Web viewAlcuni di questi documenti possono essere gestiti anche elettronicamente tramite file word...
Transcript of Web viewAlcuni di questi documenti possono essere gestiti anche elettronicamente tramite file word...
Programma Ambiente SpA
_______________________________________________________________________________________
DISCIPLINARE PRIVACY
PROGRAMMA AMBIENTE SpA
DELIBERAZIONE CdA DEL 17/12/2015
SOMMARIO
Scopo ed ambito di applicazione3
Principali definizioni normative4
(art. 4 del D.lgs. 30 giugno 2003, n. 196 e s.m.i.)4
Definizioni normative6
Misure minime di sicurezza6
Principali riferimenti normativi7
Definizione dei ruoli11
I Responsabili del trattamento12
In generale il Responsabile, se designato, ha il compito di:12
I trattamenti effettuati18
Elenco de Trattamenti19
Accessi non autorizzati alla struttura53
Incendio54
Distruzione o perdita dei dati cartacei54
Divulgazione dati a soggetti non autorizzati55
Condotte degli operatori55
Scopo ed ambito di applicazione
Il presente documento nasce con il duplice obiettivo di:
fornire alla societ ed ai suoi dipendenti, ai collaboratori, ai fornitori e ai consulenti esterni o affiliati, istruzioni organizzative e tecniche che consentano losservanza degli obblighi e, quindi, il rispetto delle prescrizioni di cui al novellato d.lgs. 30 giugno 2003, n.196; altres di delineare il quadro di sicurezza del sistema informativo e di affidabilit dei relativi programmi informatici ai fini della tutela dei dati personali trattati;
avere piena coscienza del grado desposizione del proprio patrimonio informativo ai rischi specifici individuati dalla norma (art. 31, d.lgs. 30 giugno 2003 ,196 e s.m.i.) in modo da poter applicare le misure di sicurezza atte a garantire la protezione dei dati trattati soprattutto attraverso gli strumenti elettronici.
Principali definizioni normative
(art. 4 del D.lgs. 30 giugno 2003, n. 196 e s.m.i.)
Trattamento
Qualunque operazione o complesso di operazioni effettuati anche senza lausilio di strumenti elettronici, concernenti la raccolta, la registrazione, lorganizzazione, la conservazione, la consultazione, lelaborazione, la modificazione, la selezione, lestrazione, il raffronto, lutilizzo, linterconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati.
Comunicazione
Il dare conoscenza dei dati personali ad uno o pi soggetti determinati diversi dallinteressato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione.
Diffusione
Il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione.
Titolare del trattamento
La persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione o organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalit, alle modalit del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza.
Dati personali
Qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.
Dati sensibili
I dati personali idonei a rivelare lorigine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, ladesione a partiti, sindacati o organizzazioni a carattere religioso, filosofico, politico o sindacale, nonch i dati personali idonei a rivelare lo stato di salute e la vita sessuale.
Dati giudiziari
I dati personali idonei a rivelare provvedimenti di cui allarticolo 3, comma 1, lettere da a) a o) e da r) a u), del d.p.r. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualit di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale.
Banca dati
Qualsiasi complesso organizzato di dati personali, ripartito in una o pi unit dislocate in uno o pi siti.
Interessati
La persona fisica cui si riferiscono i dati personali trattati dal titolare
Amministratori di sistema
Gli "amministratori di sistema" sono figure essenziali per la sicurezza delle banche dati e la corretta gestione delle reti telematiche. Sono esperti chiamati a svolgere delicate funzioni che comportano la concreta capacit di accedere a tutti i dati che transitano sulle reti aziendali ed istituzionali. Ad essi affidato spesso anche il compito di vigilare sul corretto utilizzo dei sistemi informatici di un'azienda o di una pubblica amministrazione.
Garante
L'autorit di cui all'articolo 153, istituita dalla l. 31 dicembre 1996, n. 675.
