DPS Documento Programmatico sulla Sicurezza

Transcript

1 SAN GIUSEPPE Frontespizio 1 di 1 DPS Documento Programmatico sulla Sicurezza secondo D.Lgs giugno 2003 di Istituto SAN GIUSEPPE Istituto SAN GIUSEPPE via MILLE FIORI, Milano

2 SAN GIUSEPPE Indice 1 di 1 INDICE Sez. 0 Sez. 1 Sez. 2 Sez. 3 Sez. 4 Sez. 5 Sez. 6 Sez. 7 Sez. 8 Sez. 9 Premessa Titolare e Responsabile del Trattamento Dati Politica della Privacy dell Istituto Elenco dei Trattamenti di Dati personali Analisi dei rischi che incombono sui Dati Misure in essere e da adottare Criteri e modalità di ripristino della disponibilità dei Dati Pianificazione degli interventi formativi previsti Trattamenti affidati all esterno Glossario Sottoscrizione del Documento Allegato 1 Allegato 2 Allegato 3 Elementi significativi per l organizzazione dei Trattamenti Modelli delle Comunicazioni Istruzioni Operative Istituto SAN GIUSEPPE via Mille Fiori, Milano

3 San giuseppe Sez. 0 1 di 2 PREMESSA La libera circolazione dei dati, in epoca di Internet e strumenti elettronici di comunicazione, rappresenta un importante opportunità di crescita per l umanità intera, accompagnata, però, da gravi rischi per la libertà e la dignità dei cittadini. L invadenza dei mezzi di comunicazione di massa riduce sempre di più gli spazi di autonomia del cittadino, che potrebbe rimanere soffocato da strumenti tecnici che non può controllare. La Comunità Economica Europea si è posta il problema di coniugare lo sviluppo delle moderne reti di comunicazione con le esigenze di tutela dei diritti fondamentali dei cittadini, ricercando uno sviluppo a loro favore, anche grazie a un dialogo costruttivo con i Paesi d oltre Atlantico per realizzare un sistema di norme condivise a livello mondiale. Si può, quindi, affermare che il sistema legale di protezione dei dati personali rappresenta, per l informatica, quello che è il Codice della Strada per la circolazione stradale, e si sta realizzando come esigenza globale condivisa a livello mondiale. Le conseguenti Direttive europee, così come le legislazioni nazionali che da esse derivano, sono solamente un tassello di un quadro complesso e immenso che coinvolge tutti, anche quelli che non si occupano direttamente della materia. La prima iniziativa della Cee è consistita nella Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche, con riguardo al trattamento dei dati personali, nonché alla libera circolazione dei dati. In seguito, l 8 maggio 1997 è entrata in vigore in Italia la Legge 31 dicembre 1996 n. 675 sulla Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali. Questa Legge è stata seguita da numerose norme attuative per realizzare un sistema compiuto ed effettivamente applicabile. Nel frattempo, la Comunità europea sviluppava ulteriormente la materia, da cui la Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche. Istituto San giuseppe via Mille Fiori, Milano

4 San giuseppe Sez. 0 2 di 2 Per rendere coerente il sistema il Parlamento italiano ha approvato il D.Lgs. del 30 giugno del 2003 n. 196, intitolato Codice in materia di protezione dei dati personali che abroga le leggi previgenti nella quasi totalità. E si configura quale Testo Unico della materia. La legge è in vigore dal 1 gennaio Questo Codice garantisce il rispetto dei diritti, delle libertà fondamentali e della dignità delle persone fisiche e giuridiche, con particolare riferimento al trattamento dei dati personali che li riguardano. Il presente Manuale vuole rappresentare un supporto operativo, sia per soddisfare le disposizioni del D.Lgs. 196/03 sia per seguire e adattarsi a ogni successiva variazione, consentendo il semplice aggiornamento delle misure di sicurezza applicate. Istituto San giuseppe via Mille Fiori, Milano

5 Sez. 1 1 di 2 TITOLARE E RESPONSABILI DEL TRATTAMENTO DEI DATI Titolare del Trattamento Dati Istituto Suor Maria Verdi Indirizzo: via Mille Fiori, Roma Tel Fax Categoria (All. 1 tab. 1): 7 (Istituto ) Responsabile del Trattamento Dati Suor Maria Rossi Indirizzo: via Millefiori Milano Tel fax Ufficio: Presidenza Categoria degli Operatori (All. 1 tab. 5): Nell ambito dei trattamenti oggetto dell attività dell Istituto, le categorie di servizi, organismi e persone fisiche che trattano i dati sono le seguenti: - dirigenti e amministratori - uffici di protocollo e segreteria interni - addetti alla gestione di archivi storici - addetti a contabilità e fatturazione Istituto via Mille Fiori, Milano

6 Sez. 1 2 di 2 - incaricati della rilevazione di clienti - addetti a uffici per le relazioni con il pubblico - addetti alla gestione del personale - addetti alla biblioteca - addetti all infermeria Istituto via Mille Fiori, Milano

7 Sez. 2 1 di 5 POLITICA DELLA PRIVACY DELL ISTITUTO L Istituto tratta professionalmente dati personali o identificativi di terzi, in particolar modo, nei seguenti settori: PROGETTAZIONE E EROGAZIONE DI SERVIZI DI SCUOLA PER L INFANZIA E DI SERVIZI DI ISTRUZIONE SCOLASTICA PRIMARIA E SECONDARIA DI PRIMO E SECONDO GRADO In questo quadro la normativa sulla Privacy, così come si è venuta delineando con il D. Lgs 196/03, rappresenta un impegno non differibile, da affrontare con priorità e elevata professionalità. E ferma intenzione del Titolare del Trattamento Dati raggiungere nel più breve tempo possibile, e in ogni caso prima delle scadenze di legge, lo standard minimo di sicurezza dei trattamenti previsti dal decreto legislativo. Adempiuti tali obblighi, e redatte le relative documentazioni (Dps), la politica aziendale è indirizzata a sviluppare i criteri applicati ai trattamenti dei dati, in chiave di investimento produttivo e miglioramento qualitativo dell attività. Tale obiettivo è reso possibile grazie a opportune decisioni operative assunte sui seguenti processi: - manutenzione del sistema di protezione dei dati - aggiornamento permanente degli strumenti tecnici e informatici - sinergie con altri sistemi organizzativi eventualmente presenti (Sistema di Gestione per la Qualità e per l Ambiente, Sicurezza, Etica Sociale) - programmi di formazione professionale Il presente Dps ha la funzione di indicare il campo di applicazione del trattamento dati, individuando e descrivendo i processi necessari e le loro interrelazioni, nonché le misure minime adottate per prevenire i possibili rischi. Istituto via Mille Fiori, Milano

