MANUALE OPERATIVO C DICE

Transcript

1 MANUALE OPERATIVO SUL C DICE DELLA PRIVACY PROMOSSO DA REALIZZATO DA IN COLLABORAZIONE CON EBNT AGSG Agenzia Generale Studi e Gestioni s.r.l. ENTE BILATERALE NAZIONALE TURISMO EBNT

2 MANUALE OPERATIVO SUL C DICE DELLA PRIVACY a cura dell avv. Saverio Fatone dott.sse Francesca Barbera, Mariangela Grasso e Fabiana Tomassi PROMOSSO DA REALIZZATO DA IN COLLABORAZIONE CON EBNT AGSG Agenzia Generale Studi e Gestioni s.r.l. ENTE BILATERALE NAZIONALE TURISMO EBNT

3

4 INDICE Introduzione... 5 CAPITOLO I Documento Programmatico Sicurezza e Autocertificazione... 7 CAPITOLO II Predisposizione DPS e Autocertificazione CAPITOLO III Privacy e agenzie di viaggio CAPITOLO IV Comunicazioni di marketing in albergo e consenso interessato CAPITOLO V Videosorveglianza: limiti e liceità CAPITOLO VI Nuovo regime sanzionatorio CAPITOLO VII Privacy e Telemarketing CAPITOLO VIII Notifica al Garante CAPITOLO IX Nuovo Codice Privacy aggiornato con indicazione delle modifiche apportate

5

6 Introduzione Com è ormai noto, il Testo Unico sulla privacy, introdotto con il D. Lgs. 196 del 2003, ha disciplinato, organicamente, tutta la normativa inerente la protezione dei dati personali al fine di salvaguardare, il più possibile, la riservatezza dei soggetti, siano essi persone fisiche che giuridiche, compatibilmente, ed in continuo bilanciamento, con una molteplicità di diritti, anch essi fondamentali non dimentichiamoci che il diritto alla riservatezza viene tutelato anche dalla nostra Costituzione, quali, tra i vari, il diritto alla sicurezza pubblica e privata. Risulta, dunque, evidente, che il diritto alla privacy necessita, come del resto ogni altro diritto, di un continuo aggiornamento da parte del legislatore, e dagli Enti preposti, sulla base delle esigenze concrete della collettività, anch essa in continua evoluzione. Da questa breve, seppur necessaria premessa, ci risulta facile comprendere come, dall introduzione del Testo Unico sulla privacy, nel corso degli ultimi anni, il legislatore ha apportato significative innovazioni al Codice Privacy, che andremo di seguito ad approfondire per gli aspetti che maggiormente ci interessano, e che hanno modificato in maniera rilevante alcuni obblighi in materia di adempimenti da adottare, tra qui, di maggiore rilevanza, quelli relativi alle misure minime di sicurezza per determinate categorie di Titolari del trattamento. In particolare, in alcuni casi è stata introdotta la possibilità di sostituire il Documento Programmatico sulla Sicurezza (DPS) con un documento di autocertificazione, mentre in altri di redigerlo in maniera semplificata rispetto ai requisiti minimi previsti per legge. Queste novità, descritte non sempre in maniera molto chiara dal legislatore, hanno portato ad un radicale mutamento dell assetto generale del Codice Privacy, con sostanziali problemi interpretativi ed applicativi per i Titolari del trattamento. Pertanto, tra gli scopi del presente testo vi è, certamente, quello di delineare il nuovo quadro normativo di riferimento, al fine di dipanare le controverse questioni interpretative emerse in merito all obbligatorietà o meno della redazione del Documento Programmatico di Sicurezza quale misura minima di sicurezza, nonché quello di evidenziare alcune tra le modifiche di maggior rilievo che qui ci interessano, anche in relazione alle recenti indicazioni del Garante per la protezione dei dati personali. 5