Definizioni normative
Misure minime di sicurezza
(art. 31 e ss. d.lgs. 30 giugno2003, n. 196 e s.m.i. e artt. da 1 a 18 del Disciplinare tecnico (all. B d.lgs. 30 giugno 2003, n. 196)
Misure minime
Il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto dalla normativa vigente.
Autenticazione Informatica
Il processo che consente di identificare la persona che accede (e/o utilizza) sistemi informativi, programmi per elaboratori o qualunque dispositivo elettronico o comunque automatizzato con cui si effettua il trattamento.
Credenziali di autenticazione
I dati ed i dispositivi, in possesso di una persona, da questa conosciuti o ad essa univocamente correlati, utilizzati per l autenticazione informatica.
Parola chiave
Componente di una credenziale di autenticazione associata ad una persona ed a questa nota, costituita da una sequenza di caratteri o altri dati in forma elettronica.
Profilo di autorizzazione
Linsieme delle informazioni, univocamente associate ad una persona, che consente di individuare a quali dati essa pu accedere, nonch i trattamenti ad essa consentiti.
Sistema di autorizzazione
Linsieme degli strumenti e delle procedure che abilitano laccesso ai dati e alle modalit di trattamento degli stessi, in funzione del profilo di autorizzazione del richiedente.
Principali riferimenti normativi
Normative Nazionali
Decreto legislativo del 30 giugno 2003, n. 196 e s.m.i
Codice in materia di protezione dei dati personali e successive modificazioni e integrazioni
Normative comunitarie
Dir. CE 24 ottobre 1995, n. 46
Direttiva del Parlamento Europeo e del Consiglio relativa alla tutela delle persone fisiche con riguardo al trattamento di dati personali, nonch alla libera circolazione di tali dati .
Dir. CE 15 dicembre 1997, n. 66
Direttiva del Parlamento Europeo e del Consiglio sul trattamento di dati personali e sulla tutela della vita privata nel settore delle telecomunicazioni .
Dir. CE 12 luglio 2002 , n. 58
Direttiva del parlamento Europeo e del Consiglio relativa al trattamento di dati personali ed alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata ed alle comunicazioni elettroniche) .
Commissione Europea Bruxelles 25 gennaio 2012
Proposta di Regolamento del Parlamento Europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione dei dati
Provvedimenti dellautorit Garante
Provvedimento 1 Marzo 2007
Trattamento di dati personali relativo all'utilizzo di strumenti elettronici da parte dei lavoratori in ambito privato.
Provvedimento 27 novembre 2008
Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema.
Provvedimento 8 aprile 2010
Disciplina in materia di videosorveglianza.
Provvedimento 19 gennaio 2011
Prescrizioni per il trattamento di dati personali per finalit di marketing, mediante limpiego del telefono con operatore a seguito dellistituzione del registro pubblico delle opposizioni (d.p.r. n.178/2010).
Normative internazionali
l. 21 febbraio 1989, n. 98
Ratifica ed esecuzione della convenzione n. 108 sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale, adottata a Strasburgo il 28 gennaio 1981.
Carta di Venezia del 30 settembre 2000
Dichiarazione sottoscritta da 28 Paesi, nei quali esiste un'Autorit Garante per la protezione dei dati personali.
Revisione ed Aggiornamento
Le istruzioni organizzative e tecniche descritte nel presente documento dovranno essere verificate ed aggiornate - a cura del titolare del trattamento anche in ci coadiuvato dai responsabili nominati - conformemente ai dettami di legge in materia di protezione dei dati personali.
Sar, quindi, necessario procedere ad unattenta rilettura, nonch allaggiornamento dello stesso ogni qualvolta si verifichi almeno una delle seguenti condizioni:
evoluzione del contesto normativo e legislativo di riferimento;
cambiamenti nella struttura organizzativa privacy aziendale;
modifiche allinfrastruttura del sistema informativo preposto al trattamento dei dati
personali;
ulteriori e nuovi rischi nellevoluzione tecnica e tecnologica.
A tal fine il titolare, secondo la previsione della norma, anche coadiuvato, qualora nominati, dai responsabili/dal responsa