COMUNE DI CASTELLO DELL ACQUA PIAZZA ROMA, CASTELLO DELL ACQUA (SO)

Transcript

1 Tel Fax: Web: info@comune.castellodellacqua.so.it PEC: comune.castellodellacqua@pec.regione.lombardia.it Codice in materia di trattamento dei dati personali Misure minime di sicurezza attuate DOCUMENTO DI SINTESI (art. 34 e Allegato, del D. Lgs. 30 giugno 2003 n. 196) Revisione 2016

2 Revisione Rev Data Descrizione 1 31/03/2005 Prima Stesura 2 30/06/2016 Seconda Stesura Rev. 2 del 30/06/2016 Pagina 2 di 24

3 Premessa Il Decreto Legislativo 30 giugno 2003, n. 196, intitolato Codice in materia di protezione dei dati personali, entrato in vigore l 1 gennaio 2004, riunisce in unico contesto la precedente Legge 675/1996 e tutti i decreti legislativi, regolamenti e codici deontologici che si sono succeduti dal Contiene anche importanti innovazioni che tengono conto della giurisprudenza del Garante e della direttiva UE 2000/58 sulla riservatezza nelle comunicazioni elettroniche. Il Decreto Legge 06/12/2011 n. 201, in G.U. 06/12/2011 N. 284 Disposizioni urgenti per la crescita, l equità ed il consolidamento dei conti pubblici, ha introdotto alcune modifiche al Codice Privacy, che prevedono tra l altro la non obbligatorietà della stesura del DPS ed è rivolta esclusivamente a quei soggetti, sia pubblici sia privati, che utilizzano dati personali non sensibili per fini amministrativi e fiscali e che trattano come unici dati sensibili quelli relativi allo stato di salute o all adesione ad organizzazioni sindacali nella gestione del personale. È pertanto venuta meno solo una delle incombenze previste dall art. 34 del D.Lgs. 196/2003 Trattamenti con strumenti elettronici, che resta integralmente applicabile in quanto il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato ), le seguenti misure minime: a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; g) tenuta di un aggiornato documento programmatico sulla sicurezza; h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari. Rev. 2 del 30/06/2016 Pagina 3 di 24

4 È stata pertanto effettuata, in collaborazione con Tecna S.r.l., una attività di audit sulle prescrizioni di legge e predisposta e redatta la presente documentazione di sintesi, che attesta e comprova l adozione puntuale delle misure di cui all art. 34 ed all Allegato disciplinare tecnico in materia di misure di sicurezza, onde evitare le sanzioni penali ed amministrative per chi non le rispetta. Riferimenti normativi Decreto Legislativo 30 giugno 2003, n. 196 Codice in materia di protezione dei Dati Personali ; Decreto Legge 9 febbraio 2012, n. 5 Disposizioni Urgenti in materia di semplificazione e di sviluppo ; Disciplinare tecnico in materia delle misure minime di sicurezza (Allegato del D. Lgs. n. 196 del 30/06/2003); Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione dei dati; Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche. Decreto Legislativo n. 518 del 29 dicembre 1992 (Tutela del diritto di autore sul software) Legge n. 547 del 23 dicembre 1993 (Reati legati all informatica modifiche al Codice Penale) ISO/IEC 27001, l'unica norma internazionale soggetta a verifica e certificabile che definisce i requisiti per un sistema di gestione per la sicurezza delle informazioni (ISMS). La norma è progettata per garantire la selezione di controlli di sicurezza adeguati e proporzionati. Rev. 2 del 30/06/2016 Pagina 4 di 24

5 DigitPA: - Codice dell Amministrazione Digitale: Decreto legislativo 7 marzo 2005, n. 82 pubblicato in G.U. del 16 maggio 2005, n S.O. n. 93 Codice dell amministrazione digitale aggiornato dal D.Lgs. n. 159 del 4 aprile 2006 pubblicato in G.U. del 29 aprile 2006, n. 99 S.O. n. 105 Disposizioni integrative e correttive al decreto legislativo 7 marzo 2005, n. 82 recante codice dell amministrazione digitale - Legge 9 gennaio 2004, n. 4 Disposizioni per favorire l'accesso dei soggetti disabili agli strumenti informatici - Circolare 1 dicembre 2011, n. 58 Attività di DigitPA e delle Amministrazioni ai fini dell attuazione degli adempimenti previsti dall articolo 50 - bis (Continuità Operativa) del «Codice dell Amministrazione Digitale» (D.lgs. n. 82/2005 così come modificato dal D.lgs. 235/2010). Rev. 2 del 30/06/2016 Pagina 5 di 24

