolare, in quanto consente

un’identificazione univoca e più rapida di ciascun trattamento nella compilazione delle altre tabelle.

Descrizione sintetica: descrive il trattamento in modo da consentire una comprensione immediata della tabella.

Natura dei dati trattati: dovrà essere indicato se, tra i dati oggetto del singolo trattamento elencato, sono presenti dati sensibili o giudiziari, oltre ad altri dati personali.

Struttura di riferimento: indica la struttura (o reparto, funzione, ufficio, ecc.) all’interno della quale viene realizzato il trattamento. Il livello di sintesi utilizzato è stabilito dal titolare. Ad esempio, in caso di strutture complesse, è possibile indicare la macro-struttura (direzione del personale) oppure uffici specifici (uff. paghe, ufficio sviluppo risorse, ufficio controversie sindacali, ecc.).

Altre funzioni che concorrono al trattamento:

nel caso in cui un trattamento, per essere completato, comporti l’attività di diverse strutture è opportuno indicare oltre quella che primariamente detiene la responsabilità dell’attività, anche quelle che concorrono, siano esse interne od esterne all’organizzazione del titolare.

Banca dati: il nome o l’identificativo dell’eventuale banca dati (ovvero del data base o dell’archivio informatico) in cui sono contenuti i dati che sono trattati. Uno stesso trattamento può richiedere l’utilizzo di dati che risiedono in più di una banca dati. In tal caso elencare le banche.

Ubicazione fisica dei supporti di memorizzazione:

contiene l’indicazione del luogo in cui risiedono fisicamente i dati, cioè dove si trova (in quale sede, centrale o periferica, presso quale fornitore di servizi, etc.) l’elaboratore sui cui dischi sono memorizzati, i luoghi di conservazione dei supporti magnetici utilizzati per le copie di sicurezza (nastri, Cd, ecc.). Il livello di dettaglio deve essere funzionale alla esigenze della politica della





sicurezza da definire. Tipologia di dispositivi di accesso

elenco e descrizione sintetica degli strumenti utilizzati dagli incaricati per effettuare il trattamento: PC, terminale non intelligente, palmare, telefonino, ecc.

Tipologia di interconnessione:

descrizione sintetica e qualitativa della rete informatica che collega i dispositivi d’accesso utilizzati dagli incaricati ai dati: rete locale, Extranet, Internet, ecc.





Tabella 11. Elenco dei trattamenti: informazioni di base. Identificativo del

Trattamento Descrizione sintetica Natura dei dati

trattati Struttura di riferimento

Altre strutture (anche esterne) che

concorrono al trattamento

S G

Attestazione Conformità Imprese

Dati relativi all’istruttoria per i procedimenti ordinari che comportano attività discrezionale da parte dell’Amministrazione ed asseverazione per i procedimenti soggetti a Segnalazione certificata di inizio attività (SCIA) o a mera comunicazione

NO NO

AGENZIA PER LE IMPRESE e sedi operative Lazio, Marche e Veneto

Enti locali (Comuni Province Regioni)

DATA AGGIORNAMENTO

27 Aprile 2016





Tabella 12 Elenco dei trattamenti: descrizione degli strumenti utilizzati Identificativo del Trattamento

Eventuale Banca Dati

Ubicazione fisica dei supporti di memorizzazione

Tipologia di dispositivi di accesso

Tipologia di interconnessione


Software in WEB WEBFARM situata a Modena

Server, Personal computer rete pubblica

DATA AGGIORNAMENTO

27 Aprile 2016





2. Distribuzione dei compiti e delle responsabilità (regola 19.2)

CONTENUTI. I compiti e le responsabilità sono definiti dettagliatamente nella convenzione stipulata con le società di servizio convenzionate e con le unità locali relativamente a quanto disposto dalla normativa inerente i servizi dei CAF.

Tabella 13 Strutture preposte ai trattamenti

Struttura Responsabile Trattamenti operati dalla struttura Compiti della struttura CAF CNA SRL e Società di Servizio convenzionate e Sedi Operative

Direttore/Responsabile delle strutture convenzionate

La raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati. Tali trattamenti si riferiscono all’Attestazione Conformità Imprese

Svolgere le attività previste dalla normativa concernente i servizi affidati ai CAF.

Ufficio Amministrativo del CAF CNA SRL e ufficio del personale della Cna Associazione

CAF CNA SRL La raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati.

Gestione dei dati relativi all’amministrazione del CAF e gestione della situazione anagrafica e lavorativa del personale

DATA AGGIORNAMENTO 27 Aprile 2016





ORGANIGRAMMA PERSONALE. CAF Agenzia per le Imprese

Cda

Presidente

Giovanni Giungi

Amministratore delegato Armando Prunecchi

Direttore

Roberto Vitale

Amministrazione

Cinzia Cruciani

Servizi ai clienti

Sabrina Di Giovanni

Servizi telematici

Teresa Diotallevi

Agenzia Imprese

Patrizia Zitiello





ORGANIGRAMMA RESPONSABILITÀ GESTIONE TRATTAMENTI CAF AGENZIA PER LE IMPRESE.

Titolare del Trattamento CAF CNA Srl

Amministratori di Sistema

Roberto Vitale Oceans Tools

Responsabile Interno del Trattamento Roberto Vitale

Armando Prunecchi

Responsabile del trattamento delle

sedi operative _______________

Incaricati al Trattamento

Addetti al Servizio

Incaricati al Trattamento

Addetti al Servizio

Incaricati aòl Trattamento

Addetti al Servizio

Responsabile Esterno del Trattamento

Sixtema Spa





ORGANIGRAMMA GESTIONE TRATTAMENTO ATTESTAZIONE CONFORMITÀ IMPRESE.





3. Analisi dei rischi che incombono sui dati (regola 19.3) e Reati Informatici

CONTENUTI Individuare i principali eventi potenzialmente dannosi per la sicurezza dei dati, valutarne le possibili conseguenze e la gravità e porli in correlazione con misure previste.

INFORMAZIONI ESSENZIALI Elenco degli eventi: contiene l’elenco degli eventi che possono generare danni e che comportano quindi

rischi per la sicurezza dei dati personali. L’elenco identifica pertanto diversi eventi che possono rilevare per l’analisi dei rischi per la sicurezza dei dati personali. Nella tabella riportata di seguito è proposta una lista esemplificativa di eventi, da prendere in considerazione eventualmente solo come base di partenza.

Impatto sulla sicurezza dei Dati:

contiene la descrizione delle principali conseguenze individuate per la sicurezza dei dati, in relazione a ciascun evento ed una valutazione della gravità delle stesse, anche in relazione alla probabilità stimata dell’evento. In questo modo consente di formulare un indicatore qualitativo di gravità omogeneo per i diversi eventi che deve essere esplicitato.

Rif. misure d’azione contiene il riferimento alla contromisura adottata Nota: l’analisi dei rischi può essere condotta utilizzando metodi di complessità diversa. L’approccio descritto vuole consentire una prima riflessione in contesti che, per dimensioni, per complessità organizzativa ridotta o per altre ragioni, non richiedano analisi più articolate. Quale criterio di valutazione del rischio si è convenuto di ricorrere alla indicazione numerica da 0 (per danno irrilevante) a 10 (danno irreparabile). Nel seguito è riportata una tabella che può facilitare l’organizzazione delle informazioni richieste al fine di dare adempimento all’analisi dei rischi.





Tabella 14 Analisi dei rischi

Evento Impatto sulla sicurezza dei dati Rif. Misure d’azione Descrizione

Gravità stimata 1/10

Comportamenti degli operatori

Furto di credenziali di autenticazione

Possibilità di accesso ai dati da parte di soggetti non autorizzati

4 Regole per corretta gestione delle password (Compito assegnato ai Responsabili del Trattamento delle sedi operative provinciali). Monitoraggio centrale delle connessioni in tempo reale

Carenza di consapevolezza disattenzione o incuria


3 Formazione



5 Formazione con richiami specifici alle norme giuslavoristi. Emanato MOG e Codice Etico



Commissione di reati informatici o trattamento illecito di dati ex art. 24 bis D.lgs. n. 231/01

Possibilità di commissione dei reati con responsabilità amministrativa della Società

4 Emanato ed approvato MOG e Codice Etico

Eventi relativi agli strumenti

Azione di virus informatico o codici maligni per colpa di terzi o degli incaricati


8 Antivirus

Spamming o altre tecniche di sabotaggio per colpa di terzi o degli incaricati


8 Antivirus/Firewall

Malfunzionamento, indisponibilità o degrado degli strumenti


Accessi esterni non autorizzati per colpa di terzi o degli incaricati


6 Tutela password Monitoraggio centrale delle connessioni in tempo reale, attivazione screensaver

Intercettazioni di informazioni in rete per colpa di terzi o degli incaricati


7 Si stanno approntando strumenti idonei per innalzare il livello di sicurezza

Accessi non autorizzati a locali/reparti ad accesso ristretto per colpa di terzi o degli incaricati


4 Aggiornamento della modulistica per l’autorizzazione agli archivi dopo l’orario di chiusura – Formazione Filtro accessi

Asportazione e furto di strumenti contenenti dati per colpa di terzi o degli incaricati


6 Filtro accessi

Eventi distruttivi, naturali o artificiali, dolosi, accidentali o dovuti a incuria

Possibile perdita dei dati 4 Copie di sicurezza Continua manutenzione informatica e graduale sostituzione delle apperecchiature.





