DOCUMENTO PROGRAMMATICO SULLA SICUREZZA PRIVACY

Transcript

1 DOCUMENTO PROGRAMMATICO SULLA SICUREZZA PRIVACY (ai sensi e per gli effetti del art. 34, comma 1, lettera g del D.Lgs. n. 196/2003 e del disciplinare tecnico allegato al medesimo Decreto sub b) Via Piero da Lissone n Lissone Revisione 04 - aprile 2013

2 Pagina 2 Scopo di questo documento è di delineare il quadro delle misure di sicurezza, organizzative, fisiche e logiche, da adottare per il trattamento dei dati personali effettuato dal A.S.M.L. SPA, con sede a Lissone, Via Pietro da Lissone 75, P. IVA (di seguito indicato come Titolare). Conformemente a quanto prescrive il punto 19 del Disciplinare tecnico, allegato sub B) al D.Lgs 196/2003, nel presente documento si forniscono idonee informazioni riguardanti: 1. l elenco dei trattamenti di dati personali (punto 19.1 del disciplinare), mediante: la individuazione dei tipi di dati personali trattati la descrizione delle aree, dei locali e degli strumenti con i quali si effettuano i trattamenti la elaborazione della mappa dei trattamenti effettuati 2. la distribuzione dei compiti e delle responsabilità, nell ambito delle strutture preposte al trattamento dei dati (analisi del mansionario privacy, punto 19.2 del disciplinare) e previsione di interventi formativi degli incaricati del trattamento (punto 19.6 del disciplinare) 3. l analisi dei rischi che incombono sui dati (punto 19.3 del disciplinare) 4. le misure, già adottate e da adottare, per garantire l integrità e la disponibilità dei dati (punto 19.4 del disciplinare) 5. i criteri e le modalità di ripristino dei dati, in seguito a distruzione o danneggiamento (punto 19.5 del disciplinare) 6. i criteri da adottare, per garantire l adozione delle misure minime di sicurezza, in caso di trattamenti di dati personali affidati all esterno (punto 19.7 del disciplinare) 7. le procedure da seguire per il controllo sullo stato della sicurezza 8. dichiarazioni d impegno e firma.

3 Pagina 3 INDICE 1. L elenco dei trattamenti dei dati personali Tipologie dei dati trattati Caratteristiche di aree e locali dove si effettuano i trattamenti Caratteristiche modalità di trattamento Dati amministrativi e fiscali (fornitori, Clienti, contabilità generale, ecc.) Dati dipendenti Dati relativi ad appalti Curriculum vitae Dati relativi ad altri soggetti La mappa dei trattamenti effettuati [All. B, 19.1] Aspetti organizzativi procedurali Nomine [All B, 19.2] Procedure Credenziali di autenticazione Sistema di autorizzazioni Aggiornamento almeno annuale dei profili di incarico Antivirus (art. 615 quinquies del codice penale) da lanciare almeno ogni 6 mesi Antivirus (art. 615 quinquies del codice penale) da aggiornare almeno ogni 12 mesi Salvataggio dei dati Formazione [All B, 19.6] Analisi dei rischi [All B, 19.3] Matrice del rischio del danno Matrice del rischio di accadimento Misure preventive già adottate Protezione aree e locali [All B, 19.4] Eventi distruttivi Accessi non autorizzati Custodia e archiviazione dei dati [All B, 19.4] Livelli di accesso Archiviazione Le misure logiche di sicurezza Autenticazioni Autorizzazioni Protezione di strumenti e dati Supporti rimuovibili Ripristino dei dati [All B, 19.5] Dati all esterno [All B, 19.7] Misure di adeguamento per la riduzione del rischio Dichiarazioni d impegno e firma... 20

4 Pagina 4 1. L elenco dei trattamenti dei dati personali Al fine di elaborare l elenco dei trattamenti dei dati, posti in essere dal Titolare, si è proceduto come segue: si sono individuati i tipi di dati personali trattati, in base alla loro natura (comuni, personali o sensibili) ed alla categoria di soggetti cui essi si riferiscono (fornitori, utenti, personale, ecc.) si sono descritte le aree, i locali e gli strumenti con i quali si effettuano i trattamenti si è elaborata la mappa dei trattamenti effettuati, che si ottiene incrociando le coordinate dei due punti precedenti. 1.1 Tipologie dei dati trattati I dati trattati dal Titolare si possono suddividere come segue: a) Dati relativi a fornitori e clienti b) Dati relativi allo svolgimento di attività economiche ed alle informazioni commerciali (dati economici/commerciali) c) Dati relativi al personale, di natura anche sensibile (dati del personale) d) Dati di natura giudiziaria (fornitori appalti) e) Dati relativi ad altri soggetti (soci ed amministratori) e cv di candidati Non sono presenti: g) Dati biometrici relativi a clienti / personale (dati biometrici); h) Dati (inclusi suoni ed immagini) idonei a rilevare la posizione di persone ed oggetti (dati di posizionamento). i) Dati di natura anche sensibile relativi a clienti / utenti (dati non comuni Cliente) j) Dati idonei a rivelare lo stato di salute e/o la vita sessuale o di natura genetica (dati salute) Sinteticamente in ASML vengono svolte le seguenti attività: Servizio affissioni manifesti: dal punto di vista operativo è affidato a ditte esterne in appalto, in azienda viene svolta attività gestionale e amministrativa, compreso l incasso. Servizio Acqua: per i grandi clienti o per importanti interventi il servizio viene svolto tuttora da ASML. Brianzacque si occupa invece dei rapporti con il cittadino. 1.2 Caratteristiche di aree e locali dove si effettuano i trattamenti Il trattamento dei dati personali avviene in due sedi separate: Sede Legale ed operativa, situata in via P. Da Lissone 75, Lissone. Qui sono situati gli uffici e la direzione della società, la sala riunioni, il locale ced e un locale ristoro per i dipendenti. Gli uffici sono situati al primo piano all interno di una palazzina dove risiede anche una società collegata, Gelsia.Tutti i locali dove vengono trattati dati personali sono dotati di porta con chiusura a chiave. In questa sede operano due dipendenti fissi, oltre ad alcuni collaboratori e al presidente, quando presente.

