Privacy - Solidarietà e vita

SOLIDARIETÀ E VITA

SOCIETÀ COOPERATIVA SOCIALE

Viale della Resistenza, 24 – B.go S. Maria

64025 PINETO (TE)

Tel. e fax: (085) 9495234

tristanc@libero.it – solidarietaevita@pec.it Partita IVA / C.Fiscale: 01518590672

Registro delle Attività di Trattamento e Modello Organizzativo Privacy

Registro delle Attività di Trattamento e documento di sintesi sulle misure di sicurezza e sulle procedure adottate per la tutela dei dati personali ed i dati aziendali in genere, redatto in base alle disposizioni del Regolamento UE 679/2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e del D.Lgs. 196/2003 (Codice Privacy), così come modificato dal D.Lgs. 101/2018 di adeguamento.

STAMPATO IL 13/04/202

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 1

1. Registro delle Attività di Trattamento e Modello Organizzativo Privacy
1.1. Revisione
1.2. Finalità del presente
1.3. Campo di applicazione
1.4. Riferimenti normativi
1.5. Definizioni
1.6. Elenco degli allegati e modelli utilizzati

2. Ruoli, compiti e nomina delle figure previste per la sicurezza dei dati personali
2.1. Titolare del Trattamento dei dati personali

2.1.1. Compiti del Titolare del Trattamento dei dati personali
2.2. Amministratore di Sistema, Base dati e Rete
2.2.1. Compiti degli Amministratori di Sistema, Base dati e Rete
2.2.2. Nomina Amministratore di Sistema, Amministratore di Base Dati, Amministratore di Rete
2.2.3. Persone fisiche autorizzate al trattamento quali Manutentori occasionali di sistema
2.3. Designato per specifici compiti e funzioni (attività di trattamento)
2.3.1. Compiti del Designato per specifici compiti e funzioni (attività di trattamento)
2.3.2. Nomina dei Designati per specifici compiti e funzioni (attività di trattamento)
2.4. Incaricati della gestione e della manutenzione degli strumenti elettronici
2.4.1. Compiti degli incaricati della gestione e della manutenzione degli strumenti elettronici
2.4.2. Nomina degli incaricati della gestione e della manutenzione degli strumenti elettronici
2.5. Incaricato della custodia delle copie delle credenziali
2.5.1. Compiti degli incaricati della custodia delle copie delle credenziali
2.5.2. Nomina degli Incaricati della custodia delle copie delle credenziali
2.6. Incaricato delle copie di sicurezza delle banche dati
2.6.1. Compiti degli incaricati delle copie di sicurezza delle banche dati
2.6.2. Nomina degli Incaricati delle copie di sicurezza delle banche dati
2.7.1. Compiti degli Incaricati del trattamento dei dati personali
2.7.2. Nomina degli incaricati del trattamento dei dati personali

3. Trattamenti con l’ausilio di strumenti elettronici
3.1. Sistema di autenticazione informatica
3.1.1. Procedura di identificazione
3.1.2. Identificazione dell’incaricato
3.1.3. Cautele per assicurare la segretezza della componente riservata della credenziale
3.1.4. Caratteristiche della parola chiave
3.1.5. Modalità di richiesta delle credenziali di autenticazione
3.1.6. Istruzioni per non lasciare incustodito e accessibile lo strumento elettronico
3.1.7. Accesso straordinario
3.2. Sistema di autorizzazione
3.3. Altre misure di sicurezza
3.4. Periodicità di revisione del Registro Attività di Trattamento e Modello Organizzativo Privacy
3.5. Elenco dei trattamenti di dati personali
3.5.1. Elenco delle sedi e degli uffici in cui vengono trattati i dati
3.5.2. Registro delle attività di trattamento
3.5.3. Registro del Titolare
3.5.4. Registro del Responsabile
3.5.5. Attività di trattamento del Titolare e del Responsabile
3.5.6. Elenco dei sistemi di elaborazione per il trattamento
3.6. Distribuzione compiti e responsabilità nell’ambito delle strutture preposte al trattamento
3.6.1. Elenco dei soggetti autorizzati al trattamento dei dati
3.6.2. Verifiche periodiche delle condizioni per il mantenimento delle autorizzazioni
3.6.3. Distribuzione dei compiti e delle responsabilità
3.7. Analisi e valutazione dei rischi
3.7.1. Analisi dei rischi hardware
3.7.2. Analisi dei rischi sui sistemi operativi e sui software installati
3.7.3. Analisi dei rischi nel trattamento dei dati personali Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina
3.7.3.1. Premessa
3.7.3.2. Scopo
3.7.3.3. Funzione di riferimento
3.7.4. Modalità di esecuzione della valutazione dei rischi
3.7.5. (1° Fase) Procedura ed istruzioni per la valutazione dell’impatto
3.7.5.1 Istruzioni per la valutazione d’impatto
3.7.5.2 Valutazione d’impatto
3.7.6. (2° Fase) Procedura ed istruzioni per la valutazione della probabilità di accadimento
3.7.7. (3° Fase) Procedura ed istruzioni per la valutazione del rischio intrinseco
3.7.8. (4° Fase) Procedura ed istruzioni per la valutazione della vulnerabilità
3.7.9. (5° Fase) Procedura ed istruzioni per il calcolo del Rischio Residuo
3.7.10. (6° Fase) Misure per la gestione del rischio
3.7.11. Report dei rischi sul trattamento dei dati personali (DTEC_Z)
3.7.12. Misure di sicurezza adottate
3.7.13. Misure per la gestione del rischio
3.8. Misure da adottare per garantire l’integrità e la disponibilità dei dati
3.9. Misure da adottare per la protezione di dati personali, rilevanti ai fini della loro custodia e accessibilità
3.9.1. Misure generali
3.10. Formazione degli incaricati del trattamento
3.10.1. Piano di formazione
3.11. Criteri da adottare per garantire l’adozione delle misure di sicurezza adeguate in caso di trattamenti di dati personali affidati all’esterno della struttura del Titolare (art. 28 GDPR)
3.11.1. Trattamenti di dati personali affidati all’esterno della struttura del Titolare
3.11.2. Nomina del Responsabile del trattamento in Out-sourcing
3.12. Ulteriori misure in caso di trattamento di dati particolari o giudiziari
3.12.1. Protezione contro l’accesso abusivo
3.12.2. Istruzioni organizzative e tecniche per la custodia e l’uso dei supporti rimovibili
3.12.3. Riutilizzo dei supporti rimovibili
3.12.4. Ripristino dell’accesso ai dati in caso di danneggiamento
3.13. Data Protection Officer – Responsabile Protezione Dati (DPO-RPD
3.13.1. Trattamenti per cui è obbligatoria la nomina del DPO-RPD
3.13.2. Valutazione necessità di nomina Responsabile Protezione Dati (DPO-RPD)
4. Trattamenti senza l’ausilio di strumenti elettronici
4.1. Nomina e istruzioni agli incaricati
4.2. Norme di sicurezza trattamento dati personali effettuato senza l’ausilio di strumenti elettronici
4.3. Copie degli atti e dei documenti
4.4. Controllo degli accessi

5. Diritti dell’interessato
5.1. Trasparenza e modalità
5.2. Informazione e accesso ai dati personali e diritti dei soggetti interessati
5.3. Esercizio dei diritti
5.4. Designato per specifici compiti e funzioni (riscontro agli interessati)
5.5. Compiti del Designato per specifici compiti e funzioni (riscontro agli interessati)
5.6. Nomina dei Designati per specifici compiti e funzioni (riscontro agli interessati)
5.7. Flow chart della Procedura per il Riscontro agli Interessati

6. Data Breach
6.1. Violazioni di dati personali (Artt. 33 e 34 del Regolamento UE 679/2016)
6.2. Designato per specifici compiti e funzioni (data breach)
6.3. Compiti del Designato per specifici compiti e funzioni (data breach)
6.4. Nomina dei Designati per specifici compiti e funzioni (data breach)
6.5. Flow chart della Procedura di Data Breach

7. Privacy by Design e Privacy by Default
7.1. Procedura per garantire i principi di Privacy by Design & Privacy by Default
7.2. Designato per specifici compiti e funzioni (privacy by design e privacy by default) Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina
7.3. Compiti del Designato per specifici compiti e funzioni (data breach)
7.4. Nomina dei Designati per specifici compiti e funzioni (privacy by design e privacy by default)

Modello Organizzativo Privacy e Registro delle Attività di Trattamento

1. Registro delle Attività di Trattamento e Modello Organizzativo Privacy

1.1. Revisione

Rev Data

1.0 01/04/2019

2.0 10/04/2020 3.0 03/02/2021 4.0 24/02/2022 5.0 13/04/2023

Indice delle revisioni

Descrizione

Revisione annuale 2019
(con ristampa di tutta la documentazione) Revisione annuale 2020 Revisione annuale 2021 Revisione annuale 2022 Revisione annuale 2023

Redatto

01/04/2019

10/04/2020 03/02/2021 24/02/2022 13/04/2023

Verificato

01/04/2019

10/04/2020 03/02/2021 24/02/2022 13/04/2023

Approvato

01/04/2019

10/04/2020 03/02/2021 24/02/2022 13/04/2023

Il presente “Registro delle Attività di Trattamento e Modello Organizzativo Privacy”, le cui
potranno aggiornare se le stesse, per motivi diversi, non risultassero più coerenti con l’organizzazione o con il trattamento dei dati, è stato redatto per:

SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Viale della Resistenza, 24 – B.go S. Maria 64025 PINETO (TE)
Tel. e fax: (085) 9495234 tristanc@libero.it – solidarietaevita@pec.it P.IVA/C.FISC: 01518590672

che è Titolare del Trattamento dei Dati Personali trattati.

Il preposto a svolgere le funzioni di Titolare del Trattamento, a cui spetta la vigilanza sul rispetto, da parte degli eventuali delegati Responsabili interni, delle proprie istruzioni e sulla puntuale osservanza delle disposizioni vigenti in materia di trattamento dei dati aziendali e la loro sicurezza è:

Tristano Cervella Legale Rappresentante

Il presente “Registro delle Attività di Trattamento e Modello Organizzativo Privacy” è composto da nr. 157 pagine, numerate dalla nr.1 alla nr. 157, integrato separatamente dagli allegati, come specificati nel documento stesso, non numerati.

Modello Organizzativo Privacy e Registro delle Attività di Trattamento

1.2. Finalità del presente documento

Il presente documento viene redatto con la finalità di descrivere il sistema di gestione privacy adottato dall’organizzazione.

Illustra le misure di sicurezza organizzative, fisiche e logiche che sono state predisposte, o che si è pianificato di adottare nella logica del miglioramento continuo e con l’obiettivo di ridurre i rischi derivanti dal trattamento dei dati personali ed eventuali dati particolari o giudiziari.

Il documento prodotto è finalizzato anche a dimostrare ai soggetti interessati ed alle autorità di controllo l’effettiva “responsabilizzazione” dell’organizzazione, secondo il “principio di accountability”.

