DOCUMENTO PROGRAMMATICO SULLA SICUREZZA NEL TRATTAMENTO DEI DATI PERSONALI



Documenti analoghi
Fac-simile documento programmatico sulla sicurezza nel trattamento dei dati personali

CONSIGLIO DELL'ORDINE DEGLI AVVOCATI DI FROSINONE

COMUNE DI TERNI DIREZIONE SICUREZZA E POLIZIA LOCALE CORPO DI POLIZIA MUNICIPALE GRUPPO OPERATIVO AFFARI GENERALI

Guida operativa per redigere il Documento programmatico sulla sicurezza (DPS)

Documento Programmatico sulla sicurezza

REGOLAMENTO PER LA SICUREZZA DEI DATI PERSONALI

BOZZA D.P.S. Documento Programmatico sulla Sicurezza. Intestazione documento: Ragione sociale o denominazione del titolare Indirizzo Comune P.

DOCUMENTO PROGRAMMATICO SULLA SICUREZZA DATI A.S. 2014/2015

Istruzioni operative per gli Incaricati del trattamento dei dati personali

COMUNE DI VEDUGGIO CON COLZANO Provincia di Milano Codice Ente 11123

COMUNICATO. Vigilanza sugli intermediari Entratel: al via i controlli sul rispetto della privacy

COMUNE DI RENATE Provincia di Monza e Brianza

DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA ANNO 2015

Allegato 2. Scheda classificazione delle minacce e vulnerabilità

Elementi per la stesura del Documento Programmatico sulla Sicurezza 2009 RILEVAZIONE DEGLI ELEMENTI UTILI AI FINI DELL AGGIORNAMENTO DEL DPS 2009

Il nuovo codice in materia di protezione dei dati personali

REGOLAMENTO OPERATIVO PER L UTILIZZO DELL IMPIANTO ESTERNO DI VIDEOSORVEGLIANZA

Allegato 5. Definizione delle procedure operative

FORMAZIONE PRIVACY 2015

REGOLAMENTO PER LA TUTELA DELLA RISERVATEZZA RISPETTO AL TRATTAMENTO DEI DATI PERSONALI

CARTA INTESTATA PREMESSA

Consorzio Universitario della Provincia di Palermo

DIREZIONE GENERALE DIREZIONE AMMINISTRATIVA DIREZIONE SANITARIA. Dipartimento di Staff Aziendale. S.C. Centro Controllo Direzionale

Le Misure Minime di Sicurezza secondo il Testo Unico sulla Privacy

DICHIARA. Nello specifico dei prodotti e dei servizi sopra citati Microcosmos Multimedia S.r.l. CERTIFICA

Comune di San Martino Buon Albergo Provincia di Verona

Anno Compilato il: Compilato da: Recapito telefonico:

DIREZIONE GENERALE DIREZIONE SANITARIA DIREZIONE AMMINISTRATIVA. Servizio Prevenzione e Protezione. Dipartimento di Staff Aziendale

Documento. Programmatico sulla Sicurezza. Anno 2015

Privacy semplice per le PMI

Regolamento per la tutela della riservatezza dei dati personali

PIANO DI CONSERVAZIONE DEI DOCUMENTI

Documento Programmatico sulla Sicurezza Parte generale

Infostar S.r.l. S.S.13 Pontebbana 54/e TARCENTO (UD) Tel: Fax: p.iva

REGOLAMENTO PER LA DISCIPLINA DELLA VIDEOSORVEGLIANZA. Approvato con delibera di Consiglio comunale n. 36 del

COMUNE DI MARIGLIANO Provincia di Napoli REGOLAMENTO PER L INSTALLAZIONE E LA GESTIONE DEGLI IMPIANTI DI VIDEOSORVEGLIANZA

FORM CLIENTI / FORNITORI

LINEE GUIDA PER LA REDAZIONE DEL DPS (Documento Programmatico sulla Sicurezza)

GESTIONE DELLA RETE INFORMATICA

Altre misure di sicurezza

L amministratore di sistema. di Michele Iaselli

Regolamento per l installazione e l utilizzo di impianti di videosorveglianza del territorio

