LINEE GUIDA PER LA REDAZIONE DEL DPS (Documento Programmatico sulla Sicurezza)



Похожие документы
FORMAZIONE PRIVACY 2015

1. DISTRIBUZIONE Datore di Lavoro Direzione RSPP Responsabile Ufficio Tecnico Responsabile Ufficio Ragioneria (Ufficio Personale) Ufficio Segreteria

Gestione dei documenti e delle registrazioni Rev. 00 del

ART.1 OGGETTO ART.2 PRINCIPI

COMUNE DI CARASCO (Provincia di Genova)

REGOLAMENTO PER LA PUBBLICAZIONE DI ATTI E PROVVEDIMENTI ALL ALBO CAMERALE. (Adottato con delibera della Giunta Camerale n.72, del 17 ottobre 2014)

MANUALE DELLA QUALITA Revisione: Sezione 4 SISTEMA DI GESTIONE PER LA QUALITA

2. Il trat (Indicare le modalità del trattamento: manuale / informatizzato / altro.) FAC-SIMILE

REGOLAMENTO PER LA GESTIONE DELL ALBO PRETORIO ON LINE

«Gestione dei documenti e delle registrazioni» 1 SCOPO CAMPO DI APPLICAZIONE E GENERALITA RESPONSABILITA DEFINIZIONI...

Regolamento di attuazione degli articoli 20, comma 2, e 21 del decreto legislativo 30 giugno 2003 n. 196,

REGOLAMENTO PROCEDURE DI PUBBLICAZIONE ALBO PRETORIO ONLINE

PRIVACY. Federica Savio M2 Informatica

Allegato n. 13 Linee guida per la formazione e gestione dei fascicoli

Andreani Tributi Srl. Titolare del Trattamento dei Dati. P.Iva Sede: Via Cluentina 33/D Macerata

INFORMATIVA SUL DIRITTO ALLA PRIVACY PER LA CONSULTAZIONE DEL SITO WEB

MAIL A info@poltrone- italia.com MODULO RICHIESTA D ORDINE CON IVA AGEVOLATA 4%

REGOLAMENTO SUL TRATTAMENTO DEI DATI PERSONALI

REGOLAMENTO ALBO PRETORIO ON LINE

1 SCOPO E CAMPO DI APPLICAZIONE RIFERIMENTI SIGLE E DEFINIZIONI RESPONSABILITA PROCEDURA ALLEGATI...

2015/Mod. Prev. 1 Adesione al Fondo

REGOLAMENTO PER LA GESTIONE DELLE PROCEDURE DI PUBBLICAZIONE ALL ALBO PRETORIO ONLINE

Allegato A al CCNL 2006/2009 comparto Ministeri

Procedura per la tenuta sotto controllo delle registrazioni PA.AQ.02. Copia in distribuzione controllata. Copia in distribuzione non controllata

RICHIESTA DI CONTRIBUTO

L adempimento della notificazione al Garante per la Privacy

Comune di Olgiate Molgora (Provincia di Lecco)

INTRODUZIONE AL MANUALE DELLA QUALITA

(ai sensi dell art. 13 del Decreto Legislativo 30 giugno 2003 n. 196: D.Lgs. 196/2003 )

CitySoftware PROTOCOLLO. Info-Mark srl

atf - federfarma brescia associazione dei titolari di farmacia della provincia di brescia

Via Mazzini, Candia Canavese (TO)

La tutela della Privacy. Annoiatore: Stefano Pelacchi

TENUTA SOTTO CONTROLLO DEI DOCUMENTI

REGOLAMENTO ALBO ON LINE Allegato n. 4

Manuale di Gestione del Protocollo Informatico, dei documenti e dell archivio. Allegato E Istruzioni riordino fascicoli

REGOLAMENTO PER LA GESTIONE DELL ALBO PRETORIO ON LINE

Trattamento dei dati personali

COMUNICATO. Vigilanza sugli intermediari Entratel: al via i controlli sul rispetto della privacy