6 Codice in materia di protezione dei dati personali Titolo III - Regole generali per il trattamento dei dati N. Titolo Misure Adottate Art 13 Informativa L'interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa: a) le finalità e le modalità del trattamento cui sono destinati i dati; b) la natura obbligatoria o facoltativa del conferimento dei dati; c) le conseguenze di un eventuale rifiuto di rispondere; d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi; e) i diritti di cui all'articolo 7; f) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell'articolo 5 e del responsabile. Quando il titolare ha designato più responsabili è indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalità attraverso le quali è conoscibile in modo agevole l'elenco aggiornato dei responsabili. Quando è stato designato un responsabile per il riscontro all'interessato in caso di esercizio dei diritti di cui all'articolo 7, è indicato tale responsabile. Il Comune ha provveduto a realizzare una Informativa Generale, contenente: a) le finalità e le modalità per cui si utilizzano i dati che riguardano l'interessato; b) la natura del conferimento; c) le conseguenze di un eventuale rifiuto di rispondere; d) i soggetti ai quali i dati possono essere comunicati ed i flusso dei dati all'interno del trattamento; e) i diritti dell interessato in riferimento a tali informazioni e come esercitarli; f) gli estremi identificativi del Titolare e del Responsabile. Copia dell Informativa Generale è esposta al pubblico presso gli uffici. (cfr Allegato Generale Informativa Generale ) Rev. 2 del 30/06/2016 Pagina 6 di 24

7 Codice in materia di protezione dei dati personali TITOLO IV - SOGGETTI CHE EFFETTUANO IL TRATTAMENTO N. Titolo Misure Adottate Art 28 Art 29 Titolare del trattamento - Quando il trattamento è effettuato da una persona giuridica, da una pubblica amministrazione o da un qualsiasi altro ente, associazione od organismo, titolare del trattamento è l'entità nel suo complesso o l'unità od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza. Responsabile del trattamento 1. Il responsabile è designato dal titolare facoltativamente. 2. Se designato, il responsabile è individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. 3. Ove necessario per esigenze organizzative, possono essere designati responsabili più soggetti, anche mediante suddivisione di compiti. 4. I compiti affidati al responsabile sono analiticamente specificati per iscritto dal titolare. 5. Il responsabile effettua il trattamento attenendosi alle istruzioni impartite dal titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di cui al comma 2 e delle proprie istruzioni. Comune di Poggiridenti Dott. Andrea Pellerano (Sindaco) È stato designato quale Responsabile del trattamento il Dott. Andrea Pellerano (Sindaco) (cfr Allegato Generale Lettera di incarico Responsabile del trattamento dati ) Rev. 2 del 30/06/2016 Pagina 7 di 24

8 N. Titolo Misure Adottate Art 30 Incaricati del trattamento 1. Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite. 2. La designazione è effettuata per iscritto e individua puntualmente l'ambito del trattamento consentito. Si considera tale anche la documentata preposizione della persona fisica ad una unità per la quale è individuato, per iscritto, l'ambito del trattamento consentito agli addetti all'unità medesima. Amministratore di Sistema Con la definizione di "Amministratore di sistema" si individuano generalmente, in ambito informatico, figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. Vengono però considerate tali anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi. Sono stati designati gli Incaricati del trattamento come da allegato Prospetto Database per Referenti. (cfr Allegato Generale Lettera di incarico trattamento dati ) È stata designata quale Amministratore di Sistema la Comunità Montana Valtellina di Sondrio Via Nazario Sauro, Sondrio (SO) (cfr Allegato Generale Lettera di incarico Amministratore di Sistema ) Rev. 2 del 30/06/2016 Pagina 8 di 24

9 N. Titolo Misure Adottate Titolari/Responsabili Esterni L espressione Responsabile Esterno, non è esplicitamente prevista nel Codice Privacy, ma deriva dall interpretazione dottrinale degli articoli 4 comma 1 punto g e 29 del D.Lgs. 196/03. Tali articoli, infatti, delineano la figura del Responsabile del Trattamento non facendo menzione alcuna al fatto che esso sia interno (Responsabile Interno) o esterno (Responsabile Esterno) all Ente. La distinzione nasce pertanto da un esigenza puramente organizzativa e di inquadramento contrattuale di tutti quei soggetti preposti dal titolare al trattamento di dati personali. Sono stati designati i Titolari Esterni ed i Responsabili Esterni del trattamento come da allegato Elenco Titolari e Responsabili Esterni del Trattamento. (cfr Allegato Generale Lettera di nomina Titolare/Responsabile Esterno ) Rev. 2 del 30/06/2016 Pagina 9 di 24

