Firenze, Corso Italia Tel. 055/ Fax. 055/ info@studiome.eu - sito web:

Transcript

1 DOCUMENTO PROGRAMMATICO SULLA SICUREZZA SEMPLIFICATO (ART. 34 COMMA -BIS E REGOLA 9 DELL ALLEGATO B DEL CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI) STUDIOME Dottore Commercialista e Revisore Legale dei Conti Numero iscrizione Ordine Firenze: 722/A Numero iscrizione Albo Revisori: DM 7//2006, n Partita Iva: CF: SPS MSM 72L0 D62U Firenze, Corso Italia Tel. 055/ Fax. 055/ info@studiome.eu - sito web: Scopo di questo Documento è delineare il quadro delle misure di sicurezza, organizzative, fisiche e logiche, adottate per il trattamento dei dati personali effettuato da STUDIOME del Dott. Massimo Esposito, con sede in Firenze, Corso Italia, 34, CF SPS MSM 72L0 D62U, Partita IVA (nel seguito del Documento indicato come Titolare ). Questo documenti viene predisposto in seguito alla variazione dell indirizzo dello studio. Conformemente a quanto prescrive il Punto 2.5 (modalità applicative delle regole di cui ai punti da 9. a 9.8 dell'allegato B - Provvedimento a carattere Generale 27 novembre 2008 Garante privacy), nel presente Documento si forniscono idonee informazioni riguardanti:. le coordinate identificative del titolare del trattamento, nonché, se designati, degli eventuali responsabili. Nel caso in cui l'organizzazione preveda una frequente modifica dei responsabili designati, verranno indicate le modalità attraverso le quali è possibile individuare l'elenco aggiornato dei responsabili del trattamento con le relative responsabilità; 2. Una descrizione generale del trattamento o dei trattamenti realizzati, che permetta di valutare l'adeguatezza delle misure adottate per garantire la sicurezza del trattamento. In tale descrizione vanno precisate le finalità del trattamento, le categorie di persone interessate e dei dati o delle categorie di dati relativi alle (aggiornamento del /09/202)

2 medesime, nonché i destinatari o le categorie di destinatari a cui i dati possono essere comunicati; 3. l'elenco, anche per categorie, degli incaricati del trattamento e delle relative responsabilità. 4. Una descrizione delle altre misure di sicurezza adottate per prevenire i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. Sommario (ART. 34 COMMA -BIS E REGOLA 9 DELL ALLEGATO B... DEL CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI)... Sezione I Elenco degli strumenti utilizzati e loro ubicazione Titolare del trattamento e Responsabili nominati... 3 Sezione II Elenco dei trattamenti di dati personali effettuati Aggiornamenti dal Garante & Etica professionale... 4 Sezione III Mansionario Privacy Nominativi degli Incaricati al trattamento e relative Unità organizzative d appartenenza ANALISI DEI TRATTAMENTI Analisi dei Identificazione ed Inventario delle banche dati cartacee... 8 Sezione IV Misure di sicurezza adottate... 8 Misure di sicurezza adottate o da adottare... 9 Sezione V... 0 Dichiarazioni d impegno e firma... 0 (aggiornamento del /09/202) 2

3 Sezione I. Elenco degli strumenti utilizzati e loro ubicazione Nel presente lavoro, si definisci PC00 il pc del titolare del trattamento, dott. Massimo Esposito, ubicato nella stanza grande, alla destra quando si entra dall ingresso principale; PC0 il pc ubicato nella stanza a sinistra quando si entra dall ingresso principale. I pc dello studio sono messi in rete mediante un armadietto switc ubicato nella stanza di attesa appena si entra dalla porta principale, situato alla sinistra. Il collegamento di rete avviene mediante router preso in comodato d uso dalla società TELETU che è anche la fornitrice del servizio telefonico e ADSL. Per la protezione dei PC sono utilizzati dei software antivirus, AVG per il PC00 e NOD32 per il PC0..2 Titolare del trattamento e Responsabili nominati In questa sezione sono indicati gli estremi identificativi del Titolare del trattamento, nonché, se designati, degli eventuali Responsabili. Sono inoltre indicate le modalità attraverso le quali è possibile individuare l'elenco aggiornato dei Responsabili del trattamento Per il trattamento dei dati personali, il Titolare è il dott. Massimo Esposito il quale non ha nominato Responsabili del trattamento essendo la struttura piccola e poco complessa. (aggiornamento del /09/202) 3