8 Sez. 2 2 di 5 I responsabili delle attività identificati in questo documento sono direttamente responsabili dell attuazione delle prescrizioni previste nelle aree di propria competenza. Il responsabile del Trattamento Dati ha la responsabilità e l autorità per assicurare il rispetto di quanto previsto nel Dps. Impegno della Direzione La Direzione si impegna: - nella definizione delle politiche e degli obiettivi per il trattamento dati - nell impostazione delle attività e nella messa a disposizione delle risorse - nel mantenimento e miglioramento continuo delle prestazioni La struttura direzionale, nel proprio approccio al miglioramento delle prestazioni, privilegia la condivisione degli obiettivi da parte di tutto il personale dipendente e di tutti i collaboratori attraverso un progresso graduale, ma costante. Un riesame periodico verifica la rispondenza alle esigenze di risorse e di comunicazione interna necessarie ad assicurare che il sistema creato per il trattamento dei dati sia mantenuto e adeguato all evoluzione delle attività. Politica per il trattamento dati L Istituto ha individuato nel trattamento dei dati personali uno dei fattori di successo determinanti ed è suo obiettivo mantenere un elevata reputazione in fatto di sicurezza e qualità dei trattamenti, agendo in conformità ai seguenti principi: - assunzione da parte della direzione di un ruolo di guida e di controllo nel conseguimento degli obiettivi - definizione annuale dinamica di obiettivi per un miglioramento continuo - puntuale applicazione del Dps e delle misure definite - rispetto delle leggi vigenti e cogenti e delle clausole contrattuali - formazione e aggiornamento continuo del proprio personale e dei collaboratori esterni Istituto via Mille Fiori, Milano

9 Sez. 2 3 di 5 - responsabilizzazione di ogni incaricato - ottenimento della piena soddisfazione di clienti, fornitori e parti interessate - coinvolgimento diretto dei fornitori - messa a disposizione, mantenimento e miglioramento delle risorse necessarie Politica del Collegio in materia di trattamento dati sul sito web I trattamenti connessi ai servizi web del sito hanno luogo presso la sede dell Istituto e sono curati solo da personale incaricato del trattamento, oppure da eventuali incaricati per manutenzioni ordinarie e straordinarie. I dati personali forniti dagli utenti che inoltrano richieste sono utilizzati al solo fine di eseguire il servizio e sono comunicati a terzi solo nel caso in cui sia necessario ai fini del servizio. I sistemi informatici e le procedure software preposte al funzionamento del sito acquisiscono, nel corso del loro normale esercizio, alcuni dati personali la cui trasmissione è implicita nell uso dei protocolli di comunicazione Internet. Si tratta di informazioni che non sono raccolte per essere associate a interessati identificati, ma che per loro stessa natura potrebbero, attraverso elaborazioni e associazioni con dati detenuti da terzi, permettere di identificare gli utenti. Rientrano in questa categoria, gli indirizzi Ip o i nomi a dominio dei computer utilizzati dagli utenti che si connettono al sito, gli indirizzi in notazione delle risorse richieste, l orario delle richiesta, il metodo utilizzato nel sottoporre la richiesta al server, la dimensione del file ottenuto in risposta, il codice numerico indicante lo stato della risposta data dal server e altri parametri relativi al sistema operativo e all ambiente informatico dell utente. Questi dati sono utilizzati al solo scopo di ricavare informazioni statistiche anonime sull uso del sito e per controllarne il corretto funzionamento e sono cancellati immediatamente dopo l elaborazione. I dati potrebbero essere utilizzati per l accertamento di responsabilità in caso di ipotetici reati informatici ai danni del sito. Istituto via Mille Fiori, Milano

10 Sez. 2 4 di 5 L invio facoltativo, esplicito e volontario di posta elettronica agli indirizzi indicati sul sito, così come quello su altri indirizzi di proprietà della società, comporta la successiva acquisizione dell indirizzo del mittente, necessario per rispondere alle richieste, nonché degli eventuali altri dati personali inseriti nella missiva. Specifiche informative di sintesi saranno progressivamente riportate o visualizzate nelle pagine del sito predisposte per particolari servizi a richiesta. Facoltatività del conferimento dei dati A parte quanto specificato per i dati di navigazione, l utente è libero di fornire i dati personali riportati nei moduli di richiesta alla società o, comunque, indicati in contatti con i diversi uffici per sollecitare l invio di materiale informativo o di altre comunicazioni. Il loro mancato conferimento può pregiudicare l ottenimento di quanto richiesto. Modalità del trattamento I dati personali sono trattati con strumenti cartacei e informatici per il tempo strettamente necessario a conseguire gli scopi per cui sono stati raccolti, e sono raffrontati con quelli eventualmente già in possesso per lo svolgimento di altre attività e servizi. In caso di discordanza, il Responsabile del Trattamento o l incaricato potranno contattare il cliente per verificare l integrità dei dati o provvedere alla loro eventuale correzione. I dati cartacei acquisiti manualmente, ad esempio per posta o per fax, sono mantenuti nei raccoglitori dedicati, in ambienti sorvegliati e protetti, con accesso permesso solo ai soggetti autorizzati. I dati informatici sono raccolti e trattati attraverso il sito web e via . Sono previste modalità operative per: - trattamento dati ai fini della Privacy - criteri di identificazione della documentazione - controllo e gestione della documentazione - salvataggio dei dati Istituto via Mille Fiori, Milano