10 SISTEMA DI AUTENTICAZIONE INFORMATICA N. Codice in materia di protezione dei dati personali. Disciplinare tecnico in materia di misure minime di sicurezza Misure Adottate Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti. Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell'incaricato, eventualmente associata a un codice identificativo o a una parola chiave. Ad ogni incaricato sono assegnate o associate individualmente una o più credenziali per l'autenticazione. Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell'incaricato. L accesso alle postazioni informatiche per il trattamento di dati personali è consentito solo agli incaricati del trattamento dotati di credenziali di autenticazione. È stato inoltre implementato Microsoft Active Directory, che centralizza la gestione dei profili degli utenti. Lo strumento permette la gestione della lista degli incaricati al trattamento dei dati in relazione al profilo di autorizzazione ed al conseguente ambito di trattamento consentito L accesso alle postazioni informatiche è protetto da un codice identificativo associato ad una parola chiave riservata conosciuta solamente dall incaricato del trattamento. Il codice identificativo è composto secondo le seguenti sintassi: nome.cognome; funzione organizzativa. A ciascun incaricato del trattamento è assegnata individualmente una credenziale per l autenticazione. Agli incaricati del trattamento dei dati vengono fornite informazioni ed istruzioni per assicurare la segretezza della parola chiave direttamente sulla lettera di incarico. Rev. 2 del 30/06/2016 Pagina 10 di 24

11 N. Codice in materia di protezione dei dati personali. Disciplinare tecnico in materia di misure minime di sicurezza Misure Adottate La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all'incaricato ed è modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi. Il codice per l'identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica. Le credenziali sono disattivate anche in caso di perdita della qualità che consente all'incaricato l'accesso ai dati personali. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento. La parola chiave prevista dal sistema di autenticazione è composta da almeno otto caratteri alfanumerici. Ciascun incaricato del trattamento può modificare la parola chiave in autonomia. La parola chiave scade in automatico ogni 90 giorni. Il codice per l identificazione dell incaricato per il trattamento è univoco e non viene assegnato ad altri incaricati, neppure in tempi diversi. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate a cura dell Amministratore di Sistema. Le credenziali di autenticazione sono disattivate anche in caso di perdita della qualità. Agli incaricati per il trattamento sono state impartite istruzioni per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento direttamente sulla lettera di incarico in caso di interruzione, anche temporanea, del lavoro verificare che i dati trattati non siano accessibili a terzi non autorizzati. Inoltre su tutte le postazioni è stato attivato lo screen-saver con protezione di password, temporizzato a 30 minuti. Rev. 2 del 30/06/2016 Pagina 11 di 24

12 N. Codice in materia di protezione dei dati personali. Disciplinare tecnico in materia di misure minime di sicurezza Misure Adottate Quando l'accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso della componente riservata della credenziale per l'autenticazione, sono impartite idonee e preventive disposizioni scritte volte a individuare chiaramente le modalità con le quali il titolare può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell'incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema. In tal caso la custodia delle copie delle credenziali è organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente l'incaricato dell'intervento effettuato. Le disposizioni sul sistema di autenticazione di cui ai precedenti punti e quelle sul sistema di autorizzazione non si applicano ai trattamenti dei dati personali destinati alla diffusione. In caso di prolungata assenza o impedimento dell'incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema, è dato incarico all Amministratore di Sistema di resettare la password dell incaricato in modo da potere avere accesso ai suoi archivi ai dati e agli strumenti elettronici dell Ente. Sarà cura dell Amministratore di Sistema informare l'incaricato dell'intervento effettuato, affinché lo stesso possa nuovamente modificare la componente riservata della credenziale per l'autenticazione. I trattamenti di dati personali effettuati non sono destinati alla diffusione. Rev. 2 del 30/06/2016 Pagina 12 di 24

13 SISTEMA DI AUTORIZZAZIONE N. Codice in materia di protezione dei dati personali. Disciplinare tecnico in materia di misure minime di sicurezza Misure Adottate 12 Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso è utilizzato un sistema di autorizzazione. Per gli incaricati del trattamento sono individuati profili di autorizzazione ed è utilizzato un sistema di autorizzazione. 13 I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all'inizio del trattamento, in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento. I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all'inizio del trattamento. È stato pertanto predisposto il Prospetto database per referenti, allegato al presente Documento di Sintesi. Il Sindaco ed il Segretario Comunale hanno possibilità di consultare tutte le banche dati del Comune; il Sindaco in quanto Titolare del trattamento, il Segretario in quanto anche componente del nucleo di valutazione, della delegazione di parte pubblica nelle contrattazioni decentrate ed eventualmente in qualità di titolare dell'ufficio disciplinare. 14 Periodicamente, e comunque almeno annualmente, è verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione. La sussistenza per la validazione delle condizioni per la conservazione dei profili di autorizzazione è verificata con cadenza annuale - contestualmente alla revisione del presente Documento di Sintesi con la validazione del Prospetto database per referenti. Rev. 2 del 30/06/2016 Pagina 13 di 24