REGOLAMENTO PER LA VIDEOSORVEGLIANZA

SCHEMA DI DELIBERAZIONE

REGOLAMENTO PER LE MODALITÀ DI ACCESSO E DI USO DELLA RETE INFORMATICA DELL ITIS P. LEVI E ACCESSO E DI USO ALLA RETE INTERNET INDICE

CODICE PRIVACY PROCEDURA DI GESTIONE DEL BACKUP ED IL RESTORE DEI DATI

REV. 2015/00 Pag. 1 di 5

Documento programmatico sulle misure di sicurezza adottate per il trattamento dei dati personali con strumenti elettronici e supporti cartacei

DOCUMENTO PROGRAMMATICO SULLA SICUREZZA. Ai sensi e per gli affetti del D.Lgs. 30 giugno 2003, n. 196, Allegato B punto 19

ART. 1 OGGETTO ART. 2 FINALITA ART. 3 DEFINIZIONI DI RIFERIMENTO

Identità e autenticazione

PIANO DI CONSERVAZIONE DEI DOCUMENTI

Comune di Spilamberto Provincia di Modena. Regolamento per la gestione del sistema di video sorveglianza

Il Documento Programmatico Sulla Sicurezza

COMUNE DI NONE Provincia di Torino

DIREZIONE GENERALE DIREZIONE AMMINISTRATIVA DIREZIONE SANITARIA. Dipartimento di Staff Aziendale. S.C. Organizzazione dei Presidi Ospedalieri

REGOLAMENTO SUL TRATTAMENTO DEI DATI PERSONALI

COMUNE DI CARASCO (Provincia di Genova)

La tutela della Privacy. Annoiatore: Stefano Pelacchi

I dati : patrimonio aziendale da proteggere

M inist e ro della Pubblica Istruz io n e

UNINDUSTRIA SERVIZI s.r.l. REGOLAMENTO PER LA PROTEZIONE DEI DATI

ALLEGATO D. Roma lì, / / Equitalia S.p.A. il Titolare

un responsabile ti chiamerà al più presto per chiarire ogni dubbio

MINISTERO DELL INTERNO ISTITUTO PER LA VIGILANZA Dipartimento della Pubblica Sicurezza CONVENZIONE

PROGRAMMA CORSI PRIVACY 2013

A.1.1 Elenco dei trattamenti dei dati personali (Regola 19.1) Struttura di riferimento. 2 Repertorio decreti informatico Area Affari Generali SI 3

CITTÀ DI AGROPOLI. Regolamento per la pubblicazione delle Determinazioni sul sito internet istituzionale dell Ente

Manuale per la gestione del protocollo, dei flussi documentali e degli archivi

MODALITÀ ORGANIZZATIVE E PIANIFICAZIONE DELLE VERIFICHE SUGLI IMPIANTI

COMUNE DI MOGORO Provincia di Oristano

PRIVACY. Federica Savio M2 Informatica

REGOLAMENTO DI ATTUAZIONE DELLE NORME IN MATERIA DI PROTEZIONE DEI DATI PERSONALI

DOCUMENTO PROGRAMMATICO SULLA SICUREZZA INDICE DEI DOCUMENTI PRESENTI

Università degli Studi di Udine. DLGS 196/03 Gestione posto di lavoro e accesso alla struttura

STRUTTURA AZIENDALE PROVVEDITORATO ECONOMATO IL DIRIGENTE RESPONSABILE: DR. DAVIDE A. DAMANTI CAPITOLATO TECNICO

FASCICOLO INFORMATIVO PER INSEGNANTI E PERSONALE AMMINISTRATIVO

S.C. Dermatologia Albenga

Gestione del protocollo informatico con OrdineP-NET

EasyPROtection. La soluzione software per Commercialisti e Consulenti Fiscali. DATI E DOCUMENTI PROTETTI Sempre. Ovunque.

