Revisione - Dicembre 2013
ORGANIGRAMMA Titolare del Trattamento CAF CNA srl Amministratori di sistema Roberto Vitale Ocean Tools srl Responsabile interno del trattamento Roberto Vitale Responsabili esterni del trattamento Sixtema Spa Ocean Tools srl ITNet srl Responsabile del trattamento delle sedi operative provinciali Incaricati al trattamento Addetti al servizio Incaricati al trattamento Addetti al servizio Incaricati al trattamento Addetti al servizio
Titolare del trattamento DEFINIZIONI È la persona fisica, giuridica, ente, associazione, cui compete la decisione sulle finalità, modalità e mezzi del trattamento e sugli strumenti utilizzati (ivi compreso il profilo della sicurezza) Sotto il profilo civilistico del risarcimento danni ne risponde l impresa Sotto il profilo penale la responsabilità è sempre personale e, in prima istanza, ne risponde chi ha la rappresentanza legale della società
DEFINIZIONI Responsabile del trattamento Responsabile può essere interno ( Responsabile interno per la protezione dei dati personali ; «Responsabile del trattamento di sede operativa provinciale») o esterno (Ocean Tools srl; Sixtema Spa; ITNet srl). È la persona fisica o giuridica, preposta dal titolare del trattamento. Discrezionalmente il titolare può decidere se designare un responsabile cui delegare compiti e responsabilità (anche in ordine alla sicurezza) Se lo designa, deve farlo con atto scritto contenente precise istruzioni analitiche
DEFINIZIONI Caratteristiche del responsabile Il soggetto deve avere esperienza, capacità ed affidabilità che forniscano idonea garanzia del pieno rispetto e delle disposizioni di legge e delle istruzioni del titolare in materia di trattamento La designazione non libera il titolare da tutti gli adempimenti né da tutte le responsabilità, quanto meno in ordine al controllo periodico ed alla vigilanza sulla puntuale osservanza delle disposizioni di legge e delle istruzioni impartite
TRATTAMENTI L attività lavorativa comporta necessariamente una serie di trattamenti Raccogliere e dare informazioni al telefono Archiviare documenti Inviare o ricevere un fax Inserire dati al computer
DATI PERSONALI Dato personale è qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale
DATI SENSIBILI L utilizzo di certe informazioni in passato ha dato vita ad una serie di discriminazioni concorri anche tu ad evitarle per il futuro. Attenzione quando tratti dati sensibili!
DESIGNAZIONE INCARICATO (art. 30 Codice privacy) Il trattamento di dati personali con o senza gli strumenti elettronici è consentito solo al personale designato per iscritto quale incaricato. La lettera d incarico precisa l ambito di trattamento consentito e contiene le istruzioni scritte cui devi attenerti.
SENSIBILIZZAZIONE INCARICATI Le istruzioni sono disposizioni tassative del titolare o del responsabile. La loro violazione può portare a: - risarcimento danni - sanzioni amministrative o penali a carico del titolare (che potrà rivalersi anche sulle strutture convenzionate laddove si riscontrino comportamenti dolosi o gravi)
SENSIBILIZZAZIONE INCARICATI Nello svolgimento dei compiti e delle funzioni affidate presta attenzione alla responsabilità che può derivare dall acquisizione direttamente dall interessato o attraverso i siti consultabili dell Agenzia dell entrate di informazioni e dati personali.
DIRITTO DI ACCESSO AI DATI Ogni interessato ha diritto di sapere se esistono suoi dati personali, in che modo e per quali fini sono trattati e chiedere rettifiche o cancellazioni. Se un interessato si rivolge direttamente a te per far valere questo diritto: chiedigli che esibisca un documento di riconoscimento; attieniti ad eventuali istruzioni o programmi appositi per il riscontro all interessato; in mancanza, rivolgiti celermente al titolare o al responsabile o al collega incaricato espressamente per il riscontro.
MISURE MINIME DI SICUREZZA E MISURE DI SICUREZZA Se devi assentarti dall ufficio per un caffè, o prima di andare a casa riponi le pratiche nell armadio, nello schedario, nella scrivania, negli appositi contenitori e chiudili a chiave!
MISURE MINIME DI SICUREZZA E MISURE DI SICUREZZA Fai rispettare le distanze di cortesia perché non tutti amano far conoscere i propri interessi!!!
MISURE MINIME DI SICUREZZA E MISURE DI SICUREZZA Quando spedisci una e-mail o quando invii un fax o un Sms devi essere certo dell indirizzo o del numero del destinatario.
GESTIONE DELLE PASSWORD (regole di carattere generale) La parola chiave sul tuo computer è uno strumento di garanzia anche per te La tua parola chiave, composta da almeno otto caratteri, devi modificarla almeno ogni 3 mesi e non deve contenere riferimenti a te agevolmente riconducibili 1.6
GESTIONE DELLE PASSWORD (regole di carattere generale) Nel caso che durante tua prolungata assenza o impedimento dal lavoro fosse richiesto un intervento immediato sul tuo computer, una persona individuata (e portata a tua conoscenza) potrà effettuarlo limitandosi allo strettamente necessario e rilasciandotene comunicazione. Son dovuto intervenire sul tuo computer perché aveva contratto un virus! Regola condivisa con struttura convenzionata d appartenenza 1.6
GESTIONE DELLE PASSWORD (regole di carattere generale) Non lasciare incustodito il tuo computer senza aver attuato le idonee precauzioni (attivazione di screen saver, chiusura di porta a chiave) qualcuno in tua assenza potrebbe accedervi e farti brutti scherzi!!! Regola condivisa con struttura convenzionata d appartenenza 1.6
GESTIONE DELLE PASSWORD (regole di carattere generale) perciò se devi assentarti dall ufficio mentre stai trattando dati col computer accertati che sia in funzione lo screen saver con protezione password, oppure spegni il computer. Regola condivisa con struttura convenzionata d appartenenza 1.6
PASSWORD PROCEDURE WEB L accesso alle procedure web richiede username e password assegnate a te dal Devi effettuare il rinnovo della password ogni 2 mesi. Trascorsi i termini inutilmente il rinnovo deve essere richiesto al Roberto Vitale riveste anche il ruolo di e può prendere visione di alcuni dati relativi alla tua attività
PASSWORD PROCEDURE WEB Nelle procedure web dopo ogni accesso è indicata la scadenza della password ed è disponibile una funzione per il rinnovo.