14 ALTRE MISURE DI SICUREZZA N. Codice in materia di protezione dei dati personali. Disciplinare tecnico in materia di misure minime di sicurezza Misure Adottate Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione. I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui all'art quinquies del codice penale, mediante l'attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale. Con cadenza almeno annuale viene effettuata la revisione dei trattamenti e degli incarichi affidati ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici. La lista degli incaricati non viene redatta per classi omogenee di incarico. Le postazioni informatiche sono protette dall attivazione del software Kaspersky Security per la rilevazione dei virus informatici. L aggiornamento delle definizioni dei virus avviene in automatico in modo tale che risulti costantemente aggiornato con le nuove caratteristiche di virus definiti. Gli incaricati del trattamento non hanno i necessari privilegi per disinstallare l antivirus dalle loro stazioni di lavoro. Le connessioni avvengono con linea ADSL WiFi EOLO e router CISCO La presenza del Proxy/Firewall Kerio Control (su Virtual Appliance) impedisce l accesso ai dati dall esterno. La gestione del router e della rete è affidata all Amministratore di Sistema. Rev. 2 del 30/06/2016 Pagina 14 di 24

15 N. Codice in materia di protezione dei dati personali. Disciplinare tecnico in materia di misure minime di sicurezza Misure Adottate Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l'aggiornamento è almeno semestrale. Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale. Il sistema informatico del Comune è composto da: Server Virtualizzato (Domain Controller, File System, D Server e Application Server) allocato presso la Comunità Montana Valtellina di Sondrio; n 1 postazione informatica dotata di sistema operativo Microsoft Windows 10; n 2 postazioni informatiche dotate di sistema operativo Microsoft Windows 8; n 3 postazioni informatiche dotate di sistema operativo Microsoft Windows 7; n 1 postazione informatica dotata di sistema operativo Microsoft Windows XP. Gli aggiornamenti periodici del sistema e degli applicativi, che avvengono automaticamente, sono verificati dall Amministratore di Sistema con cadenza semestrale. Viene effettuato, a cura dell Amministratore di Sistema, il salvataggio dei dati e delle configurazioni del server. Il backup viene così effettuato con l ausilio di procedure automatizzate: Tutti i giorni alle ore salvataggio totale delle macchine virtuali su SAN QNAP e SAN Hitachi Gateway (data retention 15 giorni + 1 settimanale x 8 settimane + 1 mensile x 6 mesi + 1 quadrimestrale + 1 annuale) Domenica - salvataggio totale delle macchine virtuali su NAS QNAP da 16T c/o la Comunità Montana Valtellina di Tirano (data retention 15 giorni); I log della corretta esecuzione dei salvataggi vengono visualizzati sulla postazione informatica dell Amministratore di Sistema, che provvede periodicamente ad effettuare prove di ripristino dei dati. Rev. 2 del 30/06/2016 Pagina 15 di 24

16 N. Codice in materia di protezione dei dati personali. Disciplinare tecnico in materia di misure minime di sicurezza Misure Adottate 19 Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza. applicabile in quanto emendato dal D.L. 06/12/2011 n. 201 Rev. 2 del 30/06/2016 Pagina 16 di 24

17 ULTERIORI MISURE IN CASO DI TRATTAMENTO DI DATI SENSIILI O GIUDIZIARI N. Codice in materia di protezione dei dati personali. Disciplinare tecnico in materia di misure minime di sicurezza Misure Adottate I dati sensibili o giudiziari sono protetti contro l'accesso abusivo, di cui all'art. 615-ter del codice penale, mediante l'utilizzo di idonei strumenti elettronici. Sono impartite istruzioni organizzative e tecniche per la custodia e l'uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti. I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi dati, se le informazioni precedentemente in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili. Sono adottate idonee misure per garantire il ripristino dell'accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni. Le postazioni informatiche sono protette contro l accesso abusivo dal sistema di autenticazione informatica. Agli incaricati del trattamento dei dati vengono fornite informazioni ed istruzioni per la custodia dei supporti removibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti direttamente sulla lettera di incarico ( Evitare di asportare supporti informatici o cartacei contenenti dati personali provenienti dai database aziendali, senza espressa autorizzazione del Titolare ). In conformità a quanto disposto, i supporti magnetici contenenti dati personal possono essere riutilizzati previa cancellazione del contenuto. La soluzione per il Disaster Recovery è focalizzata sulla salvaguardia del dato e sulla garanzia di poter ripristinare il supporto informatico in tempi certi non superiori ai sette giorni. disposizione, prevista alla lettera f) dell'art. 34 e ripresa in dettaglio ai punti 18 e 23 del Disciplinare Tecnico, riguarda l'obbligatorietà di effettuare, almeno con frequenza settimanale, copie di backup dei dati contenuti nei propri sistemi informatici. La disponibilità dei dati in seguito a distruzione o danneggiamento è compito esclusivo dell Amministratore di Sistema. Periodicamente vengono effettuate le prove di ripristino dati. Rev. 2 del 30/06/2016 Pagina 17 di 24