7

8 CAPITOLO I D.P.S. E AUTOCERTIFICAZIONE Come detto, tra le modifiche più significative del Codice della Privacy che qui interessano, vi è la possibilità, per alcune categorie di soggetti, di sostituire il classico, e ben conosciuto, Documento Programmatico di Sicurezza (per brevità DPS) con un documento di autocertificazione, e, in altri casi ancora, di redigerlo in maniera semplificata rispetto ai requisiti minimi previsti per legge. Le modifiche di cui sopra sono state introdotte nel 2008 con il Decreto Legge 25 giugno 2008, n. 112, convertito, con modificazioni, dalla Legge 6 agosto 2008, n. 133 Disposizioni urgenti per lo sviluppo economico, la semplificazione, la competitività, la stabilizzazione della finanza pubblica e la perequazione tributaria, che ha modificato il Codice Privacy inserendo nell articolo 34 il seguente comma 1-bis: Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall'adesione ad organizzazioni sindacali o a carattere sindacale, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall'obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell'articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte. In relazione a tali trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrative e contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentito il Ministro per la semplificazione normativa, individua con proprio provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del disciplinare tecnico di cui all'allegato B) in ordine all'adozione delle misure minime di cui al comma 1. La norma, pertanto si riferisce a: liberi professionisti, artigiani e piccole e medie imprese che, con strumenti elettronici, trattano: a) solo dati personali non sensibili (indirizzi, numeri di telefono, etc.) oppure che trattano come unici dati sensibili riferiti ai propri dipendenti e collaboratori anche a progetto quelli costituiti dallo stato di salute o malattia senza indicazione della relativa diagnosi, ovvero dall adesione a organizzazioni sindacali o a carattere sindacale; b) dati personali unicamente per correnti finalità amministrative e contabili, in particolare presso liberi professionisti, artigiani e piccole e medie imprese. 7

9 È bene aprire una breve parentesi per chiarire che le piccole e medie imprese, secondo lo standard europeo si considerano: piccole imprese: occupano meno di 50 lavoratori effettivi ed hanno un fatturato, oppure un totale di bilancio annuo, non superiore a 10 milioni di euro. Medie imprese: occupano meno di 250 lavoratori effettivi ed hanno un fatturato annuo non superiore a 50 milioni di euro, oppure un totale di bilancio annuo non superiore a 43 milioni di euro (si considera il dato più favorevole). Leggendo la norma, a prima vista sembrerebbe che una grande maggioranza dei Titolari di trattamento, limitandosi a gestire informazioni attinenti ad altre imprese, amministrazioni, clienti, fornitori e dipendenti utilizzate anche in relazione a obblighi contrattuali e normativi per correnti finalità amministrative e contabili, possa sostituire il DPS, ma forse non è così. Se per quanto riguarda i dati comuni non sorge alcun problema, non si può dire altrettanto, però, per la tipologia di dati sensibili che rientrano nell agevolazione. Il nuovo Art. 34 comma 1-bis del Codice Privacy parla di dati sensibili riferiti ai propri dipendenti e collaboratori anche a progetto, costituiti dallo stato di salute o malattia senza indicazione della relativa diagnosi, ed è su quest ultima indicazione che si rende necessario fare una riflessione. In particolare è bene stabilire quali siano i potenziali dati trattati in Azienda idonei a rilevare lo stato di salute dei lavoratori: 1) Medico competente: il D.L 81/2008 pone direttamente in capo al medico competente in materia di igiene e sicurezza dei luoghi di lavoro la sorveglianza sanitaria obbligatoria. In quest ambito, il medico competente effettua accertamenti preventivi e periodici sui lavoratori e istituisce (curandone l aggiornamento) una cartella sanitaria e di rischio. Detta cartella è custodita presso l azienda o l unità produttiva, con salvaguardia del segreto professionale, e [consegnata in] copia al lavoratore stesso al momento della risoluzione del rapporto di lavoro, ovvero quando lo stesso ne fa richiesta. Alle predette cartelle il datore di lavoro non può accedere, dovendo soltanto concorrere ad assicurarne un efficace custodia nei locali aziendali (anche in vista di possibili accertamenti ispettivi da parte dei soggetti istituzionalmente competenti), ma, come detto, con salvaguardia del segreto professionale. 2) Comunicazioni all INPS: con decreto interministeriale del 26 ottobre 2010 è diventato operativo il collegamento in rete dei medici curanti, nonché la trasmissione telematica delle certificazioni di malattia all'inps, per i lavoratori del settore privato con decorrenza 3 aprile Pertanto, ad oggi, seppur il certificato 8