L amministratore di sistema. di Michele Iaselli

Funzioni di gestione degli interventi: esperti

Riforma "Specialista del commercio al dettaglio" Direttive concernenti lo svolgimento di esami modulari per candidati specialisti del commercio al

Software Servizi Web UOGA

Elementi per la stesura del Documento Programmatico sulla Sicurezza 2009 RILEVAZIONE DEGLI ELEMENTI UTILI AI FINI DELL AGGIORNAMENTO DEL DPS 2009

SCHEDA DI ATTIVAZIONE DEL SERVIZIO DI FIRMA DIGITALE

CITTÀ DI AGROPOLI. Regolamento per la pubblicazione delle Determinazioni sul sito internet istituzionale dell Ente

COMUNE DI RENATE Provincia di Monza e Brianza

Regolamento per la gestione dell Albo pretorio on line

Manuale delle Procedure ACQUISIZIONE DI BENI E SERVIZI

( PROCEDURA REGISTRO PERSONE RILEVANTI )

COMUNE DI MELITO DI NAPOLI Provincia di Napoli

Istruzioni modulistica Elenco associazioni professionali

GESTIONE DELLA DOCUMENTAZIONE. ALLEGATI Elenco Documenti e tabella di revisione Lista di distribuzione Elenco documenti di registrazione della Qualità

Il glossario della Posta Elettronica Certificata (PEC) Diamo una definizione ai termini tecnici relativi al mondo della PEC.

UNIONE BASSA REGGIANA. Programma triennale per la trasparenza e l integrità

Regione Piemonte Portale Rilevazioni Crediti EELL Manuale Utente

GESTIONE DEI DOCUMENTI, DEI DATI E DELLE REGISTRAZIONI

residente a c.a.p. prov. n. MATRICOLA AZIENDALE QUALIFICA e CATEGORIA

COMUNE DI SANSEPOLCRO REGOLAMENTO PER LA GESTIONE DELL ALBO PRETORIO ON LINE

Informativa Privacy Privacy Policy di

Tabelle di riferimento Pulsanti Inserire documento Predisposizione doc Approvazione Doc Numerazione Doc Pubblicazione Albo Webservice

Strumenti digitali e privacy. Avv. Gloria Galli

Manuale d uso del Sistema di e-procurement

DOMANDA DI ISCRIZIONE NELL ELENCO DELLE ASSOCIAZIONI ACCREDITATE

In questa pagina si descrivono le modalità di gestione del sito in riferimento al trattamento dei dati personali degli utenti che lo consultano.

Gestire le NC, le Azioni Correttive e Preventive, il Miglioramento

Guida alla registrazione on-line di un DataLogger

PROGRAMMA TRIENNALE PER LA TRASPARENZA E L INTEGRITA

Informativa Presentazione Progetti Bandi Piano Provinciale Occupazione Disabili

ATTI AMMINISTRATIVI. Prefettura di Firenze - Protezione dei dati personali

SISTEMA DI GESTIONE PER LA QUALITA Capitolo 4

Direzione Centrale Previdenza Gestione ex Inpdap. Roma, 13/09/2012

ACQUISTI DI BENI E SERVIZI IN MEPA E CONSIP

Si fa comunque presente che dentro il portale acquistinretepa.it sotto la voce HELP (vedi fig. successiva), si trovano tutti gli strumenti atti a

Airone Gestione Rifiuti Funzioni di Esportazione e Importazione

FIDEURO MEDIAZIONE CREDITIZIA S.R.L.

