Programma Ambiente SpA

_______________________________________________________________________________________

DISCIPLINARE PRIVACY

PROGRAMMA AMBIENTE SpA

DELIBERAZIONE CdA DEL 17/12/2015

SOMMARIO

Scopo ed ambito di applicazione3

Principali definizioni normative4

(art. 4 del D.lgs. 30 giugno 2003, n. 196 e s.m.i.)4

Definizioni normative6

Misure minime di sicurezza6

Principali riferimenti normativi7

Definizione dei ruoli11

I Responsabili del trattamento12

In generale il Responsabile, se designato, ha il compito di:12

I trattamenti effettuati18

Elenco de Trattamenti19

Accessi non autorizzati alla struttura53

Incendio54

Distruzione o perdita dei dati cartacei54

Divulgazione dati a soggetti non autorizzati55

Condotte degli operatori55

Scopo ed ambito di applicazione

Il presente documento nasce con il duplice obiettivo di:

fornire alla societ ed ai suoi dipendenti, ai collaboratori, ai fornitori e ai consulenti esterni o affiliati, istruzioni organizzative e tecniche che consentano losservanza degli obblighi e, quindi, il rispetto delle prescrizioni di cui al novellato d.lgs. 30 giugno 2003, n.196; altres di delineare il quadro di sicurezza del sistema informativo e di affidabilit dei relativi programmi informatici ai fini della tutela dei dati personali trattati;

avere piena coscienza del grado desposizione del proprio patrimonio informativo ai rischi specifici individuati dalla norma (art. 31, d.lgs. 30 giugno 2003 ,196 e s.m.i.) in modo da poter applicare le misure di sicurezza atte a garantire la protezione dei dati trattati soprattutto attraverso gli strumenti elettronici.

Principali definizioni normative

(art. 4 del D.lgs. 30 giugno 2003, n. 196 e s.m.i.)

Trattamento

Qualunque operazione o complesso di operazioni effettuati anche senza lausilio di strumenti elettronici, concernenti la raccolta, la registrazione, lorganizzazione, la conservazione, la consultazione, lelaborazione, la modificazione, la selezione, lestrazione, il raffronto, lutilizzo, linterconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati.

Comunicazione

Il dare conoscenza dei dati personali ad uno o pi soggetti determinati diversi dallinteressato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione.

Diffusione

Il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione.

Titolare del trattamento

La persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione o organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalit, alle modalit del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza.

Dati personali

Qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.

Dati sensibili

I dati personali idonei a rivelare lorigine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, ladesione a partiti, sindacati o organizzazioni a carattere religioso, filosofico, politico o sindacale, nonch i dati personali idonei a rivelare lo stato di salute e la vita sessuale.

Dati giudiziari

I dati personali idonei a rivelare provvedimenti di cui allarticolo 3, comma 1, lettere da a) a o) e da r) a u), del d.p.r. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualit di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale.

Banca dati

Qualsiasi complesso organizzato di dati personali, ripartito in una o pi unit dislocate in uno o pi siti.

Interessati

La persona fisica cui si riferiscono i dati personali trattati dal titolare

Amministratori di sistema

Gli "amministratori di sistema" sono figure essenziali per la sicurezza delle banche dati e la corretta gestione delle reti telematiche. Sono esperti chiamati a svolgere delicate funzioni che comportano la concreta capacit di accedere a tutti i dati che transitano sulle reti aziendali ed istituzionali. Ad essi affidato spesso anche il compito di vigilare sul corretto utilizzo dei sistemi informatici di un'azienda o di una pubblica amministrazione.

Garante

L'autorit di cui all'articolo 153, istituita dalla l. 31 dicembre 1996, n. 675.

Definizioni normative

Misure minime di sicurezza

(art. 31 e ss. d.lgs. 30 giugno2003, n. 196 e s.m.i. e artt. da 1 a 18 del Disciplinare tecnico (all. B d.lgs. 30 giugno 2003, n. 196)

Misure minime

Il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto dalla normativa vigente.

