DOCUMENTO PROGRAMMATICO SULLA SICUREZZA NEL TRATTAMENTO DEI DATI PERSONALI Questo documento illustra il quadro delle misure di sicurezza, organizzative, fisiche e logiche, adottate per il trattamento dei dati personali effettuato dall avv.... (dagli avvocati..., dall associazione professionale..., dalla società...), con studio in... 1. Titolare/i del trattamento ai sensi dell art. 28 del D.lgs. 196/2003: l avv.... (gli avvocati..., l associazione professionale..., la società...). Responsabile del trattamento ai sensi dell art. 29 del D.Lgs. 196/2003: (designazione facoltativa: l avv.... gli avvocati...). 2. Elenco dei trattamenti di dati personali Lo studio dell avv.... (degli avvocati..., dell associazione professionale..., della società...), tratta i seguenti dati: Codice 1. dati comuni dei clienti e di terzi, compresi i dati sul patrimonio e sulla loro situazione economica, i dati necessari per i fini fiscali ed afferenti la loro reperibilità e la corrispondenza con gli stessi, i dati comuni di loro dipendenti e collaboratori; dati giudiziari e sensibili dei clienti e di terzi, necessari per far valere e difendere un diritto in sede giudiziaria o stragiudiziale in conformità di quanto prescritto dall ordinamento professionale. Codice 2. dati comuni del personale dipendente, quali i dati necessari al rapporto di lavoro, alla reperibilità del personale, alla corrispondenza tra le parti, dati richiesti ai fini fiscali e previdenziali e dati di natura bancaria. Codice 3. dati sensibili del personale dipendente, inerenti i rapporti con gli enti previdenziali ed assistenziali e l adesione ed organizzazioni sindacali. Codice 4. dati comuni dei fornitori concernenti la reperibilità e la corrispondenza con gli stessi, nonché necessari a fini fiscali e dati di natura bancaria. Codice 5. dati comuni di avvocati, consulenti e professionisti, quali quelli concernenti la loro reperibilità e la corrispondenza con gli stessi, nonché necessari a fini fiscali e dati di natura bancaria. 3. Modalità di raccolta e trattamento dei dati I dati non pubblici vengono acquisiti presso l interessato previa l informativa da rendere secondo lo schema che si allega al presente D.P.S. anche in caso di raccolta attraverso ascolto, registrazione o intercettazione di conversazioni. Per i dati non raccolti presso l interessato, trattati per lo svolgimento dell attività stragiudiziale, l informativa è data ai sensi dell art. 13, quarto comma D.lgs. 196/2003. I dati sono acquisiti: su supporto cartaceo su supporto informatico I dati sono conservati: in archivio cartaceo, in fascicoli riposti in schedari dotati di chiusura con chiave; in archivio elettronico, tramite computer in rete, in locali protetti, con accesso ad internet.
I dati non sono ceduti a terzi per elaborazione. Lo studio è in possesso di n... banche dati, relative ai seguenti dati: dati comuni dei clienti dati comuni dei fornitori... 4. Luoghi del trattamento I luoghi ove vengono trattati i dati sono ubicati nei locali ad uso ufficio al piano... del fabbricato... in..., via... I locali sono dotati di portone di ingresso (con videocitofono; con sorveglianza notturna; con porta blindata; con sistema di allarme; con videosorveglianza). Tutte le stanze che compongono l ufficio sono dotate ciascuna di porta con chiusura a chiave. L archivio è ubicato in un vano adibito a tale scopo (nel/i vano/i adibito/i a segreteria). L archivio è dotato di n... raccoglitori con dispositivo di chiusura, nel quale sono conservati i fascicoli contenenti i dati trattati. Ai raccoglitori possono accedere gli avvocati, i loro collaboratori ed i dipendenti durate l orario di apertura dello studio ed in conformità delle disposizioni impartite. Nelle ore in cui lo studio è chiuso i raccoglitori sono chiusi a chiave; nessuno può accedervi ad eccezione dei titolari del trattamento e dei loro collaboratori in conformità delle disposizioni impartite. L ufficio è dotato di cassaforte con chiusura a chiave (chiusura elettronica) L ufficio è dotato di sala d attesa per i clienti, separata dalle stanze in cui operano gli avvocati, i loro collaboratori e dipendenti. L ufficio è munito di sistema antincendio (antiallagamento; di protezione da interruzione elettriche). 5. Strumenti elettronici Lo studio è dotato dei seguenti strumenti: n.... computer in rete, connessi ad internet (con connessione ADSL in rete) n.... stampanti n.... fax n.... fotocopiatrici n.... scanner I computer sono di marca..., dotati di separato modem per l utilizzo di Winfax. Il sistema operativo del server è... Il sistema operativo del computer... Lo studio utilizza Internet Explorer versione... Lo studio utilizza Outlook Express... Antivirus utilizzato... Firewall utilizzato... Il server è ubicato nel vano... I supporti magnetici per le copie di sicurezza sono conservati nell armadio posto nel vano... Le linee telefoniche sono... Tecnico incaricato dell assistenza e manutenzione degli strumenti elettronici è...