5 Pagina 5 Il locale Ced è situato nel seminterrato, in condivisione con la soc. collegata Gelsia il cui accesso è consentito solo alle persone autorizzate. Sede archivio, situata presso la vecchia sede di ASML, in via Matteotti 158, in una palazzina indipendente, dove vengono conservati gli archivi e i documenti della società fino al , in particolare dati relativi ai rapporti con i dipendenti, fornitori, clienti, contabilità, gare e appalti, contratti utenze gas, acqua. L accesso alla sede non è libero, ma avviene attraverso una porta di ingresso, con chiusura a chiave. Presso la sede archivio non è presente nessun dipendente fisso. Presso la sede sono presenti: Server dedicato, con 3 personal computer; tutti i pc hanno in dotazione Ms windows, Ms Office, un collegamento ad internet esterno ed hanno un indirizzo di posta elettronica; Linea telefonica Fastweb con firewall e router; Antivirus installati su personal computer. Tutti i sistemi e i server seguono le procedure di salvataggio dati e di protezione da attacchi esterni indicate nel seguito. Il server è localizzato in un locale separato, dotato di gruppo di continuità sufficiente a mantenere attivo il sistema, mentre viene effettuata la procedura di spegnimento e salvataggio dati in caso di blackout. Per il back up, è stata predisposta un unità a nastro sul server dove viene effettuata una copia su supporti rimovibili, con frequenza settimanale (lun-ven il salvataggio dei dati avviene ogni venerdì della settimana), conservati in luogo separato. E previsto un antivirus, installato su server e su pc con frequenza di aggiornamento e di scansione giornaliera. Gli archivi cartacei sono generalmente mantenuti in locali/supporti/armadi chiudibili a chiave ed ad accesso limitato ed autorizzato. 1.3 Caratteristiche modalità di trattamento La struttura del sistema informatico è caratterizzata da un doppio livello di accesso: l autenticazione e l accesso alla rete (username e password); l autenticazione e l accesso ai singoli software necessari per lo svolgimento delle proprie mansioni e per i quali è stata effettuata una mappatura degli accessi seguendo appunto le necessità lavorative ( in via di implementazione). La password relativa alla prima tipologia di dati viene cambiata circa ogni 6 mesi. I dati personali trattati e le loro modalità sono di seguito descritte (i livelli di autorizzazione sono esplicitati nella matrice descritta nel Dati amministrativi e fiscali (fornitori, Clienti, contabilità generale, ecc.) Tutta la documentazione cartacea relativa alle attività viene gestita esclusivamente dagli incaricati e archiviata presso i loro uffici in armadi chiusi a chiave. In azienda viene effettuata una registrazione di movimenti di prima nota e vengono raccolte le fatture attive e passive, e gli estratti conto bancari. Copia della documentazione viene inviata allo studio esterno di contabilità per le necessarie registrazioni contabili, in busta chiusa, consegnata da dipendenti o comunque da persone di fiducia.