Guasto a sistemi complementari (impianto elettrico climatizzazione ecc.)






Tabella 15 Reati Informatici e Attività di controllo art. 24 bis D.lgs. n. 231/01

Reati

Attività di controllo

Art. 615 ter

(accesso abusivo ad un sistema informatico

o telematico)

Art.615 quater

(detenzione e diffusione abusiva di codici di

accesso a sistemi

informatici o

telematici)

Art. 615 quinquies

(diffusione di apparecchiature,

dispositivi informatici

diretti a danneggiare o

interrompere un sistema

informatico o telematico)

Art. 617 quater (intercettazione, impedimento o

interruzione illecita di

comunicazioni informatiche o telematiche)

Art. 617 quinquies

(installazione di apparecchiature

atte ad intercettare, impedire od

interrompere comunicazioni informatiche o telematiche)

Art. 635 bis (danneggiamento di informazioni o

programmi informatici)

Art. 635 ter (danneggiamento di informazioni,

dati e programmi informatici

utilizzati dallo Stato o da altro ente pubblico, o

comunque di pubblica utilità)

Art. 635 quater (danneggiamento

di sistemi informatici o telematici)

Art. 635 quinquies

(danneggiamento di sistemi

informatici o telematici di

pubblica utilità)

Art. 491 bis (documenti informatici)

Art. 640 quinquies

(frode informatica del soggetto che presta servizi di

certificazione di firma digitale)

Creazione, modifica, cancellazione di account e di profili

X X X X X X X X X

Implementazione e manutenzione di nuove reti TLC

X X X X

Implementazione e manutenzione di sistemi Hardware

X X X X X X X

Implementazione, creazione e manutenzione software

X X X X X X X X

Monitoraggio dei sistemi hardware e software (tentativi di accesso, accessi anomali per frequenza,

X X X X X





modalità, temporalità)

Monitoraggio dei sistemi hardware e software (casi di disruption, interferenze, verifica fisica delle apparecchiature e scanning delle memorie di massa)

X X X X

Monitoraggio dei sistemi software (accessi al database o agli applicativi)

X X

Gestione delle credenziali fisiche (badge, pin, codici di accesso, token autenticati, valori biometrici, etc.)

X X X X X X X X X

Gestione delle attività di security dei siti dei sistemi IT

X X X X X X X X X

Scanning dei documenti

X X

Verifica della firma digitale

X X

Invio di documentazione in formato digitale

X X

Storing ed accesso ai sistemi informatici

X X





4. Misure in essere e da adottare

CONTENUTI In questa sezione vengono riportate, in forma sintetica, le misure in essere e da adottare a contrasto dei rischi individuati dall’analisi dei rischi. Per misura qui si intende non solo lo specifico intervento tecnico od organizzativo posto in essere per prevenire, contrastare o ridurre gli effetti relativi ad una specifica minaccia ma anche tutte quelle attività di verifica e controllo nel tempo, essenziali per assicurarne l’efficacia. Senza procedure di controllo periodico, infatti, nessuna misura può essere considerata completa. Le misure da adottare sono inserite anche in una apposita sezione dedicata ai programmi di miglioramento della sicurezza.

INFORMAZIONI ESSENZIALI. Misure Descrive sinteticamente la misura di sicurezza adottata Rischio contrastato per ogni misura è indicato il riferimento all’elemento dell’analisi dei rischi che ha

motivato l’adozione della misura in oggetto.

Data base/trattamento Interessato

riporta l’identificativo del (dei) data base o dell’archivio informatizzato e dei trattamenti interessati per ciascuna delle misure adottate.

È da notare che determinate misure possono non essere riconducibili a specifici trattamenti o basi di dati. Rif. Scheda analitica

contiene il riferimento ad una scheda analitica descrittiva della misura, eventualmente compilata anche utilizzando la successiva tabella 4.2.

Data di effettività: per ogni misura è indicata la data a partire dalla quale la misura è operativa o se già operativa una dicitura standard (ad es.: “in essere”).

Periodicità e modalità dei controlli:

contiene l’indicazione della periodicità con cui sono verificate la funzionalità e l’efficienza della misura in questione e della struttura operativa che ne ha la responsabilità.





Informazioni descrittive analitiche delle misure di sicurezza Oltre alle informazioni sintetiche sopra riportate è stata compilata, per ciascuna misura, una scheda analitica contenente un maggior numero di informazioni, utili nella gestione operativa della sicurezza ed, in particolare, nelle attività di verifica e controllo. Queste schede sono a formato libero e le informazioni utili devono essere decise in funzione della specifica misura. A puro titolo di esempio, potranno essere inserite informazioni relative a: • la minaccia che si intende contrastare;

• la tipologia della misura di sicurezza (preventiva, di contrasto, di contenimento degli effetti, ...);

• le informazioni relative alla responsabilità della attuazione e della gestione della specifica misura;

• i tempi di validità delle scelte adottate (contratti esterni, aggiornamento di prodotti, ecc.);

• gli ambiti a cui si applica (ambiti fisici: un reparto, un edificio, o logici: una procedura, un’applicazione).

Di seguito è riportata una tabella con relative schede che possono facilitare l’organizzazione delle informazioni richieste al fine di dare adempimento alle misure di sicurezza individuate.





Tabella 16 Le misure di sicurezza adottate o da adottare

Misura Rischio contrastato

Trattamento interessato

Eventuale banca dati interessata

Rif. Scheda

analitica

Misura già in essere

Misura da adottare

Periodicità e responsabilità dei controlli

Tutela password Furto di credenziali di autenticazione



13 SI Bimestrale, in concomitanza scadenza password, in capo ai responsabili delle sedi operative provinciale


Accessi non autorizzati alle strumentazioni di lavoro




Formazione Carenza di consapevolezza disattenzione o incuria








16 SI Permanente Titolare

Copie di sicurezza




17 SI Settimanale Titolare

Antivirus Azione di virus informatico o codici maligni. Spamming o altre tecniche di sabotaggio



18 SI In modalità Liveupdate Titolare

Firma digitale Intercettazioni di informazioni in rete



19 SI per quel che concerne

la trasmissione

alla PA Da adottare per i restanti

casi

Annuale Titolare

Filtro Accessi Accessi non autorizzati a locali/reparti ad accesso ristretto Asportazione e furto di strumenti contenenti dati









Attenzione alla Accessi non Dati di utenti che Gestione di 22 Si Verifica in capo





corretta gestione delle deleghe

autorizzati alle banche dati dell’Agenzia dell’entrate e del ministero delle finanze

regolarmente abbiano sottoscritto delega abilitante all’accesso ai loro dati detenuti c/o il ministero delle finanze

acquisisione delle delelghe ed invio in tempi rapidi

ai responsabili delle sedi operative provinciali

Obbligo di verifica annuale su attività Amministratori di Sistema

Comportamenti anomali nelle attività svolte dagli amministratori di sistema



23 Si Annuale






Schede descrittive delle misure adottate Scheda 13 Tutela delle Password CAF Agenzia per le Imprese



Misura

Tutela Password


Definizione delle norme necessarie alla Tutela delle password


E’ prevista una password composta da 12 caratteri che includano elementi alfanumerici con almeno una lettera maiuscola ed almeno un simbolo speciale Alla scadenza, bimestrale, l'incaricato viene indirizzato ad una procedura automatizzata che obbliga al rinnovo della stessa impedendo al contempo l'accesso alle procedure. Nelle ipotesi di dimenticanza o prolungata assenza o impedimento dell’incaricato (per esclusive necessità di operatività e di sicurezza del sistema), il responsabile potrà azzerare la password dandone comunicazione tempestiva dell’intervento all’interessato. La password dovrà essere sostituita seguendo le modalità sopra specificate. Le password degli incaricati hanno una scadenza di 60 giorni con emissione di avvisi in prossimità della scadenza stessa.