11 Sez. 2 5 di 5 - ripristino dei dati Specifiche misure di sicurezza sono osservate per prevenire la perdita dei dati, usi illeciti o non corretti e accessi non autorizzati. Diritti degli interessati I soggetti cui si riferiscono i dati personali hanno il diritto, in qualunque momento, di ottenere la conferma o meno dell esistenza dei medesimi dati e di conoscerne il contenuto e l origine, verificarne l esattezza o chiederne l integrazione o l aggiornamento, oppure la rettifica. I soggetti interessati hanno il diritto di chiedere la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, nonché di opporsi in ogni caso, per motivi legittimi, al loro trattamento. Le richieste devono essere rivolte al Responsabile del Trattamento. Istituto via Mille Fiori, Milano

12 Sez. 3 1 di 11 ELENCO DEI TRATTAMENTI DI DATI PERSONALI In questa sezione è descritto l elenco dei trattamenti effettuati dal Titolare, direttamente o attraverso collaborazioni esterne, con l indicazione della natura dei dati trattati e della struttura, interna o esterna, che effettua operativamente il trattamento. Il trattamento avviene su: - schedari e altri supporti cartacei - elaboratori e strumenti elettronici in rete privata, dotati di accesso a internet Tipologia dei Dati Per le sue attività, in particolare, l Istituto tratta i seguenti tipi di dati: dati relativi a studenti, di tipo ordinario (es. schede di iscrizione, curriculum scolastico e documentazione da produrre in allegato) e sensibile (es. certificati medici e di vaccinazione) trattati per obblighi e a norme di legge. Su supporto cartaceo i dati sono raccolti in un fascicolo personale dello studente e archiviati in armadi chiusi a chiave, accessibili al solo personale della Presidenza/Segreteria e della Direzione Didattica. Su supporto elettronico, i dati permettono la produzione della documentazione da allegare al curriculum scolastico degli studenti. dati relativi a famigliari degli studenti, di tipo ordinario (es. ricevute emesse per il pagamento di rette, partecipazione a attività scolastiche extra curriculari e relativa corrispondenza). Su supporto cartaceo i dati sono raccolti in un fascicolo Istituto via Mille Fiori, Milano

13 Sez. 3 2 di 11 personale archiviato in armadi chiusi a chiave, accessibili al solo personale dell Ufficio Economato. Su supporto elettronico i dati permettono la produzione dei bollettini e il controllo dell avvenuta regolazione degli stesse, per la registrazione delle operazioni ai fini della tenuta della contabilità legale. dati relativi al personale dipendente, di tipo ordinario e sensibile (es. adesione ad associazioni sindacali e certificati medici). Su supporto cartaceo i dati sono relativi alla documentazione raccolta dal momento dell assunzione del dipendente, riguardano lo sviluppo del rapporto contrattuale, degli sviluppi retributivi, della presenza al lavoro, delle assenze, degli eventuali aspetti disciplinari, sino all interruzione del rapporto di lavoro. I dati sono raccolti in un fascicolo personale e archiviato in armadi chiusi a chiave accessibile al solo personale degli Ufficii Presidenza/Segreteria e Economato. Su supporto elettronico, i dati permettono la produzione della documentazione relativa allo stato di servizio. L emissione dei cedolini di pagamento degli stipendi, delle attestazioni annuali delle retribuzioni (C.U.D.), delle dichiarazioni fiscali dei sostituti di imposta, e tutta la documentazione di tipo fiscale e tributario è gestita presso la sede di Roma. dati relativi a stagisti, di tipo ordinario. Sono archiviati in armadi chiusi a chiave accessibili al solo personale della Presidenza/Segreteria. dati relativi ai fornitori, di tipo ordinario. Su supporto cartaceo è trattata la documentazione necessaria alla stipula del contratto di fornitura, all accertamento della prestazione effettuata o della merce arrivata, e delle fatture. I documenti relativi allo sviluppo della fase contrattuale sono raccolti in fascicoli e archiviati in armadi chiusi a chiave a disposizione di ciascuno degli impiegati abilitati a fare acquisti dell Ufficio Economato. I documenti riguardanti gli aspetti fiscali, contabili, finanziari con i fornitori sono raccolti in armadi chiusi a chiave a disposizione degli addetti dell Ufficio Economato. Su supporto informatico, sono trattati i dati per la Istituto via Mille Fiori, Milano

14 Sez. 3 3 di 11 produzione della documentazione relativa al contratto in essere e per la registrazione delle operazioni ai fini della tenuta della contabilità legale. dati relativi a consulenti esterni, di tipo ordinario. Su supporto cartaceo è trattata la documentazione necessaria alla stipula del contratto di collaborazione e dei suoi eventuali supporti. I dati sono raccolti in un fascicolo personale e archiviato in armadi chiusi a chiave accessibili al solo personale della Direzione Didattica e dell Ufficio Economato. Su supporto informatico sono trattati i dati per la produzione della documentazione necessaria allo sviluppo del rapporto di collaborazione e per la determinazione dei compensi. Strutture e Infrastrutture L Istituto è strutturato su un singolo edificio, destinato alle attività scolastiche: in esso si trovano i locali per lo svolgimento delle lezioni, i locali di servizio correlati, nonché gli uffici per la gestione didattica e amministrativa. L accesso all edificio principale avviene, di norma, tramite il portone principale, sorvegliato da un servizio di portineria. Per l accesso dei fornitori è attivo un passo carraio chiuso da un cancello dotato di citofono per l apertura. I locali nei quali avvengono i trattamenti sono elencati nelle tabelle seguenti. Tutti i locali sono dotati di porta di accesso con serratura, le chiavi sono custodite in portineria e sono consegnate al solo personale autorizzato all accesso al mattino; il personale stesso le deposita presso lqa portineria alla chiusura degli uffici. Tutti gli uffici sono dotati di armadi con serratura per la chiusura a chiave. Alcuni locali, come la Biblioteca, la Presidenza/Segretaria e la Direzione Didattica sono a libero accesso da parte del pubblico. In queste zone l area di libero accesso è sempre delimitata da un bancone e separata dalla zona di lavoro del personale; inoltre è sempre garantita la presenza di un dipendente. Istituto via Mille Fiori, Milano