Al fine di garantire una più precisa analisi e una conseguente maggiore tutela dei dati personali e le garanzie di adozione dei diritti previsti per i soggetti interessati, si è scelto di ricomprendere nella redazione del presente documento tutte le tipologie di dati personali esistenti presso l’organizzazione con qualsiasi modalità trattati.

Il documento, anche tramite specifici allegati approvati con lo stesso ed aggiornati periodicamente, contiene le analisi e le valutazioni necessarie per la redazione del registro dei trattamenti previsto dall’art. Articolo 30 Regolamento UE 679/16 che si riporta per esteso:

Art.30 del GDPR

1. Ogni Titolare e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità. Tale registro contiene tutte le seguenti informazioni:
a) il nome e i dati di contatto del Titolare e, ove applicabile, del Contitolare, del rappresentante del Titolare e del Responsabile della protezione dei dati;

b) le finalità del trattamento;
c) una descrizione delle categorie di interessati e delle categorie di dati personali;
d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.
2. Ogni responsabile del trattamento e, ove applicabile, il suo rappresentante tengono un registro di tutte le categorie di attività relative al trattamento svolte per conto di un Titolare, contenente:
a) il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni Titolare per conto del quale agisce il responsabile del trattamento, del rappresentante del Titolare o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati;
b) le categorie dei trattamenti effettuati per conto di ogni Titolare;
c) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
d) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.
3. I registri di cui ai paragrafi 1 e 2 sono tenuti in forma scritta, anche in formato elettronico.
4. Su richiesta, il Titolare o il responsabile del trattamento e, ove applicabile, il rappresentante del Titolare o del responsabile del trattamento mettono il registro a disposizione dell’autorità di controllo.
5. Gli obblighi di cui ai paragrafi 1 e 2 non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10.

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 6

1.3. Campo di applicazione

Il Registro delle Attività di Trattamento e Modello Organizzativo Privacy definisce le politiche e gli standard di sicurezza in merito al trattamento dei dati personali.

Il Registro delle Attività di Trattamento e Modello Organizzativo Privacy riguarda il trattamento di tutti i dati:
 Personali
 Particolari

 Giudiziari
Il Registro delle Attività di Trattamento e Modello Organizzativo Privacy si applica al trattamento di tutti i

dati personali effettuato per mezzo di:  Strumenti elettronici di elaborazione

 Altri strumenti di elaborazione (ed esempio: Cartacei, Audio, Visivi e Audiovisivi, ecc..)
È bene che Il Registro delle Attività di Trattamento e Modello Organizzativo Privacy sia fatto conoscere

ed applicato da tutte le funzioni che fanno parte dell’organizzazione.

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 7

1.4. Riferimenti normativi

 D.Lgs. n.196 del 30 giugno 2003, Codice in materia di protezione dei dati personali (Codice Privacy);
 Provvedimenti del Garante della Privacy (Videosorveglianza, Amministratore di Sistema, Dossier sanitario, etc.);
 Regolamento UE 679/2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati;
 D.Lgs. n.101 del 10 agosto 2018, recante disposizioni per l’adeguamento della normativa nazionale al Regolamento UE 679/2016;
 Altre normative di riferimento;

che congiuntamente, di seguito, vengono definiti “Normativa Applicabile”.

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 8

1.5. Definizioni

“Archivio”: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;
“Autorità di controllo”: l’autorità pubblica indipendente istituita da uno Stato membro ai sensi dell’articolo 51;

“Consenso dell’interessato”: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento; “Dati biometrici”: i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici;

“Dati genetici”: i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall’analisi di un campione biologico della persona fisica in questione;
“Dato personale”: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

“Dati relativi alla salute”: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute;
“Designato”: il soggetto che opera sotto l’autorità del titolare e a cui lo stesso ha attribuito, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, specifici compiti e funzioni connesse al trattamento dei dati personali (art. 2-quaterdecies, 1 co., D.Lgs. 196/2003). “Destinatario”: la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell’ambito di una specifica indagine conformemente al diritto dell’Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento;

“Gruppo imprenditoriale”: un gruppo costituito da un’impresa controllante e dalle imprese da questa controllate;
“Impatto”: stima (in astratto) del danno/conseguenze che deriverebbero all’interessato qualora per un certo tipo di trattamento si verificasse una perdita di riservatezza/confidenzialità, integrità e disponibilità, da intendersi come conseguenze che la perdita di requisiti di sicurezza dei dati personali trattati dal Titolare possono comportare per i diritti degli interessati

“Impresa”: la persona fisica o giuridica, indipendentemente dalla forma giuridica rivestita, che eserciti un’attività economica, comprendente le Società di persone o le Associazioni che esercitano regolarmente un’attività economica;
“Interessato”: la persona fisica (identificato o identificabile) i cui dati personali sono oggetto di trattamento (art. 4, paragrafo 1, n. 1).

“Limitazione di trattamento”: il contrassegno dei dati personali conservati con l’obiettivo di limitarne il trattamento in futuro;
“Minaccia”: qualsiasi circostanza o evento che potenzialmente può determinare un impatto negativo (un male o un danno) ad una cosa o persona;

“Norme vincolanti d’impresa”: le politiche in materia di protezione dei dati personali applicate da un Titolare del trattamento o Responsabile del trattamento stabilito nel territorio di uno Stato membro al trasferimento o al complesso di trasferimenti di dati personali a un Titolare del trattamento o Responsabile del trattamento in uno o più paesi terzi, nell’ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un’attività economica comune;

“Pericolo”: proprietà o qualità intrinseca di un determinato fattore avente il potenziale di causare danni. “Profilazione”: qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica;

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 9

“Pseudonimizzazione”: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti ad un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile;

“Responsabile del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del Titolare del trattamento;
“Rischio”: scenario che descrive un evento e le sue conseguenze, stimato in termini di gravità e probabilità;

“Rischio intrinseco”: rapporto fra impatto e stima della probabilità di occorrenza delle minacce, cioè il rischio connesso ad un trattamento in assenza di misure o dei controlli di sicurezza applicati;
“Rischio residuo”: si ottiene moltiplicando il rischio intrinseco per il livello di vulnerabilità. Il rischio residuo connesso ad un trattamento è quello che deriva dal rischio implicito legato al trattamento e dalla capacità di attuazione dei controlli ritenuti desiderabili;

“Terzo”: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il Titolare del trattamento, il Responsabile del trattamento e le persone Autorizzate al trattamento dei dati personali sotto l’Autorità diretta del Titolare o del Responsabile;
“Titolare del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il Titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri;

“Trattamento”: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione; “Rappresentante”: la persona fisica o giuridica stabilita nell’Unione che, designata dal Titolare del trattamento o dal Responsabile del trattamento per iscritto ai sensi dell’articolo 27, li rappresenta per quanto riguarda gli obblighi rispettivi a norma del Regolamento;

“Stabilimento principale”: per quanto riguarda un Titolare del trattamento con stabilimenti in più di uno Stato membro, il luogo della sua amministrazione centrale nell’Unione, salvo che le decisioni sulle finalità e i mezzi del trattamento di dati personali siano adottate in un altro stabilimento del Titolare del trattamento nell’Unione e che quest’ultimo stabilimento abbia facoltà di ordinare l’esecuzione di tali decisioni, nel qual caso lo stabilimento che ha adottato siffatte decisioni è considerato essere lo stabilimento principale;

“Valutazione dei rischi”: valutazione globale e documentata di tutti i rischi inerenti al trattamento di dati personali per i diritti e le libertà delle persone fisiche presenti nell’attività svolta, finalizzata ad individuare le misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio.

“Violazione dei dati personali”: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati;
“Vulnerabilità”: caratteristica d’uso di un oggetto che può essere sfruttata da una minaccia per creare effetti negativi. Nel caso della valutazione dei rischi in materia di protezione dati personali la vulnerabilità rappresenta, in sintesi, la misura della mancanza dei controlli ritenuti desiderabili.

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 10

1.6. Elenco degli allegati e modelli utilizzati

Gli allegati effettivamente realizzati nel documento possono differire da quelli qui elencati a seconda della necessità o meno della sttampa delle informazioni in essi contenuti.

Codice

LI_ADS LI_BKP LI_CDP LI_IDT *LI_ASIS *LI_ABDA *LI_ANET *LI_DB *LI_RI *LI_PbD

*LI_DT *LI_RST *DTEC_W *DTEC_R

DTEC_A DTEC_B DTEC_D DTEC_E DTEC_F DTEC_G DTEC_H DTEC_Hr DTEC_J DTEC_M DTEC_N DTEC_S *DTEC_Sc DTEC_T DTEC_U DTEC_Z DTEC_V DTEC_P BKP_B BKP_V BKP_R *INC_GEN

* ove presenti

Tipo di documento Lettera di incarico Lettera di incarico

Lettera di incarico Lettera di incarico Lettera di incarico Lettera di incarico Lettera di incarico Lettere di incarico Lettere di incarico Lettere di incarico

Lettere di incarico Lettera di incarico Lettera di incarico Elenco allegato

Modello
Modello
Registro allegato Modello
Modello
Modello
Modello
Registro allegato Modello
Modello
Modello
Modello
Modello
Modello
Modello
Modello
Modello
Modello
Istruzioni
Istruzioni
Istruzioni
Elenco nominativi e piano formazione

Descrizione

Incaricato gestione e manutenzione strumenti elettronici Incaricato delle copie di sicurezza delle banche dati Custode delle copie delle credenziali
Incaricato del trattamento dei dati personali Amministratore di Sistema

Amministratore di Base Dati
Amministratore di Rete
Designato per specifici compiti e funzioni (data breach)
Designato per specifici compiti e funzioni (riscontro interessati) Designato per specifici compiti e funzioni (privacy by design e privacy by default)
Designato per specifici compiti e funzioni (data retention)
Designato per specifici compiti e funzioni (attività di trattamento) Responsabile del trattamento dei dati in Out-Sourcing
Elenco Titolari per conto dei quali vengono trattati dati in qualità di Responsabile
Registro delle attività di trattamento del Titolare e del Responsabile Elenco delle sedi/uffici in cui vengono trattati i dati
Elenco sistemi di elaborazione per il trattamento dei dati
Soggetti terzi a cui è affidato il trattamento dei dati in out-sourcing Personale autorizzato al trattamento dei dati
Permessi di accesso ai dati
Piano di formazione del personale autorizzato al trattamento dei dati Registro Formazione del personale autorizzato al trattamento dei dati Distribuzione dei compiti e delle responsabilità
Criteri e procedure per garantire l’integrità dei dati
Piano di formazione degli incaricati del back-up
Criteri di assegnazione delle credenziali di accesso
Cartellino delle credenziali di autenticazione
Report dei rischi hardware
Report dei rischi sui software installati
Report dei rischi sul trattamento dei dati personali
Report delle misure di sicurezza adottate
Piano di trattamento del rischio
Istruzioni per il backup dei dati trattati
Istruzioni per la verifica del backup
Istruzioni per il ripristino del backup
Elenco degli incaricati del trattamento dei dati personali (solo cartacei) relativi ad alcune banche dati.