6 Pagina 6 Il pagamento dei fornitori e dei dipendenti viene effettuato con bonifico bancario, su modulistica compilata a mano e consegnata in banca. E disponibile un sistema di Remote Banking, che viene però utilizzato solo in modalità di visura. Anche gli aspetti fiscali (dichiarazione dei redditi, ecc.) vengono invece gestiti con l aiuto di professionisti esterni Dati dipendenti La gestione del personale, viene effettuata dalla sede, con il supporto di uno studio esterno incaricato della elaborazione delle paghe e dei conteggi vari, sia per il personale dipendente che per i collaboratori. Per ogni dipendente, viene predisposto un dossier dedicato, contenente il curriculum vitae, la lettera di assunzione, le diverse comunicazioni inviate agli enti ed eventuali altre informazioni relative alla storia e collaborazione del dipendente. Copia di queste informazioni è inviata allo studio paghe incaricato. Eventuali certificati di malattia vengono anch essi inviati al Consulente del lavoro esterno. Tutta la documentazione viene inviata agli studi esterni in busta chiusa, consegnata da dipendenti o comunque di fiducia Dati relativi ad appalti Sono presenti archivi relativi ad appalti affidati, comprese le autocertificazioni dei dati delle società, dati del casellario giudiziario di soci ed amministratori di società appaltatrici, dati relativi ai contributi pagati, etc Curriculum vitae I curricula spontanei dei candidati che pervengono sono archiviati, sia in forma cartacea che in forma elettronica, dopo aver controllato se è presente nella lettera di invio l autorizzazione al trattamento dei dati Dati relativi ad altri soggetti Per l espletamento delle formalità amministrative e di corrispondenza sono trattati i dati comuni, compresi i dati dei soci e gli amministratori. 1.4 La mappa dei trattamenti effettuati [All. B, 19.1] Sulle righe sono indicate le Unità organizzative / gruppi omogenei di mansione che possono trattare i dati con le modalità indicate al. 1.1, con l indicazione dell archiviazione cartacea ed elettronica; sulle colonne sono indicati i tipi di dati trattati, descritti al 1.3. TIPOLOGIA DATI Dati Personale Dati Amministrativi e Dati Fisacli Dati Appalti Dati Curriculum vitae Altri Presidente A A A A M Addetto Gestione Amministrativa M M A Addetto Gestione Risorse Umane M M M A Addetto Gestione Servizio Affissioni A M Esterni ELPA M M M M BOMPANI A A A A

7 Pagina 7 2. Aspetti organizzativi procedurali 2.1 Nomine [All B, 19.2] Per il trattamento dei dati personali, oltre al Titolare, sono state identificate le seguenti figure aziendali, con le relative nomine, attribuendogli incarichi di ordine organizzativo/direttivo: Titolare del trattamento: A.S.M.L. Spa Responsabili del trattamento dati, il cui compito è di progettare, realizzare e mantenere in efficienza le misure di sicurezza, conformemente a quanto previsto dagli articoli 31 e 33 Dlgs 196/ Responsabile del Trattamento dei dati ASML SPA: nella persona del Presidente Dr. Vittorio Dassi - Responsabile del trattamento dei dati per le prestazioni di servizi ad essa affidate (esterni) alla Società ELPA, responsabile del trattamento di dati relativi a servizi di amministrazione del personale, e contabilità alla Società Metodi responsabile del trattamento di dati relativi alla gestione e manutenzione del sistema informatico hardware e software alla società Novaconsult responsabile del trattamento dei dati relativi alle attività di assistenza in materia di Privacy e Sicurezza del lavoro alla società di revisione Bompani responsabile del trattamento di dati relativi alla gestione e al controllo dei dati contabili Incaricati: - Incaricati della gestione amministrativa dei fornitori, clienti, della gestione fiscale e della contabilità generale (Sigg.ri Trivulzio e Mariani); - Incaricati della gestione del servizio affissione (Sig. Erba) Il trattamento dei dati personali viene effettuato solo da soggetti che hanno ricevuto un formale incarico, mediante designazione per iscritto per ogni mansione secondo criteri di omogeneità e responsabilità, con la quale si individua puntualmente l ambito del trattamento consentito. Le lettere di nomina dei responsabili, le lettere di incarico o di designazione degli incaricati vengono archiviate presso gli uffici del personale, nelle cartelline dedicate per ogni singolo dipendente. 2.2 Procedure Per i trattamenti effettuati con strumenti elettronici (elaboratori, programmi per elaboratori e qualunque dispositivo elettronico o comunque automatizzato), si sono adottate una serie di misure tecniche/organizzative: realizzazione e gestione di un sistema di autenticazione informatica, che ha il fine di accertare l identità delle persone, affinché ad ogni strumento elettronico possa accedere solo chi è autorizzato; realizzazione e gestione di un sistema di autorizzazione, che ha il fine di circoscrivere le tipologie di dati ai quali gli incaricati possono accedere e i trattamenti che possono effettuare, strettamente necessari per lo svolgimento delle proprie mansioni lavorative;

