Privacy Policy
DOCUMENTO PROGRAMMATICO SULLE MISURE DI SICUREZZA ADOTTATE PER IL TRATTAMENTO
DEI DATI PERSONALI CON STRUMENTI ELETTRONICI E SUPPORTI CARTACEI
In base al disciplinare tecnico in materia di misure di sicurezza (Allegato B) del D. Lgs. 30-06-2003 n. 196.
La sottoscritta dott.ssa Isabella Buzzi nata a Varese provincia VA, residente in Scarperia e San Piero provincia FIindirizzo Località Spugnole numero civico 3/E C.A.P. 50038 in qualità di Presidente dell’Associazione Brahmaputra ONLUS che ha sede legale in Milano provincia MI indirizzo Corso Sempione numero civico 8 C.A.P. 20154 e sede operativa in Milano provincia MI indirizzo Corso Sempione numero civico 10 C.A.P. 20154.
IN CONSIDERAZIONE
dell’obbligo di adottare gli accorgimenti per garantire le misure minime di sicurezza previste dagli articoli 33-36 del D. Lgs. 30-06-2003 n. 196 al fine di proteggere gli archivi elettronici e cartacei contenenti i dati personali
REDIGE
il seguente documento programmatico.
1. Premessa
La sottoscritta per lo svolgimento dell’attività sociale detiene archivi elettronici e cartacei contenenti dati personali comuni e dati “sensibili”. In conseguenza dell’attività professionale anzidetta, la sottoscritta detiene e tratta i dati personali: a) dei propri associati; b) dei propri fornitori.
Il titolare del trattamento intende pertanto custodire e controllare tali dati in modo da ridurre al minimo – mediante l’adozione di idonee e preventive misure di sicurezza – i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità di raccolta.
I dati degli archivi elettronici sono contenuti in una banca dati identificata come “Brahmaputra” gestita mediante il software applicativo “FileMaker Pro 8.5 per Macintosh”.
I dati su supporto cartaceo risiedono fisicamente presso la sede operativa come sopra identificato.
I dati su supporto elettronico risiedono fisicamente presso la sede operativa come sopra identificato.
Il titolare accede ai dati tramite (pc).
2. Distribuzione dei compiti e delle responsabilità
Il trattamento è eseguito dal Titolare e dalla sua Collaboratrice, sotto la responsabilità della Titolare.
I trattamenti di competenza del Titolare sono: acquisizione, caricamento dei dati, consultazione, comunicazione a terzi se dovuta o autorizzata, manutenzione tecnica dei programmi utilizzati per il trattamento, gestione operativa della base dati e cioè salvataggi, ripristini.
3. Analisi dei rischi
I rischi correlati al trattamento dei dati comprendono diverse tipologie di eventi:
a) Eventi dovuti al comportamento dell’operatore
1. errori materiali
2. furto del codice identificato e/o parola chiave del Titolare
b) Eventi relativi agli strumenti:
1. azioni di virus informatici
2. spamming o altre tecniche di sabotaggio
3. malfunzionamento e degrado degli strumenti
c) Eventi relativi al contesto
1. accessi non autorizzati ai locali
2. asportazione o furto di strumenti contenenti dati
3. eventi distruttivi dolosi, accidentali o dovuti a incuria
4. Misure adottate
Il sottoscritto ha adottato le seguenti misure di sicurezza:
– individuazione di un codice identificativo personale non utilizzabile da altri per l’accesso al computer;
– individuazione di una parola chiave per l’accesso ai dati. Il titolare sostituisce la parola chiave ogni tre mesi
– lo strumento elettronico non viene lasciato incustodito durante il trattamento;
– il sistema è dotato di idonei programmi contro il rischio di intrusione e di danneggiamento (antivirus, firewall, ecc.), che vengono aggiornati almeno ogni sei mesi [annualmente se vengono trattati elettronicamente solo dati personali non sensibili];
– adozione di precise modalità di consegna e restituzione dei documenti agli utenti.
4.1 Protezione dei locali
Al termine dell’orario di lavoro l’ingresso dello Studio professionale viene chiuso a chiave e viene inserito l’antifurto.
Circa la protezione dei locali ove fisicamente risiedono i dati su elaboratore o altro supporto magnetico si ritiene sufficiente l’introduzione di credenziale e parola chiave.
I locali contenenti dati su supporti cartacei (archivi, mobili contenenti la documentazione) sono ubicati in modo tale che il titolare possa rilevare a vista il tentativo di accesso da parte di persone estranee e, di conseguenza, impedirne l’accesso stesso. L’accesso agli archivi contenenti dati sensibili è controllato nel senso che le persone che hanno accesso ai locali dopo l’orario di chiusura per pulizie ed altri interventi particolari sono identificate.
Gli archivi cartacei sono ulteriormente protetti da serrature. Al di fuori dell’orario in cui il titolare è presente presso lo studio per motivi professionali, gli archivi sono chiusi a chiave. Il titolare ha in custodia personale le chiavi dell’archivio.
Gli armadi e i contenitori dell’archivio garantiscono che i dati siano custoditi con cura ed in modo da garantire il più alto livello di riservatezza e segretezza possibile; la qualità dei locali ove ha sede lo studio professionale nonché degli armadi e dei contenitori ove è conservato l’archivio è ragionevolmente adeguata a preservare l’integrità dei dati dai rischi legati a eventi distruttivi accidentali, dolosi o dovuti a incuria.
L’ubicazione di stampanti ed apparecchi telefax tradizionali non consente ad esterni di leggere od asportare
eventualmente documenti non ancora prelevati dal titolare.
4.2 Integrità dei dati
4.2.1 Computer e supporti informatici
Il computer in dotazione è sollevato da terra, in modo da evitare eventuali perdite di dati dovuti ad allagamenti. L’integrità dei dati è garantita mediante idonee procedure di salvataggio periodico. Detto salvataggio viene effettuato mensilmente, utilizzando uno schema di rotazione di CD masterizzati.
I supporti di salvataggio nastri vengono archiviati e custoditi con le stesse modalità usate per i dati su supporto cartaceo.
I supporti magnetici vengono sostituiti con una frequenza sufficiente a prevenirne il deterioramento.
I supporti magnetici contenenti dati personali, possono essere riutilizzati esclusivamente previa “formattazione”, in modo da impedire la lettura dei precedenti.
4.2.2 Supporti cartacei
In merito ai supporti cartacei è stato disposto che qualsiasi documento venga inserito in cartelline non trasparenti.
Si ritiene pertanto che le misure fin qui descritte contrastino in modo accettabile i rischi descritti nell’analisi e
garantiscano perciò il livello di sicurezza minimo.
5. Conclusioni
Il presente documento scaturisce da un’analisi di valutazione dei rischi, ma è previsto l’aggiornamento del medesimo nel caso di sostituzione di attrezzature o di cambiamento nella disposizione degli spazi di lavoro, che modifichino sostanzialmente i criteri di sicurezza sopra indicati.
Il sottoscritto provvederà a perfezionare le anzidette misure in base all’esperienza e ad una analisi sempre più approfondita dei rischi.
Milano, 29 gennaio 2019