10 medico venga spedito in forma telematica direttamente dal medico all INPS, e non più dal datore di lavoro, per quest ultimo, che abbia richiesto le credenziali di accesso all INPS, è pur sempre possibile consultare le attestazioni di malattia sui certificati trasmessi dal medico curante, direttamente dal sito INPS accedendo, in tal modo, a informazioni strettamente personali del lavoratore. 3) Denuncia all INAIL: la denuncia ha ad oggetto infortuni e malattie professionali occorsi ai lavoratori. Essa, per espressa previsione normativa, deve essere corredata da specifica certificazione medica (artt. 13 e 53 D.P.R. n. 1124/1965). In tali casi, pur essendo legittima la conoscenza della diagnosi da parte del datore di lavoro, resta fermo a suo carico l obbligo di limitarsi a comunicare all ente assistenziale esclusivamente le informazioni sanitarie relative o collegate alla patologia denunciata. 4) Benefici di legge: trattamento di dati relativi alla salute del lavoratore (e finanche di suoi congiunti), anche al fine di permettergli di godere dei benefici di legge (quali, ad esempio, permessi o periodi prolungati di aspettativa con conservazione del posto di lavoro): si pensi, ad esempio, a informazioni relative a condizioni di handicap. 5) Accesso a programmi riabilitativi o terapeutici: il datore di lavoro può venire a conoscenza dello stato di tossicodipendenza del dipendente, ove questi richieda di accedere a programmi riabilitativi o terapeutici con conservazione del posto di lavoro (senza retribuzione), atteso l onere di presentare (nei termini prescritti dai contratti collettivi) specifica documentazione medica al datore di lavoro (ai sensi dell art. 124, commi 1 e 2, D.P.R. n. 309/1990). Da sottolineare, poi, che per il Codice le operazioni di trattamento sono anche la conservazione di dati personali anche se non registrati in una banca dati, pertanto è sufficiente una semplice con scannerizzata una denuncia Inail per far scattare l obbligo di redazione del DPS seppur in forma semplificata. DPS semplificato Per alcune categorie di Titolari, l art. 34 comma 1-bis ha previsto la possibilità per il Garante di individuare ( ) modalità semplificate di applicazione del disciplinare tecnico di cui all'allegato B) in ordine all'adozione delle misure minime [ ]. In virtù di tale disposizione, il Garante Privacy, il 27 novembre 2008, ha provveduto ad emanare il Provvedimento a Carattere Generale denominato 9

11 Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all'allegato B) al Codice in materia di protezione dei dati personali (pubblicato nella G.U. n. 287 del 9 dicembre 2008), con il quale ha stabilito modalità semplificate per l applicazione delle misure minime di sicurezza. Tra le agevolazioni previste dal suddetto provvedimento è compresa anche la possibilità di redigere di un DPS semplificato. Tale facoltà è, però, riservata esclusivamente a quelle categorie di Titolari che rientrino nei seguenti parametri: siano soggetti alla tenuta di un aggiornato DPS ai sensi dell art bis; trattino dati personali unicamente per correnti finalità amministrative e contabili. In particolare tale agevolazione è rivolta alle seguenti categorie di Titolari: piccoli imprenditori ai sensi dell art del Codice Civile ovvero: [ ] i coltivatori diretti del fondo, gli artigiani, i piccoli commercianti e coloro che esercitano un'attività professionale organizzata prevalentemente con il lavoro proprio e dei componenti della famiglia. piccola e media impresa (PMI) ai sensi dell art. 2.1 del D.M. 18 aprile 2005 che come abbiamo già visto occupa meno di 250 effettivi ed ha un fatturato annuo non superiore a 50 milioni di euro, oppure ha un totale di bilancio annuo non superiore a 43 milioni di euro (si considera il dato più favorevole). In tutti gli altri casi è, invece, prevista la redazione del DPS in forma integrale secondo le modalità specificate nel disciplinare tecnico di cui all'allegato B) al Codice in materia di protezione dei dati personali. DPS o Autocertificazione? Come si è appena visto a seguito dell introduzione del comma 1-bis all art. 34 del D.lg. 196/03, la questione che devono risolvere i Titolari del trattamento è se fare il DPS o procedere con l Autocertificazione come soluzione più snella e rapida. Da quanto detto fin ora è possibile, quindi, affermare con certezza che sono sicuramente soggetti alla tenuta di un aggiornato DPS tutti quei Titolari che trattano le seguenti categorie di dati personali sensibili con strumenti elettronici: Origine razziale ed etnica di clienti, fornitori e dipendenti Convinzioni religiose, filosofiche o di altro genere di clienti, fornitori e dipendenti 10