8 Pagina 8 realizzazione e gestione di un sistema di protezione, di strumenti e dati, da malfunzionamenti, attacchi informatici e programmi che contengano virus Credenziali di autenticazione Ad ogni incaricato o gruppo omogeneo di mansione, viene assegnato un codice univoco per la sua identificazione. Per realizzare le credenziali di autenticazione è stata implementata la seguente procedura: si è associato un codice per l identificazione dell incaricato (username), attribuito dall amministratore di sistema, ad una parola chiave riservata (password), conosciuta solamente dall incaricato/gruppo, che provvederà ad elaborarla, mantenerla riservata e modificarla periodicamente. Per l attribuzione e la gestione delle credenziali per l autenticazione si sono utilizzati i seguenti criteri: ad ogni incaricato/gruppo viene assegnato individualmente una credenziale, per cui non è ammesso che due o più incaricati possano accedere agli strumenti elettronici utilizzando la medesima; il codice per l identificazione (username), è univoco: non viene assegnato ad altri incaricati, neppure in tempi diversi; qualora sia necessario o comunque opportuno, ad una persona/gruppo vengono assegnate più di una credenziale di autentificazione. La disattivazione delle credenziali di autenticazione viene applicata: immediatamente, nel caso in cui l incaricato perda la qualifica, che gli consentiva di accedere allo strumento; in ogni caso, entro sei mesi di mancato utilizzo, con l unica eccezione delle credenziali che sono state preventivamente autorizzate per soli scopi di gestione tecnica, il cui utilizzo è quindi sporadico. Agli incaricati sono state, inoltre, impartite precise istruzioni in merito ai seguenti punti: di non lasciare incustodito e accessibile lo strumento elettronico, durante una sessione di trattamento, neppure in ipotesi di breve assenza; qualora lo strumento debba rimanere acceso durante l assenza, sono previste password sullo screensaver; di elaborare in modo appropriato la password e conservare la segretezza sulla stessa, nonché sulle altre componenti riservate della credenziale di autenticazione (username), attribuite dall amministratore del sistema. Gli incaricati modificano la password, con la seguente tempistica: - almeno ogni 6 mesi. Le password vengono elaborate con le seguenti caratteristiche: - composte da almeno 8 caratteri oppure, nel caso in cui lo strumento elettronico non permetta una tale lunghezza, da un numero di caratteri pari al massimo consentito dallo strumento stesso; - non contengono riferimenti agevolmente riconducibili all interessato (nomi, cognomi, soprannomi, date di nascita proprie, dei figli o degli amici), né nomi noti, anche di fantasia; - dei caratteri che la costituiscono, buona norma è che parte di essi siano di natura numerica.

9 Pagina 9 La password non viene comunicata a nessuno (non solo a soggetti esterni, ma neppure a persone appartenenti all organizzazione, siano esse colleghi, responsabili del trattamento o titolare). Nei casi di prolungata assenza o impedimento dell incaricato, che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema, può essere necessario disporre della password dell incaricato, per accedere agli strumenti e ai dati. Solo al verificarsi delle condizioni sopraesposte che rendono necessario accedere allo strumento elettronico, utilizzando la copia della parola chiave, il responsabile del trattamento dei dati richiede l informazione delle credenziali all amministratore del sistema. Dell accesso effettuato si provvede ad informare, tempestivamente, l incaricato cui appartiene la parola chiave Sistema di autorizzazioni Per quanto concerne le tipologie di dati ai quali gli incaricati possono accedere e i trattamenti che possono effettuare, si è impostato un sistema di autorizzazione, al fine di circoscrivere le tipologie di dati ai quali gli incaricati possono accedere e i trattamenti che possono effettuare, a quelli strettamente necessari per lo svolgimento delle proprie mansioni lavorative. Le autorizzazioni all accesso vengono rilasciate e revocate dal responsabile trattamento dei dati, ovvero da soggetti da questi appositamente incaricati. Il profilo di autorizzazione non è stato studiato per ogni singolo incaricato, ma è stato impostato per classi omogenee di incaricati (ad esempio, attribuendo un determinato profilo di autorizzazione a tutti gli impiegati della contabilità, ed attribuendone un altro a coloro che lavorano nell ufficio personale). L accesso, di ciascun incaricato o di ciascuna classe omogenea di incaricati, è comunque preventivamente limitato ai soli dati necessari per effettuare le operazioni indispensabili per svolgere le mansioni lavorative Aggiornamento almeno annuale dei profili di incarico Periodicamente, con cadenza almeno annuale, si procede ad aggiornare la definizione dei dati cui gli incaricati sono autorizzati ad accedere, e dei trattamenti che sono autorizzati a porre in essere, al fine di verificare la sussistenza delle condizioni che giustificano tali autorizzazioni. La stessa operazione viene compiuta per le autorizzazioni rilasciate ai soggetti incaricati della gestione o manutenzione degli strumenti elettronici Antivirus (art. 615 quinquies del codice penale) da lanciare almeno ogni 6 mesi Per quanto riguarda la protezione dei dati personali dal rischio di intrusione e dall azione di programmi di cui all articolo 615-quinquies del codice penale, aventi per scopo o per effetto il danneggiamento di un sistema informatico o telematico, dei dati o dei programmi in esso contenuti o ad esso pertinenti, ovvero l interruzione, totale o parziale, o l alterazione del suo funzionamento (comunemente conosciuti come virus), agli strumenti e programmi installati sui supporti informatici viene fatta fare una scansione dei sistemi con una cadenza maggiore rispetto a quella semestrale richiesta dal Dlgs 196/2003, per via del continuo evolversi dei virus. Si è predisposto di sottoporre i sistemi ad una scansione settimanale per tutti gli elaboratori e verrà pertanto implementata una procedura operativa all interno dell Organizzazione. Tutti gli incaricati sono stati istruiti, in merito all utilizzo dei programmi antivirus e, più in generale, sulle norme di comportamento da tenere, per minimizzare il rischio di essere contagiati.