Data Aggiornamento 27 Aprile 2016 Scheda 14 Sospensione postazione di lavoro dopo periodo di inattività CAF Agenzia per le Imprese



Misura





La postazione prevede un blocco, attraverso l’impostazione di uno screensaver, passati i 10 minuti di inattività della postazione di lavoro e la riattivazione della postazione stessa è subordinata alla digitazione della password di accesso al sistema. Periodicamente (almeno annualmente) verrà verificata la permanenza dell’impostazione sui singoli pc.






Scheda 15 Formazione CAF Agenzia per le Imprese



Misura Formazione Descrizione sintetica

Innalzamento della consapevolezza degli incaricati.


Programmazione di percorsi formativi, in modalità e-learning, finalizzati alla conoscenza delle metodologie utili alla gestione delle attività richieste dalle problematiche della sicurezza, della gestione dei dati, dell’utilizzo del software. Ad ulteriore supporto sono pubblicati documenti, istruzioni, help direttamente nelle aree di lavoro dei servizi. Seminari informativi a livello nazionale. Verifiche su strutture territoriali attraverso il comitato di controllo con apposita check list - allegata in calce


Scheda 16 Norme giuslavoristiche CAF Agenzia per le Imprese



Misura



Controllo dei doveri del lavoratore dipendente


Verifica della rispondenza dei comportamenti dei lavoratori ad un corretto rapporto di lavoro, effettuata nel rispetto dei principi di pertinenza e non eccedenza tutelati dalla normativa privacy.






Scheda 17 Copie di sicurezza CAF Agenzia per le Imprese



Misura

Copie di sicurezza


Garanzie di primo livello per la conservazione dei dati


Per i sistemi WEB esiste una ridondanza dei dati che sono sincronizzati quotidianamente. La cadenza delle copie di salvataggio è giornaliera utilizzando un supporto magnetico diverso (evitando quindi di sovrascrivere il contenuto di copie di salvataggio precedenti che non siano almeno antecedenti di 2 mesi) Le copie di salvataggio effettuate al termine della erogazione dei servizi secondo le scadenze dettate dalla normativa sono conservate per il periodo definito dalle leggi fiscali o dalle convenzioni con enti. Per i sistemi in rete locale produrre copie dei dati su supporti magnetici residenti su apparecchiatura diverse da quelle che contengono il dato originale. Le copie vanno effettuate alla fine di ogni sessione di lavoro che comporta l’aggiornamento della banca dati. Ogni supporto prodotto deve contenere l’indicazione della data di salvataggio e del suo contenuto. Si rimanda al documento allegato per quel che concerne il corretto tempo di conservazione.






Scheda 18 Antivirus CAF Agenzia per le Imprese Scheda 18 Compilata da:


Misura

Antivirus




Garantire la protezione dei dati dagli attacchi dei virus informatici mediante l’installazione e il mantenimento in memoria di programmi antivirus aggiornati con modalità liveupdate.

Data aggiornamento 27 Aprile 2016 Scheda 19 Firma digitale CAF Agenzia per le Imprese Scheda 19 Compilata da:


Misura

Firma digitale


Garanzie di secondo livello per la protezione dei dati


Garantire la protezione dei dati nella fase di trasmissione in rete degli stessi verso la PA. Certificare l’identità del mittente e del destinatario e mantenere riservate le informazioni scambiate (crittografia). Occorre verificare che gli strumenti che consentano l’apposizione della stessa firma digitale siano a disposizione dei soli soggetti ai quali la stessa è stata rilasciata.






Scheda 20 Filtro accessi CAF Agenzia per le Imprese


Data ultimo aggiornamento 24 Marzo 2015

Misura

Filtro accessi


Garanzie di primo livello per la protezione dei dati


Controllo delle persone che accedono ai locali dove viene svolta l’attività, mediante filtro alla ricezione effettuato durante l’orario di lavoro anche in presenza di sportelli aperti al pubblico. Fuori orario di lavoro (notturno e/o festivo) protezione mediante idonei sistemi di sicurezza e aggiornamento dei moduli per l’autorizzazione agli archivi dopo l’orario di chiusura. I moduli raccolti nel territorio dovranno essere acquisiti e spediti ad opera del responsabile della sede operativa territoriale.

Data aggiornamento 27 Aprile 2016 Scheda 21 Applicazione delle misure di sicurezza volte ad evitare la commissione di reati informatici e trattamenti illeciti CAF Agenzia per le Imprese



Misura





Controllo dei doveri comportamentali dei: soggetti che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell’azienda o di una sua unità organizzativa, o che esercitano, anche di fatto, la gestione o il controllo delle stesse; soggetti sottoposti alla direzione o vigilanza dei soggetti di cui al precedente punto; soggetti terzi (consulenti/operatori/manutentori informatici esterni) al fine di evitare la commissione di reati informatici e trattamenti illeciti di dati Verifica quotidiana della rispondenza dei comportamenti dei soggetti sopra riportati in relazione alle misure organizzative individuate ed adottate tese a prevenire la commissione di reati informatici e trattamenti illeciti di dati A tutti gli incaricati sono state fornite istruzioni per iscritto integrate in conformità a quanto previsto dell’art. 24-bis del D. Lgs. 8.6.2001, n. 231 sulla responsabilità amministrativa degli enti.






Scheda 22 Attenzione alla corretta gestione delle deleghe


Data precedente aggiornamento Nuova Scheda

Misura





Verifica e controllo della corretta gestione e delle credenziali di accesso degli incaricati alla gestione delle deleghe relative.

Data Aggiornamento 27 Aprile 2016 Scheda 23 Obbligo di verifica annuale su attività Amministratori di Sistema CAF Agenzia per le Imprese



Misura

Obbligo di verifica annuale su attività degli Amministratori di Sistema




Almeno annualmente incontro tra il Titolare del Trattamento, il Responsabile del Trattamento, supportato da strutture terze (a garanzia dei controlli), e società esterne con funzioni di Amministratore di Sistema, per effettuare una verifica puntuale delle misure in essere (sulla base del provvedimento del Garante del 27 11 2008 e successive integrazioni).






5. Criteri e modalità di ripristino della disponibilità dei dati

CONTENUTI In questa sezione sono descritti i criteri e le procedure adottati per il salvataggio dei dati e per il loro ripristino in

caso di danneggiamento o di inaffidabilità della base dati.

L’importanza di queste attività deriva direttamente dalla eccezionalità delle situazioni in cui il ripristino ha luogo: è

essenziale che quando sono necessarie le copie dei dati siano disponibili e le procedure efficaci.

INFORMAZIONI ESSENZIALI. Data base contiene l’identificativo del data base o dell’archivio interessato. Dati sensibili o giudiziari contenuti contiene l’elenco dei dati sensibili o giudiziari contenuti nel database o archivio. Criteri individuati per il salvataggio (procedure operative in essere):

contiene una descrizione della tipologia di salvataggio e della frequenza con cui viene effettuato.

Ubicazione di conservazione delle copie:

contiene l’indicazione del luogo fisico in cui sono custodite le copie dei dati salvati.

Struttura operativa o persona incaricata del salvataggio

contiene il nominativo della persona incaricata di effettuare il salvataggio e/o di controllarne l’esito o del coordinatore del gruppo preposto.





Tabella 17 Procedure Salvataggio

Salvataggio Data base Dati sensibili o

giudiziari contenuti Criteri individuati per il salvataggio (procedure operative in essere)

Struttura operativa incaricata del salvataggio


Nessuno Ridondanza della banca dati sincronizzata. Copia di backup quotidiano Procedure di ripristino (restore

WEBFARM di Modena Sixtema Spa






Per quanto riguarda il ripristino, le informazioni essenziali sono le seguenti: Data base/archivio contiene l’identificativo del data base o dell’archivio interessato Scheda operativa:

contiene il riferimento alla scheda operativa che descrive la procedura di ripristino


contiene l’indicazione delle date in cui si prevede di effettuare dei test di efficacia delle procedure di salvataggio/ripristino dei dati adottate.





Tabella 18 Procedure di ripristino

Ripristino Database o archivio

Scheda operativa cui attenersi









6. Pianificazione degli interventi formativi previsti

CONTENUTI In questa sezione sono riportate le informazioni necessarie per disporre di un quadro sintetico dell’impegno formativo che si prevede di sostenere in attuazione della normativa.

INFORMAZIONI ESSENZIALI. Corso di formazione riporta l’identificativo del corso di formazione. Descrizione sintetica contiene la descrizione sintetica degli obiettivi del corso. Classi di incarico interessate contiene l’elenco delle classi omogenee di incarico a cui il corso è destinato e/o le

tipologie di incaricati interessati.

Numero di incaricati interessati contiene il numero di addetti interessati al corso.

Numero di incaricati già formati/da formare nell’anno

contiene l’indicazione del numero di addetti già formati negli anni precedenti e quelli di cui si prevede la formazione nell’anno in corso.