12 Opinioni politiche, adesione a partiti, associazioni od organizzazioni a carattere religioso, filosofico e politico di clienti, fornitori e dipendenti Stato di salute di clienti e fornitori Stato di salute con indicazione della relativa diagnosi di dipendenti Vita sessuale di clienti, fornitori e dipendenti Sono altresì soggetti alla redazione del DPS tutti i titolari che trattano dati personali giudiziari con strumenti elettronici. Per converso, è possibile dire che sono sottratti all obbligo della tenuta di un aggiornato DPS, unicamente quei titolari che trattano le seguenti categorie di dati personali con strumenti elettronici: dati personali comuni di clienti, fornitori e dipendenti; dati personali sensibili di dipendenti relativi allo stato di salute o malattia (solo se senza indicazione della diagnosi); dati personali sensibili di carattere sindacale. Considerato, però, che ai sensi dell art. 4.1.a del D.lg. 196/03 per trattamento si intende: [ ] compiere qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati permangono notevoli perplessità sulla reale possibilità di rientrare in una delle categorie per le quali si è esentati dalla redazione del DPS. Infatti, risulta difficile pensare ad ipotesi in cui i Titolari siano realmente in grado di affermare con certezza, che mai in nessun caso la propria struttura tratta dati personali per cui è prevista la redazione del DPS. In realtà per poter affermare con certezza di rientrare in una delle categorie esentate dalla redazione del DPS, è necessaria una dettagliata classificazione dei dati personali trattati ed un esaustiva analisi dei trattamenti effettuati con strumenti elettronici, il che significa in termini pratici svolgere un lavoro non indifferente che alla fin fine si andrebbe ad uniformare con l impegno necessario per la stesura del DPS. Ciò detto, fermo restando la capacità decisionale di ogni Titolare nel valutare la propria realtà Aziendale, sembrerebbe preferibile, e sicuramente lo è in caso di dubbio tra una soluzione o l altra per la tipologia e modalità di dati trattati, procedere per la stesura del DPS anche in considerazione delle sanzioni correlate ad una dichiarazione mendace come di seguito andremo a vedere. 11

13 Sanzioni e Autocertificazione Con la riforma del Codice della Privacy, una eventuale dichiarazione mendace relativa all autocertificazione sostitutiva di DPS espone il Titolare del trattamento alla violazione dell art. 168 del Codice Privacy. Tale ipotesi di reato attiene alle Falsità nelle dichiarazioni e notificazione rese al Garante : Chiunque, nella notificazione di cui all articolo 37 o in comunicazioni, atti, documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da 6 mesi a 3 anni. È evidente, quindi, il diverso tenore della sanzione che il Titolare rischia di vedersi comunque infliggere se autocertifica e attesta falsamente in tale documento di trattare solo dati sensibili riferiti ai propri dipendenti e collaboratori anche a progetto ( ) senza indicazione della relativa diagnosi, poiché si prevede la pena della reclusione da sei mesi a tre anni. In conclusione Alla luce di quanto è emerso dall analisi dell art. 34 comma 1-bis del D.lg. 196/03 così come modificato con la Legge 6 agosto 2008, n. 133, si può dire che le categorie di Titolari esentate della tenuta di un aggiornato Documento Programmatico sulla Sicurezza che possano optare per una autocertificazione sono realmente poche. Bisogna, inoltre, considerare che per poter affermare con certezza di rientrare in una delle categorie esentate dalla redazione del DPS, è necessaria una dettagliata classificazione dei dati personali trattati ed una capillare analisi dei trattamenti effettuati con strumenti elettronici. Pertanto, considerato il non eccessivo- gravoso impegno della redazione del nuovo DPS in forma semplificata e/o completa, è consigliabile, a tutti coloro che trattano dati dei propri dipendenti con strumenti elettronici, di eccedere pure in prudenza e proseguire con gli aggiornamenti del DPS entro il 31 marzo di ogni anno alleggerendolo pure di tutte quelle parti non ritenute più necessarie dall ordinamento utilizzando le forme semplificate. 12