4 Sezione II 2.. Elenco dei trattamenti di dati personali effettuati In questa sezione è descritto il trattamento realizzato, in modo da consentire una valutazione di adeguatezza delle misure adottate per garantire la sicurezza del trattamento. In tale descrizione sono precisate le finalità del trattamento, le categorie di persone interessate e dei dati o delle categorie di dati relativi alle medesime, i destinatari o le categorie di destinatari a cui i dati possono essere comunicati nonché la descrizione degli strumenti utilizzati. Destinatari o Identificativo T del trattamento T T2 T3 categorie di Descrizione Natura Finalità destinatari a cui degli Categorie di Interessati dei dati perseguita i dati possono strumenti trattati essere utilizzati comunicati Dati di natura Gestione Fornitori comune forniture e sensibili Dati di Gestione natura contratti Clienti Comune Clienti e sensibili Dati di Gestione natura del Dipendenti/Collaboratori comune Personale e sensibile a fornitori, PC00; clienti; pubblica PC0 amministrazioni. Pubblica amministrazione; PC00;PC0 banche; assicurazioni Banche; consulenti; PC00; pubblica PC0 amministrazione 2.2 Aggiornamenti dal Garante & Etica professionale Per mantenere il proprio regolamento ed il proprio documento programmatico sulla sicurezza aggiornati, lo Studio esamina costantemente circolari, provvedimenti e pareri che vengono emessi dal Garante per la Privacy per valutare se questi possano trovare applicazioni all interno della propria struttura operativa, predisponendo gli eventuali cambiamenti da apportare. (aggiornamento del /09/202) 4

5 Analoghe, valutazioni sono fatte sulla base di specifici casi riguardanti il trattamento di dati personali effettuato, ove, pur non essendosi pronunciato direttamente il Garante, si ritenga di dover adottare degli accorgimenti o fare degli interventi mirati tesi ad ottenere un ulteriore miglioramento per la tutela della privacy in Studio. Entrambe le fattispecie di casistiche analizzate, vanno a costituire ed implementare il bagaglio etico che lo studio ha l obiettivo di far proprio e tenere in considerazione nella gestione di dati personali, il cui elenco viene riportato ed aggiornato annualmente in questa sezione del DPS: Data Oggetto Analisi Descrizione Analisi 24/05/2006 Diffusione errata indirizzi Rendendosi conto che nell'invio a più destinatari di posta elettronica con la nell'invio di messaggi funzione "per conoscenza", gli incaricati al trattamento dei dati personali di posta elettronica a più potevano diffondere in modo inautorizzato tutti gli indirizzi di un destinatari messaggio a tutti i destinatari che la ricevevano, si è inclusa nella formazione in programma la menzione di ciò, raccomandando l'invio di a singoli destinatari, o nel caso di più destinatati che non si conoscano tra di loro, di inviare la mail utilizzando la funzione "copia per conoscenza nascosta" individuata anche con gli acronimi "ccn" o "bbc", che non consente al destinatario di visualizzare gli altri eventuali destinatari 4/06/2006 Diffusione accidentale di Specialmente negli uffici dove vengono trattati dati sensibili, per evitare dati personali e sensibili su diffusioni involontarie di dati personali di terzi o dipendenti, si è documenti cartacei raccomendato nella formazione programmata di a) distruggere accuratamente i documenti cartacei contenenti dati personali al termine del loro utilizzo, meglio se utilizzando una macchina distruggi-documenti, b) evitare in tali uffici il riutilizzo, anche ad uso interno, di carta già usata su una facciata sulla quale siano stampati dati personali riferiti a terzi e/o dipendenti, fogli che circolando in azienda potrebbero causare la diffuzione di dati talvolta anche sensibili 2/2/2006 Newsletter del Garante Ogni atto, documento, comunicazione o avviso va notificato in busta chiusa e n.283 del 2// sigillata. Lo ha ribadito l'autorità all'esito della valutazione preliminare di un notifiche in busta chiusa reclamo di un dipendente pubblico destinatario di una lettera con la quale la sua amministrazione gli contestava alcuni addebiti, notificata aperta al padre. [...] Va ricordato che se il dipendente ritenga di aver subito un danno, anche non patrimoniale, derivante dal trattamento di dati personali effettuato per procedere alla notifica, può rivolgersi all'autorità giudiziaria per un eventuale risarcimento. (aggiornamento del /09/202) 5