18 N. Codice in materia di protezione dei dati personali. Disciplinare tecnico in materia di misure minime di sicurezza Misure Adottate 24 Gli organismi sanitari e gli esercenti le professioni sanitarie effettuano il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale contenuti in elenchi, registri o banche di dati con le modalità di cui all'articolo 22, comma 6, del codice, anche al fine di consentire il trattamento disgiunto dei medesimi dati dagli altri dati personali che permettono di identificare direttamente gli interessati. I dati relativi all'identità genetica sono trattati esclusivamente all'interno di locali protetti accessibili ai soli incaricati dei trattamenti ed ai soggetti specificatamente autorizzati ad accedervi; il trasporto dei dati all'esterno dei locali riservati al loro trattamento deve avvenire in contenitori muniti di serratura o dispositivi equipollenti; il trasferimento dei dati in formato elettronico è cifrato. applicabile. Rev. 2 del 30/06/2016 Pagina 18 di 24

19 MISURE DI TUTELA E GARANZIA N. Codice in materia di protezione dei dati personali. Disciplinare tecnico in materia di misure minime di sicurezza Misure Adottate 25 Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall'installatore una descrizione scritta dell'intervento effettuato che ne attesta la conformità alle disposizioni del presente disciplinare tecnico La manutenzione ordinaria dei sistemi informatici è effettuata direttamente dall Amministratore di Sistema. Per tutti gli interventi tecnici straordinari effettuati da personale esterno alla struttura, dovranno essere redatti e conservati i report di intervento. L Amministratore di Sistema è sempre presente durante gli interventi effettuati da soggetti esterni. 26 Il titolare riferisce, nella relazione accompagnatoria del bilancio d'esercizio, se dovuta, dell'avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza applicabile in quanto emendato dal D.L. 06/12/2011 n. 201 Rev. 2 del 30/06/2016 Pagina 19 di 24

20 TRATTAMENTI SENZA L'AUSILIO DI STRUMENTI ELETTRONICI Modalità tecniche da adottare a cura del titolare, del responsabile, ove designato, e dell'incaricato, in caso di trattamento con strumenti diversi da quelli elettronici: N. Codice in materia di protezione dei dati personali. Disciplinare tecnico in materia di misure minime di sicurezza Misure Adottate Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia, per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. Nell'ambito dell' aggiornamento periodico con cadenza almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate L'accesso agli archivi contenenti dati sensibili o giudiziari è controllato. Le persone ammesse, a qualunque titolo, dopo l'orario di chiusura, sono identificate e registrate. Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le persone che vi accedono sono preventivamente autorizzate. Agli incaricati del trattamento dei dati vengono fornite informazioni ed istruzioni per il controllo e la custodia dei documenti contenenti dati personali direttamente sulla lettera di incarico ( Custodire con cura, secondo le istruzioni contestualmente impartite, i documenti che Le vengono affidati ). Gli atti e i documenti contenenti dati personali sensibili o giudiziari dei dipendenti sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti. Tutti i documenti e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione e sono restituiti al termine delle operazioni affidate. Agli incaricati del trattamento dei dati vengono fornite informazioni ed istruzioni per il controllo e la custodia dei documenti contenenti dati personali direttamente sulla lettera di incarico ( l'accesso ai dati è autorizzato limitatamente all'espletamento delle proprie mansioni ed esclusivamente negli orari di lavoro ). Rev. 2 del 30/06/2016 Pagina 20 di 24

21 Applicabile ALTRI ADEMPIMENTI Rif. Adempimento Misure Adottate Codice in materia di protezione dei dati personali Art. 37. Codice in materia di protezione dei dati personali Capo III Videosorve glianza Notificazione del trattamento. Autorizzazione del Ministero del Lavoro e delle Politiche Sociali Divisione Territoriale del Lavoro Sul territorio comunale non è stato installato alcun sistema di videosorveglianza. All interno del Municipio non sono presenti impianti di videosorveglianza. Legge 20/05/70 n. 300 Art. 4. D.Lgs. 26/10/201 0 N Attuazione della direttiva 2008/63/CE relativa alla concorrenza sui mercati delle apparecchiature terminali di telecomunicazioni. Il Municipio è dotato di cablaggio strutturato classificato come Categoria 5 schermato. Provv. Garante 27/11/200 8 doc. web n Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema - 27 novembre 2008 In ottemperanza a quanto previsto dal Provvedimento del Garante per la Protezione dei dati personali del 27/11/2008, sono state adottate misure ed accorgimenti prescritti ai titolari dei trattamenti con strumenti elettronici relativamente alle attribuzioni di Amministratore di Sistema. In particolare viene effettuata la tracciatura dei log degli Amministratori di sistema e delle società fornitrici di servizi informatici, nominate Titolari esterni del trattamento, mediante il software Splunk Light. I log ottenuti vengono periodicamente criptati e salvati su server. Rev. 2 del 30/06/2016 Pagina 21 di 24