10 Pagina Antivirus (art. 615 quinquies del codice penale) da aggiornare almeno ogni 12 mesi Per quanto riguarda la protezione dei dati personali dal rischio di intrusione e dall azione di programmi di cui all articolo 615-quinquies del codice penale, aventi per scopo o per effetto il danneggiamento di un sistema informatico o telematico, dei dati o dei programmi in esso contenuti o ad esso pertinenti, ovvero l interruzione, totale o parziale, o l alterazione del suo funzionamento (comunemente conosciuti come virus), gli strumenti e programmi installati sui supporti informatici vengono aggiornati con una cadenza maggiore rispetto a quella annuale richiesta dal Dlgs 196/2003, per via del continuo evolversi dei virus. Si è predisposto di sottoporre i programmi ad aggiornamento settimanale Salvataggio dei dati Per quanto concerne il salvataggio dei dati la procedura implementata prevede una frequenza maggiore rispetto a quella prevista dal DLgs 196/03: il danno che deriverebbe dalla perdita dei database è molto elevato, è stato quindi predisposto un salvataggio con cadenza settimanale su nastro che viene sostituito dallo stesso dipendente incaricato. 2.3 Formazione [All B, 19.6] Saranno previsti interventi formativi/informativi degli incaricati del trattamento, finalizzati a renderli edotti dei seguenti aspetti: compiti e responsabilità derivanti dal trattamento dei dati; rischi che incombono sui dati; misure disponibili per prevenire eventi dannosi; modalità per aggiornarsi sulle misure di sicurezza, adottate dal Titolare. Tali interventi formativi/informativi sono programmati in modo tale, da avere luogo al verificarsi di una delle seguenti circostanze: al momento dell ingresso in servizio; in occasione di cambiamenti di mansioni, che implichino modifiche rilevanti rispetto al trattamento di dati personali; in occasione della introduzione di nuovi significativi strumenti, che implichino modifiche rilevanti nel trattamento di dati personali. Gli interventi formativi ed informativi possono avvenire sia all interno, a cura del responsabile trattamento dati o di altri soggetti esperti nella materia, che all esterno, presso soggetti specializzati. Per i responsabili del trattamento dei dati e per l amministratore del sistema informatico è prevista una formazione regolare. In ogni caso, è prevista una riunione annuale per fare il punto sull evoluzione degli aspetti legati alla sicurezza nel trattamento dei dati personali.

11 Pagina Analisi dei rischi [All B, 19.3] La stima del rischio complessivo, che grava su un determinato trattamento di dati, è il risultato della combinazione di due tipi di rischi: quelli insiti nella tipologia dei dati trattati, che dipendono dalla loro appetibilità per soggetti estranei all organizzazione, nonché dalla loro pericolosità per la privacy dei soggetti cui essi si riferiscono (rischio del danno) quelli legati alle caratteristiche degli strumenti utilizzati per procedere al trattamento dei dati (rischio di accadimento) 3.1 Matrice del rischio del danno Il grado di rischio, che dipende dalla tipologia dei dati trattati dal Titolare, si stima combinando il fattore della loro appetibilità per i terzi, con quello che esprime la loro pericolosità per la privacy del soggetto cui i dati si riferiscono: GRADO DI INTERESSE PER I TERZI ELEVATO ALTO MEDIO BASSO Dati amministrativi e fiscali Dati comuni dipendenti Dati altri soggetti Dati dei candidat Dati giudiziari appalti Dati sensibili dipendenti BASSO MEDIO ALTO ELEVATO PERICOLOSITA PER LA PRIVACY DELL INTERESSATO Si nota che un grado di rischio alto, è collegato al trattamento dei dati idonei a rivelare informazioni di carattere sensibile e/o giudiziario accomunati dall aspetto critico di avere entrambi un elevato grado di pericolosità per la privacy dei soggetti interessati, alla tutela dei quali devono quindi essere dedicate particolari attenzioni. 3.2 Matrice del rischio di accadimento Per quanto concerne gli strumenti impiegati per il trattamento, le componenti di rischio possono essere idealmente suddivise in: 1. rischio di area, che dipende dal luogo dove gli strumenti sono ubicati. Tale rischio è legato sostanzialmente: al verificarsi di eventi distruttivi (incendi, allagamenti, corto circuiti) alla possibilità che terzi malintenzionati accedano nei locali dove si svolge il trattamento (furti, danneggiamenti da atti vandalici)