Gli allegati effettivamente realizzati nel documento possono differire da quelli qui elencati a seconda della necessità o meno della stampa delle informazioni in essi contenuti.

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 11

2. Ruoli, compiti e nomina delle figure previste per la sicurezza dei dati personali

2.1. Titolare del Trattamento dei dati personali

2.1.1. Compiti del Titolare del Trattamento dei dati personali

In base a quanto stabilito dall’Art. 4 e 24 del Regolamento UE 679/2016 il “Titolare del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il Titolare o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri”.

Il Titolare del Trattamento (di seguito “Titolare”) si impegna ad assicurare e garantire direttamente che vengano adottate le misure di sicurezza ai sensi della Normativa Applicabile, tese a ridurre al minimo il rischio di distruzione dei dati, accesso non autorizzato o trattamento non consentito, previe idonee istruzioni fornite per iscritto.

Il Titolare può decidere, qualora lo ritenga opportuno, di affidare il trattamento dei dati in tutto o in parte all’esterno della propria struttura.

Inoltre, in base a quanto stabilito dalla Normativa Applicabile (ai sensi del Codice Privacy (D.Lgs.196/03 modificato dal D.Lgs. 10 agosto 2018, Art. 2-quaterdecies), il Titolare, ove necessario, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, può designare facoltativamente uno o più soggetti Designati per specifici compiti e funzioni, anche mediante suddivisione di compiti, i quali sono individuati tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.

Il Titolare specifica analiticamente per iscritto i compiti affidati ai Designati per specifici compiti e funzioni i quali effettuano il trattamento attenendosi scupolosamente alle istruzioni impartite e rimanendo esclusivamente negli ambiti stabiliti dal Titolare stesso.

Qualora il Titolare ritenga di non nominare alcun Designato per specifici compiti e funzioni, ne conserverà tutte le responsabilità e funzioni.

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 12

2.2. Amministratore di Sistema, Base dati e Rete

2.2.1. Compiti degli Amministratori di Sistema, Base dati e Rete

In base a quanto stabilito dal Provvedimento a carattere generale del 27 novembre 2008 pubblicato nella G.U. n. 300 del 24 dicembre 2008, il Titolare, in presenza di di sistemi software complessi, deve designare uno o più soggetti Amministratori di sistema, Amministratori di base dati e Amministratori di Rete anche mediante suddivisione di compiti, laddove tali funzioni siano esercitate in un contesto che renda ad essi tecnicamente possibile l’accesso, anche fortuito, a dati personali.

L’attribuzione delle funzioni di Amministratore di Sistema deve avvenire previa valutazione dell’esperienza, della capacità e dell’affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza.

Anche quando le funzioni di Amministratore di Sistema o assimilate sono attribuite solo nel quadro di una designazione quale incaricato del trattamento, il Titolare e il responsabile devono attenersi comunque a criteri di valutazione equipollenti a quelli richiesti per la designazione dei responsabili.

La designazione quale Amministratore di Sistema deve essere in ogni caso individuale e recare l’elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.

Gli estremi identificativi delle persone fisiche amministratori di sistema, con l’elenco delle funzioni ad essi attribuite, devono essere riportati nel Registro delle Attività di Trattamento e Modello Organizzativo Privacy, oppure, nei casi in cui il Titolare non è tenuto a redigerlo, annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante.

Amministratore di base di dati CERVELLA TRISTANO
Vedi lettera di nomina allegata

Amministratore di sistema CERVELLA TRISTANO
Vedi lettera di nomina allegata

Amministratore di rete CERVELLA TRISTANO
Vedi lettera di nomina allegata

Qualora l’attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale di lavoratori, i titolari pubblici e privati nella qualità di datori di lavoro sono tenuti a rendere nota o conoscibile l’identità degli amministratori di sistema nell’ambito delle proprie organizzazioni, secondo le caratteristiche dell’azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti. Ciò, avvalendosi dell’informativa resa agli interessati ai sensi della Normativa Applicabile nell’ambito del rapporto di lavoro che li lega al Titolare, oppure tramite il disciplinare tecnico la cui adozione è prevista dal provvedimento del Garante n. 13 del 1° marzo 2007 (in G.U. 10 marzo 2007, n. 58); in alternativa si possono anche utilizzare strumenti di comunicazione interna (a es., intranet aziendale, ordini di servizio a circolazione interna o bollettini). Ciò, salvi i casi in cui tale forma di pubblicità o di conoscibilità non sia esclusa in forza di un’eventuale disposizione di legge che disciplini in modo difforme uno specifico settore.

Nel caso di servizi di amministrazione di sistema affidati in outsourcing il Titolare deve conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema.

L’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un’attività di verifica da parte dei titolari del trattamento, in modo da controllare la sua

Ruolo

Nominativo

Descrizione compiti affidati

Ruolo

Nominativo

Descrizione compiti affidati

Ruolo

Nominativo

Descrizione compiti affidati

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 13

rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti.

Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste.

Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.

L’ Amministratore di Sistema, se nominato, ha il compito di:

 assicurare la custodia delle credenziali per la gestione dei sistemi di autenticazione e di autorizzazione in uso in azienda;
 predisporre e rendere funzionanti le copie di sicurezza (operazioni di backup e recovery) dei dati e delle applicazioni;
 predisporre sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici, nella sua qualità di “Amministratore di Sistema”;
 garantire che tali registrazioni (access log) abbiano caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste;
 definire quali politiche adottare per la protezione dei sistemi contro i virus informatici e verificarne l’efficacia con cadenza almeno trimestrale;
 proteggere gli elaboratori dal rischio di intrusione (violazione del sistema da parte di “hackers”);
 informare tempestivamente il Titolare od un suo Responsabile incaricato nella eventualità che sisiano rilevati dei rischi relativamente alle misure di sicurezza riguardanti i dati personali;
 effettuare ogni ulteriore attività, anche se non espressamente indicata in precedenza e necessaria per la integrale attuazione dei provvedimenti del Garante già citati e della NormativaApplicabile.
L’Amministratore di Sistema può individuare, nominare e incaricare per iscritto, uno o più Incaricati della gestione e della manutenzione degli strumenti elettronici (facoltativamente può nominare anche uno o più Incaricati delle copie di sicurezza delle banche dati e uno o più Incaricati della custodia delle copie delle credenziali).

L’ Amministratore di Base Dati, se nominato, ha il compito di provvedere:
-  all’installazione e costante aggiornamento dei software di gestione dei data base, soprattutto quando tali aggiornamenti derivino da rilevate falle nella sicurezza del sistema di trattamento di dati personali;
-  alla gestione della sicurezza dei database, comprese l’aggiunta o la rimozione di utenti, l’attribuzione di profili di accesso, attribuzione o di privilegi di lettura scrittura, modifica, cancellazione;
-  alla verifica della compartimentazione dei database, per evitare accessi non autorizzati, trattamenti non consentiti o non conformi alle finalità per il quale database è stata raccolto;
-  alla verifica che la realizzazione delle copie di backup avvenga agli intervalli minimi prescritti;
-  all’effettuazione di simulazioni di disaster recovery e business continuity per rispettare i parametridi disponibilità dei dati personali, in fase di accesso;
-  a ripristinare tempestivamente la disponibilità e l’accesso ai dati in caso di incidente fisico otecnico;
-  ad effettuare ogni ulteriore attività, anche se non espressamente indicata in precedenza enecessaria per la integrale attuazione dei provvedimenti del Garante già citati e della Normativa Applicabile.
  L’Amministratore di Base Dati può individuare, nominare e incaricare per iscritto, uno o più Incaricati delle copie di sicurezza delle banche dati e uno o più Incaricati della custodia delle copie delle credenziali).

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 14

L’ Amministratore di Rete, se nominato, ha il compito di:

 gestire e mantenere le connessioni di Rete aziendali, garantendone la funzionalità e la sicurezza specie nei contesti nei quali queste siano interfacciate con altre reti pubbliche o private;
 controllare l’integrità della Rete e della sua sicurezza, introducendo, se del caso, appropriate protezioni crittografiche e verificando la presenza di possibili connessioni abusive sulla Rete, che possono essere utilizzate per estrarre dati personali, soggetti a protezione;
 la verifica di tutte le connessioni WiFi, per individuare possibili connessioni abusive;
 l’attivazione e l’aggiornamento di sistemi atti a prevenire intrusioni informatiche, come intrusiondetection systems e firewall;
 l’aggiornamento degli applicativi antivirus/antispyware;
 l’introduzione di possibili filtri sull’accesso ad internet, attivati per fasce orarie, per l’indirizzo IP oper contenuto (vedi Deliberazione del Garante Privacy del 1° marzo 2007);
 la gestione della posta elettronica del sistema di trattamento di dati personali, con la creazione e l’aggiornamento di possibili black list (vedi Deliberazione del Garante Privacy del 1° marzo 2007);
 effettuare ogni ulteriore attività, anche se non espressamente indicata in precedenza e necessaria per la integrale attuazione dei provvedimenti del Garante già citati e della NormativaApplicabile.
Qualora il Titolare ritenga di non nominare alcun Amministratore di Sistema, Amministratore di Base Dati, Amministratore di Rete, ne conserverà tutte le responsabilità e funzioni e sarà demandato a lui l’onere di nominare uno o più Incaricati della gestione e della manutenzione degli strumenti elettronici, uno o più Incaricati delle copie di sicurezza delle banche dati, uno o più Incaricati della custodia delle copie delle credenziali.

Il Titolare informa che ha la facoltà di prevenire ed accertare eventuali accessi non consentiti ai dati personali e con cadenza per lo meno annuale verificare la rispondenza dell’operato degli Amministratori di Sistema, di Base Dati e di Reti, in merito alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali.

Viene precisato inoltre che se l’incarico di Amministratore di Sistema, Amministratore di Base Dati, Amministratore di Rete è affidato in outsourcing, il Titolare ai sensi del Provvedimento del Garante del 27/11/2008 comma 2 lettera d) ha l’obbligo di conservare direttamente e specificatamente gli estremi identificativi delle persone fisiche preposte quali amministratori di base dati.

2.2.2. Nomina Amministratore di Sistema, Amministratore di Base Dati, Amministratore di Rete

La nomina di uno o più Amministratori di Sistema, Amministratori di Base Dati, Amministratori di Rete, deve essere effettuata dal Titolare con una lettera di incarico (LI_ASIS, LI_ABDA, LI_ANET) in cui sono specificate le responsabilità che gli sono affidate e deve essere controfirmata per accettazione.

Copia della lettera di nomina accettata deve essere conservata a cura del Titolare in luogo sicuro.

Il Titolare informa ciascun Amministratore di Sistema, Amministratore di Base Dati, Amministratore di Rete, delle responsabilità che gli sono affidate in conformità a quanto disposto dalle normative in vigore, ed in particolare di quanto stabilito dalla Normativa Applicabile e dal Provvedimento del Garante del 27 novembre 2008.