22 Applicabile Rif. Adempimento Misure Adottate Formazione sono state pianificate attività di formazione sul Trattamento dei dati a seguito dell entrata in vigore del Decreto Legislativo 30 giugno 2003, n. 196 per il personale amministrativo. Per gli adempimenti successivi a tale decreto si dovranno prevedere interventi formativi degli incaricati al trattamento dei dati da predisporre al momento dell'ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali. Sito Web È stato registrato il dominio lacqua.so.it/. Nel sito web realizzato è presente la Privacy Policy, riportante l informativa ed il consenso per l'uso dei cookies conformemente a quanto previsto dal Provvedimento Garante Privacy 08/05/2014 n 229, G.U. 03/06/2014. Rev. 2 del 30/06/2016 Pagina 22 di 24

23 RACCOMANDAZIONI RC 1. Si raccomanda di effettuare una verifica attenta delle licenze software installate sulle postazioni informatiche e l eventuale utilizzo di software con licenze di tipo open source. NON CONFORMITÀ NC 1. NC 2. NC 3. A seguito di interventi hardware e software effettuati da soggetti esterni alla struttura, si dovrà richiedere agli stessi un rapporto di intervento contenente la descrizione scritta di quanto effettuato e che ne attesta la conformità alle disposizioni del disciplinare tecnico. Si dovranno prevedere interventi formativi degli incaricati al trattamento dei dati da predisporre al momento dell'ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali. Al fine di ottemperare correttamente a quanto previsto dal comma 17 dell Allegato Tecnico, per consentire gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti, dovranno essere sostituite le postazioni dotate di sistema operativo Microsoft Windows XP che, essendo giunto al termine del software lifetime circle, non è più aggiornato da Microsoft. AZIONI CORRETTIVE Rev. 2 del 30/06/2016 Pagina 23 di 24

24 PER VERIFICA Massimo Castelli Tecna S.r.l. Firma PER APPROVAZIONE Dott. Andrea Pellerano Il Titolare del trattamento Firma Rev. 2 del 30/06/2016 Pagina 24 di 24

25 Prospetto Database per Referenti - Polizia Locale anche dati informatizzate anca dati delle sanzioni amministrative al CDS Determinazioni del Responsabile del servizio anca dati affissione albo comunale on line anca dati motorizzazione civile anca dati Pubblico registro Automobilistico anca dati anagrafe nazionale delle patenti Incaricati e Tipo di trattamento Piasini Giovanni Le determinazioni dei Responsabili di servizio sono pubblicate sull Albo on line per un periodo di 15 giorni. In seguito sono consultabili all interno dell Albo Storico Piasini Giovanni anche dati cartacee anca dati delle sanzioni amministrative al CDS Determinazioni del Responsabile del servizio Incaricati e Tipo di trattamento Piasini Giovanni Gli originali di tutte le determinazioni dei Responsabili di servizio sono conservati presso l Ufficio Segreteria anca dati Ordinanze Piasini Giovanni Piasini Giovanni anca dati notifiche Piasini Giovanni Piasini Giovanni anca dati permesso Piasini Giovanni invalidi Piasini Giovanni anca dati Piasini Giovanni documentazioni fotografiche infrazioni al CDS anca dati accessi carrai Piasini Giovanni anca dati occupazioni Piasini Giovanni spazio pubblico anca dati residenze e Piasini Giovanni accertamenti anagrafici anca dati sinistri stradali Piasini Giovanni anca dati ruoli esattoriali Piasini Giovanni Legenda: (G): Gestione (V): Visualizzazione Rev. 2 del 30/06/2016 1

26 Prospetto Database per Referenti - Area Amministrativa anche dati informatizzate Verbali deliberazioni Consiglio Comunale Verbali deliberazioni Giunta Comunale anca dati Determinazioni dei Responsabili dei servizi anca dati attività contrattuale dell Ente Archivio generale anca dati cessioni di fabbricato Legge 191/78 anche dati catastale e immobiliare (SISTER) Attività relativa alla valutazione dei requisiti necessari per la concessione di contributi Protocollo informatico (In Ingresso) Protocollo (In Uscita) informatico anche dati anagrafe Tributaria (S.I.A.T.E.L.) anca dati tributi comunali anca dati dichiarazioni IMU Legenda: (G): Gestione (V): Visualizzazione Incaricati e Tipo di trattamento Le determinazioni dei Responsabili di servizio sono pubblicate sull Albo on line per un periodo di 15 giorni. In seguito sono consultabili all interno dell Albo Storico anche dati cartacee Verbali deliberazioni Consiglio Comunale Verbali deliberazioni Giunta Comunale anca dati attività contrattuale dell Ente Archivio generale anca dati cessioni di fabbricato Legge 191/78 anche dati catastale e immobiliare (SISTER) Attività relativa alla valutazione dei requisiti necessari per la concessione di contributi anca dati tributi comunali anca dati dichiarazioni IMU Incaricati e Tipo di trattamento I verbali delle deliberazioni sono conservati presso l ufficio Segreteria e tutti i dipendenti possono consultarli. I verbali delle deliberazioni sono conservati presso l ufficio Segreteria e tutti i dipendenti possono consultarli. Copie cartacee dei contratti sono conservati presso l ufficio Segreteria e tutti i dipendenti possono consultarli. Rev. 2 del 30/06/2016 1