12 Pagina rischio di guasti tecnici delle apparecchiature, che interessa in particolare gli strumenti elettronici (risorse hardware, software e supporti) 3. rischio di penetrazione logica nelle reti di comunicazione 4. rischio legato ad atti di sabotaggio e ad errori umani, da parte del personale appartenente all organizzazione del Titolare, o di persone che con essa hanno stretti contatti. Nella seguente matrice si evidenziano i fattori di rischio cui sono soggetti gli strumenti con cui l organizzazione procede al trattamento dei dati personali. Il simbolo B, posto nella casella di intersezione, significa che l esposizione al rischio è modesta; il simbolo A significa che l esposizione al rischio è elevata. TIPOLOGIA DI RISCHIO UNITA ORGANIZZATIVE Sede Archivio Eventi distruttivi B B Incendi B B Allagamenti B B Corto circuiti B B Accessi non autorizzati B A Furti B B Atti vandalici B A Sabotaggio / errori umani B B Nell elaborare la tabella, si è tenuto conto anche di alcuni fattori legati alla struttura del Titolare, nei seguenti termini: il rischio d area, legato alla eventualità che persone non autorizzate possano accedere nei locali in cui si svolge il trattamento, è giudicato inferiore per l area ad accesso controllato, rispetto a quanto accade per gli altri luoghi in cui si svolge l attività, con conseguente diminuzione del rischio, il rischio di penetrazione logica nelle reti di comunicazione interessa, essenzialmente, i soli strumenti che sono tra loro collegati tramite una rete di comunicazione accessibile al pubblico; il rischio legato ad atti di sabotaggio, o ad errori umani delle persone, presente in tutte le tipologie di strumenti utilizzati, è maggiore per quelli che sono in rete.

13 Pagina Misure preventive già adottate Nel presente paragrafo vengono descritte le misure già implementate ed atte a garantire: la protezione delle aree e dei locali, nei quali si svolge il trattamento dei dati personali la corretta archiviazione e custodia di atti, documenti e supporti contenenti dati personali la sicurezza logica, nell ambito dell utilizzo degli strumenti elettronici. 4.1 Protezione aree e locali [All B, 19.4] Eventi distruttivi Per quanto concerne il rischio all interno dei locali della sede principale e del locale archivio, legato ad eventi di carattere distruttivo, gli edifici ed i locali nei quali si svolge il trattamento sono protetti da: dispositivi antincendio attivi (estintori, idranti); gruppi di continuità (nella sede). Il Server è stato collocato in un locale protetto nel seminterrato per limitare gli accessi non autorizzati ed i danni alle apparecchiature informatiche; inoltre, sono state predisposte le seguenti misure sicurezza e controllo: gruppi di continuità Accessi non autorizzati Per quanto riguarda le misure atte ad impedire gli accessi non autorizzati, gli edifici ed i locali nei quali si svolge il trattamento sono protetti da: sistemi di controllo degli accessi negli uffici chiusura dei locali al termine dell orario di lavoro Gli impianti e i sistemi di cui è dotata l organizzazione appaiono soddisfacenti, al fine di garantire le opportune misure di sicurezza, al trattamento di dati personali da essa svolti. In futuro potrà essere verificata la possibilità di seguenti miglioramenti: allarme antincendio allarme antifurto sistema rilevazione fumi (L allarme antincendio e l impianto di rilevazione fumi sono già presenti, devono solo essere collegati e attivati). 4.2 Custodia e archiviazione dei dati [All B, 19.4] Livelli di accesso Agli incaricati vengono date disposizioni, per iscritto, di accedere ai soli dati personali e sensibili, la cui conoscenza sia strettamente necessaria per adempiere ai compiti loro assegnati. Di conseguenza, agli incaricati è prescritto di prelevare dagli archivi i soli atti e documenti che vengono loro affidati per lo svolgimento delle mansioni lavorative, che devono controllare e custodire, durante l intero ciclo necessario per lo svolgimento delle operazioni di trattamento, per poi restituirli all archivio, al termine di tale ciclo.

14 Pagina 14 Ai dipendenti vengono raccomandate e ricordate periodicamente alcune semplici raccomandazioni, qui riportate : Qualsiasi dato o informazione relativa a dati aziendali (clienti, fornitori, dipendenti) è da ritenersi riservata e da utilizzarsi esclusivamente per finalità attinenti le mansioni ricoperte all interno dell azienda: tale principio è alla base del rispetto della tutela dei dati personali. Si richiama l attenzione sull onerosità delle sanzioni amministrative e di quelle penali previste dal D.Lgs. n. 196/2003. Tutto il personale è tenuto, comunque, ad uniformarsi ai seguenti criteri individuati dal titolare del trattamento e condivisi dai responsabili del trattamento, validi per ogni tipo di dati, sensibili e non: le persone che si trovano in uno dei locali degli uffici aziendali debbono essere sempre sorvegliabili, a vista, da parte del personale; al termine dell orario di lavoro, il responsabile avrà cura di verificare che l armadio/gli armadi contenenti dati sensibili risultino chiusi a chiave, trattenendo un esemplare della chiave stessa; il personale di struttura è tenuto ad adottare tutte le precauzioni necessarie al fine di garantire la massima sicurezza dei dati sensibili e non presenti; i messaggi telefax inviati con l apparecchio tradizionale vanno preceduti dalla copertina, contenente le avvertenze ai sensi del Codice sulla privacy; il personale che utilizza posta elettronica avrà cura di verificare che il modulo standard del messaggio utilizzato contenga le avvertenze sulla privacy. Cautele particolari sono previste per i documenti e supporti contenenti dati che, pur non essendo classificati come sensibili ai sensi della normativa vigente, costituiscono un pericolo per gli interessati. A tal fine gli incaricati sono stati dotati di cassetti con serratura e armadi chiudibili a chiave, nei quali riporre i documenti, prima di assentarsi dal posto di lavoro, anche temporaneamente. In tali dispositivi i documenti possono essere riposti anche al termine della giornata lavorativa, qualora l incaricato debba continuare ad utilizzarli nei giorni successivi. Al termine del trattamento, l incaricato dovrà invece restituire all archivio il materiale contenente dati personali e non più necessario per lo svolgimento delle proprie mansioni lavorative Archiviazione Per quanto concerne l archiviazione, il Titolare ha adibito apposite aree, nelle quali conservare ordinatamente documenti e supporti contenenti dati personali, in modo distinto per le diverse funzioni aziendali, sia per i dati storici che per quelli recenti. Gli impianti e le attrezzature di cui è dotato il Titolare per la custodia e l archiviazione di atti, documenti e supporti, con particolare riferimento a quelli contenenti dati ritenuti critici, appaiono soddisfacenti al fine di garantire la necessaria sicurezza ai dati in essi contenuti. 4.3 Le misure logiche di sicurezza Autenticazioni Il sistema di autenticazione informatica viene adottato per disciplinare gli accessi ai database e agli archivi utilizzati dall organizzazione del Titolare.