15 Sez. 3 4 di 11 Ambito di Comunicazione e di Diffusione dei Dati Ambito Territoriale X Nazionale Unione Europea Altri Paesi Ambito Soggettivo (All. 1 - tab. 2) Categorie di interessati (All. 1 - tab. 8) personale dipendente lavoratori autonomi candidati consulenti e liberi professionisti clienti e utenti, potenziali clienti fornitori, commercianti, artigiani imprenditori soggetti e organismi pubblici studenti di ogni ordine e grado familiari dell interessato Deroghe al consenso (All. 1 - tab.) I dati sono raccolti e detenuti per obblighi di legge Sono necessari per la stipula di contratti Provengono da fonti consultabili da chiunque Sono necessari per la salvaguardia della salute e dell incolumità delle persone Istituto via Mille Fiori, Milano

16 Sez. 3 5 di 11 Struttura Responsabile Banca Dati Classificazione dei Dati Tipologia del Trattamento Dispositivi di accesso Presidenza / Segreteria Suor Giampaola Voltolini / Emilia Scoccimarro Archivio Dati relativi a alunni e famigliari, personale elettronico dipendente, consulenti esterni Archivio Dati relativi a alunni e famigliari, personale cartaceo dipendente, consulenti esterni Ordinari X Sensibili X 1 7 X Dati ordinari con strumenti elettronici X Dati sensibili con strumenti elettronici X Dati ordinari manualmente X Dati sensibili manualmente PC Presidenza PC Segreteria Trattamenti Consultazione Modalità del Trattamento Raccolta dati presso ufficio e tramite schede. Registrazione ed elaborazione su supporto cartaceo e magnetico. Organizzazione degli archivi in forma cartacea e magnetica Finalità del Trattamento Ubicazione supporti memorizzazione Interconnessione Dati elettronici su PC Presidenza e PC Segreteria Copie di back-up su floppy deposti in armadi chiusi a chiave Back-up del server su nastri in armadi chiusi a chiave In rete interna e su internet Istituto via Mille Fiori, Milano

17 Sez. 3 6 di 11 Struttura Responsabile Banca Dati Classificazione dei Dati Tipologia del Trattamento Dispositivi di accesso Direzione Didattica Suor Ancilla Cancan Archivio Dati relativi a alunni e famigliari, personale elettronico dipendente, consulenti esterni Archivio Dati relativi a alunni e famigliari, personale cartaceo dipendente, consulenti esterni Ordinari X Sensibili X 1 X Dati ordinari con strumenti elettronici X Dati sensibili con strumenti elettronici X Dati ordinari manualmente X Dati sensibili manualmente PC Direzione Didattica Trattamenti Consultazione Modalità del Trattamento Raccolta dati presso ufficio e tramite schede. Registrazione ed elaborazione su supporto cartaceo e magnetico. Organizzazione degli archivi in forma cartacea e magnetica Finalità del Trattamento Ubicazione supporti memorizzazione Interconnessione Dati elettronici su PC Presidenza e PC Segreteria Copie di back-up su floppy deposti in armadi chiusi a chiave Istituto via Mille Fiori, Milano

18 Sez. 3 7 di 11 Struttura Responsabile Banca Dati Classificazione dei Dati Tipologia del Trattamento Dispositivi di accesso Economato Suor Angelica Magni Archivio Dati relativi a alunni e famigliari, personale elettronico dipendente, consulenti esterni, fornitori Archivio Dati relativi a alunni e famigliari, personale cartaceo dipendente, consulenti esterni, fornitori Ordinari X Sensibili X 1 7 X Dati ordinari con strumenti elettronici X Dati sensibili con strumenti elettronici X Dati ordinari manualmente X Dati sensibili manualmente PC Economato Trattamenti Consultazione Modalità del Trattamento Raccolta dati presso ufficio, telefonate, schede, posta elettronica. Registrazione ed elaborazione su supporto cartaceo e magnetico. Organizzazione degli archivi in forma cartacea e magnetica Finalità del Trattamento Ubicazione supporti memorizzazione Interconnessione Dati su PC Economato Back-up del server su nastri depositati in armadi chiusi a chiave In rete interna e su internet Istituto via Mille Fiori, Milano

19 Sez. 3 8 di 11 Struttura Responsabile Banca Dati Classificazione dei Dati Tipologia del Trattamento Dispositivi di accesso Ambulatorio Suor Speranzina Allegri Archivio elettronico Archivio Dati relativi a alunni e famigliari, personale cartaceo dipendente Ordinari X Sensibili X 7 Dati ordinari con strumenti elettronici Dati sensibili con strumenti elettronici X Dati ordinari manualmente X Dati sensibili manualmente Trattamenti Consultazione Modalità del Trattamento Raccolta dati presso ufficio. Registrazione ed elaborazione su supporto cartaceo. Organizzazione archivio di tipo cartaceo Finalità del Trattamento Ubicazione supporti memorizzazione Interconnessione Istituto via Mille Fiori, Milano

20 Sez. 3 9 di 11 Struttura Responsabile Banca Dati Classificazione dei Dati Tipologia del Trattamento Dispositivi di accesso Biblioteca Suor Annalaura Calvitti Archivio Dati relativi a alunni elettronico Archivio cartaceo Ordinari X 57 Sensibili X Dati ordinari con strumenti elettronici Dati sensibili con strumenti elettronici Dati ordinari manualmente Dati sensibili manualmente PC Biblioteca Trattamenti Modalità del Trattamento Raccolta dati presso ufficio. Registrazione ed elaborazione su supporto elettronico. Organizzazione degli archivi di tipo elettronico. Finalità del Trattamento 7.6 Ubicazione supporti memorizzazione Interconnessione Dati su PC Biblioteca Back-up su floppy archiviati in armadi chiusi a chiave Back-up del server su nastri depositati in armadi chiusi a chiave In rete interna e su internet Istituto via Mille Fiori, Milano