27 Prospetto Database per Referenti - Area Amministrativa anche dati informatizzate anca dati T.O.S.A.P. anca dati debitori anca dati creditori anca dati albo dei fornitori anca dati amministratori comunali anche dati dei dipendenti del Comune anca dati inquadramento contrattuale anca dati (INPDAP) Enti Previdenziali / Assistenziali anca dati modelli (770) fiscali anca dati della popolazione residente Pratiche immigrazione ed emigrazione Incaricati e Tipo di trattamento anche dati cartacee anca dati T.O.S.A.P. anca dati debitori anca dati creditori anca dati albo dei fornitori anca dati amministratori comunali anche dati dei dipendenti del Comune anca dati inquadramento contrattuale anca dati (INPDAP) Enti Previdenziali / Assistenziali anca dati modelli (770) fiscali anca dati della popolazione residente Pratiche immigrazione ed emigrazione Incaricati e Tipo di trattamento anca dati degli elettori anca dati degli elettori Cartellini Carte d'identità anca dati italiani residenti all'estero anca dati italiani residenti all'estero anca dati cittadini stranieri anca dati cittadini stranieri Legenda: (G): Gestione (V): Visualizzazione Rev. 2 del 30/06/2016 2

28 Prospetto Database per Referenti - Area Amministrativa anche dati informatizzate Albi sezionali e generali degli elettori Incaricati e Tipo di trattamento anche dati cartacee Albi sezionali e generali degli elettori Incaricati e Tipo di trattamento anca dati degli incarichi elettorali (presidenti - segretari - scrutatori di seggi) Registri degli atti di nascita - matrimonio morte - cittadinanza Liste di leva anca dati degli incarichi elettorali (presidenti - segretari - scrutatori di seggi) Registri degli atti di nascita - matrimonio morte - cittadinanza Liste di leva Registri dei defunti Posta Elettronica Certificata (PEC) Autentica di firma per passaggio proprietà veicoli Autentica di firma per passaggio proprietà veicoli Richiesta attribuzione numerazione civica Richiesta attribuzione numerazione civica anca Dati Albo Giudici Popolari anca Dati Albo Giudici Popolari Attività relativa all assistenza domiciliare Attività relativa all assistenza scolastica ai portatori di handicap o con disagio psico-sociale Attività relativa alle richieste di ricovero o inserimento in Istituti, Case di Riposo, ecc. Attività ricreative per la promozione del benessere della persona e della comunità, per il sostegno di progetti di vita delle persona e delle famiglie e per la rimozione del disagio sociale Delega u.d.p. (ufficio di Piano) Delega u.d.p. (ufficio di Piano) Legenda: (G): Gestione (V): Visualizzazione Rev. 2 del 30/06/2016 3

29 Prospetto Database per Referenti - Area Amministrativa anche dati informatizzate Incaricati e Tipo di trattamento anche dati cartacee Attività relativa alla valutazione dei requisiti necessari per la concessione di contributi, ricoveri in Istituti convenzionati o soggiorno estivo (per audiolesi, non vedenti, pluriminorati o gravi disabili o con disagi psico-sociali) Incaricati e Tipo di trattamento Delega u.d.p. (ufficio di Piano) Attività relativa all integrazione sociale ed all istruzione del portatore di handicap e di altri soggetti che versano in condizioni di disagio sociale (centro diurno, centro socio educativo, ludoteca, ecc.) Delega u.d.p. (ufficio di Piano) Attività di sostegno delle persone bisognose o non autosufficienti in materia di servizio pubblico e trasporto Attività relativa alla prevenzione ed al sostegno alle persone tossicodipendenti ed alle loro famiglie tramite centri di ascolto (per sostegno) e centri documentali (per prevenzione) Attività relativa ai servizi di sostegno e sostituzione al nucleo famigliare e alle pratiche di affido ed adozione dei minori Attività relativa ai Trattamenti Sanitari Obbligatorie ed all Assistenza Sanitaria Obbligatoria Attività relative alla concessione di benefici economici, ivi comprese le assegnazioni di alloggi di edilizia residenziale pubblica Delega u.d.p. (ufficio di Piano) Delega u.d.p. (ufficio di Piano) Delega u.d.p. (ufficio di Piano) Polizia Locale Legenda: (G): Gestione (V): Visualizzazione Rev. 2 del 30/06/2016 4