15 Pagina 15 E pertanto impostata e gestita una procedura di autenticazione, che permette di verificare l identità della persona, e quindi di accertare che la stessa è in possesso delle credenziali di autenticazione per accedere ad un determinato database elettronico. La realizzazione, attribuzione e gestione delle credenziali di autenticazione viene effettuata seconda le procedure indicate al paragrafo Autorizzazioni E stato implementato un sistema di autorizzazione in modo da circoscrivere le tipologie di dati ai quali gli incaricati possono accedere e i trattamenti che possono effettuare, strettamente necessari per lo svolgimento delle proprie mansioni lavorative. Periodicamente, e comunque almeno annualmente, viene verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione Protezione di strumenti e dati Per quanto riguarda la protezione, di strumenti e dati, da malfunzionamenti, attacchi informatici e programmi che possano contenere virus, sono state adottate le misure sotto descritte. Il primo aspetto riguarda la protezione dei dati personali dal rischio di intrusione e dall azione di programmi comunemente conosciuti come virus per la quale è stata implementata la procedura secondo quanto descritto al paragrafo , da lanciare almeno ogni 6 mesi. Il secondo aspetto riguarda la protezione degli elaboratori in rete dall accesso abusivo, di cui all articolo 615- ter del codice penale, ai sensi del quale compie tale reato chi si introduce abusivamente in un sistema informatico o telematico, protetto da misure di sicurezza, ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo. La protezione da tali accessi viene implementata mediante l impiego di idonei strumenti elettronici, comunemente conosciuti come firewall, di cui ASML Spa si è dotata da tempo Supporti rimuovibili Per quanto concerne i supporti rimovibili (es. dischi esterni, cd, dvd, chiavette USB ), contenenti dati personali, la norma impone particolari cautele nell ipotesi in cui essi contengano dati sensibili o giudiziari. Questo tipo di dati non viene archiviato su supporti di questo tipo, pertanto, non si è ritenuto necessario implementare particolari misure organizzative procedurali. Le misure logiche di sicurezza, di cui è dotato il Titolare per la protezione dei trattamenti che avvengono con strumenti elettronici appaiono nel loro complesso soddisfacenti, al fine di garantire la necessaria sicurezza ai dati personali trattati. Annualmente viene effettuata una pianificazione delle misure da implementare per l anno successivo ed una bozza di pianificazione per i due anni a seguire.

16 Pagina Ripristino dei dati [All B, 19.5] Per fronteggiare le ipotesi in cui i dati siano colpiti da eventi che possano danneggiarli, o addirittura distruggerli, vengono previsti criteri e modalità tali, da garantire il loro ripristino in termini ragionevoli. Per i dati trattati con strumenti elettronici, sono previste procedure di back-up, attraverso le quali viene periodicamente effettuata una copia di tutti i dati presenti nel sistema, su nastri. Il salvataggio dei dati trattati avviene come segue: - la frequenza per il server della sede è settimanale su nastri rimovibili Le copie vengono custodite in luoghi protetti della sede, separatamente dal CED dell azienda.

17 Pagina Dati all esterno [All B, 19.7] Nei casi in cui i trattamenti di dati personali siano stati affidati, in conformità a quanto previsto dal Dlgs 196/2003, all esterno della struttura del Titolare, si sono adottati i seguenti criteri, atti a garantire che il soggetto destinatario adotti misure di sicurezza conformi a quelle minime, previste dagli articoli da 33 a 35 Dlgs 196/2003 e dal disciplinare tecnico, allegato sub B) al codice. Per la generalità dei casi, in cui il trattamento di dati personali, di qualsiasi natura, sia stato affidato all esterno della struttura del titolare, sono state impartite istruzioni per iscritto al terzo destinatario, di rispettare quanto prescritto per il trattamento dei dati personali dal Dlgs 196/2003; in particolare si è richiesto il rilascio di una dichiarazione di avere redatto il documento programmatico sulla sicurezza, nel quale abbia attestato di avere adottato le misure minime previste dal disciplinare tecnico. Risultano nominati come responsabili esterni: Società ELPA, responsabile del trattamento di dati relativi a servizi di amministrazione del personale, e contabilità; Società Metodi, responsabile del trattamento di dati relativi alla gestione e manutenzione del sistema informatico hardware e software; Società Novaconsult, responsabile del trattamento dei dati relativi alle attività di assistenza in materia di Privacy e Sicurezza del lavoro; Società di revisione Bompani, responsabile del trattamento di dati relativi alla gestione e al controllo dei dati contabili.