Tabella 19 Interventi formativi

Corso di

formazione

Descrizione

sintetica

Classi di incarico

interessate

Numero di incaricati interessati

Numero di incaricati già formati/da

formare nell’anno

Calendario

Aggiornamento formativo/informativo sulle variazione in merito alla normativa privacy ed alle procedure tecnologiche per la tutela delle informazioni, attraverso lo strumento dell’e-learning di Formerete.

Indicazione della normativa e delle procedure da svolgere ai fini della sicurezza e riservatezza

Operatori che erogano i servizi.



Fruizione attraverso il sito Intranet della società ed attraverso materiale didattico inviato dal Responsabile del trattamento via email






7. Trattamenti affidati all’esterno

CONTENUTI Obiettivo di questa sezione è redigere un quadro sintetico delle attività trasferite a terzi che comportano il trattamento di dati personali con l’indicazione sintetica del quadro contrattuale in cui tale trasferimento si inserisce, in riferimento alla protezione dei dati personali.

INFORMAZIONI ESSENZIALI Attività delegata: contiene l’identificativo dell’attività che è stata oggetto di delega a terzi.

Descrizione sintetica contiene una descrizione sintetica dell’attività.

Dati personali, sensibili o giudiziari interessati

contiene l’elenco dei dati personali, sensibili o giudiziari oggetto di trattamento per la realizzazione dell’attività delegata

Soggetto delegato riporta l’identificativo della società o del consulente a cui è stato affidato l’incarico; Descrizione dei criteri per garantire l’adozione delle misure

perché sia garantito un adeguato trattamento dei dati è necessario che il soggetto esterno a cui viene affidato il trattamento si assuma alcuni impegni su base contrattuale Il soggetto cui le attività sono affidate dichiara: 1. di essere consapevole che i dati che tratterà nell’espletamento dell’incarico ricevuto sono dati personali e come tali sono soggetti all’applicazione del codice per la protezione dei dati personali; 2. di ottemperare agli obblighi previsti dal Codice per la protezione dei dati personali; 3. di adottare le istruzioni specifiche eventualmente ricevute per il trattamento dei dati personali o di integrarle nelle procedure già in essere; 4. di impegnarsi a relazionare annualmente sulle misure di sicurezza adottate e di allertare immediatamente il proprio committente in caso di situazioni anomale o di emergenze; 5. di riconoscere il diritto del committente a verificare periodicamente l’applicazione delle norme di sicurezza adottate. In questa casella sono riportati gli impegni contrattualmente assunti nel caso specifico.

Date delle verifiche contiene l’indicazione del numero e delle date delle verifiche previste





Tabella 20 Trattamenti affidati all’esterno

Attività affidata

all’esterno

Descrizione

Sintetica

Dati personali,

sensibili o giudiziari interessati

Soggetto esterno

Descrizione dei

criteri per l’adozione delle

misure Sviluppo e Manutenzione Software


Dati anagrafici contenuti negli archivi che presentano anomalie e malfunzioni o dati presenti in archivi utilizzati come base per il test delle procedure

Sixtema S.p.a. Nominato Responsabile Esterno con funzioni di Amministratore di Sistema; con previsione di clausole di rispetto delle misure di sicurezza

Web Housing Servizi di Web Housing Dati contenuti nelle dichiarazioni presenti in archivio

Sixtema S.p.A. Nominato Responsabile Esterno con funzioni di Amministratore di Sistema; con previsione di clausole di rispetto delle misure di sicurezza

Gestione e manutenzione degli strumenti informatici

Gestione e manutenzione delle apparecchiature informatiche della sede nazionale comportante l’accesso agli strumenti elettronici di CNA

Dati sensibili e personali presenti all’interno dei pc dei dipendenti della sede nazionale di CAF CNA Srl.

Gruppo Servizi Nazionale S.r.l.

Nominato Responsabile Esterno






DICHIARAZIONE D’IMPEGNO E FIRMA Il presente Documento sulla Sicurezza è stato redatto in maniera precisa e consapevole con lo specifico obiettivo di: • fotografare l’ambito di trattamento dei dati; • individuare i fattori di criticità; • localizzare i punti deboli delle diverse fasi; • esaminare le possibilità di rimediare alle situazioni in cui è a rischio di compromissione la riservatezza delle informazioni; • identificare le soluzioni organizzative e tecniche per fronteggiare immediatamente insidie e pericoli riconosciuti in corso di analisi e scongiurare il verificarsi di incidenti futuri che possano pregiudicare i dati e recare danno ai soggetti cui i dati stessi si riferiscono; • ravvisare ogni utile opportunità di formazione del personale al fine di garantire la massima sensibilità alle questioni inerenti la riservatezza delle informazioni personali e la più metodica professionalità nello svolgimento dei compiti demandati; • assicurare il totale rispetto delle norme vigenti in materia di privacy. Il presente Documento sulla Sicurezza è stato redatto dal Titolare del Trattamento attraverso il “Responsabile per il trattamento dei dati personali”, avvalendosi della consulenza della Società Interpreta S.r.l. Viene acquisito agli atti dalla Società CAF CNA Srl. che esegue il trattamento dei dati per la sua idonea conservazione e viene messo a disposizione: • degli organi di controllo designati dal Garante per la Protezione dei Dati personali o dallo stesso delegati (Guardia di Finanza) dell’Autorità Giudiziaria e di Polizia, per le iniziative di accertamento dell’osservanza delle prescrizioni di legge; • di chiunque – soggetto interessato – voglia verificare l’adeguatezza delle misure di sicurezza adottate a salvaguardia della riservatezza. Il Responsabile, eventualmente coadiuvato dai soggetti che ne hanno curato la redazione, provvederà ad assistere il Titolare dei Dati nel caso di accertamenti delle Autorità preposte. Il presente Documento sulla Sicurezza verrà sottoposto ad approvazione del Cda di CAF CNA Srl. e viene firmato in calce dal Legale Rappresentante della società e dal Responsabile del Trattamento. L’originale è conservato presso la sede legale. Per CAF CNA Srl.

Il Legale Rappresentante Tamagnini Giuliano

Roma, li 27 Aprile 2016 __________________________ Firma

Il Responsabile del Trattamento Roberto Vitale

Roma, li 27 Aprile 2016 __________________________ Firma





Allegati





Allegato A - Elenco delle sedi operative del CAF CNA Per un aggiornato elenco degli incaricati si rimanda al documento esterno riproducibile dalle procedure informatizzate.





Allegato B - Elenco delle strutture che operano per conto di CAF CNA

Per un aggiornato elenco degli incaricati si rimanda al documento esterno riproducibile dalle procedure informatizzate.





Allegato C - Elenco Degli Incaricati

Per un aggiornato elenco degli incaricati si rimanda al documento esterno riproducibile dalle procedure informatizzate.





Allegato D – Modulo accessi agli archivi ed ai locali fuori dall’orario di lavoro In ottemperanza agli artt. 31/36 del D.lgs. n. 196/03 (Codice in materia di protezione dei dati personali) ed ai punti 19.4 e 29 del "Disciplinare tecnico" (Allegato B al Codice), che impongono al titolare del trattamento dei dati personali l'obbligo di "garantire l'integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità" ed, in particolare, per accedere agli archivi dopo l'orario di chiusura, di identificare e registrare le persone ammesse a qualunque titolo AUTORIZZA anche dopo l’orario di chiusura degli uffici l'accesso agli archivi/ai locali della sede di via_________________________________________ in data_______________________ alle persone di seguito nominate e registrate: 1) 2) 3) 4) 5) 6) 7) 8) 9) 10) Motivo dell'accesso agli archivi o locali _______________________________________________ In tale occasione si raccomanda alle persone autorizzate la massima diligenza per evitare rischi d'intrusione o perdita di dati, di accesso non autorizzato o di trattamento non consentito.