21 Sez di 11 Struttura Responsabile Banca Dati Classificazione dei Dati Tipologia del Trattamento Dispositivi di accesso Archivio Deposito Suor Giampaola Voltolini Archivio elettronico Archivio Archivi storici di studenti e famigliari, personale cartaceo dipendente, fornitori Ordinari X Sensibili X 1 7 Dati ordinari con strumenti elettronici Dati sensibili con strumenti elettronici X Dati ordinari manualmente X Dati sensibili manualmente Trattamenti Modalità del Trattamento Raccolta Dati Finalità del Trattamento Archivio Ubicazione supporti memorizzazione Interconnessione Istituto via Mille Fiori, Milano

22 Sez di 11 Classificazione dei Dati: codici e descrizioni da All.1 tab.4 Trattamenti: codici e descrizioni da All.1 tab.7 Modalità del Trattamento: descrizioni da All.1 tab.6 Finalità del Trattamento: descrizioni da All.1 tab. 3 Ubicazione supporti memorizzazione: luogo dove risiedono fisicamente i dati, l elaboratore sui cui dischi sono memorizzati, i luoghi di conservazione dei supporti magnetici utilizzati per le copie di sicurezza (nastri, cd, ecc.) Istituto via Mille Fiori, Milano

23 Sez. 4 1 di 3 ANALISI DEI RISCHI CHE INCOMBONO SUI DATI Si individuano i principali eventi potenzialmente dannosi per la sicurezza dei dati, valutando le possibili conseguenze e la gravità stimata. Evento Impatto sulla Sicurezza dei Dati Descrizione Gravità stimata Eventi relativi al Sottrazione credenziali Accessi non autorizzati a Alta comportamento degli (id user + password) informazioni riservate operatori Disattenzione e incuria Abbandono e non cura della Bassa propria postazione di lavoro (ad es. lasciandola incustodita) Comportamenti sleali Utilizzo illegale dei dati personali Alta e fraudolenti trattati Errori operativi Errata utilizzazione degli archivi Bassa / Media Trattamenti non Utilizzo degli archivi oltre ai Bassa / Media consentiti limiti/campi previsti dal Responsabile dei Trattamenti Eventi relativi agli Virus informatici Attacco alla sicurezza dei dati Media / Alta strumenti Malfunzionamenti personali gestiti Dispostivi di accesso non Media / Alta funzionanti correttamente (problemi hw e sw) Indisponibilità Non disponibilità degli strumenti Media / Alta Degrado Strumenti tecnologici obsoleti o non aggiornati in hw e sw Bassa / Media Accessi esterni non autorizzati Inserimento indebito e non consentito nella banca dati Bassa / Media Istituto via Mille Fiori, Milano

24 Sez. 4 2 di 3 Eventi relativi al contesto Evento Accessi non autorizzati a locali/reparti Furto di strumenti Eventi distruttivi, naturali o dolosi Guasti ai sistemi ausiliari Errori umani nella gestione della sicurezza fisica Impatto sulla Sicurezza dei Dati Descrizione Gravità stimata Accesso non autorizzato a Media / Alta informazioni presenti su archivi cartacei/elettronici Sottrazione di apparecchiature Alta (ad es. furto server) Distruzione di archivi cartacei e Alta elettronici (ad es. incendio) Mancanza del supporto di sistemi Alta ausiliari in caso di necessità (es. caduta di tensione) Non corretta gestione della Alta sicurezza degli archivi, anche a fronte di istruzioni operative impartite Istituto via Mille Fiori, Milano

25 Sez. 4 3 di 3 Evento: elenco degli eventi che possono generare danni e comportano, quindi, rischi per la sicurezza dei dati personali Impatto sulla Sicurezza dei Dati: principali conseguenze individuate per la sicurezza dei dati in relazione a ciascun evento e valutazione della gravità delle stesse, anche in relazione alla probabilità stimata dell evento Istituto via Mille Fiori, Milano

26 Sez. 5 1 di 7 MISURE IN ESSERE E DA ADOTTARE In questa sezione sono riportati, in forma sintetica, le misure in essere e da adottare a contrasto dei rischi individuati dall analisi dei rischi. Per misura si intende, non solo lo specifico intervento tecnico o organizzativo posto in essere per prevenire, contrastare o ridurre gli effetti relativi a una specifica minaccia, ma anche tutte quelle attività di verifica e controllo nel tempo, essenziali per assicurarne l efficacia. Protezione di aree e locali Durante l orario di apertura è in funzione un servizio di portineria, per l ingresso principale. L accesso ai locali dove avviene il trattamento è consentito al solo personale autorizzato tramite porte dotate di serratura. Le chiavi sono depositate presso la portineria e consegnate al personale autorizzato al mattino e da questi depositate, sempre presso la portineria, alla chiusura degli uffici. Le aree che prevedono un libero accesso al pubblico sono sempre sorvegliate e hanno una zona di delimitazione, ad esempio un bancone, tra chi ospita e chi è ospitato, evitando quindi accessi non voluti ai dati trattati nelle stesse aree. In tutti i locali sono previste, funzionanti e mantenuti sistemi di luci d emergenza e dispositivi antincendio, siano essi estintori a muro o sistemi a soffitto. Per gli elaboratori centrali è previsto un sistema di continuità dell alimentazione elettrica che consenta di attivare le procedure di back-up dei dati e di shutdown controllato dei sistemi. Archiviazione e custodia di atti, documenti e supporti Tutti gli uffici sono attrezzati con armadi dotati di serrature e accessibili al solo personale autorizzato, per l archiviazione e custodia della documentazione cartacea, organizzata in fascicoli. Istituto via Mille Fiori, Milano