14 CAPITOLO II PREDISPOSIZIONE DPS E AUTOCERTIFICAZIONE I seguenti modelli, Autocertificazione, DPS semplificato e DPS, hanno il solo fine illustrativo, e, come più volte ripetuto, per redigere il DPS della propria Azienda è necessario analizzare la realtà della propria struttura, analizzando tipologia e modalità di dati trattati, e solo successivamente redigere il D.P.S. sulla base delle informazioni ricavate. Lo stesso discorso può esser fatto per stabilire se, all interno della nostra Azienda, sia possibile sostituire il DPS con un DPS semplificato o con l Autocertificazione prevista dall art. 34 comma 1-bis del D.lg. 196/03: in ogni caso si rende necessario ed obbligatorio eseguire un analisi approfondita della realtà aziendale nella quale si opera. 13

15 MODELLO AUTOCERTIFICAZIONE AUTOCERTIFICAZIONE SOSTITUTIVA DEL DPS (ai sensi dell art.34, comma 1-bis D. lgs. N. 196/2003) La società (associazione, impresa, ecc.), titolare del trattamento nella persona di (legale rappresentante, presidente, responsabile, ecc.,) codice fiscale. CONSAPEVOLE delle sanzioni penali previste dall art. 76 D.P.R , n.445 in caso di dichiarazioni mendaci; della decadenza dei benefici eventualmente conseguiti al provvedimento emanato sulla base di dichiarazioni non veritiere, di cui all art. 75 D.P.R , n. 445; DICHIARA che, nell ambito della propria attività svolta, i dati sensibili trattati sono costituiti unicamente dai dati inerenti; lo stato di salute e malattia dei dipendenti e/o collaboratori anche a progetto, senza indicazione della relativa diagnosi. l adesione ad organizzazioni sindacali o a carattere sindacale; che il trattamento dei dati è effettuato nel rispetto delle misure di sicurezza disposte dal Testo unico della Privacy (artt. da 31 a 36, all. b - D. Lgs. N. 196/2003). che pertanto, ai sensi dell art. 34, c. 1-bis D. Lgs. n. 196/2003, risulta esonerato dall obbligo di redazione del DPS. Luogo e data In fede Esente da imposta di bollo, ai sensi dell art. 37 D.P.R , n

16 MODELLO DPS SEMPLIFICATO DOCUMENTO PROGRAMMATICO SULLA SICUREZZA SEMPLIFICATO (ART. 34 COMMA 1-BIS E REGOLA 19 DELL ALLEGATO B DEL CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI) 15

17 Scopo di questo Documento è delineare il quadro delle misure di sicurezza, organizzative, fisiche e logiche, adottate per il trattamento dei dati personali effettuato da con sede in., Partita IVA. (nel seguito del Documento indicato come Titolare ) Conformemente a quanto prescrive il Punto 2.5 (modalità applicative delle regole di cui ai punti da 19.1 a 19.8 dell'allegato B - Provvedimento a carattere Generale 27 novembre 2008 Garante privacy), nel presente Documento si forniscono idonee informazioni riguardanti: 1. le coordinate identificative del titolare del trattamento, nonché, se designati, gli eventuali responsabili. Nel caso in cui l'organizzazione preveda una frequente modifica dei responsabili designati, potranno essere indicate le modalità attraverso le quali è possibile individuare l'elenco aggiornato dei responsabili del trattamento; 2. una descrizione generale del trattamento o dei trattamenti realizzati, che permetta di valutare l'adeguatezza delle misure adottate per garantire la sicurezza del trattamento. In tale descrizione vanno precisate le finalità del trattamento, le categorie di persone interessate e dei dati o delle categorie di dati relativi alle medesime, nonché i destinatari o le categorie di destinatari a cui i dati possono essere comunicati; 3. l'elenco, anche per categorie, degli incaricati del trattamento e delle relative responsabilità. Nel caso in cui l'organizzazione preveda una frequente modifica dei responsabili designati, potranno essere indicate le modalità attraverso le quali è possibile individuare l'elenco aggiornato dei responsabili del trattamento con le relative responsabilità; 4. una descrizione delle altre misure di sicurezza adottate per prevenire i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. 16