6 Sezione III 3. Mansionario Privacy In questa sezione è riportato l'elenco, anche per categorie, degli incaricati del trattamento e delle relative responsabilità. Le modalità attraverso le quali è possibile individuare l'elenco aggiornato dei responsabili del trattamento con le relative responsabilità è indicata al termine della Sezione II del presente Documento. Le Unità organizzative nelle quali vengono effettuati i trattamenti di dati personali sono le seguenti: : Stanza del Titolare del trattamento; U: Stanza dei praticanti; 3..2 Nominativi degli Incaricati al trattamento e relative Unità organizzative d appartenenza U Sara Bargagli Staffi U Rosario Garofalo U Gli incaricati dei trattamenti sono indicati, al momento dell aggiornamento del DPS, nello stesso documento. Le variazioni degli stessi, revoca, nomina di nuovi, avverrà mediante lettera controfirmata dagli interessati e conservata in originale unitamente al DPS in modo che sempre si possa risalire alla situazione in essere. Elenco dei dati trattati: I d Descrizione sintetica Finalità perseguita o attività svolta Gestione della clientela Gestione dei Fornitori Elaborazione di prospetti e rendiconti Attività di monitoraggio interna Categori e di interessa ti Natura dei dati trattati C S G Struttura di riferimento (Stanza / ufficio) Altre strutture (anche esterne) che concorrono al trattamento Descrizione degli strumenti utilizzati Clienti X Stanze:, U; PC00; PC0 Fornitori X Stanze:, U; PC00; PC0 Clienti X Stanze:, U; PC00; PC0 Dipende nti/studi o X Stanze:, U; PC00; PC0 (aggiornamento del /09/202) 6

7 I d Descrizione sintetica Finalità perseguita o attività svolta Amministrazione e Contabilità propria Amministrazione e Contabilità clienti Redazione ed invii telematici di dichiarativi Predisposizione atti e bilanci anche societari Predisposizione di contratti Raccolta, selezione e cancellazione curricula Raccolta /archiviazione corrispondenza Redazione di istanze e di atti relativi alle procedure concorsuali Predisposizione di documenti per fini previdenziali ed amministrativi Raccolta e fascicolazione di tutti i dati e documentazione inerenti rapporti di lavoro - collaborazione Predisposizione di atti di gestione e di liquidazione delle aziende Predisposizione di altri atti aventi Categori e di interessa ti Dipende nti/studi o Natura dei dati trattati C S G Struttura di riferimento (Stanza / ufficio) (aggiornamento del /09/202) Altre strutture (anche esterne) che concorrono al trattamento Descrizione degli strumenti utilizzati X Stanze:, U; PC00; PC0 Clienti X Stanze:, U; PC00; PC0 Clienti X X Stanze:, U; PC00; PC0 Clienti X Stanze:, U; PC00; PC0 Clienti X Stanze:, U; PC00; PC0 Candidati dipenden ti X X Stanze:, U; PC00; PC0 Clienti X Stanze:, U; PC00; PC0 Clienti X Stanze:, U; PC00; PC0 Clienti/S oci X Stanze:, U; PC00; PC0 Clienti X X Stanze:, U; PC00; PC0 Clienti X Stanze:, U; PC00; PC0 Clienti X Stanze:, U; PC00; PC0 7