ART. 1 OGGETTO ART. 2 FINALITA ART. 3 DEFINIZIONI DI RIFERIMENTO

PRESENTAZIONE PRATICHE TELEMATICHE SUAP

SCHEDA PRODOTTO PAG. 1 J O B T I M E W F. Variazioni mensili al cartellino presenze. Versione 6.1. JOBTIME Work Flow

LINEE GUIDA PER L EROGAZIONE DELLA FORMAZIONE INTERNA

MANUALE DI CONSERVAZIONE

Транскрипт:

LINEE GUIDA PER LA REDAZIONE DEL DPS (Documento Programmatico sulla Sicurezza) Aprile, 2005

INDICE Premessa 1. LINEE GUIDA Il piano di lavoro 2. IL KIT La modulistica: schede e tabelle La compilazione delle schede 3. GLOSSARIO 4. SCHEDE ESPLICATIVE

PREMESSA Il Documento Programmatico sulla Sicurezza (DPS), è un documento che si deve calare profondamente nella struttura dell ente, e quindi, deve essere redatto tenendo conto della propria organizzazione, della suddivisione delle responsabilità relativamente ai propri trattamenti, dei propri strumenti di elaborazione e che questo sia realmente in sintonia con quanto viene fatto, pensato, operato abitualmente in tema di protezione dei dati. Il DPS deve fornire una fotografia reale e non distorta della filosofia che l ente adotta per rilevare la propria strategia in ambito di sicurezza. La procedura utilizzata da Ancitel, si avvale di un metodo di raccolta dei dati attinenti la gestione delle attività presenti e svolte dall ente, tali dati vengono contenuti in un Kit di schede realizzate rispettando le indicazioni del Codice e della Guida operativa redatta dal Garante della protezione dei dati personali. IL PIANO DI LAVORO 1-LINEE GUIDA La finalità di questo documento è quella di trasferire la metodologia Ancitel per la rilevazione dei dati necessari alla redazione del DPS. Prima di iniziare occorre organizzare un piano di lavoro per effettuare la rilevazione. E necessario, che il referente interno del Comune distribuisca le apposite schede ai responsabili dei servizi e ai singoli dipendenti, i quali, ognuno per la sua parte di competenza, provvederanno a compilare. Una volta compilate le schede, queste saranno inviate ad Ancitel e dopo una prima verifica saranno successivamente elaborate. LA MODULISTICA: SCHEDE E TABELLE 2-IL KIT Il Kit è composto da una serie di nove schede da compilare e cinque tabelle di decodifica da utilizzare durante la compilazione. Le schede sono così composte: SCHEDA 1: scheda generale descrittiva dell ente SCHEDA 2: scheda descrittiva dell unità organizzative/settore/ufficio adottate dall ente SCHEDA 3: scheda rilevazione ambienti SCHEDA 4: scheda rilevazione risorse hardware/software SCHEDA 5: scheda rilevazione archivi SCHEDA 5a/5b/5c/5d: schede rilevazione archivi sicurezze minime Le tabelle sono così composte: TABELLA 1: Categorie degli interessati TABELLA 2: Ambito di comunicazione e diffusione TABELLA 3: Finalità del trattamento TABELLA 3 bis: Denominazione trattamenti dati sensibili TABELLA 4: Sicurezze logiche