6. Trattamento dei dati Incaricati del trattamento sono: i collaboratori avvocati... i collaboratori dottori... i dipendenti signori... I dati comuni dei clienti, dei terzi in genere, dei dipendenti, dei fornitori, di avvocati, consulenti e professionisti sono trattati, oltre che dal titolare (e dal responsabile, se designato), da tutti gli incaricati. I dati comuni del personale dipendente, i dati sensibili del personale dipendente sono comunicati al consulente del lavoro... I dati afferenti la contabilità e i rapporti bancari sono comunicati al commercialista dott.... 7. Analisi dei rischi E stata compiuta l analisi dei rischi, che si può così sintetizzare: Comportamento degli operatori furto di credenziali di autenticazione: il rischio può definirsi basso/medio, considerati i dispositivi antiintrusione di cui l ufficio è dotato ed il sistema di misure indicate al successivo punto 8; carenza di consapevolezza, disattenzione o incuria: il rischio può definirsi basso, considerati il grado di responsabilità e competenza degli avvocati e dei collaboratori ed il controllo da questi esercitato sui dipendenti; comportamenti sleali o fraudolenti: il rischio può definirsi basso, per le stesse ragioni sopra esposte; errori materiali: il rischio può definirsi basso/medio. Eventi relativi agli strumenti azione di virus informatici o di codici malefici: il rischio può definirsi basso, attese le misure di cui al successivo punto 8; spamming o altre tecniche di sabotaggio: il rischio può definirsi basso, attese le misure di cui al successivo punto 8 e la difficoltà di accesso ai locali da parte di chi non è autorizzato; malfunzionamento, indisponibilità o degrado degli strumenti: il rischio può definirsi basso, attese la recente data di acquisto degli strumenti e l assistenza fornita dalla ditta incaricata delle manutenzione. Per quanto riguarda i supporti di memorizzazione, il rischio di deterioramento dei dati può essere ritenuto basso, attesi i sistematici back up e la custodia dei dischi di istallazione dei programmi software adottati; accessi esterni non autorizzati: il rischio può definirsi basso, attese le misure di cui al successivo punto 8 e la difficoltà di accesso ai locali da parte di chi non è autorizzato; intercettazione di informazioni in rete: il rischio può definirsi basso. Eventi relativi al contesto accessi non autorizzati ai locali: il rischio può definirsi basso, attese le misure di cui al successivo punto 8 e la difficoltà di accesso ai locali da parte di chi non è autorizzato; asportazione e furto di strumenti contenenti dati: il rischio può definirsi basso per le stesse considerazioni che precedono; eventi distruttivi, naturali o artificiali, dolosi, accidentali o dovuti ad incuria; errori umani nella gestione della sicurezza fisica: il rischio può definirsi basso, attesa la necessaria cura con cui gli avvocati ed i collaboratori seguono l attività dello studio; guasto ai sistemi complementari (impianto elettrico, climatizzazione): il rischio può definirsi basso, considerate le modernità dei sistemi e l adozione delle disposizioni di sicurezza
stabilite dalla L. 626/94 e di dispositivi salvavita. 8. Misure di sicurezza Per ridurre i rischi sono state adottate le seguenti misure: Autenticazione informatica La misura è stata adottata dotando ciascun titolare ed incaricato di una password di almeno 8 caratteri. La password non contiene né conterrà elementi facilmente riconducibili alla persona del suo utilizzatore; viene autonomamente scelta dal titolare e dall incaricato e da questi custodita in busta chiusa in luogo chiuso a chiave. Ogni tre mesi ciascun titolare ed incaricato è tenuto a sostituire la propria password. Si è disposto che le password vengano automaticamente disattivate dopo tre mesi di non utilizzo e che tutti gli utilizzatori di strumenti elettronici non lascino incustodito o accessibile lo strumento elettronico durante la loro assenza nelle ore di lavoro. A tale riguardo, per evitare errori o dimenticanze, è stato inserito lo screensaver automatico dopo 1 minuti di non utilizzo, con ulteriore password segreta per la prosecuzione del lavoro. Si è inoltre disposto che gli utilizzatori verifichino la provenienza delle email e non operino operazioni di sharing. Ogni singolo computer è dotato di dispositivo antivirus di marca..., che viene aggiornato con funzione automatica e con scansione per ogni aggiornamento antivirus, comunque settimanale. Come segnalato, sul server è stato installato Firewall di marca... Per ogni singolo computer è prevista la funzione di aggiornamento automatico del sistema fornito dalla