8 I d. Descrizione sintetica Finalità perseguita o attività svolta finalità tributarie Categori e di interessa ti Natura dei dati trattati C S G Struttura di riferimento (Stanza / ufficio) Altre strutture (anche esterne) che concorrono al trattamento Descrizione degli strumenti utilizzati Data di aggiornamento: 0/09/ ANALISI DEI TRATTAMENTI 3.2. Analisi dei Per una corretta analisi dei dati trattati, è opportuno premettere che lo Studio svolge e segue la gestione dell attività professionale di commercialista del Dott. Massimo Esposito ed effettua le elaborazioni tecnico contabili, amministrative nonché studi socio-economici ed attività di assistenza anche a nuove imprese, che per sua stessa natura è dunque consuetudinariamente soggetta al trattamento di dati personali raramente e solo eventualmente anche sensibili. Oltre alla probabilità di trattamento di dati sensibili o giudiziari dei propri clienti, lo Studio tratta dati personali relativi a propri fornitori, agenti, partners, istituti, etc. con cui collabora per determinati incarichi ricevuti. Il trattamento dei dati personali avviene in ogni caso conformemente alle prescrizioni dell art del DLgs 96/ Identificazione ed Inventario delle banche dati cartacee I dati di natura cartacea, necessari per lo svolgimento delle mansioni lavorative, sono costituiti dai seguenti archivi dislocati nelle stanze di riferimento e sono dislocati su unico piano. I dati sono costituiti da: ) ripiani ad ante aperte costituiti da n.5 mobili posti nel locale ufficio: U, accessibile solo previa autorizzazione del titolare del trattamento; Visti i pochi dati con contenuto sensibile di cui è possibile disporre in studio per lo svolgimento della attività in essere, i dati sensibili sono custoditi in archivio informatico, costituito: ) cartelline identificate dal codice del cliente, tutte rigorosamente in un'unica cartellina con password di sicurezza accessibile solamente dal titolare del trattamento e dagl incaricati nominati. Sezione IV 4. Misure di sicurezza adottate In questa sezione sono descritte le misure di sicurezza adottate per prevenire: i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. (aggiornamento del /09/202) 8

9 Misure di sicurezza adottate o da adottare Misure di sicurezza Sistema autenticazione Antivirus Firewall Aggiornamenti patch sicurezza Gestione supporti rimovibili Backup/Recovery dati personali Incendio e sicurezza ambientale Gruppo di continuità Sistema di condizionamento Formazione Descrizione dei rischi contrastati Accessi non autorizzati Rischio di intrusione e dall azione di programmi Protezione degli elaboratori in rete dall accesso abusivo Prevenzione della vulnerabilità degli strumenti Prevenzione trattamenti non autorizzati Prevenzione perdita e distruzione dati Danneggiamento supporti Prevenzione perdita e distruzione dati Prevenzione perdita e distruzione dati Errori umani nella gestione della sicurezza fisica, interessati Tutti i trattamenti Tutti Misura in essere (aggiornamento del /09/202) Misura da adottare Tempi previsti Passwordo protette Già adottata Unità organizzative o persone addette all adozione Antivirus AVG Già adottata Antivirus AVG Già adottata Aggiornamenti segnalati dal sistema operativo windows Scansione antivirus quando di provenienza non certa Backup giornaliero e salvataggio, settimanale, dati su discdrive esterno Posizionamento di estintore Predisposto gruppo di continuità Già adottata Già adottata Già adottata Già adottata Già adottata Predisposto Già adottato Aggiornamento periodico dei praticanti anche Già adottato 9

10 carenza di consapevolezza, disattenzione o incuria. mediante partecipazioni ad eventi esterni Sezione V Dichiarazioni d impegno e firma Il presente documento, redatto in data 0 settembre 202, viene firmato in calce da: Dott. Massimo Esposito in qualità di titolare dello studio. L originale del presente documento viene custodito presso la sede dello studio, per essere esibito in caso di controlli. Una sua copia verrà pubblicata nel sito dello studio protetta da password e quindi chiunque interessato, previa richiesta delle credenziali di accesso, potrà prenderne visione. Firenze lì 0 settembre 202 Dott. Massimo Esposito. (aggiornamento del /09/202) 0