LA COMPILAZIONE DELLE SCHEDE Per la maggior parte delle schede la compilazione dei campi è immediata. Di seguito, per ogni singola scheda, sono riportate le modalità operative per il loro utilizzo. A fine paragrafo vi è una serie completa di schede compilate a titolo di esempio. SCHEDA 1 In questa sezione vanno descritte tutte le sedi del comune nelle quali si svolgono le varie attività settoriali. Inserire in sequenza: la denominazione della sede, l indirizzo completo e la località, nel caso in cui l ente abbia più di 4 sedi, compilare un altra scheda 1, mantenendo nella descrizione delle sedi la progressione numerica del primo foglio (il numero pre-indicato servirà per la compilazione delle schede successive). Vanno inoltre barrate le eventuali misure di sicurezza che l ente ha adottato in passato. SCHEDA 2 In questa sezione è descritta la struttura organizzativa dell ente in base alla sua pianta organica, sia essa un unità organizzativa semplice che complessa. Unità Organizzativa: indicare il settore o l area e in strutture complesse anche il servizio; Unità operativa: indicare il tipo di ufficio, e il numero posto sulla porta della stanza (se non presente mantenere una progressione numerica); R/I: indicare la carica ricoperta dal dipendente, Responsabile o Incaricato (vedere definizioni nel Glossario); Nominativo: inserire nome e cognome del personale, (vanno inseriti i nomi di tutto il personale, indipendentemente dalla formula contrattuale e dal periodo di tempo per cui hanno accesso ai dati, es: lavoratori a progetto, stagisti, obiettori di coscienza); Ubicazione: si rinvia alla prima scheda, inserendo il numero progressivo indicato. Si consiglia di allegare un organigramma dell ente. Attenzione: Compilare una scheda per ogni settore/servizio dell ente. SCHEDA 3 In questa sezione occorre descrivere i luoghi in cui si svolge il trattamento dei dati. La descrizione degli ambienti andrà fatta seguendo le indicazioni riportate nelle note in fondo alla pagina (possono essere indicati anche più dati). Tipologia ufficio: nel caso un ufficio svolga contemporaneamente attività operative interne ed aperte al pubblico, si indica quest ultima tipologia perché più esposta al rischio. Compilare una scheda per ogni servizio. SCHEDA 4 In questa sezione saranno descritti tutti gli strumenti hardware presenti nell ente. Andrà compilata una scheda per ogni PC e descritte le sue caratteristiche. E possibile inviare una mappatura dei PC presenti nell Ente. Si raccomanda di far compilare queste schede dal Responsabile dei sistemi dell ente o da chi cura la manutenzione delle macchine. In particolare: Settore/servizio: indicare il settore o il servizio dell incaricato che utilizza il PC; Ufficio n.: indicare il numero della stanza dove è presente il PC (mantenere la numerazione indicata nella scheda 3); Sistema n.: indicare il numero del PC (se conosciuto) oppure il nome dell incaricato/i che l utilizza/no; Specifiche del sistema: indicare il tipo, la CPU, la RAM, l anno di costruzione, il sistema operativo, la rete; Dispositivi di protezione: indicare la presenza o meno della password di sistema, dell antivirus, e la periodicità di aggiornamento; Componenti di rilievo ai fini della sicurezza dei dati indicare la presenza o meno di alcuni strumenti di sicurezza; Dotazioni di software applicativi: indicare gli applicativi e le specifiche presenti su ogni pc.