La nomina degli Amministratori sopra menzionati è a tempo indeterminato, e decade per revoca o dimissioni degli stessi, e può essere revocata in qualsiasi momento dal Titolare senza preavviso, ed eventualmente affidata ad altro soggetto.

2.2.3. Persone fisiche autorizzate al trattamento quali Manutentori occasionali di sistema

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 15

Non rientrano invece nella definizione di “Amministratore di Sistema” quei soggetti che solo occasionalmente intervengono (ad esempio, per scopi di manutenzione a seguito di guasti o malfunzioni) sui sistemi di elaborazione e sui sistemi software.

Anche questi soggetti sono nominati ed autorizzati espressamente ai soli trattamenti necessari per l’espletamento delle attività professionali assegnate e, di regola, trattano dati solo se strettamente necessario e sotto la supervisione di personale incaricato.

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 16

2.3. Designato per specifici compiti e funzioni (attività di trattamento)

2.3.1. Compiti del Designato per specifici compiti e funzioni (attività di trattamento)

In base a quanto stabilito dalla Normativa Applicabile (ai sensi del Codice Privacy (D.Lgs.196/03 modificato dal D.Lgs. 10 agosto 2018, Art. 2-quaterdecies), il Titolare, ove necessario, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, può designare facoltativamente uno o più soggetti Designati per specifici compiti e funzioni (attività di trattamento), anche mediante suddivisione di compiti, i quali sono individuati tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.

Il Designato per specifici compiti e funzioni (attività di trattamento) è la persona fisica al quale il Titolare affida il compito di gestire il trattamento dei dati personali di uno o più Attività di Trattamento dati (di seguito Banche Dati) ed ha il compito di individuare, nominare e incaricare per iscritto, le persone autorizzate (di seguito “Incaricati del trattamento dei dati personali”) del trattamento specifico di cui gli è stata assegnata la responsabilità.

Più specificatamente il Designato per specifici compiti e funzioni (attività di trattamento) ha il compito di:

 identificare e nominare, per iscritto, per le attività di trattamento che gli sono state affidate, le persone fisiche che operano sotto la diretta autorità del Titolare ed attribuire alle stesse specifiche autorizzazioni al trattamento dei dati, impartendo a tale fine analitiche istruzioni e controllando costantemente che le persone fisiche autorizzate al trattamento dei dati effettuino le operazioni di trattamento, con strumenti elettronici e non, nei termini e nei modi stabiliti dalla Normativa Applicabile;
 verificare periodicamente, almeno annuale e, comunque, in occasione di modifiche normative, organizzative e gestionali, che impattano sui trattamenti delle attività affidate, la sussistenza delle condizioni per la conservazione dei profili di autorizzazione degli incaricati del trattamento;
 verificare periodicamente, almeno annuale e, comunque, in occasione di modifiche normative, organizzative e gestionali che impattano sui trattamenti, la costante rispondenza alle attività effettivamente svolte, con obbligo di sottoporre l’eventuale aggiornamento all’approvazione del Titolare;
 mettere in atto le misure tecniche ed organizzative adeguate, identificate dal Titolare, funzionali a garantire un livello di sicurezza adeguato al rischio;
 mettere in atto le misure tecniche ed organizzative adeguate, identificate dal Titolare, per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento;
 proporre e suggerire al Titolare misure tecniche ed organizzative ritenute necessarie a garantire la protezione dei dati personali, in relazione alle attività di trattamento che gli sono state affidate;
 cooperare, su richiesta, con il RPD/DPO (se nominato) e con l’Autorità di controllo nell’esecuzione dei rispettivi compiti;
 collaborare, in caso di violazione dei dati personali, con il Titolare, il “Designato per specifici compiti e funzioni (data breach)” e con il RPD/DPO (se nominato), nel processo di identificazione, valutazione e notifica di una eventuale violazione di dati personali all’Autorità di controllo competente, senza ingiustificato ritardo e, comunque, entro 24 ore dal momento in cui ne è venuto a conoscenza;
 collaborare, in caso di richiesta di esercizio di un diritto da parte degli interessati, con il Titolare, il “Designato per specifici compiti e funzioni (riscontro agli interessati)” e con il RPD/DPO (se nominato), nel processo di verifica e risposta alle istanze degli interessati stessi;
 formulare proposte, annualmente e, comunque, in occasione di modifiche normative, organizzative e gestionali che impattano sui trattamenti, volte a migliorare il sistema di sicurezza e ad elevare il livello di protezione dei dati;
 attuare e partecipare alla formazione in tema di diritti e libertà degli interessati, di rischi di violazione dei dati, di misure di sicurezza da adottare per la protezione dei dati, etc.;
 promuovere la cultura della prevenzione del rischio di violazione dei dati e la cultura della protezione come valore da integrare in ogni processo/procedimento;

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 17

 documentare le attività di controllo e monitoraggio mediante periodici report/resoconti/referti da sottoporre al Titolare;

 effettuare ogni ulteriore attività, anche se non espressamente indicata in precedenza e necessaria per la integrale attuazione della Normativa Applicabile.

Qualora il Titolare ritenga di non nominare uno o più Designati per specifici compiti e funzioni (attività di trattamento), ne conserverà tutte le responsabilità e funzioni.

2.3.2. Nomina dei Designati per specifici compiti e funzioni (attività di trattamento)

La nomina di ciascun Designato per specifici compiti e funzioni (attività di trattamento) deve essere effettuata dal Titolare con una lettera di incarico in cui sono specificate le responsabilità che gli sono affidate e deve essere controfirmata dall’interessato per accettazione. Nella lettera di nomina devono essere indicate le Banche dati di cui lo stesso è responsabile per quanto attiene alla delega e a quanto stabilito dalla Normativa Applicabile.

Copia della lettera di nomina (LI_RST) accettata deve essere conservata a cura del Titolare in luogo sicuro.

Il Titolare deve informare ciascun Designato per specifici compiti e funzioni (attività di trattamento) delle responsabilità che gli sono affidate in conformità a quanto disposto dalle normative in vigore, ed in particolare di quanto stabilito dalla Normativa Applicabile.

La nomina del Designato per specifici compiti e funzioni (attività di trattamento) è a tempo indeterminato, e decade per revoca o dimissioni dello stesso, o può essere revocata in qualsiasi momento dal Titolare senza preavviso, ed eventualmente affidata ad altro soggetto.

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 18

2.4. Incaricati della gestione e della manutenzione degli strumenti elettronici

2.4.1. Compiti degli incaricati della gestione e della manutenzione degli strumenti elettronici

In conformità a quanto disposto dalla Normativa Applicabile, il Titolare o in alternativa, se designato, l’Amministratore di Sistema, in relazione all’attività svolta, possono individuare, nominare e incaricare per iscritto, se lo ritengono opportuno, uno o più Incaricati della gestione e della manutenzione degli strumenti elettronici.

L’Incaricato della gestione e della manutenzione degli strumenti elettronici è la persona fisica che sovrintende alle risorse del sistema operativo di un elaboratore o di un sistema di Banche di dati.

È compito degli Incaricati della gestione e della manutenzione degli strumenti elettronici:

 attivare per tutti i trattamenti effettuati con strumenti elettronici le Credenziali di autenticazione assegnate agli Incaricati del trattamento, su indicazione del Designato per specifici compiti e funzioni (attività di trattamento);
 definire l’attivazione di idonei strumenti per la protezione contro il rischio di intrusione e dell’azione di programmi informatici aventi per scopo o per effetto il danneggiamento di un sistema informatico o telematico, dei dati o dei programmi in esso contenuti o ad esso pertinenti, ovvero l’interruzione, totale o parziale, o l’alterazione del suo funzionamento (questi strumenti devono essere aggiornati con cadenza settimanale);
 aggiornare periodicamente i programmi per elaboratore per prevenire la vulnerabilità degli strumenti elettronici e correggerne difetti (in caso di trattamento di dati particolari “sensibili” o giudiziari l’aggiornamento è almeno mensilmente);
 proteggere, mediante l’utilizzo di idonei strumenti elettronici, i dati particolari (sensibili) o giudiziari contro l’accesso da parte di chiunque abusivamente si introduce nel sistema informatico o telematico (art. 615-ter del Codice Penale);
 informare il Titolare o in alternativa, se designato, l’Amministratore di Sistema, nell’eventualità che si siano rilevati dei rischi relativamente alle misure di sicurezza riguardanti i dati personali.Qualora il Titolare o in alternativa, se designato, l’Amministratore di Sistema, ritengano di non nominare alcun Incaricato della gestione e della manutenzione degli strumenti elettronici, ne conserveranno tutte le responsabilità e funzioni.
2.4.2. Nomina degli incaricati della gestione e della manutenzione degli strumenti elettronici

Il Titolare o in alternativa, se designato, l’Amministratore di Sistema, nomina uno o più soggetti Incaricati della gestione e della manutenzione degli strumenti elettronici a cui è conferito il compito di sovrintendere al buon funzionamento delle risorse del sistema informativo e degli accessi alle Banche di dati.

Anche se non espressamente previsto dalla Normativa Applicabile, è opportuno che il Titolare o in alternativa, se designato, l’Amministratore di Sistema, nomini uno o più Incaricati della gestione e della manutenzione degli strumenti elettronici, specificando gli elaboratori o le banche dati che è chiamato a sovrintendere.

Il Titolare o in alternativa, se designato, l’Amministratore di Sistema, deve informare ciascun Incaricato della gestione e della manutenzione degli strumenti elettronici delle responsabilità che gli sono affidate in conformità a quanto disposto dalle normative in vigore, ed in particolare di quanto stabilito dalla Normativa Applicabile.

La nomina di uno o più Incaricati della gestione e della manutenzione degli strumenti elettronici deve essere effettuata con una lettera di incarico (LI_ADS) e deve essere controfirmata per

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 19

accettazione e copia della lettera di nomina accettata deve essere conservata a cura del Titolare o in alternativa, se designato, l’Amministratore di Sistema, in luogo sicuro.

La nomina degli Incaricati della gestione e della manutenzione degli strumenti elettronici è a tempo indeterminato, e decade per revoca o dimissioni dello stesso, o può essere revocata in qualsiasi momento dal Titolare o in alternativa, se designato, dall’Amministratore di Sistema, senza preavviso, ed eventualmente affidata ad altro soggetto.

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 20

2.5. Incaricato della custodia delle copie delle credenziali

2.5.1. Compiti degli incaricati della custodia delle copie delle credenziali

In conformità a quanto disposto dalla Normativa Applicabile devono essere impartite idonee e preventive disposizioni scritte volte a individuare chiaramente le modalità con le quali il Titolare può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell’incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema.

È onere del Titolare o in alternativa, se designato, dall’Amministratore di Base Dati, in relazione all’attività svolta, individuare, nominare e incaricare per iscritto, se lo ritiene opportuno, uno o più Incaricati della custodia delle copie delle credenziali.