Allegato E – Provvedimento Telematico Agenzia Entrate PROT. N. 79952/2009

Adeguamento dei servizi telematici dell’Agenzia delle entrate alle prescrizioni del Garante per la protezione

dei dati personali di cui al Provvedimento 18 settembre 2008

IL DIRETTORE DELL’AGENZIA

In base alle attribuzioni conferitegli dalle norme riportate nel seguito del presente provvedimento

Dispone 1.Definizioni. 1.1 Ai fini del presente provvedimento si intende:

a) per “servizio Entratel”, il servizio telematico di cui al Capo II del decreto 31 luglio 1998, utilizzabile dai soggetti di cui ai all’art. 3, commi 2, 2-bis e 3 del decreto del Presidente della Repubblica 22 luglio 1998, n. 322; b) per “servizio Fisconline”, il servizio telematico Internet di cui al Capo IV del decreto 31 luglio 1998, utilizzabile dai soggetti individuati dall’art. 3, ultimo periodo del comma 2, del decreto del Presidente della Repubblica 22 luglio 1998, n. 322, e dai soggetti di cui al comma 2-

ter del medesimo articolo; c) per “sito dei servizi telematici” dell’Agenzia delle entrate, il sito Internet dei servizi Entratel e Fisconline, raggiungibile all’indirizzo http://telematici.agenziaentrate.gov.it; d) per “gestori incaricati”, le persone fisiche, autonomamente abilitate ai servizi telematici

dell’Agenzia delle entrate, designate dagli utenti diversi dalle persone fisiche abilitati a Entratel o a Fisconline, o dagli utenti persone fisiche abilitati al servizio

Entratel che ne ravvisino l’esigenza, per interagire con i servizi telematici in nome e per conto dei suddetti utenti, nonché per creare ed aggiornare l’elenco degli operatori incaricati all’utilizzo dei servizi telematici in nome e per conto degli utenti medesimi;

e) per “operatori incaricati”, le persone fisiche, autonomamente abilitate ai servizi telematici, che sono designate, dagli utenti diversi dalle persone fisiche abilitati a Entratel o a Fisconline, o dagli utenti persone fisiche abilitati al servizio Entratel che ne ravvisino l’esigenza, ad operare in nome e per conto dei suddetti utenti sui predetti servizi.


Sede Legale e Sede Amministrativa P.I./C.F. 04417981000 00162 Roma - Piazza M. Armellini 9/a Tel. 06-44188601 fax 06-44188602 Capitale Sociale: € 140.000,00 int. versato e-

mail: [email protected] internet: www.caf.cna.it Iscriz. CCIAA 1654/1993


2. Abilitazione al servizio Entratel 2.1. I soggetti che hanno i requisiti per essere abilitati al servizio Entratel, ai sensi e per gli effetti del decreto

del Presidente della Repubblica 22 luglio 1998, n. 322, e successive modificazioni, richiedono l’abilitazione in base a quanto stabilito nei seguenti punti. 2.2. L’utente richiede via web, sul sito dei servizi telematici, il codice di pre-iscrizione; quest’ultimo viene

attribuito dal sistema in tempo reale, previo inserimento, da parte dell’utente medesimo, delle informazioni ivi richieste.

2.3. L’utente presenta, entro trenta giorni dalla ricezione del codice di pre-iscrizione, la domanda di abilitazione e la documentazione allegata a un qualsiasi ufficio dell’Agenzia delle entrate della regione in cui ricade il proprio domicilio fiscale.

2.4. Ai fini della puntuale individuazione degli autori delle transazioni telematiche, i soggetti diversi da persona fisica sono tenuti a presentare all’Agenzia delle entrate, unitamente alla domanda di cui al punto 2.3 e in relazione a ciascuna eventuale sede secondaria da attivare, una lista contenente i dati relativi ai gestori incaricati, tenuti a loro volta ad amministrare, mediante il sito dei servizi telematici, gli operatori incaricati che sono autorizzati dai predetti soggetti diversi da persone fisiche ad utilizzare il servizio Entratel in nome e per conto di questi ultimi.

2.5 L’utente diverso da persona fisica, già in possesso dell’abilitazione al servizio Entratel al momento dell’entrata in vigore del presente provvedimento, comunica all’Agenzia delle entrate, per ciascuna sede telematica attiva, l’elenco dei gestori incaricati secondo una delle seguenti modalità:

a) attraverso una funzione disponibile sul sito dei servizi telematici, dedicata ai rappresentanti legali o negoziali, persone fisiche, registrati in anagrafe tributaria;

b) presentando un apposito modulo, disponibile presso gli uffici dell’Agenzia o sul sito dei servizi telematici, all’ufficio che ha precedentemente rilasciato l’abilitazione. 2.6. I rappresentanti legali o negoziali, qualora sprovvisti, richiedono, ai fini della comunicazione dei

nominativi dei gestori incaricati, l’abilitazione al servizio Entratel o Fisconline in base alle caratteristiche che li qualificano ai sensi dell’art 3 del decreto del Presidente della Repubblica 22 luglio 1998, n. 322 .

2.7. Le persone fisiche abilitate al servizio Entratel hanno la facoltà di effettuare la comunicazione dei gestori incaricati con le medesime modalità illustrate nei punti

precedenti. 2.8. La domanda per richiedere l'abilitazione e la relativa documentazione sono presentate in tempo utile per

ottemperare agli obblighi previsti dalla normativa vigente; le modalità e i tempi di rilascio delle abilitazioni al servizio Entratel, nonché di perfezionamento, da parte dell’utente, delle operazioni necessarie a rendere operativa l’utenza ottenuta sulla base delle avvertenze consegnate dall’ufficio, non legittimano in alcun caso il differimento dei termini

previsti per l'assolvimento degli adempimenti in materia fiscale. 2.9. L'ufficio, dopo aver verificato l'identità del richiedente e la corretta compilazione della domanda di

abilitazione e della documentazione allegata, rilascia al richiedente medesimo l'attestazione di abilitazione al servizio Entratel, recante un codice da utilizzare per prelevare le proprie credenziali dal sito dei servizi telematici.

2.10. L'utente controfirma l'attestazione, contenente l'impegno ad assicurare il corretto utilizzo del servizio Entratel e a mantenere riservate le informazioni desunte dalla

documentazione rilasciata, dichiarando di accettare le condizioni di funzionamento del servizio che gli vengono contestualmente comunicate dall'ufficio, il quale trattiene copia dell'attestazione

controfirmata. 2.11. E' cura dell'utente conservare il codice di pre-iscrizione ottenuto con le modalità di cui al precedente punto

2.2 e la documentazione ricevuta dall’ufficio. 2.12. All'ufficio presso il quale è stata presentata la domanda di abilitazione al servizio Entratel devono essere inoltrate le istanze volte a richiedere le variazioni dell’utenza ottenuta, ivi comprese





quelle relative ai gestori incaricati qualora l’utente o gli stessi gestori incaricati si trovino impossibilitati ad operare direttamente dal sito dei servizi telematici.

2.13. I soggetti abilitati al servizio Entratel non possono essere, in nessun caso, contemporaneamente titolari dell’abilitazione al servizio Fisconline. Gli utenti abilitati al servizio Entratel che siano, alla data di pubblicazione del presente provvedimento, abilitati anche al servizio Fisconline sono tenuti a chiedere la revoca di quest’ultima abilitazione

rivolgendosi ad un ufficio dell’Agenzia delle entrate. In ogni caso, a partire dal trentesimo giorno successivo alla pubblicazione del presente provvedimento, verranno automaticamente disabilitati da Fisconline i soggetti che risultino titolari anche di abilitazione al servizio Entratel.

3. Gestori incaricati ed operatori incaricati 3.1 Gli utenti diversi dalle persone fisiche abilitati ai servizi Entratel o Fisconline comunicano, mediante

un’apposita funzione del sito dei servizi telematici riservata ai rappresentanti legali o negoziali registrati in anagrafe tributaria, oppure al competente Ufficio dell’Agenzia delle entrate, con apposito modello, i dati identificativi dei gestori incaricati da un minimo di uno ad un massimo di quattro. Tale comunicazione deve essere effettuata, da parte degli utenti Entratel, per ciascuna sede telematica. Le persone fisiche abilitate al servizio Entratel, che esercitino la facoltà di individuare i gestori incaricati,

procedono come sopra stabilito per gli utenti diversi dalle persone fisiche. 3.2. I gestori incaricati amministrano, mediante apposite funzionalità disponibili sul sito dei servizi telematici,

l’elenco dei gestori e degli operatori incaricati all’utilizzo dei predetti servizi dell’Agenzia delle entrate in nome e per conto degli utenti deleganti, provvedendo ad eventuali inserimenti e cancellazioni.

3.3 I gestori incaricati e gli operatori incaricati devono essere in possesso dell’abilitazione ai servizi Entratel o Fisconline, a seconda dei requisiti posseduti per la trasmissione

telematica delle dichiarazioni fiscali. 3.4. I gestori incaricati e gli operatori incaricati possono utilizzare i servizi telematici in nome e per

conto di più utenti; dopo aver effettuato l’accesso al sistema con le proprie credenziali, potranno indicare l’utente per conto del quale intendono effettuare le transazioni telematiche.