18 Sezione I Titolare del trattamento e Responsabili nominati In questa sezione sono indicati gli estremi identificativi del Titolare del trattamento, nonché, se designati, degli eventuali Responsabili. Sono inoltre indicate le modalità attraverso le quali è possibile individuare l'elenco aggiornato dei Responsabili del trattamento Per il trattamento dei dati personali, il Titolare ha nominato i seguenti Responsabili, attribuendo loro incarichi di ordine organizzativo e direttivo, come segue: Responsabile del trattamento:..; Responsabile esterno per il trattamento dei soli dati necessari alla consulenza per l aggiornamento Privacy policy aziendale:..; Responsabile esterno per il trattamento (Amministratore di sistema) dei soli dati necessari alla manutenzione e aggiornamento del Database, del sistema e della rete informatica:.; Responsabile esterno per il trattamento dei soli dati necessari alla elaborazione della retribuzione per i propri dipendenti e collaboratori e ogni adempimento di legge e di contratto nei confronti degli istituti previdenziali e assistenziali, anche integrativi, e dell amministrazione finanziaria:.; Responsabile esterno per il trattamento dei soli dati necessari all adempimento degli obblighi fiscali e contabili:..; Responsabile esterno per il trattamento dei soli dati necessari relativi agli adempimenti obbligatori previsti dall Art. 25 Dlgs 81/2008 TUSL in materia di igiene e sicurezza nei luoghi di lavoro:.; Responsabile esterno per il trattamento dei soli dati necessari relativi allo svolgimento di investigazioni difensive o per far valere o difendere in sede giudiziaria un diritto in nome e per conto dello scrivente Titolare: Studio Legale.. L elenco aggiornato di tutti i Responsabili per il trattamento dei dati personali, da noi nominati, con l indicazione delle relative responsabilità è reperibile contattando. 17

19 Sezione II Elenco dei trattamenti di dati personali effettuati In questa sezione è descritto il trattamento realizzato, in modo da consentire una valutazione di adeguatezza delle misure adottate per garantire la sicurezza del trattamento. In tale descrizione sono precisate le finalità del trattamento, le categorie di persone interessate e dei dati o delle categorie di dati relativi alle medesime, i destinatari o le categorie di destinatari a cui i dati possono essere comunicati nonché la descrizione degli strumenti utilizzati. Identificativo Finalità Categorie di Natura dei Destinatari Descrizione T del perseguita Interessati dati trattati o categorie degli trattamento di destinatari strumenti a cui i dati utilizzati possono essere comunicati T1 Gestione Fornitori Dati di natura forniture comune T2 Gestione contratti Clienti Clienti T3 Gestione del Dipendenti/ Dati di natura Personale Collaboratori comune e sensibile T4 T5 T6 18

20 Sezione III Mansionario Privacy In questa sezione è riportato l'elenco, anche per categorie, degli incaricati del trattamento e delle relative responsabilità. Le modalità attraverso le quali è possibile individuare l'elenco aggiornato dei responsabili del trattamento con le relative responsabilità è indicata al termine della Sezione II del presente Documento. Le Unità organizzative nelle quali vengono effettuati trattamenti di dati personali sono le seguenti: U1: Ufficio Amministrativo; U2: Ufficio Commerciale; U3:.; U4:.; U5:.. Nominativi degli Incaricati al trattamento e relative Unità organizzative d appartenenza U1 U2 U3 U4 U5 19

21 Competenze e responsabilità delle Unità organizzative Unità Trattamento Acquisizione Consultazione Comunicazione Manutenzione Gestione organizzativa effettuato e caricamento a terzi tecnica dei tecnica T dei dati programmi operativa della base dati (salvataggi, ripristini, etc.) U1 U2 U3 U4 U5 20

22 Sezione IV Misure di sicurezza adottate In questa sezione sono descritte le misure di sicurezza adottate per prevenire: i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. Misure di sicurezza adottate o da adottare Misure Sistema autenticazione Antivirus Firewall Aggiornamenti patch sicurezza Gestione supporti rimovibili Backup/Recovery dati personali Incendio e sicurezza ambientale Gruppo di continuità Sistema di condizionamento Formazione Formazione Formazione Descrizione dei rischi contrastati Accessi non autorizzati Rischio di intrusione e dall azione di programmi Protezione degli elaboratori in rete dall accesso abusivo Prevenzione della vulnerabilità degli strumenti elettronici Prevenzione trattamenti non autorizzati Prevenzione perdita e distruzione dati Danneggiamento supporti Prevenzione perdita e distruzione dati Prevenzione perdita e distruzione dati Errori umani nella gestione della sicurezza fisica carenza di consapevolezza; disattenzione o incuria; Trattamenti interessati Trattamenti con strumenti elettronici Trattamenti con strumenti elettronici Trattamenti con strumenti elettronici Trattamenti con strumenti elettronici Trattamenti con strumenti elettronici Trattamenti con strumenti elettronici Tutti i trattamenti Trattamenti con strumenti elettronici Trattamenti con strumenti elettronici Tutti Tutti Tutti Misura in essere Misura da adottare Tempi previsti Già adottata Già adottata Già adottata Già adottata Già adottata Già adottata Già adottata Da adottare nel corso del 2009 Da adottare nel corso del 2009 Nel corso del 2009 Nel corso del 2009 Nel corso del 2009 Unità organizzative o persone addette all adozione