In conformità a quanto stabilito dalla Normativa Applicabile, è compito degli Incaricati della custodia delle copie delle credenziali:

 autorizzare l’assegnazione e provvedere alla gestione ed alla conservazione delle Credenziali di autenticazione per l’accesso ai dati personali degli Incaricati del trattamento, su richiesta del Designato per specifici compiti e funzioni (attività di trattamento), avvalendosi del supporto tecnico dell’Incaricato della gestione e della manutenzione degli strumenti elettronici;
 predisporre, per ogni Incaricato del trattamento, una busta sulla quale sia indicato il nome dell’Incaricato ed al cui interno sia contenuto il modello DTEC_Sc – Cartellino delle credenziali di autenticazione, che dovrà essere compilato dall’Incaricato stesso indicando la credenziale usata dopo aver provveduto a modificare quella fornita per il primo accesso (le buste con le credenziali, sigillate e firmate dagli incaricati stessi, debbono essere conservate in luogo chiuso e protetto);
 istruire gli incaricati del trattamento sull’uso delle componenti riservata delle credenziali di autenticazione, e sulle caratteristiche che devono avere, sulla periodicità del cambio delle stesse e sulle modalità per la loro modifica in autonomia;
 assicurare che la Credenziale di autenticazione, laddove sia stata già utilizzata, non sia assegnata ad altri Incaricati del trattamento, neppure in tempi diversi;
 revocare le Credenziali di autenticazione per l’accesso ai dati degli Incaricati del trattamento nel caso di mancato utilizzo per oltre 6 (sei) mesi;
 revocare tutte le Credenziali di autenticazione non utilizzate in caso di perdita della qualità che consentiva all’Incaricato del trattamento l’accesso ai dati personali;
 impartire istruzioni agli Incaricati del trattamento per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento;
 effettuare ogni ulteriore attività, anche se non espressamente indicata in precedenza e necessaria per la integrale del Regolamento UE n. 679/2016 (“GDPR”) e successive norme nazionali di adeguamento (congiuntamente al GDPR di seguito “Normativa Applicabile”).In caso di prolungata assenza o impedimento di un Incaricato del trattamento che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema, l’Incaricato della custodia delle copie delle credenziali, in accordo con il Designato per specifici compiti e funzioni (attività di trattamento), può assicurare la disponibilità di dati o strumenti elettronici operando secondo le seguenti istruzioni:

A. In caso sia stato nominato almeno un Amministratore di Sistema
1. in collaborazione con lo stesso, modifica in modo forzoso la componente riservata delle

credenziali di autenticazione dell’Incaricato del trattamento dei dati personali assente

o impedito ad effettuare il trattamento;
2. comunica la componente riservata delle credenziali di autenticazione così modificata ad un

altro Incaricato del trattamento dei dati personali designato dal Designato per specifici

compiti e funzioni (attività di trattamento) il quale potrà utilizzarla solo temporaneamente; 3. terminata l’assenza o l’impedimento dell’Incaricato del trattamento che aveva reso indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema, quest’ultimo dovrà essere informato dell’intervento effettuato e dovrà modificare la

propria componente riservata delle credenziali di autenticazione.
Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 21

B. In caso NON sia stato nominato nessun Amministratore di Sistema

provvede ad aprire la busta sigillata e firmata con il DTEC_Sc – Cartellino delle credenziali diautenticazione contenete la componente riservata delle credenziali di autenticazione dell’Incaricato del trattamento dei dati personali assente o impedito ad effettuare il trattamento;
comunica la componente riservata delle credenziali di autenticazione scritta nel DTEC_Sc – Cartellino delle credenziali di autenticazione ad un altro Incaricato del trattamento dei dati personali designato dal Designato per specifici compiti e funzioni (attività di trattamento) il quale potrà utilizzarla solo temporaneamente;
terminata l’assenza o l’impedimento dell’Incaricato del trattamento che aveva reso indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema, quest’ultimo dovrà essere informato dell’intervento effettuato e dovrà modificare la propria componente riservata delle credenziali di autenticazione consegnando una nuova busta sigillata con il DTEC_Sc – Cartellino delle credenziali di autenticazione all’Incaricato della custodia delle copie delle credenziali.

Qualora il Titolare o in alternativa, se designato, l’Amministratore di Base Dati, ritenga di non nominare alcun Incaricato della custodia delle copie delle credenziali, ne conserverà tutte le responsabilità e funzioni.

2.5.2. Nomina degli Incaricati della custodia delle copie delle credenziali

In conformità a quanto disposto dalla Normativa Applicabile, il Titolare o in alternativa, se designato, l’Amministratore di Base Dati, nomina uno o più soggetti Incaricati della custodia delle copie delle credenziali a cui è conferito il compito di autorizzare l’assegnazione e la gestione delle Credenziali di autenticazione per l’accesso ai dati gestiti con strumenti elettronici.

La nomina di uno o più Incaricati della custodia delle copie delle credenziali deve essere effettuata con una lettera di incarico (LI_CDP), deve essere controfirmata per accettazione e copia della lettera di nomina accettata deve essere conservata a cura del Titolare o in alternativa, se designato, l’Amministratore di Base Dati, in luogo sicuro.

Il Titolare o in alternativa, se designato, l’Amministratore di Base Dati, deve informare gli Incaricati della custodia delle copie delle credenziali della responsabilità che è stata loro affidata in conformità a quanto disposto dalla Normativa Applicabile.

La nomina di uno o più Incaricati della custodia delle copie delle credenziali è a tempo indeterminato, e decade per revoca o dimissioni dello stesso, e può essere revocata in qualsiasi momento dal Titolare o in alternativa, se designato, dall’Amministratore di Base Dati, senza preavviso, ed eventualmente affidata ad altro soggetto.

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 22

2.6. Incaricato delle copie di sicurezza delle banche dati

2.6.1. Compiti degli incaricati delle copie di sicurezza delle banche dati

L’Incaricato delle copie di sicurezza delle banche dati è la persona fisica o la persona giuridica che ha il compito di sovraintendere alla esecuzione periodica delle copie di sicurezza delle Banche di dati personali gestite.

Al fine di garantire l’integrità dei dati contro i rischi di distruzione o perdita, il Titolare o in alternativa, se designato, l’Amministratore di Base Dati, stabilisce, con il supporto tecnico dell’Incaricato della gestione e della manutenzione degli strumenti elettronici la periodicità con cui devono essere effettuate le copie di sicurezza delle Banche di dati trattate.

I criteri devono essere concordati con l’Incaricato della gestione e della manutenzione degli strumenti elettronici in relazione al tipo di rischio potenziale e in base al livello di tecnologia utilizzata.

In conformità a quanto disposto dalla Normativa Applicabile la frequenza con cui devono essere effettuate le copie dei dati personali non deve superare in nessun caso i 7 (sette) giorni.

In particolare, per ogni Banca di dati devono essere definite le seguenti specifiche:

 Il “Tipo di supporto” da utilizzare per le “Copie di Back-Up”.
 Il numero di “Copie di Back-Up” effettuate ogni volta.
 Se i supporti utilizzati per le “Copie di Back-Up” sono riutilizzati e in questo caso con quale periodicità.
 Se per effettuare le “Copie di Back-Up” si utilizzano procedure automatizzate e programmate.
 Le modalità di controllo delle “Copie di Back-Up”.
 La durata massima stimata di conservazione delle informazioni senza che ci siano perdite ocancellazione di dati.
 L’Incaricato del trattamento a cui è stato assegnato il compito di effettuare le “Copie di Back-Up”.
 Le istruzioni e i comandi necessari per effettuare le “Copie di Back-Up”.È compito degli Incaricati delle copie di sicurezza delle banche dati:

 prendere tutti i provvedimenti necessari ad evitare la perdita o la distruzione dei dati e provvedere al ricovero periodico degli stessi con copie di sicurezza secondo i criteri stabiliti dal Titolare o in alternativa, se designato, l’Amministratore di Base Dati;
 assicurarsi della qualità delle copie di sicurezza dei dati e della loro conservazione in luogo adatto e sicuro;
 assicurarsi della conservazione delle copie di sicurezza in luogo adatto e sicuro e ad accesso controllato;
 di provvedere a conservare con la massima cura e custodia i dispositivi utilizzati per le copie di sicurezza, impedendo l’accesso agli stessi dispositivi da parte di personale non autorizzato;
 di segnalare tempestivamente all’Incaricato della gestione e della manutenzione degli strumenti elettronici, ogni eventuale problema dovesse verificarsi nella normale attività di copia delle banche dati.Qualora il Titolare o in alternativa, se designato, l’Amministratore di Base Dati, ritenga di non nominare alcun Incaricato delle copie di sicurezza delle banche dati, ne conserveranno tutte le responsabilità e funzioni.

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 23

2.6.2. Nomina degli Incaricati delle copie di sicurezza delle banche dati

In conformità a quanto disposto dalla Normativa Applicabile, il Titolare o in alternativa, se designato, l’Amministratore di Base Dati, in relazione all’attività svolta, possono individuare, nominare e incaricare per iscritto, se lo ritengono opportuno, uno o più Incaricati delle copie di sicurezza delle banche dati a cui è conferito il compito di effettuare periodicamente le copie di sicurezza delle Banche di dati gestite specificando gli elaboratori o le banche dati che è chiamato a sovrintendere.

Il Titolare o in alternativa, se designato, l’Amministratore di Base Dati, deve informare ciascun Incaricato delle copie di sicurezza delle banche dati delle responsabilità che gli sono affidate in conformità a quanto disposto dalle normative in vigore, ed in particolare di quanto stabilito dalla Normativa Applicabile.

La nomina di uno o più Incaricati delle copie di sicurezza delle banche dati deve essere effettuata con una lettera di incarico (LI_BKP) e deve essere controfirmata.

Copia della lettera di nomina accettata deve essere conservata a cura del Titolare o in alternativa, se designato, dell’Amministratore di Base Dati, in luogo sicuro.

La nomina degli Incaricati delle copie di sicurezza delle banche dati è a tempo indeterminato, e decade per revoca o dimissioni dello stesso, o può essere revocata in qualsiasi momento dal Titolare o in alternativa, se designato, dall’Amministratore di Base Dati, senza preavviso, ed eventualmente affidata ad altro soggetto.

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 24

2.7. Incaricato del trattamento dei dati personali

2.7.1. Compiti degli Incaricati del trattamento dei dati personali

In base a quanto stabilito dalla Normativa Applicabile, le operazioni di trattamento possono essere effettuate solo da persone autorizzate (di seguito “Incaricati del trattamento”) che operano sotto la diretta autorità del Titolare o, se designato, del Designato per specifici compiti e funzioni (attività di trattamento), attenendosi alle istruzioni impartite.

In base a quanto definito dalla Normativa Applicabile, gli Incaricati del trattamento sono persone fisiche autorizzate a compiere operazioni di trattamento sui dati personali dal Titolare o, se designato, dal Designato per specifici compiti e funzioni (attività di trattamento).