27 Sez. 5 2 di 7 Misure logiche di sicurezza Ogni utente incaricato al trattamento dei dati è informato delle norme e delle procedure che regolano l utilizzo degli strumenti informatici. Gli elaboratori preposti alla centralizzazione dei database sono posizionati in un unico locale accessibile al solo personale addetto ai servizi informatici dell Istituto. Il personale tecnico preposto alle manutenzioni proveniente dall esterno può operare solo alla presenza del personale interno dei servizi informatici. I server sono dotati di un sistema centrale di rilevazione dei virus informatici per i servizi di posta elettronica, di accesso a internet e di condivisione di file all interno della rete dell Istituto. L aggiornamento avviene in un periodo non superiore ai 45 giorni. Su ogni elaboratore è installato un sistema di rilevazione di virus informatici, che è aggiornato con una periodicità non superiore ai 45 giorni. A ogni utente sono assegnati un codice identificativo e una password personali; la password deve essere modificata dall utente stesso al primo logon al sistema e ha una validità di un mese. Il codice identificativo e la password abilitano all accesso delle risorse di rete e all uso delle aree di lavoro sulla base delle autorizzazioni assegnate al singolo utente o al gruppo di lavoro (profilo comune) a cui partecipa. Il Responsabile del Trattamento dei Dati dell Istituto gestisce e vigila su codici identificativi e password assegnate agli utenti, provvede alla disattivazione dei codici e delle password di utenti cessati, disattiva i codici e le password smarrite o erroneamente distribuite, ovvero divulgate ad altri utenti, sempre in collaborazione con i responsabili informatici. Le varie funzioni dell Istituto utilizzano differenti software gestionali che operano sulle basi di dati trattate dall Istituto stesso. Ogni software gestionale consente il trattamento dei soli dati necessari e sufficienti allo svolgimento delle attività dell operatore. Sono identificati dei profili a cui sono assegnati i diritti necessari per lo svolgimento dei compiti assegnati agli operatori appartenenti a quel profilo. A ogni profilo sono assegnati degli operatori e a ognuno di essi sono assegnati un identificativo univoco e una password Istituto via Mille Fiori, Milano

28 Sez. 5 3 di 7 che abilitano alle specifiche funzioni necessarie al trattamento dei dati per le parti necessarie e sufficienti allo svolgimento delle attività dell operatore stesso. Il personale docente ha accesso unicamente ai dati (nome, cognome e classe/sezione frequentata) che permettono l assegnazione delle valutazioni agli studenti, sia in corso d anno (voti per prove scritte e orali) sia nei periodi di valutazione intermedia e finale (pagelle). I consulenti e i fornitori non hanno accesso alcuno ai dati. Gli elaboratori elettronici della rete dell Istituto condividono un accesso a internet. È l amministratore di sistema, su indicazione della Direzione, che abilita gli utenti ad accedere a internet, vigila sul traffico in ingresso e uscita e sugli accessi procedendo all eventuale disattivazione. L accesso è protetto da sistemi anti-intrusione a più livelli. E previsto, implementato e mantenuto un Firewall. Non sono, per il momento, consentiti e predisposti accessi dall esterno alla rete interna dell Istituto. Per tutti gli elaboratori sono previste attività periodiche di manutenzione per l aggiornamento dei sistemi da parte dei produttori e fornitori di software e hardware, sempre in collaborazione con i responsabili informatici dell Istituto. Istituto via Mille Fiori, Milano

29 Sez. 5 4 di 7 Misura Tipologia Banca Dati In essere Da adottare Responsabilità e Periodicità Controlli Assegnazione Id user + password (non banali, pw Server Tutti i pc X Resp. Trattamento Dati Singoli Incaricati Trattamenti Semestrale minimo 8 caratteri) Custodia password (elenco generale e privato) Server Tutti i pc X Resp. Trattamento Dati Singoli Incaricati Trattamenti Semestrale Cambio password (primo utilizzo e ogni 30 giorni) Server Tutti i pc X Resp. Trattamento Dati Singoli Incaricati Trattamenti Bimensile Screen Saver con password Tutti i pc X Resp. Trattamento Dati Singoli Incaricati Trattamenti Semestrale Disattivazione id user e password Tutti i pc X Resp. Trattamento Dati Semestrale smarrite, mal gestite o non usate Criterio di accesso ai dati Logica Tutti i pc X Resp. Trattamento Dati Singolo Incaricato Trattamento Test di accesso semestrali Antivirus aggiornato Server Tutti i pc X Resp. Trattamento Dati Singoli Incaricati Trattamenti Inferiore a 45 giorni Firewall con funzione anti spam Server X Resp. Trattamento Dati Semestrale Back-Up conservati in zone separate dal Server Tutti i pc X Resp. Trattamento Dati Giornaliero server/pc Sostituzione dei nastri per back-up Server Tutti i pc X Resp. Trattamento Dati Annuale (distruzione) Ripristino Server Tutti i pc X Resp. Trattamento Dati Semestrale Istituto via Mille Fiori, Milano

30 Sez. 5 5 di 7 Misura Tipologia Banca Dati In essere Da adottare Responsabilità e Periodicità Controlli Vigilanza sede Istituto X Vigilanza giornaliera da parte di personale interno Ingresso controllato nel locale Server Server X Resp. Trattamento Dati Giornaliero Criterio di accesso ai locali dove avvengono i Archivi cartacei e elettronici X Resp. Trattamento Dati Singoli Incaricati Trattamenti Giornaliero trattamenti dati Dispositivi antincendio Fisica Archivi cartacei e elettronici X Resp. Trattamento Dati Singoli Incaricati Trattamenti Giornaliero Continuità alimentazione Server X Resp. Trattamento Dati Semestrale elettrica Climatizzazione locali Server X Resp. Trattamento Dati Semestrale Istituto via Mille Fiori, Milano

31 Sez. 5 6 di 7 Misura Tipologia Banca Dati In essere Da adottare Responsabilità e Periodicità Controlli Redazione DPS Istituto X Resp. Trattamento Dati Aggiornamento annuale Lista incaricati Tutti i pc X Resp. Trattamento Dati Semestrale Lista licenze, del software, copia dei Server Tutti i pc X Resp. Trattamento Dati Semestrale parametri tecnici per rete e sistemi operativi Analisi dei rischi Tutti i pc X Resp. Trattamento Dati Semestrale Linee Guida Sicurezza Tutti i pc X Resp. Trattamento Dati Mensile Formazione Organizzativa Tutti i pc X Resp. Trattamento Dati Semestrale Divieto installazione sw non autorizzati Tutti i pc X Resp. Trattamento Dati Mensile Limitazioni uso internet e posta Tutti i pc X Resp. Trattamento Dati Mensile elettronica Scrivania sgombra con incaricato fuori ufficio Tutti i pc X Resp. Trattamento Dati Singoli Incaricati Trattamenti Giornaliero Immediata segnalazione malfunzionamenti hw e sw Tutti i pc X Resp. Trattamento Dati Singoli Incaricati Trattamenti Giornaliero Istituto via Mille Fiori, Milano