ALLEGATO N. 4. Premessa

Privacy S 31/06 Agli Associati Comufficio Agli Operatori ICT Loro sedi

Documento Programmatico sulla Sicurezza delle Informazioni. Ver. 1.00

Procedura per la tenuta sotto controllo delle registrazioni PA.AQ.02. Copia in distribuzione controllata. Copia in distribuzione non controllata

Guida all accesso al portale e ai servizi self service

Città di Melegnano (Provincia di Milano)

REGOLAMENTO PER LA DISCIPLINA

" # $! ' ()*+(*+,-)+((./' 0! 12345*-*+,.,((4/3 0! ( ' +6*4*+,, *-*+,,)! (- ' +-*-*+,,6+(6!

qwertyuiopasdfghjklzxcvbnmqwerty uiopasdfghjklzxcvbnmqwertyuiopasd fghjklzxcvbnmqwertyuiopasdfghjklzx

direzione didattica 3 circolo Via Boccaccio,25 ingresso Via Bra Nichelino (TO) Tel: Fax: C.F.

REGOLAMENTO PER LA GESTIONE DELLE PROCEDURE DI PUBBLICAZIONE ALL ALBO PRETORIO ON LINE

Cos è ND Rifiuti 2008?

SCUOLA SECONDARIA DI PRIMO GRADO N 1 ETTORE PAIS SSMM C.F tel. 0789/25420 Via A. Nanni OLBIA

Informativa Privacy ai sensi dell art. 13 del D.Lgs. 196/2003

AREZZO MULTISERVIZI S.R.L.

Autorità per l'informatica nella pubblica amministrazione Deliberazione n. 42/2001

UNIONE BASSA REGGIANA. Programma triennale per la trasparenza e l integrità

Regione Piemonte Portale Rilevazioni Crediti EELL Manuale Utente

Chi è il Rappresentante dei Lavoratori per la Sicurezza RLS

INFORMATIVA SULLA PRIVACY. Informativa sul trattamento dei dati personali ai sensi dell art. 13 D.Lgs. 30 giugno 2003, n.196

Transcript:

DOCUMENTO PROGRAMMATICO SULLA SICUREZZA NEL TRATTAMENTO DEI DATI PERSONALI Questo documento illustra il quadro delle misure di sicurezza, organizzative, fisiche e logiche, adottate per il trattamento dei dati personali effettuato dall avv.... (dagli avvocati..., dall associazione professionale..., dalla società...), con studio in... 1. Titolare/i del trattamento ai sensi dell art. 28 del D.lgs. 196/2003: l avv.... (gli avvocati..., l associazione professionale..., la società...). Responsabile del trattamento ai sensi dell art. 29 del D.Lgs. 196/2003: (designazione facoltativa: l avv.... gli avvocati...). 2. Elenco dei trattamenti di dati personali Lo studio dell avv.... (degli avvocati..., dell associazione professionale..., della società...), tratta i seguenti dati: Codice 1. dati comuni dei clienti e di terzi, compresi i dati sul patrimonio e sulla loro situazione economica, i dati necessari per i fini fiscali ed afferenti la loro reperibilità e la corrispondenza con gli stessi, i dati comuni di loro dipendenti e collaboratori; dati giudiziari e sensibili dei clienti e di terzi, necessari per far valere e difendere un diritto in sede giudiziaria o stragiudiziale in conformità di quanto prescritto dall ordinamento professionale. Codice 2. dati comuni del personale dipendente, quali i dati necessari al rapporto di lavoro, alla reperibilità del personale, alla corrispondenza tra le parti, dati richiesti ai fini fiscali e previdenziali e dati di natura bancaria. Codice 3. dati sensibili del personale dipendente, inerenti i rapporti con gli enti previdenziali ed assistenziali e l adesione ed organizzazioni sindacali. Codice 4. dati comuni dei fornitori concernenti la reperibilità e la corrispondenza con gli stessi, nonché necessari a fini fiscali e dati di natura bancaria. Codice 5. dati comuni di avvocati, consulenti e professionisti, quali quelli concernenti la loro reperibilità e la corrispondenza con gli stessi, nonché necessari a fini fiscali e dati di natura bancaria. 3. Modalità di raccolta e trattamento dei dati I dati non pubblici vengono acquisiti presso l interessato previa l informativa da rendere secondo lo schema che si allega al presente D.P.S. anche in caso di raccolta attraverso ascolto, registrazione o intercettazione di conversazioni. Per i dati non raccolti presso l interessato, trattati per lo svolgimento dell attività stragiudiziale, l informativa è data ai sensi dell art. 13, quarto comma D.lgs. 196/2003. I dati sono acquisiti: su supporto cartaceo su supporto informatico I dati sono conservati: in archivio cartaceo, in fascicoli riposti in schedari dotati di chiusura con chiave; in archivio elettronico, tramite computer in rete, in locali protetti, con accesso ad internet.