SCHEDA 5 Descrizione degli archivi contenenti dati personali, sia registrati su supporto informatico che cartaceo. Si tratta dell attività più complessa, ogni incaricato è chiamato a descrivere le proprie banche dati. Spesso accade che a parità di contenuto l archivio possa essere duplicato, perché presente sia in modalità cartacea che informatica, in tal caso andranno compilati tutti i campi relativi sia ad un archivio cartaceo che informatico. Nome dell archivio: indicare la banca dati che si sta descrivendo (es. contratti fornitori, rilascio certificati, buste paga, concessioni licenze, ecc.); Supporto: cartaceo o informatico; Origine dei dati: indicare la fonte dei dati, da chi vengono fornite le informazioni che vengono trattate (es. direttamente dall interessato, da altro settore, da altri enti pubblici, fonti esterne) Modalità di accesso: manuale se l archivio è cartaceo, rete pubblica se è informatico; Organizzazione: indicare la valenza territoriale dei dati trattati, vale a dire l ambito territoriale dei dati trattati; Ubicazione gestione archivio: si rinvia alla scheda 1, con l indicazione della sede fisica in cui si trova l archivio; Modalità di ricerca: indicare codice nome o protocollo se l archivio è cartaceo, query sul server o access se l archivio è informatico; Categoria di interessati: indicare a chi si riferiscono i dati, si rinvia alla tabella 1, può essere inserita anche più di una categoria (es. rilascio certificati: cittadini, buste paga: dipendenti); Tipi di dati trattati: indicare la natura del dato trattato, se comune o anche sensibile (vedi glossario); Conservazione: indicare la modalità di conservazione dell archivio (su carta se l archivio è cartaceo, una delle altre forme quando l archivio è informatico); Durata: inserire una formula standard Termini di legge ; Ubicazione storica: se presente eventuale archivio storico in cui è conservato il documento, inserire la sede in base alla scheda 1; Comunicazione e/o diffusione: indicare che tipo di comunicazione viene data dei dati trattati, indicandone i destinatari e l ambito territoriale (vedi glossario); Trattamento e finalità: indicare uno dei codici della Tabella 3, scegliendo tra le finalità indicate quella che meglio descrive la banca dati in questione; Back up: (solo se si tratta di un archivio elettronico): indicare la modalità di salvataggio dei dati, la periodicità e il numero di copie salvate; Sicurezze logiche: inserire i codici della Tabella 4. Per ogni scheda 5 è necessario compilare una scheda sulle sicurezze minime. Scheda 5 A: da compilare se l archivio descritto è cartaceo e contiene solo dati comuni; Scheda 5 B: da compilare se l archivio è cartaceo e contiene dati comuni e sensibili; Scheda 5 C: da compilare se l archivio è informatico e contiene solo dati comuni; Scheda 5 D: da compilare se l archivio è informatico e contiene dati comuni e sensibili. Vanno barrate solo le misure effettivamente già adottate dall ente. In caso di un archivio duplicato (perché sia cartaceo che informatico) è necessario compilare due schede, scegliendo quindi solo in base alla natura dei dati descritti.

3-GLOSSARIO Definizioni di alcuni termini presenti nelle schede: Archivio: qualsiasi complesso di dati organizzato attraverso un criterio. La banca dati può essere cartacea o informatica (es. contratti fornitori, buste paga, atti di stato civile, ecc.). Trattamento: qualunque operazione o complesso di operazioni, svolte in modalità cartacea o informatica. Fa riferimento all intera attività lavorativa svolta dal personale (raccolta, registrazione, archiviazione, consultazione, utilizzo, ecc dei dati). Comunicazione: portare a conoscenza di uno o più soggetti determinati le informazioni riguardo i dati trattati (es. la preferenza sindacale espressa sulla busta paga è un dato comunicato all INPS, è dunque definito ed individuato il destinatario delle informazioni). Dato comune: qualsiasi informazione relativa a persona fisica, giuridica, ente, associazione (es. nome, cognome, telefono, matricola, reddito, ecc.) Dato sensibile: i dati personali idonei a rilevare l origine razziale ed etnica, le convinzioni religiose, filosofiche e di altro genere, le opinioni politiche, l adesione ai partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rilevare lo stato di salute e la vita sessuale; e dati di carattere giudiziario. Nella Tabella 3 bis sono elencati i trattamenti di dati sensibili, divisi per settore, validi per tutti gli enti locali. (es: la preferenza sindacale espressa nella busta paga dal dipendente è un dato sensibile). Diffusione: portare a conoscenza di soggetti non identificati le informazioni trattate (es. pubblica affissione all albo pretorio, non sono individuabili i destinatari). Incaricato: la persona fisica autorizzata a compiere operazioni di trattamento dal titolare o dal responsabile. Ogni dipendente, se non ha un apposita lettera come responsabile è considerato incaricato del trattamento. Misure minime: il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione dai rischi. Responsabile: la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, preposti dal titolare al trattamento di dati personali. Viene nominato dal titolare e può, ma non necessariamente, coincidere con il Responsabile dell unità organizzativa (settore/area); Titolare: la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza (per semplicità indicare il sindaco).

4-SCHEDE ESPLICATIVE

2026 © DocPlayer.it Privacy Policy | Terms of Service | Feed-back