32 Sez. 5 7 di 7 Misura: descrizione sintetica della misura di sicurezza adottata Tipologia: Logica, Fisica o Organizzativa Periodicità e Responsabilità Controlli: indicazione della periodicità con cui sono verificate le funzionalità e l efficienza della misura e della struttura che ne è responsabile Istituto via Mille Fiori, Milano

33 Sez. 6 1 di 2 CRITERI E MODALITÀ DI SALVATAGGIO E DI RIPRISTINO DELLA DISPONIBILITÀ DEI DATI In questa sezione sono descritti i criteri e le procedure adottati per il salvataggio dei dati e per il loro ripristino in caso di danneggiamento o di inaffidabilità del data base. L importanza di queste attività deriva direttamente dalla eccezionalità delle situazioni in cui il ripristino ha luogo: è essenziale che, quando sono necessarie, le copie dei dati siano disponibili e le procedure siano efficaci. L integrità dei dati è assicurata da operazioni di back-up giornaliero, sia su disco sia su supporto magnetico estraibile. I supporti magnetici sono ruotati in un arco di quattro settimane e poi riutilizzati previa formattazione. L integrità dei nastri è periodicamente accertata anche attraverso il ripristino simulato dei dati per la verifica, oltre che dei nastri anche della funzionalità delle operazioni di back-up e recovery; comunque, si provvede alla sostituzione dei nastri dopo dodici mesi di utilizzo. I dati contenuti sui nastri definitivamente scartati sono cancellati e i nastri stessi fisicamente distrutti. Le operazioni di recovery dei dati garantiscono il ripristino della base di dati aggiornati alla mezzanotte, ovvero alla chiusura del giorno lavorativo precedente. Istituto via Mille Fiori, Milano

34 Sez. 6 2 di 2 Salvataggio Banca Dati Tipologia Dati Modalità di salvataggio Struttura incaricata Conservazione copie Ordinari Sensibili Studenti X X Back Up server / floppy Resp. Informatici/Area Presidenza/Aree Familiari Studenti X X Back Up server / floppy Resp. Informatici/Area Presidenza/Aree Dipendenti X X Back Up server / floppy Resp. Informatici/Area Presidenza/Aree Fornitori X X Back Up server / floppy Resp. Informatici Presidenza Consulenti X X Back Up server / floppy Resp. Informatici Presidenza Stagisti X X Back Up server / floppy Resp. Informatici Presidenza Modalità di salvataggio: descrizione della tipologia di salvataggio e della frequenza con cui è effettuato Struttura incaricata: nominativo della persona incaricata di effettuare il salvataggio e di controllarne l esito o del coordinatore del gruppo preposto Conservazione copie: indicazione del luogo fisico in cui sono custodite le copie dei dati salvati Ripristino Banca Dati Modalità di ripristino Pianificazione delle prove di recupero Studenti Simulazione di necessità di ripristino Semestrale Familiari Studenti Simulazione di necessità di ripristino Semestrale Dipendenti Simulazione di necessità di ripristino Semestrale Fornitori Simulazione di necessità di ripristino Semestrale Consulenti Simulazione di necessità di ripristino Semestrale Stagisti Simulazione di necessità di ripristino Semestrale Modalità di ripristino: descrizione della modalità di ripristino Pianificazione delle prove di recupero: indicazione delle date in cui si prevede di effettuare dei test di efficacia delle procedure di ripristino dei dati adottate Istituto via Mille Fiori, Milano

35 Sez. 7 1 di 1 PIANIFICAZIONE DEGLI INTERVENTI FORMATIVI PREVISTI In questa sezione sono riportate le informazioni necessarie per disporre di un quadro sintetico dell impegno formativo in attuazione della normativa. Data Corso di Formazione Docenza Partecipanti Introduzione a D.Lgs 196/03 Cons. Glauco L.S. Ricci Presidenza e Direzione Didattica Istruzioni e Attuazione Misure Cons. Glauco L.S. Ricci Presidenza e Direzione Didattica entro inizio a.s Istruzioni e Attuazione Misure Cons. Glauco L.S. Ricci Incaricati Trattamento Dati Istituto via Mille Fiori, Milano

36 Sez. 8 1 di 2 TRATTAMENTI AFFIDATI ALL ESTERNO Obiettivi di questa sezione è redigere un quadro sintetico delle attività trasferite a terzi che comportano il trattamento di dati personali con l indicazione sintetica del quadro contrattuale in cui tale trasferimento si inserisce, in riferimento alla protezione dei dati personali. Attività Descrizione Dati trattati Ordinari Sensibili Soggetto esterno Verifiche delle misure Gestione personale, fiscale, tributario Paghe, contributi, imposte,. X X Istituto, sede di Roma, Uff. Amministrativo Incontri e contatti periodici Attività: identificazione dell attività delegata a terzi Descrizione: descrizione sintetica dell attività Soggetto esterno: identificazione della società o del consulente a cui è stata affidato l incarico Verifiche delle misure: date delle verifiche previste, anche in sede contrattuale, per il rispetto delle misure di sicurezza da adottare Istituto via Mille Fiori, Milano

37 Sez. 8 2 di 2 Il soggetto cui le attività sono affidate, deve dichiarare: - di essere consapevole che i dati che tratta nell espletamento dell incarico ricevuto sono dati personali e, come tali, soggetti all applicazione del codice per la protezione dei dati personali - di ottemperare agli obblighi previsti dal codice per la protezione dei dati personali - di adottare le istruzioni specifiche eventualmente ricevute per il trattamento dei dati personali o di integrarle nelle procedure già in essere - di impegnarsi a relazionare annualmente sulle misure di sicurezza adottate e di allertare immediatamente il proprio committente in caso di situazioni anomale o di emergenze - di riconoscere il diritto del committente a verificare periodicamente l applicazione delle norme di sicurezza adottate Istituto via Mille Fiori, Milano