Microsoft mediante lo strumento windows-update. Analogo sistema di aggiornamento è previsto per l antivirus. E stata data istruzione che, qualora nessun aggiornamento del sistema fosse segnalato automaticamente per un periodo di sei mesi, si provveda comunque ad attivare la funzione di controllo per verificare l esistenza o meno degli aggiornamenti automatici. E stato disposto l obbligo di provvedere al back up settimanale dei dati e dei sistemi installati sul server su CD Rom, i quali vengono conservati in un cassetto dotato di chiusura a chiave. Si è data disposizione affinché: effettuato il back up sia distrutto il CD Rom precedente; sia verificata la leggibilità del supporto e dei dati immediatamente dopo l effettuazione del back up e, sistematicamente, almeno una volta a settimana mediante verifica a campione. Custode dei CD Rom è stato nominato l incaricato Avv.... Si è disposto che non siano lasciati incustoditi sulle scrivanie, o su altri ripiani, atti, documenti e fascicoli. I fascicoli e le rubriche telefoniche sono conservati negli appositi raccoglitori e sono prelevati per il tempo necessario al trattamento per poi esservi riposti. Le comunicazioni a mezzo posta o a mezzo fax sono tempestivamente smistate e consegnate ai destinatari. Quando è dato un ordine di stampa, il documento stampato deve essere prontamente prelevato e
consegnato all interessato. Il locale destinato all archivio è dotato di chiusura a chiave. Il dipendente... è incaricato di controllare l accesso all archivio. Fuori dall orario di lavoro l accesso all archivio è consentito ai titolari ed ai loro collaboratori. Si è data istruzione che il materiale cartaceo destinato allo smaltimento dei rifiuti sia riposto negli appositi sacchi di plastica e sia giornalmente asportato. Si è anche disposto che i sacchi siano chiusi in modo che il contenuto non possa fuoriuscire. 9. Ulteriori misure Saranno adottate le seguenti ulteriori misure. Sarà installato un gruppo di continuità per il server. Sarà inoltre adottata ogni altra misura che dal tecnico della manutenzione venisse ritenuta utile e necessaria per migliorare la sicurezza degli strumenti elettronici. Nell ipotesi di distruzione o danneggiamento dei dati o degli strumenti elettronici, si predisporrà apposito piano di ripristino degli stessi, impartendosi comunque sin d ora le seguenti istruzioni: avvertire il titolare del trattamento dei dati e l incaricato che ha in custodia il CD di back up nonché i CD contenenti i software installati sugli strumenti elettronici; chiedere immediatamente l intervento del tecnico manutentore della ditta... sollecitandone al più presto l assistenza; reinstallati i programmi danneggiati o distrutti, sempre che non sia necessario sostituire l intero hardware, reinstallare tutti i dati contenuti nel CD di back up; aggiornare i sistemi operativi una volta reinstallati; verrà dato incarico al tecnico manutentore di suggerire ogni altra misura; al fine di evitare eventi di perdita e di danneggiamento degli strumenti elettronici e dei dati in essi contenuti, si prevede che per due volte all anno sia effettuata la manutenzione in modo adeguato dal tecnico incaricato. 10. Formazione degli incaricati La formazione dei titolari e degli incaricati viene effettuata all installazione dei nuovi strumenti per il trattamento dei dati e comunque con frequenza annuale. Tende a sensibilizzare titolari ed incaricati sulle tematiche di sicurezza, facendo comprendere i rischi e le responsabilità (con specificazione delle sanzioni connesse) che riguardano il trattamento dei dati personali. Tende inoltre alla compiuta illustrazione della natura e del contenuto dei dati, con l invito a segnalare eventuali disfunzioni dei sistemi operativi e, nel dubbio, di chiedere al titolare o al responsabile, se designato, se un dato sia o meno sensibile o giudiziario. La formazione è organizzata dall avv.... Per i trattamenti dei dati affidati a soggetti esterni, si è disposto di acquisire attestazione scritta che i dati siano trattati con strumenti elettronici e siano adottate le misure minime di sicurezza previste dal documento programmatico sulla sicurezza. Alle ditte che effettuino prestazioni che comportano accesso di estranei allo studio, viene richiesto di specificare le generalità delle persone che accedono ed è prescritto che la permanenza nei locali sia limitata alle sole attività pertinenti alla prestazione per cui accedono. Si allegano lo schema di informativa, la lettera di istruzioni agli incaricati, la lettera alle ditte che
effettuano prestazioni che comportano accesso di estranei allo studio.