I dati non sono ceduti a terzi per elaborazione. Lo studio è in possesso di n... banche dati, relative ai seguenti dati: dati comuni dei clienti dati comuni dei fornitori... 4. Luoghi del trattamento I luoghi ove vengono trattati i dati sono ubicati nei locali ad uso ufficio al piano... del fabbricato... in..., via... I locali sono dotati di portone di ingresso (con videocitofono; con sorveglianza notturna; con porta blindata; con sistema di allarme; con videosorveglianza). Tutte le stanze che compongono l ufficio sono dotate ciascuna di porta con chiusura a chiave. L archivio è ubicato in un vano adibito a tale scopo (nel/i vano/i adibito/i a segreteria). L archivio è dotato di n... raccoglitori con dispositivo di chiusura, nel quale sono conservati i fascicoli contenenti i dati trattati. Ai raccoglitori possono accedere gli avvocati, i loro collaboratori ed i dipendenti durate l orario di apertura dello studio ed in conformità delle disposizioni impartite. Nelle ore in cui lo studio è chiuso i raccoglitori sono chiusi a chiave; nessuno può accedervi ad eccezione dei titolari del trattamento e dei loro collaboratori in conformità delle disposizioni impartite. L ufficio è dotato di cassaforte con chiusura a chiave (chiusura elettronica) L ufficio è dotato di sala d attesa per i clienti, separata dalle stanze in cui operano gli avvocati, i loro collaboratori e dipendenti. L ufficio è munito di sistema antincendio (antiallagamento; di protezione da interruzione elettriche). 5. Strumenti elettronici Lo studio è dotato dei seguenti strumenti: n.... computer in rete, connessi ad internet (con connessione ADSL in rete) n.... stampanti n.... fax n.... fotocopiatrici n.... scanner I computer sono di marca..., dotati di separato modem per l utilizzo di Winfax. Il sistema operativo del server è... Il sistema operativo del computer... Lo studio utilizza Internet Explorer versione... Lo studio utilizza Outlook Express... Antivirus utilizzato... Firewall utilizzato... Il server è ubicato nel vano... I supporti magnetici per le copie di sicurezza sono conservati nell armadio posto nel vano... Le linee telefoniche sono... Tecnico incaricato dell assistenza e manutenzione degli strumenti elettronici è...