Per i trattamenti di dati personali effettuato con l’ausilio di strumenti elettronici, gli Incaricati del trattamento dei dati personali devono osservare le seguenti disposizioni:

 gli Incaricati del trattamento dei dati personali sono autorizzati ad effettuare esclusivamente i trattamenti di dati personali che rientrano nell’ambito di trattamento definito per iscritto e comunicato all’atto della designazione, con la conseguente possibilità di accesso ed utilizzo della documentazione cartacea e degli strumenti informatici, elettronici e telematici e delle banche dati aziendali che contengono i predetti dati personali;
 il trattamento dei dati personali deve essere effettuato esclusivamente in conformità alle finalità previste e dichiarate e, pertanto, in conformità alle informazioni comunicate agli interessati;
 l’Incaricato del trattamento dei dati personali deve prestare particolare attenzione all’esattezza dei dati trattati e, se sono inesatti o incompleti, deve provvedere ad aggiornarli tempestivamente;
 ogni Incaricato del trattamento dei dati personali è tenuto ad osservare tutte le misure di protezione e sicurezza atte a evitare rischi di distruzione o perdita anche accidentale dei dati, accesso non autorizzato, trattamento non consentito o non conforme alle finalità della raccolta;
 gli Incaricati del trattamento dei dati personali che hanno ricevuto le credenziali di autenticazione per il trattamento dei dati personali, devono conservare con la massima segretezza le componenti riservate delle credenziali di autenticazione (parole chiave) e i dispositivi di autenticazione in loro possesso e uso esclusivo;
 la parola chiave, quando è prevista dal sistema di autenticazione, deve essere composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito;
 la componente riservata delle credenziali di autenticazione (parola chiave) non deve contenere riferimenti agevolmente riconducibili all’incaricato;
 l’Incaricato del trattamento dei dati personali deve modificare la componente riservata delle credenziali di autenticazione (parola chiave) al primo utilizzo e, successivamente, almeno ogni sei mesi;
 in caso di trattamento di dati particolari (sensibili) e di dati giudiziari la componente riservata delle credenziali di autenticazione (parola chiave) deve essere modificata almeno ogni tre mesi;
 gli incaricati del trattamento non devono in nessun caso lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento dei dati personali.Per i trattamenti di dati personali effettuato senza l’ausilio di strumenti elettronici gli Incaricati del trattamento dei dati personali devono osservare le seguenti disposizioni:

 i documenti contenenti dati personali trattati senza l’ausilio di strumenti elettronici non devono essere portati al di fuori dei locali individuati per la loro conservazione se non in casi del tutto eccezionali, e nel caso questo avvenga, l’asportazione deve essere ridotta al tempo minimo necessario per effettuare le operazioni di trattamento;
 per tutto il periodo in cui i documenti contenenti dati personali trattati senza l’ausilio di strumenti elettronici sono al di fuori dei locali individuati per la loro conservazione, l’incaricato del trattamento non dovrà lasciarli mai incustoditi;
 l’incaricato del trattamento deve inoltre controllare che i documenti contenenti dati personali trattati senza l’ausilio di strumenti elettronici, composti da numerose pagine o più raccoglitori, siano sempre completi e integri;

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 25

 al termine dell’orario di lavoro l’incaricato del trattamento deve riportare tutti i documenti contenenti dati personali trattati senza l’ausilio di strumenti elettronici, nei locali individuati per la loro conservazione;
 i documenti contenenti dati personali trattati senza l’ausilio di strumenti elettronici non devono essere mai lasciati incustoditi sul tavolo durante l’orario di lavoro;
 si deve adottare ogni cautela affinché ogni persona non autorizzata, possa venire a conoscenza del contenuto di documenti contenenti dati personali trattati senza l’ausilio di strumenti elettronici;
 per evitare il rischio di diffusione dei dati personali trattati senza l’ausilio di strumenti elettronici, si deve limitare l’utilizzo di copie fotostatiche;
 particolare cautela deve essere adottata quando i documenti sono consegnati in originale a un altro incaricato debitamente autorizzato;
 documenti contenenti dati personali sensibili o dati che, per una qualunque ragione siano stati indicati come meritevoli di particolare attenzione, devono essere custoditi con molta cura;
 è inoltre tassativamente proibito utilizzare copie fotostatiche di documenti (anche se non perfettamente riuscite) all’esterno del posto di lavoro, né tantomeno si possono utilizzare come carta per appunti;
 quando i documenti devono essere portati al di fuori dei locali individuati per la loro conservazione o addirittura all’esterno del luogo di lavoro, l’incaricato del trattamento deve tenere sempre con sé la cartella o la borsa, nella quale i documenti sono contenuti;
 l’incaricato del trattamento deve inoltre evitare che un soggetto terzo non autorizzato al trattamento possa esaminare, anche solo la copertina del documento in questione;
 è proibito discutere, comunicare o comunque trattare dati personali per telefono, se non si è certi che il destinatario sia un incaricato autorizzato a potere trattare i dati in questione;
 si raccomanda vivamente di non parlare mai ad alta voce, trattando dati personali per telefono, soprattutto utilizzando apparati cellulari, in presenza di terzi non autorizzati, per evitare che i dati personali possano essere conosciuti da terzi non autorizzati, anche accidentalmente;
 queste precauzioni diventano particolarmente importanti, quando il telefono è utilizzato in luogo pubblico od aperto al pubblico.2.7.2. Nomina degli incaricati del trattamento dei dati personali
La nomina di ciascun Incaricato del trattamento dei dati personali deve essere effettuata da un Designato per specifici compiti e funzioni (attività di trattamento) con una lettera di incarico in cui sono specificati i compiti che gli sono stati affidati che deve essere controfirmata dall’interessato per presa visione.

Copia della lettera di nomina (LI_IDT) firmata deve essere conservata a cura del Designato per specifici compiti e funzioni (attività di trattamento) in luogo sicuro.

Il Designato per specifici compiti e funzioni (attività di trattamento) deve informare ciascun Incaricato del trattamento dei dati personali delle responsabilità che gli sono affidate in conformità a quanto disposto dalle normative in vigore, ed in particolare di quanto stabilito dalla Normativa Applicabile.

Gli Incaricati del trattamento dei dati personali devono ricevere idonee ed analitiche istruzioni scritte, anche per gruppi omogenei di lavoro, sulle mansioni loro affidate e sugli adempimenti cui sono tenuti. Agli Incaricati del trattamento dei dati personali deve essere assegnata una credenziale di autenticazione e deve essere loro prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale di autenticazione e la diligente custodia dei dispositivi in possesso e ad uso esclusivo dell’incaricato.

La nomina dell’Incaricato del trattamento dei dati personali è a tempo indeterminato, e decade per revoca o dimissioni dello stesso, o può essere revocata in qualsiasi momento dal Designato per specifici compiti e funzioni (attività di trattamento) che gli ha affidato l’incarico, senza preavviso, ed eventualmente può essere affidata ad altro soggetto.

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 26

3. Trattamenti con l’ausilio di strumenti elettronici 3.1. Sistema di autenticazione informatica
3.1.1. Procedura di identificazione

In conformità a quanto disposto dalla Normativa Applicabile, nel caso in cui il trattamento di dati personali è effettuato con strumenti elettronici, il Designato per specifici compiti e funzioni (attività di trattamento) deve assicurarsi che il trattamento sia consentito solamente agli Incaricati del trattamento dei dati personali dotati di Credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti.

3.1.2. Identificazione dell’incaricato

In conformità a quanto disposto dalla Normativa Applicabile, il Titolare e, se nominati, l’Amministratore di Sistema e l’Amministratore di Base Dati avvalendosi della collaborazione dell’Incaricato della custodia delle copie delle credenziali e dell’Incaricato della gestione e della manutenzione degli strumenti elettronici devono assicurare che il trattamento di dati personali, effettuato con strumenti elettronici, sia consentito solamente agli Incaricati del trattamento dotati di una o più Credenziali di autenticazione tra le seguenti:

 un codice per l’identificazione dell’incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo;
 un dispositivo di autenticazione in possesso e uso esclusivo dell’incaricato, eventualmente associato a un codice identificativo o a una parola chiave;
 una caratteristica biometrica dell’incaricato, eventualmente associata a un codice identificativo o a una parola chiave.In conformità a quanto disposto dalla Normativa Applicabile ad ogni Incaricato del trattamento possono essere assegnate o associate individualmente una o più Credenziali per l’autenticazione.
3.1.3. Cautele per assicurare la segretezza della componente riservata della credenziale

In conformità a quanto disposto dalla Normativa Applicabile gli incaricati devono adottare le necessarie cautele per assicurare la segretezza della parola chiave e custodire diligentemente ogni altro dispositivo che gli è stato affidato per i sistemi di autenticazione informatica (badge magnetici, tessere magnetiche, ecc..).

Inoltre, ogni Incaricato del trattamento deve essere informato e reso edotto che le Credenziali di autenticazione:

 sono personali;
 devono essere memorizzate;
 non devono essere comunicate a nessuno;  non devono essere trascritte.

3.1.4. Caratteristiche della parola chiave
In conformità a quanto disposto dalla Normativa Applicabile la Componente riservata delle

credenziali di autenticazione (parola chiave o password) deve rispettare i seguenti criteri:

 non deve contenere nomi comuni;
 non deve contenere nomi di persona;
 deve contenere sia lettere che numeri;
 deve comprendere almeno 3 caratteri alfabetici;

Modello Organizzativo Privacy e Registro delle Attività di Trattamento

Pagina 27

 deve comprendere almeno 2 caratteri numerici;
 deve essere diversa dallo User-Id;
 deve essere lunga 8 caratteri o massimo consentito dal sistema di autenticazione;  on deve essere riconducibile all’incaricato.

3.1.5. Modalità di richiesta delle credenziali di autenticazione

L’assegnazione delle Credenziali di autenticazione avviene dietro specifica richiesta del Designato per specifici compiti e funzioni (attività di trattamento).

La richiesta deve essere inoltrata all’Incaricato della gestione e della manutenzione degli strumenti elettronici in forma scritta utilizzando una copia del modulo DTEC_S.

L’Incaricato della gestione e della manutenzione degli strumenti elettronici provvederà:

 a comunicare all’Incaricato del trattamento dei dati personali al momento dell’attivazione la sua Credenziale di autenticazione;
 a comunicare all’Incaricato del trattamento dei dati personali al momento dell’attivazione la sua Componente riservata delle credenziali di autenticazione (parola chiave o password) provvisoria;
 alla abilitazione dei permessi che consentano all’Incaricato del trattamento dei dati personali di accedere al trattamento che gli è stato affidato;
 ad effettuare le verifiche di corretto accesso;
 a conservare copia della richiestaIl Designato per specifici compiti e funzioni (attività di trattamento) deve informare i propri Incaricati del trattamento dei criteri e delle regole che devono essere osservate per assicurare la segretezza della Componente riservata delle credenziali di autenticazione (parola chiave o password).
Il Designato per specifici compiti e funzioni (attività di trattamento) che ha effettuato la richiesta deve fare firmare ad ogni Incaricato del trattamento per presa visione una copia del modulo DTEC_S in cui sono specificati i criteri che devono essere rispettati per la Componente riservata delle credenziali di autenticazione (parola chiave o password), che deve essere allegata al presente Registro delle Attività di Trattamento e Modello Organizzativo Privacy.