23 Sezione V Dichiarazioni d impegno e firma Il presente documento, redatto in data, viene firmato in calce da:.. nella qualità di Legale Rappresentante. MODELLO DPS Documento Programmatico sulla Sicurezza Redatto ai sensi e per gli effetti dell articolo 34. comma 1. lettera g) del D.Lgs. 196/2003 e del disciplinare tecnico (allegato B del D.Lgs. n. 196/2003) Titolare del trattamento: Il Titolare del trattamento è la società Alfa, operante nel settore turistico alberghiero, nella persona del rappresentante legale p.t. Mario Rossi, con sede a, in via. Premesso che nell ambito della propria attività effettua trattamento di dati personali, come di seguito elencati, con il presente documento raccoglie e fornisce le informazioni utili per l identificazione delle misure di sicurezza, organizzative, fisiche e logiche, previste per la tutela dei dati trattati. In conformità con quanto prescritto al punto 19 del Disciplinare tecnico (allegato B al D.Lgs. 196/2003) nel presente documento si forniscono idonee informazioni riguardanti: 1) Elenco dei trattamenti di dati personali (punto 19.1) mediante: individuazione dei dati personali trattati descrizione delle aree, dei locali e degli strumenti con i quali si effettuano i trattamenti l elaborazione della mappa dei trattamenti effettuati 2) Distribuzione dei compiti e delle responsabilità nell ambito delle strutture preposte al trattamento dei dati (punto 19.2) 3) Analisi dei rischi a cui sono soggetti i dati (punto 19.3) 4) Misure adottate e da adottare per garantire l integrità e la disponibilità dei dati (punto 19.4) 5) Criteri e modalità di ripristino dei dati a seguito di distruzione o danneggiamento (punto 19.5) 6) Adozione misure minime di sicurezza in caso di trattamento di dati personali affidati all esterno (punto 19.7) 7) Procedure per il controllo sullo stato della sicurezza 8) Dichiarazioni d impegno e firma 22

24 1. ELENCO DEI TRATTAMENTI DI DATI PERSONALI 1.1 Tipologie di dati trattati A seguito dell analisi compiuta si sono identificati i seguenti trattamenti: dati comuni dei clienti, dei fornitori o di terzi ricavati da albi, elenchi pubblici, visure camerali; dati comuni del personale dipendente, quali quelli necessari al rapporto di lavoro, alla reperibilità ed alla corrispondenza con gli stessi o richiesti ai fini fiscali e previdenziali o dati di natura bancaria; dati comuni dei fornitori concernenti la reperibilità e la corrispondenza con gli stessi, nonché inerenti ai fini fiscali o dati di natura bancaria; dati comuni di altri Avvocati, Commercialisti e professionisti cui la società affida incarichi o si rivolge per consulenze, quali quelli concernenti la reperibilità e la corrispondenza con gli stessi, nonché inerenti a finalità fiscali o dati di natura bancaria; dati sensibili del personale dipendente, conseguenti al rapporto di lavoro, ovvero inerenti i rapporti con gli enti previdenziali ed assistenziali, o dati giudiziari del personale dipendente, o l adesione ad organizzazioni sindacali; 1.2 Aree, locali e strumenti con i quali si effettuano i trattamenti Il trattamento dei dati avviene nella sede della società, situata in I locali sono dislocati fronte strada, l accesso al locale è controllato da sistema di chiusura a scatto e saracinesca, nonché attraverso suoneria d ingresso. A - Schedari e altri supporti cartacei I supporti cartacei sono raccolti in schedari a loro volta custoditi come segue: Archivio 1 localizzato nei locale della società ove in appositi armadi vengono archiviati i supporti cartacei di comune e continuo utilizzo; Archivio 2 localizzato nei locale della società ove in appositi armadi e in locale al quale accedono solo le persone autorizzate vengono archiviati i supporti cartacei a fine ciclo lavorativo;