38 Sez. 9 1 di 3 GLOSSARIO Banca Dati Data Base Qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate in uno o più siti, di tipo cartaceo o elettronico Dato giudiziario Dato personale idoneo a rivelare provvedimenti in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato Dato personale Qualunque informazione relativa a persona fisica, persona giuridica, ente o associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale Dato sensibile Dato personale idoneo a rivelare l origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l adesione a partiti, sindacati, associazioni o organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale Dispositivi di accesso Strumenti utilizzati dagli incaricati per effettuare il trattamento (elaboratore singolo, elaboratore in rete aziendale, elaboratore in rete pubblica) Incaricato Persona fisica autorizzato a compiere operazioni di trattamento dal titolare o dal responsabile Istituto via Mille Fiori, Milano

39 Sez. 9 2 di 3 Interconnessione Rete informatica che collega i dispositivi di accesso utilizzati dagli incaricati ai dati (rete locale, internet, intranet,.) Interessato Persona fisica, persona giuridica, ente o associazione cui si riferiscono i dati personali Misure minime Complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti Responsabile del Trattamento Dati Persona fisica, persona giuridica, pubblica amministrazione e qualsiasi altro ente, associazione o organismo preposti dal titolare al trattamento di dati personali Struttura La struttura (reparto, ufficio, funzione,.) all interno della quale è realizzato il trattamento, oltre a quelle, interne e esterne, che eventualmente vi concorrono Titolare del Trattamento Dati Persona fisica, persona giuridica, pubblica amministrazione e qualsiasi altro ente, associazione o organismo cui competono, anche unitamente a altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza Trattamento Qualunque operazione o complesso di operazioni, effettuati anche senza l ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l organizzazione, la conservazione, la consultazione, l elaborazione, la modificazione, la selezione, l estrazione, Istituto via Mille Fiori, Milano

40 Sez. 9 3 di 3 il raffronto, l utilizzo, l interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca dati Istituto via Mille Fiori, Milano

41 LA TUTELA DEI TRATTAMENTI DEI DATI PERSONALI D. L.vo30 giugno2003 n. 196 Art. 7. Diritto di accesso ai dati personali ed altri diritti 1. L'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile. 2. L'interessato ha diritto di ottenere: a) dell'origine dei dati personali; b) delle finalità e modalità del trattamento; c) della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici; d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell'articolo 5, comma 2; e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venire a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati. 3. L'interessato ha diritto di ottenere: a) l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati; b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati; c) l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato. 4. L'interessato ha diritto di opporsi, in tutto o in parte: a) per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta; b) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale. Emittente: il titolare (che trattiene copia) Destinatario: l'interessato (che trattiene l' originale) Istituto via Mille Fiori, Milano

42 5 di 67 SOTTOSCRIZIONE DEL DOCUMENTO Nome, cognome, firma del Titolare del Trattamento per presa visione e sottoscrizione di quanto riportato in questo documento Istituto Suor Maria Verdi Nome, cognome, firma del Titolare del Trattamento dei dati sensibili per presa visione e sottoscrizione di quanto riportato in questo documento Istituto Suor Maria Verdi Milano, 31 marzo 2004 Istituto via Mille Fiori, Milano

43 ALL. 1 ELEMENTI SIGNIFICATIVI PER L'ORGANIZZAZIONE DEI TRATTAMENTI Tabella 1 Elenco delle categorie di Titolari (indicare quella di appartenenza: 1 sola) Elenco categorie soggetti pubblici Elenco categorie soggetti privati Organo costituzionale o di rilievo costituzionale 1 Ente pubblico economico 51 Amministrazione statale ufficio centrale 2 Persona giuridica privata 52 Amministrazione statale artic. periferica 3 Artigianato 53 Università 4 Piccolo imprenditore 54 Ente di ricerca 5 Azienda di trasporti 55 Istituto di cultura 6 Operatore di telecomunicazioni 56 Istituto scolastico 7 Banche e istituti di credito 57 Ufficio giudiziario 8 Società finanziaria o assicurativa 58 Forza armata 9 Imprenditore agricolo 59 Forza di polizia 10 Consulenti e liberi professionisti, anche in forma 60 associata Ente pubblico non economico nazionale 11 Associazioni di professionisti 61 Regione 12 Associazione sindacale 62 Amministrazione, azienda o ente del Servizio Sanitario 13 Altra associazione 63 Nazionale Ente previdenziale o assistenziale 14 Fondazione 64 Provincia 15 Organizzazione religiosa 65 Comune 16 Partito o organizzazione politica 66 Associazione di comuni (comunità montane, 17 Organizzazione di volontariato 67 consorzio, unione, ecc.) Ente pubblico non economico regionale o locale 18 Comitato 68 Camera di commercio, industria, artigianato e 19 Altro (specificare nel riquadro a) dopo l indicazione 100 agricoltura del nome, della denominazione e della ragione sociale) Ordine professionale 20 Altro (specificare nel riquadro a) dopo l indicazione del nome della denominazione e della ragione sociale) 50 Settori specifici per i quali sono prescritte misure particolari di tutela e sicurezza I - Ambito giudiziario - II - Forze di Polizia - III - Difesa e Sicurezza dello Stato - IV - Ambito Pubblico - V- Ambito Sanitario - VI - Istruzione - VII - Scopi Storici, Statistici, Scientifici - VIII -Lavoro e previdenza sociale - (art ) IX - Bancario, Finanziario, Assicurativo X - Comunicazioni elettroniche -Videosorveglianza (art 134)- XI - Libere professioni/investigazione privata XI I- Giornalismo/espressione letteraria ed artistica XIII - Marketing diretto 6 di 67