GESTIONE DELLE PASSWORD (regole di carattere generale) La sospensione di una sessione di lavoro dopo un certo periodo di tua inattività (anche se può risultare una vera e propria scocciatura) è una tua ulteriore garanzia perché evita l accesso eventuale di terzi non autorizzati all utilizzo dello strumento! Nelle procedure web la sospensione avviene ogni 30 minuti!
UTILIZZO SUPPORTI REMOVIBILI Ricorda che per poter utilizzare supporti removibili dovrai essere autorizzato Regola condivisa con struttura convenzionata d appartenenza Da non confondersi con procedure di salvataggio dati! con semplici supporti in pochi istanti possono essere trafugate informazioni importanti senza che nessuno se ne accorga.
ACCESSO E GESTIONE ARCHIVI La possibilità di accedere a luoghi dove vengono trattati o conservati dati è limitata al personale incaricato o a visitatori da questi accompagnati. Se dovessi vedere estranei aggirarvisi indisturbati durante l'orario d'ufficio intervieni (... o quanto meno evidenzia la circostanza immediatamente ai colleghi preposti)
ACCESSO E GESTIONE ARCHIVI Se devi attardarti per lavorare in ufficio o devi partecipare a riunioni serali in luoghi dove sono presenti archivi dovrai essere autorizzato e registrato: questo è quanto viene richiesto dalla legge! 3.3
ACCESSO E GESTIONE ARCHIVI Pertanto per l accesso e la gestione degli archivi dopo l orario di chiusura dovrai utilizzare la scheda predisposta! Regola condivisa con struttura convenzionata d appartenenza
ACCESSO E GESTIONE ARCHIVI Ricordati che le dichiarazioni e la relativa documentazione vanno conservate distintamente dalla documentazione per altre attività del Caf Anche eventuali copie di back up di file contenenti dati degli interessati dovranno essere conservate in appositi spazi Regola condivisa con struttura convenzionata d appartenenza e precisata nel Documento Programmatico sulla Sicurezza (DPS)
ACCESSO E GESTIONE ARCHIVI La conservazione di documenti contenenti dati sensibili va distinta da quella di altri tipi di documenti. Sensibili La pratica 730 va separata dalle altre pratiche del Caf (es.: Ise) e da quelle della struttura convenzionata (es.: Unico)
ACCESSO E GESTIONE ARCHIVI Deve essere utilizzata come prima pagina la cover rilasciata dalla procedura Per l archiviazione e conservazione sostitutiva della documentazione si predisporranno adeguati sistemi di sicurezza La conservazione dei dati fiscali va effettuata nei modi e per i tempi previsti dalle norme vigenti
DISTRUZIONE DEI DATI Distruggi con attenzione i documenti contenenti informazioni personali e sensibili quando non sono più indispensabili, oppure adotta le procedure che ti sono state indicate. Regola condivisa con struttura convenzionata d appartenenza
DOCUMENTO PROGRAMMATICO SULLA SICUREZZA Periodicamente CAF CNA redige un in cui vengono individuati e portati a conoscenza degli incaricati: i rischi che incombono sui dati; le misure disponibili per prevenire i danni; gli aspetti della legge privacy più rilevanti; le responsabilità che ne derivano. Il DPS è consultabile presso il sito di CAF CNA S.R.L. Allegato al DPS potrai trovare anche altri importanti contributi utili (specie in caso di verifiche ispettive dell Agenzia delle entrate e del Nucleo speciale privacy della Guardia di finanza) 1.2
PROCEDURE DI CONTROLLO INTERNO di applicazione della normativa Tra i compiti del titolare del trattamento vi sono: - il controllo sull applicazione (es. misure di sicurezza applicate); - il controllo sulla conoscenza della normativa privacy. Saltuariamente pertanto potrebbero essere effettuati dei controlli sul grado di conoscenza della normativa (anche tramite questionari) nel corso dei quale siamo a richiederti la massima attenzione e collaborazione. 1.5
INFORMATIVA (art. 13 Codice privacy) Prima di effettuare il trattamento dei dati personali il titolare del trattamento ha SEMPRE l obbligo di fornire succinta ma chiara informazione (orale o scritta NOI TI CHIEDIAMO DI ESPORLA NEI LOCALI IN MODO VISIBILE) circa: > Le finalità della raccolta Esecuzione e gestione degli obblighi derivanti dal mandato conferito per la predisposizione della dichiarazione Gestione delle manifestazioni a premio promosse dal CAF Cna Compimento di ricerche di mercato Invio di materiale pubblicitario Svolgimento attività promozionali