Autenticazione Informatica

Il processo che consente di identificare la persona che accede (e/o utilizza) sistemi informativi, programmi per elaboratori o qualunque dispositivo elettronico o comunque automatizzato con cui si effettua il trattamento.

Credenziali di autenticazione

I dati ed i dispositivi, in possesso di una persona, da questa conosciuti o ad essa univocamente correlati, utilizzati per l autenticazione informatica.

Parola chiave

Componente di una credenziale di autenticazione associata ad una persona ed a questa nota, costituita da una sequenza di caratteri o altri dati in forma elettronica.

Profilo di autorizzazione

Linsieme delle informazioni, univocamente associate ad una persona, che consente di individuare a quali dati essa pu accedere, nonch i trattamenti ad essa consentiti.

Sistema di autorizzazione

Linsieme degli strumenti e delle procedure che abilitano laccesso ai dati e alle modalit di trattamento degli stessi, in funzione del profilo di autorizzazione del richiedente.

Principali riferimenti normativi

Normative Nazionali

Decreto legislativo del 30 giugno 2003, n. 196 e s.m.i

Codice in materia di protezione dei dati personali e successive modificazioni e integrazioni

Normative comunitarie

Dir. CE 24 ottobre 1995, n. 46

Direttiva del Parlamento Europeo e del Consiglio relativa alla tutela delle persone fisiche con riguardo al trattamento di dati personali, nonch alla libera circolazione di tali dati .

Dir. CE 15 dicembre 1997, n. 66

Direttiva del Parlamento Europeo e del Consiglio sul trattamento di dati personali e sulla tutela della vita privata nel settore delle telecomunicazioni .

Dir. CE 12 luglio 2002 , n. 58

Direttiva del parlamento Europeo e del Consiglio relativa al trattamento di dati personali ed alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata ed alle comunicazioni elettroniche) .

Commissione Europea Bruxelles 25 gennaio 2012

Proposta di Regolamento del Parlamento Europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione dei dati

Provvedimenti dellautorit Garante

Provvedimento 1 Marzo 2007

Trattamento di dati personali relativo all'utilizzo di strumenti elettronici da parte dei lavoratori in ambito privato.

Provvedimento 27 novembre 2008

Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema.

Provvedimento 8 aprile 2010

Disciplina in materia di videosorveglianza.

Provvedimento 19 gennaio 2011

Prescrizioni per il trattamento di dati personali per finalit di marketing, mediante limpiego del telefono con operatore a seguito dellistituzione del registro pubblico delle opposizioni (d.p.r. n.178/2010).

Normative internazionali

l. 21 febbraio 1989, n. 98

Ratifica ed esecuzione della convenzione n. 108 sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale, adottata a Strasburgo il 28 gennaio 1981.

Carta di Venezia del 30 settembre 2000

Dichiarazione sottoscritta da 28 Paesi, nei quali esiste un'Autorit Garante per la protezione dei dati personali.

Revisione ed Aggiornamento

Le istruzioni organizzative e tecniche descritte nel presente documento dovranno essere verificate ed aggiornate - a cura del titolare del trattamento anche in ci coadiuvato dai responsabili nominati - conformemente ai dettami di legge in materia di protezione dei dati personali.

Sar, quindi, necessario procedere ad unattenta rilettura, nonch allaggiornamento dello stesso ogni qualvolta si verifichi almeno una delle seguenti condizioni:

evoluzione del contesto normativo e legislativo di riferimento;

cambiamenti nella struttura organizzativa privacy aziendale;

modifiche allinfrastruttura del sistema informativo preposto al trattamento dei dati

personali;

ulteriori e nuovi rischi nellevoluzione tecnica e tecnologica.

A tal fine il titolare, secondo la previsione della norma, anche coadiuvato, qualora nominati, dai responsabili/dal responsa