6. Trattamento dei dati Incaricati del trattamento sono: i collaboratori avvocati... i collaboratori dottori... i dipendenti signori... I dati comuni dei clienti, dei terzi in genere, dei dipendenti, dei fornitori, di avvocati, consulenti e professionisti sono trattati, oltre che dal titolare (e dal responsabile, se designato), da tutti gli incaricati. I dati comuni del personale dipendente, i dati sensibili del personale dipendente sono comunicati al consulente del lavoro... I dati afferenti la contabilità e i rapporti bancari sono comunicati al commercialista dott.... 7. Analisi dei rischi E stata compiuta l analisi dei rischi, che si può così sintetizzare: Comportamento degli operatori furto di credenziali di autenticazione: il rischio può definirsi basso/medio, considerati i dispositivi antiintrusione di cui l ufficio è dotato ed il sistema di misure indicate al successivo punto 8; carenza di consapevolezza, disattenzione o incuria: il rischio può definirsi basso, considerati il grado di responsabilità e competenza degli avvocati e dei collaboratori ed il controllo da questi esercitato sui dipendenti; comportamenti sleali o fraudolenti: il rischio può definirsi basso, per le stesse ragioni sopra esposte; errori materiali: il rischio può definirsi basso/medio. Eventi relativi agli strumenti azione di virus informatici o di codici malefici: il rischio può definirsi basso, attese le misure di cui al successivo punto 8; spamming o altre tecniche di sabotaggio: il rischio può definirsi basso, attese le misure di cui al successivo punto 8 e la difficoltà di accesso ai locali da parte di chi non è autorizzato; malfunzionamento, indisponibilità o degrado degli strumenti: il rischio può definirsi basso, attese la recente data di acquisto degli strumenti e l assistenza fornita dalla ditta incaricata delle manutenzione. Per quanto riguarda i supporti di memorizzazione, il rischio di deterioramento dei dati può essere ritenuto basso, attesi i sistematici back up e la custodia dei dischi di istallazione dei programmi software adottati; accessi esterni non autorizzati: il rischio può definirsi basso, attese le misure di cui al successivo punto 8 e la difficoltà di accesso ai locali da parte di chi non è autorizzato; intercettazione di informazioni in rete: il rischio può definirsi basso. Eventi relativi al contesto accessi non autorizzati ai locali: il rischio può definirsi basso, attese le misure di cui al successivo punto 8 e la difficoltà di accesso ai locali da parte di chi non è autorizzato; asportazione e furto di strumenti contenenti dati: il rischio può definirsi basso per le stesse considerazioni che precedono; eventi distruttivi, naturali o artificiali, dolosi, accidentali o dovuti ad incuria; errori umani nella gestione della sicurezza fisica: il rischio può definirsi basso, attesa la necessaria cura con cui gli avvocati ed i collaboratori seguono l attività dello studio; guasto ai sistemi complementari (impianto elettrico, climatizzazione): il rischio può definirsi basso, considerate le modernità dei sistemi e l adozione delle disposizioni di sicurezza

stabilite dalla L. 626/94 e di dispositivi salvavita. 8. Misure di sicurezza Per ridurre i rischi sono state adottate le seguenti misure: Autenticazione informatica La misura è stata adottata dotando ciascun titolare ed incaricato di una password di almeno 8 caratteri. La password non contiene né conterrà elementi facilmente riconducibili alla persona del suo utilizzatore; viene autonomamente scelta dal titolare e dall incaricato e da questi custodita in busta chiusa in luogo chiuso a chiave. Ogni tre mesi ciascun titolare ed incaricato è tenuto a sostituire la propria password. Si è disposto che le password vengano automaticamente disattivate dopo tre mesi di non utilizzo e che tutti gli utilizzatori di strumenti elettronici non lascino incustodito o accessibile lo strumento elettronico durante la loro assenza nelle ore di lavoro. A tale riguardo, per evitare errori o dimenticanze, è stato inserito lo screensaver automatico dopo 1 minuti di non utilizzo, con ulteriore password segreta per la prosecuzione del lavoro. Si è inoltre disposto che gli utilizzatori verifichino la provenienza delle email e non operino operazioni di sharing. Ogni singolo computer è dotato di dispositivo antivirus di marca..., che viene aggiornato con funzione automatica e con scansione per ogni aggiornamento antivirus, comunque settimanale. Come segnalato, sul server è stato installato Firewall di marca... Per ogni singolo computer è prevista la funzione di aggiornamento automatico del sistema fornito dalla Microsoft mediante lo strumento windows-update. Analogo sistema di aggiornamento è previsto per l antivirus. E stata data istruzione che, qualora nessun aggiornamento del sistema fosse segnalato automaticamente per un periodo di sei mesi, si provveda comunque ad attivare la funzione di controllo per verificare l esistenza o meno degli aggiornamenti automatici. E stato disposto l obbligo di provvedere al back up settimanale dei dati e dei sistemi installati sul server su CD Rom, i quali vengono conservati in un cassetto dotato di chiusura a chiave. Si è data disposizione affinché: effettuato il back up sia distrutto il CD Rom precedente; sia verificata la leggibilità del supporto e dei dati immediatamente dopo l effettuazione del back up e, sistematicamente, almeno una volta a settimana mediante verifica a campione. Custode dei CD Rom è stato nominato l incaricato Avv.... Si è disposto che non siano lasciati incustoditi sulle scrivanie, o su altri ripiani, atti, documenti e fascicoli. I fascicoli e le rubriche telefoniche sono conservati negli appositi raccoglitori e sono prelevati per il tempo necessario al trattamento per poi esservi riposti. Le comunicazioni a mezzo posta o a mezzo fax sono tempestivamente smistate e consegnate ai destinatari. Quando è dato un ordine di stampa, il documento stampato deve essere prontamente prelevato e