30 Prospetto Database per Referenti - Area Tecnica anche dati informatizzate anca dati concessioni edilizie Incaricati e Tipo di trattamento Rossatti Walter (G) Codurelli Ivan (G) anche dati cartacee anca dati concessioni edilizie Incaricati e Tipo di trattamento Rossatti Walter (G) Codurelli Ivan (G) anca dati lavori pubblici Rossatti Walter (G) Codurelli Ivan (G) anca dati lavori pubblici Rossatti Walter (G) Codurelli Ivan (G) anca dati stato avanzamento lavori Rossatti Walter (G) Codurelli Ivan (G) anca dati stato avanzamento lavori Rossatti Walter (G) Codurelli Ivan (G) anca dati insediamenti produttivi ai fini della Legge 319 (depurazione acque) anca dati Determinazioni dei Responsabili dei servizi Gare di appalto, affidamento lavori, gestione contratti Progettazione, direzione lavori e liquidazione spese Rossatti Walter (G) Codurelli Ivan (G) Rossatti Walter (G) Codurelli Ivan (G) Le determinazioni dei Responsabili di servizio sono pubblicate sull Albo on line per un periodo di 15 giorni. In seguito sono consultabili all interno dell Albo Storico Rossatti Walter (G) Codurelli Ivan (G) Rossatti Walter (G) Codurelli Ivan (G) anca dati insediamenti produttivi ai fini della Legge 319 (depurazione acque) Gare di appalto, affidamento lavori, gestione contratti Progettazione, direzione lavori e liquidazione spese Rossatti Walter (G) Codurelli Ivan (G) Rossatti Walter (G) Codurelli Ivan (G) Rossatti Walter (G) Codurelli Ivan (G) Gestione informativo sistema Rossatti Walter (G) Codurelli Ivan (G) Gestione informativo sistema Rossatti Walter (G) Codurelli Ivan (G) Contributi ad enti e associazioni per esecuzione lavori Protocollo informatico del Servizio (In Uscita) Rossatti Walter (G) Codurelli Ivan (G) Rossatti Walter (G) Codurelli Ivan (G) Contributi ad enti e associazioni per esecuzione lavori Rossatti Walter (G) Codurelli Ivan (G) anca dati titolari di autorizzazione al commercio fisso anca dati titolari di pubblico esercizio Rossatti Walter (G) Codurelli Ivan (G) Rossatti Walter (G) Codurelli Ivan (G) anca dati titolari di autorizzazione al commercio fisso anca dati titolari di pubblico esercizio Rossatti Walter (G) Codurelli Ivan (G) Rossatti Walter (G) Codurelli Ivan (G) anca dati attività Sportello Unico Attività Produttive Rossatti Walter (G) Codurelli Ivan (G) anca dati attività Sportello Unico Attività Produttive anche dati autorizzazioni temporanee occupazioni suolo pubblico Rossatti Walter (G) Codurelli Ivan (G) Rossatti Walter (G) Codurelli Ivan (G) Legenda: (G): Gestione (V): Visualizzazione Rev. 2 del 30/06/2016 1

31 ELENCO TITOLARI E RESPONSAILI ESTERNI DEL TRATTAMENTO Nominativo Ambito di trattamento Dati interessanti il trattamento Dott.ssa De Marzi Elisabetta - Via San Paolo, Arluno (MI) Dott. Gianfranco Cucchi (ASST della Valtellina e dell Alto Lario) Via Stelvio, Sondrio (SO) Credito Valtellinese s.c. Piazza Quadrivio, Sondrio (SO) Credito Valtellinese s.c. Piazza Quadrivio, Sondrio (SO) Comunità Montana Valtellina di Sondrio Via Nazario Sauro, Sondrio (SO) Halley Lombardia S.r.l. Viale Cesare Cattaneo, 10/ Cantù (CO) Comune di Sondrio Ufficio di Piano Piazza Campello, Sondrio (SO) Comuni di Faedo, Piateda, Castello dell Acqua onelli Giovanna Cà Sondi, Castello dell Acqua Revisore dei Conti Medico competente in Medicina del Lavoro Servizio di tesoreria comunale viene gestito il servizio di cassa in entrata e uscita. Dati personali Dati sensibili Dati personali Dati sensibili Dati personali Riscossione tributi Dati personali Assistenza sistemistica e software Dati personali Gestione sito web Dati personali Servizio Sociale di ase (attuazione L.328/2000) Servizio di Assistenza Domiciliare (SAD) Servizio di Polizia Locale in convenzione, trattamenti T.S.O. (Convenzione polizia locale) Accompagnatore Trasporto alunni scuola primaria e dell infanzia Dati personali Dati sensibili Dati personali Dati sensibili Dati personali Rev. 2 del 30/06/2016 Pagina 1 di 1