18 Pagina Misure di adeguamento per la riduzione del rischio Al responsabile del trattamento è affidato il compito di aggiornare le misure di sicurezza, al fine di adottare gli strumenti e le conoscenze, resi disponibili dal progresso tecnico, che consentano di ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato o di trattamento non consentito. A tale fine, è previsto che: Ogni 12 mesi sia programmata una riunione del responsabile trattamento dei dati con i membri del Consiglio di Amministrazione, durante la quale renderà conto delle somme spese e, se la situazione lo richiede, si provvederà eventualmente ad aumentare il budget annuo di spese. Al fine di verificare l efficacia delle misure di sicurezza adottate, il responsabile del trattamento e le persone da questo appositamente incaricate provvedono con frequenze legate alla criticità dei dati trattati e al loro livello di esposizione, anche con controlli a campione, ad effettuare una o più delle seguenti attività: verificare l accesso fisico ai locali dove si svolge il trattamento; verificare la correttezza delle procedure di archiviazione e custodia di atti, documenti e supporti contenenti dati personali; verificare l integrità dei dati e delle loro copie di back-up; verificare la sicurezza delle trasmissioni in rete; verificare il livello di formazione/informazione degli incaricati. Almeno ogni sei mesi, si procede ad una sistematica verifica del corretto utilizzo delle parole chiave e dei profili di autorizzazione che consentono l accesso agli strumenti elettronici da parte degli incaricati, anche al fine di disabilitare quelli che non sono stati mai utilizzati in sei mesi. Per ciò che concerne gli interventi formativi degli incaricati del trattamento e quant altro richiesto dal primo periodo del punto 19.6 del disciplinare tecnico, si evidenzia che sarà necessario : la consegna di copia del documento programmatico sulla sicurezza ad ogni incaricato del trattamento; è fatto divieto agli incaricati del trattamento di rendere noto a terzi il contenuto del piano ed i criteri di sicurezza risultanti dal piano medesimo; riunione di formazione con i responsabili del trattamento; aggiornamento del documento programmatico sulla sicurezza in caso di modifiche o aggiornamenti degli strumenti e consegna agli incaricati; obbligo dei responsabili e degli incaricati del trattamento di segnalare tempestivamente il verificarsi di anomali e/o situazioni non ritenute normali nel trattamento dei dati; riunione semestrale di verifica tra responsabili del trattamento e incaricati del trattamento; riunione semestrale di verifica tra responsabili del trattamento e titolare del trattamento. Dell attività di verifica svolta viene redatto un verbale, che viene conservato dal Titolare e allegato al Documento programmatico sulla sicurezza. Obiettivo dell audit di sicurezza è di verificare che tutte le misure implementate, sia quelle tecnologiche che quelle organizzative, svolgano correttamente le funzionalità per cui sono state adottate. Gli impianti ed i sistemi di cui è dotata l organizzazione saranno sottoposti ad interventi atti a migliorare le misure di sicurezza delle strutture, nelle quali si svolge il trattamento dei dati personali.

19 Pagina 19 Le misure logiche di sicurezza, di cui è dotato il Titolare per la protezione dei trattamenti che avvengono con strumenti elettronici, verranno sottoposte ad una serie di interventi atti a migliorarne l efficacia. In particolare, si prevede di effettuare investimenti per le finalità indicate nella seguente tabella: Descrizione dell investimento Mantenere aggiornata la mappatura del sistema di autenticazione comprensivo di: - nominativo incaricato - elenco username (singole / multiple) - definizione livelli di accesso Programmare gli interventi di formazione / informazione di tutte le persone coinvolte

20 Pagina Dichiarazioni d impegno e firma Il presente documento, redatto nell aprile 2013, viene firmato in calce da: Dr. Vittorio Dassi, in qualità di Rappresentante Legale del Titolare e Responsabile del Trattamento Dati Della sua redazione verrà portato a conoscenza il Consiglio di Amministrazione. L originale del presente documento viene custodito presso la direzione aziendale, per essere esibito in caso di controlli. Una copia verrà consegnata a ciascun responsabile interno del trattamento dei dati personali. Nella relazione accompagnatoria del bilancio di esercizio si riferisce dell avvenuta redazione del presente documento, che sarà aggiornato periodicamente, anche in funzione dei mutamenti legislativi e organizzativi dell azienda. Aprile 2013 Firma del Rappresentante Legale del Titolare e Responsabile del Trattamento Dati