Al primo accesso l’Incaricato del trattamento dovrà modificare la Componente riservata delle credenziali di autenticazione (parola chiave o password) rispettando le regole definite nella lettera di assegnazione delle Credenziali di autenticazione.

È compito dell’Amministratore di Sistema approntare gli strumenti ed i controlli mediante cui verificare il corretto uso delle Credenziali di autenticazione e monitorare e vigilare sui tentativi di accesso non autorizzato.

I tentativi di accesso non autorizzati saranno registrati e dovrà essere data tempestiva comunicazione al Titolare.

In caso di smarrimento della Componente riservata delle credenziali di autenticazione (parola chiave o password) il Designato per specifici compiti e funzioni (attività di trattamento) dell’incaricato dovrà richiedere all’Incaricato della gestione e della manutenzione degli strumenti elettronici una nuova assegnazione.

L’Incaricato della gestione e della manutenzione degli strumenti elettronici provvederà ad annullare la Componente riservata delle credenziali di autenticazione (parola chiave o password) precedente e ad assegnarne una nuova provvisoria.

Le Credenziali di autenticazione che non sono utilizzate per più di 6 mesi dovranno essere disabilitate d’autorità dall’Incaricato della gestione e della manutenzione degli strumenti elettronici.

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 28

I Designati per specifici compiti e funzioni (attività di trattamento) devono dare informazione all’Amministratore di Sistema circa le dimissioni del personale o lo spostamento di mansione per annullare le Credenziali di autenticazione dell’Incaricato del trattamento.

Criteri di assegnazione delle credenziali di accesso alle banche dati (riepilogo DTEC_S)

Resp.Trattam.

Banca Dati

Sistema

Incaricato

Period.

CERVELLA TRISTANO

CERTIFICAZIONI QUALITA Dati conseguimento certificazioni UNI ISO

CLIENTI
Dati anagrafici e contabili clienti

CONTENZIOSO LEGALE
Dati relativi a procedimenti di contenzioso

FORNITORI
Dati anagrafici e contabili fornitori

SISTEMA INFORMATICO (vedi allegato DTEC_D)

CERVELLA TRISTANO

CIARELLI NOVELLA

IOMMARINI ROBERTA

LELLI LILIANA

PAVONE ANTONIO

CERVELLA TRISTANO

CIARELLI NOVELLA

IOMMARINI ROBERTA

LELLI LILIANA

PAVONE ANTONIO

CERVELLA TRISTANO

CIARELLI NOVELLA

IOMMARINI ROBERTA

LELLI LILIANA

Trimestrale

Modello Organizzativo Privacy e Registro delle Attività di Trattamento

Pagina 29

CERVELLA TRISTANO

FORNITORI
Dati anagrafici e contabili fornitori

GESTIONE DATI AMMINISTRATIVI E CONTABILI Dati amministrativi e contabili

GESTIONE GARE APPALTI

SISTEMA INFORMATICO (vedi allegato DTEC_D)

PAVONE ANTONIO

CERVELLA TRISTANO

CIARELLI NOVELLA

IOMMARINI ROBERTA

LELLI LILIANA

PAVONE ANTONIO

CERVELLA TRISTANO

GILIO ANTONIO – ODV

CERVELLA TRISTANO

CIARELLI NOVELLA

IOMMARINI ROBERTA

LELLI LILIANA

PAVONE ANTONIO

CERVELLA TRISTANO

Trimestrale

Gestione capitolati gara pubblico e privato

GESTIONE MODELLO ORGANIZZATIVO 231 Modello organizzativo responsabilità impresa

ambito

Trimestrale

GESTIONE PERSONALE DIPENDENTE
Gestione anagrafiche e altri dati del personale

GESTIONE PROTOCOLLO COVID
Esecuzione protocollo di sicurezza anti-contagio

Modello Organizzativo Privacy e Registro delle Attività di

Trattamento

Pagina 30

CERVELLA TRISTANO

GESTIONE SELEZIONE DEL PERSONALE
Dati anagrafici e C.V.

SISTEMA INFORMATICO (vedi allegato DTEC_D)

SISTEMA INFORMATICO (vedi

CERVELLA TRISTANO

CIARELLI NOVELLA

IOMMARINI ROBERTA

LELLI LILIANA

PAVONE ANTONIO

CERVELLA TRISTANO

CIARELLI NOVELLA

IOMMARINI ROBERTA

LELLI LILIANA

PAVONE ANTONIO

CERVELLA TRISTANO

CIARELLI NOVELLA

IOMMARINI ROBERTA

LELLI LILIANA

PAVONE ANTONIO

CERVELLA TRISTANO

Trimestrale

POSTA ELETTRONICA Gestione posta elettronica contatti

POSTA ELETTRONICA CERTIFICATA
Gestione posta elettronica certificata e contatti

Trimestrale

POTENZIALI CLIENTI
Dati anagrafici dei potenziali clienti

PROTEZIONE DATI PERSONALI Adeguamento al Regolamento

Modello Organizzativo Privacy e Registro delle Attività di Trattamento

Pagina 31

UE 679/2016

allegato DTEC_D)

CERVELLA TRISTANO

PROTEZIONE DATI PERSONALI Adeguamento al Regolamento UE 679/2016

SERVIZI ASSISTENZIALI Gestione attività collegate all’erogazione servizi

SERVIZI INFERMIERISTICI Gestione attività collegate all’erogazione servizi

SERVIZI SOCIALI ASSISTENZIALI ED EDUCATIVI Gestione attività collegate all’erogazione servizi

SISTEMA INFORMATICO (vedi allegato DTEC_D)

CIARELLI NOVELLA

IOMMARINI ROBERTA

LELLI LILIANA

PAVONE ANTONIO

CERVELLA TRISTANO

CIARELLI NOVELLA

IOMMARINI ROBERTA

LELLI LILIANA

PAVONE ANTONIO

CERVELLA TRISTANO

CIARELLI NOVELLA

IOMMARINI ROBERTA

LELLI LILIANA

PAVONE ANTONIO

CERVELLA TRISTANO

CIARELLI NOVELLA

Trimestrale

Modello Organizzativo Privacy e Registro delle Attività di

Trattamento

Pagina 32

CERVELLA TRISTANO

SERVIZI SOCIALI ASSISTENZIALI ED EDUCATIVI Gestione attività collegate all’erogazione servizi

SICUREZZA SUL LAVORO E TUTELA AMBIENTE
Dati relativi alla messa a norma D.Lgs. 81/08 e ss

SISTEMA INFORMATICO (vedi allegato DTEC_D)

IOMMARINI ROBERTA

LELLI LILIANA

PAVONE ANTONIO

CERVELLA TRISTANO

Trimestrale

3.1.6. Istruzioni per non lasciare incustodito e accessibile lo strumento elettronico In conformità a quanto disposto dalla Normativa Applicabile gli Incaricati del trattamento hanno

l’obbligo di:

 non lasciare incustodito il proprio posto di lavoro (o attivare la funzione screensaver);
 di chiudere tutte le applicazioni aperte o meglio ancora di spegnere il sistema informatico in caso di

assenza prolungata.

3.1.7. Accesso straordinario

In conformità a quanto disposto dalla Normativa Applicabile gli Incaricati della custodia delle copie delle credenziali, hanno il compito di assicurare la disponibilità dei dati e degli strumenti elettronici in caso di prolungata assenza o impedimento dell’incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema.

La custodia delle copie delle Credenziali di autorizzazione è organizzata garantendo la relativa segretezza.

Gli Incaricati della custodia delle copie delle credenziali devono informare tempestivamente l’Incaricato del trattamento ogni qualvolta sia stato effettuato un tale tipo di intervento.

In conformità a quanto disposto dalla Normativa Applicabile le disposizioni sul sistema di autenticazione di cui ai precedenti punti e quelle sul sistema di autorizzazione non si applicano ai trattamenti dei dati personali destinati alla diffusione.

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 33

3.2. Sistema di autorizzazione
Il Designato per specifici compiti e funzioni (attività di trattamento) ha il compito di individuare

gli Incaricati del trattamento per ogni tipologia di banca di dati personali trattata.
In conformità a quanto disposto dalla Normativa Applicabile il tipo di trattamento effettuato da ogni

singolo Incaricato del trattamento può essere differenziato.
In particolare, il Designato per specifici compiti e funzioni (attività di trattamento) può decidere

quali operazioni di trattamento siano consentite ad ogni Incaricato del trattamento tra le seguenti:

 inserire nuove informazioni nella banca di dati personali;
 accedere alle informazioni in visualizzazione e stampa;
 modificare le informazioni esistenti nella banca di dati personali;  cancellare le informazioni esistenti nella banca di dati personali.

In conformità a quanto disposto dal dalla Normativa Applicabile almeno una volta l’anno, ogni Designato per specifici compiti e funzioni (attività di trattamento) deve aggiornare l’Elenco dei permessi di accesso che sono stati assegnati agli Incaricati del trattamento per ogni tipologia di banca di dati utilizzando il modulo DTEC_G.

Elenco dei permessi di accesso (DTEC_G)
CERVELLA TRISTANO – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Via Calamandrei, 24
64025 PINETO (TE)
Tel. e fax: (085) 9495234 CERTIFICAZIONI QUALITA
Dati conseguimento certificazioni UNI ISO Dati personali

CERVELLA TRISTANO

CIARELLI NOVELLA – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Via Calamandrei, 24
64025 PINETO (TE)
Tel. e fax: (085) 9495234 CERTIFICAZIONI QUALITA
Dati conseguimento certificazioni UNI ISO Dati personali

CERVELLA TRISTANO

IOMMARINI ROBERTA – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Via Calamandrei, 24
64025 PINETO (TE)
Tel. e fax: (085) 9495234 CERTIFICAZIONI QUALITA
Dati conseguimento certificazioni UNI ISO Dati personali

Limitazione Consultazione Estrazione

Cancellazione
Diffusione
Interconnessione

Comunicazione Distruzione
Modifica

Conservazione Strutturazione Organizzazione

Modello Organizzativo Privacy e Registro delle Attività di Trattamento

Pagina 34

Incaricato da

Raccolta Raffronto Registrazione Selezione

Uso
CERVELLA TRISTANO

LELLI LILIANA – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Via Calamandrei, 24
64025 PINETO (TE)
Tel. e fax: (085) 9495234 CERTIFICAZIONI QUALITA
Dati conseguimento certificazioni UNI ISO Dati personali

CERVELLA TRISTANO

PAVONE ANTONIO – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Via Calamandrei, 24
64025 PINETO (TE)
Tel. e fax: (085) 9495234 CERTIFICAZIONI QUALITA
Dati conseguimento certificazioni UNI ISO Dati personali

CERVELLA TRISTANO

CERVELLA TRISTANO – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Via Calamandrei, 24
64025 PINETO (TE)
Tel. e fax: (085) 9495234 CLIENTI
Dati anagrafici e contabili clienti Dati personali