3.5. I gestori incaricati e gli operatori incaricati, dopo aver indicato l’utente per conto del quale intendono effettuare le transazioni telematiche, interagiscono con i servizi telematici con i medesimi

privilegi dell’utente che li ha incaricati. 3.6. A seguito della comunicazione di cui ai punti 2.4, 2.5 e 3.1, i gestori incaricati acquisiscono

immediatamente la possibilità di operare telematicamente in nome e per conto del soggetto che li ha incaricati. 3.7 A seguito dell’inserimento nell’elenco di cui al punto 3.2 gli operatori incaricati acquisiscono

immediatamente la possibilità di operare telematicamente in nome e per conto del soggetto che gli ha incaricati. 3.8. A decorrere dal 1° settembre 2009, agli utenti diversi dalle persone fisiche è inibito l’utilizzo delle

attuali credenziali generiche di accesso ai servizi telematici attribuite precedentemente all’entrata in vigore del presente provvedimento. A decorrere dal 1° novembre 2009 sono revocate le abilitazioni ai servizi telematici degli utenti diversi dalle persone fisiche che non hanno perfezionato gli adempimenti previsti dal presente provvedimento.

4. Abilitazione e utilizzo del servizio Fisconline 4.1 Agli utenti diversi dalle persone fisiche abilitati al servizio Fisconline si applicano le norme relative ai

gestori incaricati e agli operatori incaricati di cui ai punti 2 e 3 del presente provvedimento. 4.2 Il codice Pin assegnato a ciascun utente del servizio Fisconline scade il 31 dicembre del secondo anno

successivo a quello di ultima utilizzazione ovvero, nel caso in cui rimanga del tutto inutilizzato dopo l’assegnazione, scade il 31 dicembre del secondo anno successivo a quello del rilascio. La disposizione di cui al periodo precedente si applica anche ai codici Pin attivi alla data della pubblicazione del presente provvedimento. Il codice Pin perde la sua validità in caso di decesso del titolare.

4.3 In caso di perdita del codice Pin e nel caso in cui l'utente ritenga che lo stesso venga





indebitamente utilizzato da altri, é presentata apposita comunicazione ad un ufficio dell’Agenzia delle entrate, il quale provvede alla revoca dell'abilitazione già in possesso dell'utente e, se richiesta, all’attribuzione di una nuova abilitazione a Fisconline.

4.4 Ai soggetti abilitati al servizio Fisconline che siano, alla data di pubblicazione del presente provvedimento, contemporaneamente titolari dell’abilitazione al servizio Entratel si applicano le disposizioni di cui al punto 2.13.

5. Obbligo di riservatezza 5.1. Gli utenti dei servizi Entratel e Fisconline possono trattare i dati contenuti nei documenti per le

sole finalità del servizio di trasmissione telematica e per il tempo a ciò necessario, secondo quanto previsto dall'art. 12-bis del decreto del Presidente della Repubblica, n. 600 del 1973, con le modalità definite dal decreto 31 luglio 1998, dal presente provvedimento e dalle convenzioni con Poste italiane S.p.a.

5.2. Gli utenti dei servizi telematici si configurano quali autonomi titolari del trattamento dei dati personali ai sensi dell'art 4, comma 1, lett. f) del decreto legislativo 30 giugno 2003, n. 196.

5.3. Il trattamento dei dati personali contenuti nei documenti da trasmettere per via telematica è consentito solo ai soggetti, anche esterni, designati come responsabili dagli utenti dei servizi telematici, nel rispetto di quanto previsto dagli articoli 4 e 29 del decreto

legislativo 30 giugno 2003, n.196. 5.4. Le persone fisiche incaricate del trattamento sono individuate dagli utenti dei servizi telematici, o dal

soggetto da questi designato quale responsabile, ed operano sulla base dell’autorizzazione ricevuta, attenendosi alle istruzioni impartite e garantendo la riservatezza e sicurezza delle informazioni trattate.

5.5. Gli utenti dei servizi telematici, ad eccezione delle persone fisiche non intermediari che effettuano telematicamente i propri adempimenti fiscali, e i soggetti designati come

responsabili adottano le misure organizzative, fisiche e logistiche di cui al decreto legislativo 30 giugno 2003, n. 196, al fine di assicurare la riservatezza e la sicurezza dei dati, anche

attraverso l'individuazione di appositi spazi per la conservazione dei medesimi. 5.6. Gli utenti dei servizi telematici si impegnano a ottemperare le attività descritte nell'allegato

tecnico al decreto 31 luglio 1998 e a mantenere riservate le informazioni che consentono l'accesso ai predetti servizi.

5.7. Al momento del rilascio dell'attestazione di cui al punto 2, ciascun utente abilitato al servizio Entratel si impegna, con la sottoscrizione, al rispetto delle disposizioni contenute nel presente provvedimento, anche per conto dei soggetti designati come responsabili.

5.8. L'Agenzia delle entrate verifica periodicamente, anche con controlli a campione, il rispetto delle disposizioni contenute nel presente provvedimento.

6. Tutela dei dati personali degli utenti. 6.1. L'informativa ai sensi dell'art. 13 del Decreto Legislativo 30 giugno 2003, n. 196, si intende resa

mediante le avvertenze fornite agli utenti sia al momento della presentazione della domanda di abilitazione, cartacea o telematica, sia al momento del rilascio dell'abilitazione ai servizi telematici.





MOTIVAZIONI Al fine di ottemperare alle prescrizioni adottate dal Garante per la protezione dei dati personali con

Provvedimento del 18 settembre 2008, le modalità di abilitazione e di accesso ai servizi telematici sono state riviste al fine di assicurare i migliori standard in materia.

In primo luogo, l’Agenzia delle entrate ha rafforzato la password policy relativa alle utenze dei servizi telematici, stabilendo la scadenza periodica delle password ogni novanta giorni.

Si è reso inoltre necessario apportare modifiche al sistema in uso per le credenziali d’accesso attribuite agli utenti dei servizi telematici diversi da persona fisica.

Pertanto, a partire dall’1 settembre 2009, tutte le credenziali di accesso ai servizi telematici attribuite a soggetti diversi dalla persone fisiche saranno inutilizzabili; i soggetti diversi da persona fisica abilitati ai canali Entratel e Fisconline sono tenuti a comunicare, entro il 31 agosto 2009, all’Agenzia delle entrate i dati identificativi dei cosiddetti “gestori incaricati” e degli “operatori incaricati”, cioè di persone fisiche che effettuano transazioni telematiche con credenziali proprie, autorizzati dalle società, enti o organizzazioni cui appartengono ad operare in nome e per conto di questi ultimi

I “gestori incaricati” e gli “operatori incaricati” sono, quindi, tenuti a possedere autonoma abilitazione ai servizi telematici.

Con il presente provvedimento sono disciplinate le modalità di individuazione e comunicazione dei dati dei “gestori incaricati” e degli “operatori incaricati”.

A decorrere dall’1 novembre 2009 sono revocate d’ufficio le abilitazioni ai servizi telematici degli utenti diversi dalle persone fisiche che non hanno perfezionato gli adempimenti previsti dal presente provvedimento.

Inoltre, il piano di riforma dei servizi telematici ha comportato l’introduzione di modifiche alla procedura di rilascio delle abilitazioni al servizio telematico Entratel, con il superamento dell’attribuzione delle credenziali mediante buste cartacee, sostituite dalla comunicazione sicura online delle predette credenziali





Riferimenti normativi

a) Attribuzioni del Direttore dell’Agenzia delle Entrate

• Decreto legislativo 30 luglio 1999, n. 300, recante la riforma dell’organizzazione

del Governo, a norma dell’art. 11 della legge 15 marzo 1997, n. 59 comma 1; art. 71, comma 3, lettera a); art. 73, comma 4.

• Statuto dell’Agenzia delle Entrate (art. 5, comma 1; art. 6, comma 1).

• Regolamento di amministrazione dell'Agenzia delle Entrate (art. 2, comma 1).

• Decreto del Ministro delle Finanze 28 dicembre 2000, concernente disposizioni recanti le modalità di

avvio delle Agenzie fiscali e l’istituzione del ruolo speciale provvisorio del personale dell’Amministrazione finanziaria a norma degli artt. 73 e 74 del Decreto legislativo 30 luglio 1999, n. 300.

b) Disciplina normativa di riferimento

• Decreto del Presidente della Repubblica del 29 settembre 1973, n. 600, recante disposizioni comuni in materia di accertamento delle imposte sui redditi, e successive modificazioni e integrazioni.

• Decreto legislativo 9 luglio 1997, n. 241, concernente norme di semplificazione degli adempimenti dei contribuenti in sede di dichiarazione dei redditi e dell'imposta sul valore aggiunto, nonché di modernizzazione del sistema di gestione delle dichiarazioni, e successive modificazioni e integrazioni.

• Decreto del Presidente della Repubblica 22 luglio 1998, n. 322, e successive modificazioni: regolamento recante modalità per la presentazione delle dichiarazioni relative alle imposte sui redditi, all’imposta regionale sulle attività produttive e all’imposta sul valore aggiunto.