consegnato all interessato. Il locale destinato all archivio è dotato di chiusura a chiave. Il dipendente... è incaricato di controllare l accesso all archivio. Fuori dall orario di lavoro l accesso all archivio è consentito ai titolari ed ai loro collaboratori. Si è data istruzione che il materiale cartaceo destinato allo smaltimento dei rifiuti sia riposto negli appositi sacchi di plastica e sia giornalmente asportato. Si è anche disposto che i sacchi siano chiusi in modo che il contenuto non possa fuoriuscire. 9. Ulteriori misure Saranno adottate le seguenti ulteriori misure. Sarà installato un gruppo di continuità per il server. Sarà inoltre adottata ogni altra misura che dal tecnico della manutenzione venisse ritenuta utile e necessaria per migliorare la sicurezza degli strumenti elettronici. Nell ipotesi di distruzione o danneggiamento dei dati o degli strumenti elettronici, si predisporrà apposito piano di ripristino degli stessi, impartendosi comunque sin d ora le seguenti istruzioni: avvertire il titolare del trattamento dei dati e l incaricato che ha in custodia il CD di back up nonché i CD contenenti i software installati sugli strumenti elettronici; chiedere immediatamente l intervento del tecnico manutentore della ditta... sollecitandone al più presto l assistenza; reinstallati i programmi danneggiati o distrutti, sempre che non sia necessario sostituire l intero hardware, reinstallare tutti i dati contenuti nel CD di back up; aggiornare i sistemi operativi una volta reinstallati; verrà dato incarico al tecnico manutentore di suggerire ogni altra misura; al fine di evitare eventi di perdita e di danneggiamento degli strumenti elettronici e dei dati in essi contenuti, si prevede che per due volte all anno sia effettuata la manutenzione in modo adeguato dal tecnico incaricato. 10. Formazione degli incaricati La formazione dei titolari e degli incaricati viene effettuata all installazione dei nuovi strumenti per il trattamento dei dati e comunque con frequenza annuale. Tende a sensibilizzare titolari ed incaricati sulle tematiche di sicurezza, facendo comprendere i rischi e le responsabilità (con specificazione delle sanzioni connesse) che riguardano il trattamento dei dati personali. Tende inoltre alla compiuta illustrazione della natura e del contenuto dei dati, con l invito a segnalare eventuali disfunzioni dei sistemi operativi e, nel dubbio, di chiedere al titolare o al responsabile, se designato, se un dato sia o meno sensibile o giudiziario. La formazione è organizzata dall avv.... Per i trattamenti dei dati affidati a soggetti esterni, si è disposto di acquisire attestazione scritta che i dati siano trattati con strumenti elettronici e siano adottate le misure minime di sicurezza previste dal documento programmatico sulla sicurezza. Alle ditte che effettuino prestazioni che comportano accesso di estranei allo studio, viene richiesto di specificare le generalità delle persone che accedono ed è prescritto che la permanenza nei locali sia limitata alle sole attività pertinenti alla prestazione per cui accedono. Si allegano lo schema di informativa, la lettera di istruzioni agli incaricati, la lettera alle ditte che

effettuano prestazioni che comportano accesso di estranei allo studio.

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back