• Decreto dirigenziale 31 luglio 1998, e successive modificazioni, recante modalità tecniche di trasmissione telematica delle dichiarazioni e dei contratti di locazione e di affitto da sottoporre a registrazione, nonché di esecuzione telematica dei pagamenti.

• Decreto legislativo 30 giugno 2003, n. 196. Codice in materia di protezione dei dati personali. La pubblicazione del presente provvedimento sul sito Internet dell’Agenzia delle entrate tiene luogo della

pubblicazione nella Gazzetta Ufficiale, ai sensi dell’articolo 1, comma 361, della legge 24 dicembre 2007, n. 244. Roma, 10 giugno 2009 IL DIRETTORE DELL’AGENZIA

Attilio Befera *

* Firma autografa sostituita da indicazione a mezzo stampa, ai sensi dell’art. 3, comma 2, D.lgs. N° 39/93





Allegato F – Operazioni Sicurezza ENTRATEL Sicurezza

I certificati del servizio Entratel possono essere utilizzati anche da altri Enti per il colloquio

telematico con i propri utenti. A tal fine è necessario estrapolare dal file “Utente.ks”, presente nel floppy, i due certificati di firma e

di cifra e registrarli sul medesimo supporto. I nuovi file memorizzati nel floppy sono:

- “Utef.p12” che rappresenta il certificato di firma;

- “Utec.p12” che rappresenta il certificato di cifra.

La funzione deve essere esegui ta solo n e l caso in cui l’ambiente di sicurezza sia stato

generato con versioni precedenti alla 3.2.0. in quanto a partire dalla versione 3.2.0 dell’applicazione Entratel tale operazione avviene automaticamente in fase di generazione dell’ambiente di sicurezza.

In particolare i passi da seguire sono i seguenti:

1. prendere visione delle informazioni riportate e confermare con il bottone “OK”;

2. verificare che il floppy contenente l’ambiente di sicurezza non sia protetto in scrittura;

3. inserire il floppy, indicare la relativa password di protezione e confermare con il bottone “OK”;

4. attendere la conferma che l’operazione sia avvenuta correttamente.





Allegato G – Email conferma politica password per CAF Roberto Vitale

Da: CAF CNA - posta certificata <[email protected]> Inviato: mercoledì 7 dicembre 2011 15.39 A: '[email protected]' Oggetto: NUOVE MODALITA' DI AUTENTICAZIONE ALLE PROCEDURE WEB DEL CAF E

STAMPA LETTERA DI INCARICO AI FINI PRIVACY

A tutti i Responsabili del Trattamento dati delle sedi operative provinciali e p.c. ai Responsabili interni Provinciali

Cari responsabili del trattamento dati delle sedi operative provinciali, facendo seguito alla mia lettera prot. 100/2011 dello scorso mese di ottobre sono con la presente ad

informarVi che a partire da oggi, progressivamente, verrà attivata nelle procedure web del CAF CNA la funzionalità di RINNOVO O CONFERMA DELLE CREDENZIALI DI AUTENTICAZIONE.

Il ritardo rispetto alla data del 20 ottobre che avevo indicato è derivato dall’aver scelto questa occasione per un completo rinnovamento delle procedure di autenticazione che ora sostanzialmente presentano importanti novità:

• ogni addetto/incaricato dovrà registrarsi con il proprio codice fiscale e dopo aver modificato la propria

password sarà chiamato ad attivarla con una apposita e-mail; la password potrà essere rinnovata anche dopo la scadenza (60 giorni) per un periodo di 30 giorni senza il Vostro intervento, anche se Voi sarete comunque avvertiti attraverso una apposita e-mail. (a regime, il supervisore 730 riceverà i rinnovi dei propri operatori, ecc.)

• l'interfaccia di gestione operatori/sedi è rinnovata nell'aspetto e nelle funzionalità; in particolare il livello di supervisore sarà assegnato sulle singole procedure: 730, ISE, RED, Detrazioni - in modo da migliorare la comunicazione a tutti i livelli. I livelli di 'supervisore' saranno assegnati in modo corretto sulle varie procedure solo progressivamente poiché si tratta di operazione manuale e non così urgente.

Sul piano operativo ogni operatore/supervisore già in possesso di una username di accesso alle procedure

web del CAF CNA, da domani sarà invitato al momento dell’accesso ad AGGIORNARE LA PROPRIA PASSWORD, con l’obbligo di rispettare almeno 8 caratteri di cui 2 cifre e 2 lettere diverse tra di loro, INSERIRE IL PROPRIO CODICE FISCALE, ed infine a VERIFICARE L’INDIRIZZO E‐MAIL a lui associato.

Terminata la registrazione l’operatore/supervisore riceverà una e‐mail al suo indirizzo di posta appena

registrato con UN LINK DA CONFERMARE PER POTER ATTIVARE LA SUA PASSWORD. Inoltre la procedura web produrrà LA LETTERA D’INCARICO AI FINI PRIVACY dell’operatore/supervisore

registrato con la sua anagrafica ed il suo codice web, che dovrà essere stampata, firmata e consegnata a Voi per consentirVi di poter procedere alla compilazione dell’elenco degli incaricati che dovrete farmi pervenire entro e non oltre il 15 gennaio 2012.

Questa autenticazione sarà introdotta a partire dalle procedure ISE e 730 progressivamente a tutte le

province.


mailto:[email protected]




Allegato H – Modello di nomina responsabile del trattamento dati delle sedi operative provinciali





Allegato I – Designazione a Responsabile Esterno ed Attribuzione della funzione di Amministratore di sistema (Sixtema S.p.A. – Ocean Tool)





Allegato L – Verifica annuale Amministratore di sistema (Sixtema S.p.A. – Ocean Tool)





Allegato M – DPS Data Center Sixtema S.p.a.





Allegato N – Modulo consegna Istruzioni agli incaricati





Allegato O – Check list comitato ispettivo CNA CAF Srl

DATI GENERALI STRUTTURA OGGETTO DELLA VERIFICA Tipologia Struttura Nome società di servizi convenzionata o unità locale Provincia Indirizzo Telefono Fax Responsabile interno e-mail Responsabile trattamento dati (se diverso da Resp.le Interno) e-mail Referente CAF per EPASA e-mail INCARICATI DELLA VERIFICA Nome e cognome Firma Data della verifica Il presente verbale si compone di n. pagine

Timbro e firma EPASA

Timbro e firma Unità Periferica/Locale





SCHEDA 1 - RILEVAZIONE ORGANIZZAZIONE ELEMENTI OGGETTO DI VERIFICA SI NO

A

E’ conservata agli atti copia sottoscritta delle convenzioni per lo svolgimento dei servizi CAF ed i relativi allegati ?

B

Nei locali svolgimento dell’attività della sede operativa sono esposti, in modo visibile, la copia del decreto di autorizzazione del CAF, la locandina con le informazioni sull’assistenza fiscale e quella sulla privacy e l’orario di apertura al pubblico ? (ogni sede)

C

E’ esposto apposito cartello che segnala la sede affinché questa sia facilmente individuabile e riferibile al CAF CNA ?

D

E’ data chiara informazione agli utenti dei servizi prestati e delle tariffe applicate (anche in caso di servizi gratuiti) ? (solo per società di servizi)

E E’ disponibile nella sede amministrativa la documentazione riguardante la società di servizi (atto costitutivo, statuto, iscrizione nel registro delle imprese, comunicazione agli uffici competenti dell’apertura di sedi operative) ? (solo per società di servizi)

F

Si effettuano tempestivamente le variazioni delle sedi operative presso le quali viene svolta l’attività e degli organi sociali nella procedura AlboWeb del CAF CNA ? (30 giorni)

G

Sono conservate e aggiornate, in caso di variazione, le dichiarazioni di assenza dei carichi pendenti dei componenti gli organi sociali ? (solo per società di servizi)

H La sede dispone di strumenti informatici adeguati all’erogazione dei servizi ?

(fax, stampante, e-mail …)

I

Il personale addetto all’esecuzione dei servizi è alle dipendenze della società o, nelle unità locali, alle dipendenze della CNA associazione provinciale ?

L Sono stati stipulati contratti con professionisti ? M In tal caso sono conservati agli atti questi contratti ?

N Sono stati incaricati soci o associati alla CNA per la raccolta delle pratiche ? (CDR)

O In tal caso sono conservati agli atti gli incarichi ?

P Si eseguono periodicamente a cura della vs. struttura corsi di formazione del personale demandato ai servizi CAF ?

Q

Sono state attivate procedure di controllo interno sulle sedi territoriali della provincia ?

R La società dispone di una polizza assicurativa per l’attività di consulenza

svolta? (solo per società di servizi)

S

Sono conservate agli atti le convenzioni sottoscritte con gli enti locali per gli altri servizi e sono state trasmesse al CAF Nazionale ?

T Esiste una consulta dei CAF territoriale ?





U In caso affermativo l’incaricato del CAF vi partecipa ? V Si effettuano campagne promozionali locali dei servizi CAF ? Z In caso affermativo con quali mezzi di diffusione ? Affissioni Radio Tv locali Altro

AA La comunicazione promozionale viene effettuata secondo lo schema e l’immagine istituzionale del CAF ?

BB La sede è stata oggetto di ispezione da parte dell’Agenzia delle entrate ? CC In caso affermativo il verbale è stato trasmesso al CAF Nazionale ? DD Viene gestita l’integrazione con le deleghe CNA Pensionati ? EE Vi è integrazione con il Patronato Epasa ?

FF Vengono utilizzati i Manuali e le guide operative messe a disposizione dal CAF CNA ?

GG Vengono trasmesse a tutti gli operatori le comunicazioni di carattere

organizzativo ed operativo del CAF Nazionale ?

HH Si usufruisce del servizio di assistenza normativa fornito da CNA Interpreta “fai

un quesito a Interpreta” ?

NOTE (INDICARE LA LETTERA CUI LA NOTA SI RIFERISCE)





SCHEDA 2 - RILEVAZIONE SERVIZIO ASSISTENZA FISCALE MODELLO 730

ELEMENTI OGGETTO DI VERIFICA SI NO

A Gli operatori addetti all’assistenza dispongono di una copia della “Guida operativa al 730 ed al controllo della documentazione” predisposta dal CAF nazionale con l’ausilio e la supervisione del Responsabile dell’assistenza fiscale ?

B Il servizio 730 viene erogato anche in differita ? (in che percentuale) C In questo caso è stampata al cliente la ricevuta di consegna dei documenti ? D E’ conservata copia del modello 730/2, sottoscritta dal contribuente, con

l’indicazione dei documenti di cui si è presa visione ?

E E’ conservata in fotocopia la documentazione acquisita per tutta la durata

imposta dalla legge ? (5 anni)

F In assenza della conservazione cartacea, la documentazione è archiviata con

sistemi digitali ?

G

E’ adottato in tal caso il sistema di archiviazione documentale del CAF CNA ? (se non è adottato specificare la modalità)

Descrizione:

H Vengono richieste e conservate le autocertificazioni indicate dal CAF Nazionale ?

I Le pratiche e la relativa documentazione risultano correttamente archiviate in apposita cartella intestata al contribuente ed il tutto è conservato in luoghi non accessibili al pubblico ?

L In caso negativo quale sistema si adotta per garantire una ordinata e sicura

conservazione ?

Descrizione:

M Viene effettuata la gestione degli “scarti” dei 730/4 ? N Quale è l’andamento del servizio ? NOTE (INDICARE LA LETTERA CUI LA NOTA SI RIFERISCE)





SCHEDA 3 - RILEVAZIONE SERVIZIO MODELLO RED

ELEMENTI OGGETTO DI VERIFICA SI NO A Il servizio viene erogato in forma totalmente gratuita al cliente ? B Il servizio viene erogato anche in differita ? (in che percentuale) C

E’ acquisita e conservata copia della richiesta reddituale inviata dall’INPS e della documentazione attestante i redditi ? (10 anni)

D In caso negativo quale sistema si adotta ?

Descrizione:

E E’ conservata copia firmata dal cliente del Modello RED ? F Quale è l’andamento del servizio ?






SCHEDA 4 - RILEVAZIONE SERVIZI ISE E SERVIZI CONNESSI

ELEMENTI OGGETTO DI VERIFICA SI NO A Il servizio viene erogato in forma totalmente gratuita al cliente ?

B L’assistenza alla compilazione delle pratiche connesse all’ISE (assegni, bonus, ecc.) ed ISEU viene fornita sulla base delle specifiche indicazioni contenute nelle convenzioni sottoscritte con gli enti locali e con le Università ?

C

Viene data informazione al cliente delle responsabilità penali che conseguono alla sottoscrizione della dichiarazione ISE ?

D

Nell’assistenza alla compilazione della DSU il cliente viene informato in merito al nucleo familiare rilevante ai fini ISE e dell’obbligo di dichiarare i patrimoni mobiliari ?

E

Viene effettuato il controllo tra gli immobili e i redditi dichiarati ai fini ISE e quelli dichiarati ai fini delle imposte sui redditi (730 - Unico) ?

F La DSU viene integrata con autonome autocertificazioni attestanti il mancato

possesso di redditi e patrimoni ?

G

E’ conservata copia firmata dal cliente della dichiarazione ISE/ISEU e del documento d’identità ?

H Quale è l’andamento del servizio ? NOTE (INDICARE LA LETTERA CUI LA NOTA SI RIFERISCE)





SCHEDA 5 - PRIVACY ELEMENTI OGGETTO DI VERIFICA SI NO

A E’ affissa l’informativa sulla privacy nei luoghi ove si svolge l’assistenza fiscale?

B Se avete risposto NO alla precedente domanda: Fate prendere visione dell’informativa sulla privacy prima di procedere al trattamento dei dati personali ?

C Sapete chi è il titolare del trattamento dei dati ? D Sapete chi è il responsabile del trattamento dei dati ?

E Siete in possesso della lettera di nomina del responsabile del trattamento della sede provinciale ?

F Sapete in cosa consiste il trattamento dei dati ?

G Sapete quali sono le finalità della raccolta dei dati ? H Ogni pc è dotato di password di autenticazione ? I Ogni pc è dotato di screensaver ? oppure viene chiusa la porta della stanza

quando il pc rimane incustodito ?

L

I locali di svolgimento dell’attività sono idonei all’erogazione dei servizi e garantiscono il rispetto della privacy dell’utente ? (distanza di cortesia)

M E’ presente un DPS della sede provinciale CNA/società di servizio, anche se

non è più obbligatorio ?

N Avete una procedura per la distruzione dei documenti ?

O Quando un incaricato cessa di operare per un servizio viene immediatamente bloccata la password nella relativa procedura ?

P Sono agli atti della struttura le lettere di incarico privacy relative agli addetti ?

Q Esiste una gestione da parte della sede provinciale CNA/società di servizio degli accessi fuori dall’orario di lavoro ?






SCHEDA 6 - OSSERVAZIONI FINALI ORGANIZZAZIONE IL COMITATO LA SEDE

SERVIZIO 730 IL COMITATO LA SEDE

SERVIZIO RED IL COMITATO LA SEDE

SERVIZIO ISE IL COMITATO LA SEDE

PRIVACY IL COMITATO LA SEDE





Allegato P – Aggiornamento Privacy per Incaricati





Bibliografia

• BUTTARELLI G. (1997), “Banche dati e tutela della riservatezza”, Giuffrè. • GIANFELICI E., (1997), “La legge sulla privacy”. • RAPETTO U. e RAPETTO FREDDI B. (2003), “Privacy in pratica – tutte le cautele punto per punto per proteggere i dati personali”, EPC libri. • RAPETTO U. e CAPORALE G. P. (2004), “Documento Programmatico sulla sicurezza – come procedere alla compilazione”, EPC libri. • CICCIA A., FUMAGALLI S. (2004), “Privacy guida agli adempimenti” Indicitalia IPSOA, 2004. • AA.VV. (2004), “La mia privacy”, Il Sole 24 Ore, Guida normativa. • AA.VV. (2004), “Privacy: le nuove regole, i nuovi adempimenti, il nuovo codice” Guida giuridico - normativa di Italia Oggi. • DI MARTINO C., VOLTAN F. (2006), “Diritto della Privacy per le Imprese e i Professionisti” Experta edizioni, Forlì. • PERRI PIERLUIGI (2007), “Privacy, diritto e sicurezza informatica”, Giuffrè • BERNASCONI MARCO (2008), “Privacy -le misure di sicurezza” Diamint.com Srl Editoria Aziendale. • ADALBERTO BIASOTTI (2011), “Privacy ed ispezioni: requisiti, modalità ed esempi”, EPC • ZICCARDI GIOVANNI (2012), “Informatica giuridica. Privacy, sicurezza informatica, computer forensics e investigazioni digitali”, Giuffrè • BUGANZA C. (2012), “Privacy per le Imprese – Manuale Operativo e Formulario”, Experta.


DOCUMENTO SULLA SICUREZZA 2016 - casacaf.cna.it CAF... · Programmatico sulla Sicurezza, DPS, (su...

Documents

Transcript of DOCUMENTO SULLA SICUREZZA 2016 - casacaf.cna.it CAF... · Programmatico sulla Sicurezza, DPS, (su...