CERVELLA TRISTANO

CIARELLI NOVELLA – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Via Calamandrei, 24
64025 PINETO (TE)
Tel. e fax: (085) 9495234 CLIENTI
Dati anagrafici e contabili clienti Dati personali

CERVELLA TRISTANO

INCARICATO SENZA PC – INFERMIERE (vedi elenco) – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE
c/o le sedi operative destinatarie dei servizi

CLIENTI

Dati anagrafici e contabili clienti
Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 35

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Incaricato da

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Dati personali

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

CERVELLA TRISTANO

INCARICATO SENZA PC – O.S.S. (vedi elenco) – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE
c/o le sedi operative destinatarie dei servizi

CLIENTI

Dati anagrafici e contabili clienti Dati personali

CERVELLA TRISTANO

INCARICATO SENZA PC GENERICO (vedi elenco) – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE
c/o le sedi operative destinatarie dei servizi

CLIENTI

Dati anagrafici e contabili clienti Dati personali

CERVELLA TRISTANO

IOMMARINI ROBERTA – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Via Calamandrei, 24
64025 PINETO (TE)
Tel. e fax: (085) 9495234 CLIENTI
Dati anagrafici e contabili clienti Dati personali

CERVELLA TRISTANO

LELLI LILIANA – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Via Calamandrei, 24
64025 PINETO (TE)
Tel. e fax: (085) 9495234 CLIENTI
Dati anagrafici e contabili clienti Dati personali

CERVELLA TRISTANO

PAVONE ANTONIO – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Via Calamandrei, 24 64025 PINETO (TE)

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Modello Organizzativo Privacy e Registro delle Attività di Trattamento

Pagina 36

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato

Tel. e fax: (085) 9495234

CLIENTI

Dati anagrafici e contabili clienti Dati personali

CERVELLA TRISTANO

PROFILO PC AMMINISTRATIVO (vedi elenco) – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE
c/o le sedi operative destinatarie dei servizi

CLIENTI

Dati anagrafici e contabili clienti Dati personali

CERVELLA TRISTANO

PROFILO PC OPERATIVO SANITARIO (vedi elenco) – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE
c/o le sedi operative destinatarie dei servizi

CLIENTI

Dati anagrafici e contabili clienti Dati personali

CERVELLA TRISTANO

CERVELLA TRISTANO – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Via Calamandrei, 24
64025 PINETO (TE)
Tel. e fax: (085) 9495234 CONTENZIOSO LEGALE
Dati relativi a procedimenti di contenzioso Dati personali, particolari e giudiziari

CERVELLA TRISTANO

CERVELLA TRISTANO – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Via Calamandrei, 24
64025 PINETO (TE)
Tel. e fax: (085) 9495234 FORNITORI
Dati anagrafici e contabili fornitori Dati personali

CERVELLA TRISTANO

CIARELLI NOVELLA – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Modello Organizzativo Privacy e Registro delle Attività di Trattamento

Pagina 37

il trattamento

Luogo dove avviene il trattamento

Via Calamandrei, 24
64025 PINETO (TE)
Tel. e fax: (085) 9495234 FORNITORI
Dati anagrafici e contabili fornitori Dati personali

CERVELLA TRISTANO

INCARICATO SENZA PC – INFERMIERE (vedi elenco) – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE
c/o le sedi operative destinatarie dei servizi

FORNITORI

Dati anagrafici e contabili fornitori Dati personali

CERVELLA TRISTANO

INCARICATO SENZA PC – O.S.S. (vedi elenco) – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE
c/o le sedi operative destinatarie dei servizi

FORNITORI

Dati anagrafici e contabili fornitori Dati personali

CERVELLA TRISTANO

INCARICATO SENZA PC GENERICO (vedi elenco) – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE
c/o le sedi operative destinatarie dei servizi

FORNITORI

Dati anagrafici e contabili fornitori Dati personali

CERVELLA TRISTANO

IOMMARINI ROBERTA – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

Via Calamandrei, 24
64025 PINETO (TE)
Tel. e fax: (085) 9495234 FORNITORI
Dati anagrafici e contabili fornitori Dati personali

CERVELLA TRISTANO
Modello Organizzativo Privacy e Registro delle Attività di Trattamento

Pagina 38

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

LELLI LILIANA – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Luogo dove avviene il trattamento

Via Calamandrei, 24
64025 PINETO (TE)
Tel. e fax: (085) 9495234 FORNITORI
Dati anagrafici e contabili fornitori Dati personali

CERVELLA TRISTANO

PAVONE ANTONIO – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Via Calamandrei, 24
64025 PINETO (TE)
Tel. e fax: (085) 9495234 FORNITORI
Dati anagrafici e contabili fornitori Dati personali

CERVELLA TRISTANO

PROFILO PC AMMINISTRATIVO (vedi elenco) – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE
c/o le sedi operative destinatarie dei servizi

FORNITORI

Dati anagrafici e contabili fornitori Dati personali

CERVELLA TRISTANO

PROFILO PC OPERATIVO SANITARIO (vedi elenco) – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE
c/o le sedi operative destinatarie dei servizi

FORNITORI

Dati anagrafici e contabili fornitori Dati personali

CERVELLA TRISTANO

CERVELLA TRISTANO – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Via Calamandrei, 24
64025 PINETO (TE)
Tel. e fax: (085) 9495234
GESTIONE DATI AMMINISTRATIVI E CONTABILI Dati amministrativi e contabili
Dati personali e particolari

Limitazione Consultazione Estrazione

Cancellazione
Diffusione
Interconnessione

Comunicazione Distruzione
Modifica

Conservazione Strutturazione Organizzazione

Modello Organizzativo Privacy e Registro delle Attività di Trattamento

Pagina 39

Incaricato da

Raccolta Raffronto Registrazione Selezione

Uso
CERVELLA TRISTANO

CIARELLI NOVELLA – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Via Calamandrei, 24
64025 PINETO (TE)
Tel. e fax: (085) 9495234
GESTIONE DATI AMMINISTRATIVI E CONTABILI Dati amministrativi e contabili
Dati personali e particolari

CERVELLA TRISTANO

IOMMARINI ROBERTA – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Via Calamandrei, 24
64025 PINETO (TE)
Tel. e fax: (085) 9495234
GESTIONE DATI AMMINISTRATIVI E CONTABILI Dati amministrativi e contabili
Dati personali e particolari

CERVELLA TRISTANO

LELLI LILIANA – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Via Calamandrei, 24
64025 PINETO (TE)
Tel. e fax: (085) 9495234
GESTIONE DATI AMMINISTRATIVI E CONTABILI Dati amministrativi e contabili
Dati personali e particolari

CERVELLA TRISTANO

PAVONE ANTONIO – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Via Calamandrei, 24
64025 PINETO (TE)
Tel. e fax: (085) 9495234
GESTIONE DATI AMMINISTRATIVI E CONTABILI Dati amministrativi e contabili
Dati personali e particolari

CERVELLA TRISTANO

PROFILO PC AMMINISTRATIVO (vedi elenco) – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE
c/o le sedi operative destinatarie dei servizi

GESTIONE DATI AMMINISTRATIVI E CONTABILI

Dati amministrativi e contabili
Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 40

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Incaricato da

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Descrizione

Dati personali e particolari

Trattamenti

Incaricato da

CERVELLA TRISTANO

CERVELLA TRISTANO – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Via Calamandrei, 24
64025 PINETO (TE)
Tel. e fax: (085) 9495234
GESTIONE GARE APPALTI
Gestione capitolati gara ambito pubblico e privato Dati personali

CERVELLA TRISTANO

CERVELLA TRISTANO – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Via Calamandrei, 24
64025 PINETO (TE)
Tel. e fax: (085) 9495234
GESTIONE MODELLO ORGANIZZATIVO 231 Modello organizzativo responsabilità impresa Dati personali, particolari e giudiziari

CERVELLA TRISTANO

GILIO ANTONIO – ODV – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Via Calamandrei, 24
64025 PINETO (TE)
Tel. e fax: (085) 9495234
GESTIONE MODELLO ORGANIZZATIVO 231 Modello organizzativo responsabilità impresa Dati personali, particolari e giudiziari

CERVELLA TRISTANO

CERVELLA TRISTANO – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Via Calamandrei, 24
64025 PINETO (TE)
Tel. e fax: (085) 9495234
GESTIONE PERSONALE DIPENDENTE Gestione anagrafiche e altri dati del personale Dati personali, particolari e giudiziari

CERVELLA TRISTANO

CIARELLI NOVELLA – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Tipo di dati trattati

Trattamenti

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

Modello Organizzativo Privacy e Registro delle Attività di Trattamento

Pagina 41

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Luogo dove avviene il trattamento

Via Calamandrei, 24
64025 PINETO (TE)
Tel. e fax: (085) 9495234
GESTIONE PERSONALE DIPENDENTE Gestione anagrafiche e altri dati del personale Dati personali, particolari e giudiziari

CERVELLA TRISTANO

IOMMARINI ROBERTA – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Via Calamandrei, 24
64025 PINETO (TE)
Tel. e fax: (085) 9495234
GESTIONE PERSONALE DIPENDENTE Gestione anagrafiche e altri dati del personale Dati personali, particolari e giudiziari

CERVELLA TRISTANO

LELLI LILIANA – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Via Calamandrei, 24
64025 PINETO (TE)
Tel. e fax: (085) 9495234
GESTIONE PERSONALE DIPENDENTE Gestione anagrafiche e altri dati del personale Dati personali, particolari e giudiziari

CERVELLA TRISTANO

PAVONE ANTONIO – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Via Calamandrei, 24
64025 PINETO (TE)
Tel. e fax: (085) 9495234
GESTIONE PERSONALE DIPENDENTE Gestione anagrafiche e altri dati del personale Dati personali, particolari e giudiziari

CERVELLA TRISTANO

CERVELLA TRISTANO – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Via Calamandrei, 24
64025 PINETO (TE)
Tel. e fax: (085) 9495234
GESTIONE PROTOCOLLO COVID Esecuzione protocollo di sicurezza anti-contagio Dati personali e particolari

Limitazione Consultazione Estrazione
Raccolta

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Modello Organizzativo Privacy e Registro delle Attività di Trattamento

Pagina 42

Incaricato da

Uso
CERVELLA TRISTANO

CERVELLA TRISTANO – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Via Calamandrei, 24
64025 PINETO (TE)
Tel. e fax: (085) 9495234
GESTIONE SELEZIONE DEL PERSONALE Dati anagrafici e C.V.
Dati personali, particolari e giudiziari

CERVELLA TRISTANO

CIARELLI NOVELLA – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Via Calamandrei, 24
64025 PINETO (TE)
Tel. e fax: (085) 9495234
GESTIONE SELEZIONE DEL PERSONALE Dati anagrafici e C.V.
Dati personali, particolari e giudiziari

CERVELLA TRISTANO

IOMMARINI ROBERTA – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Via Calamandrei, 24
64025 PINETO (TE)
Tel. e fax: (085) 9495234
GESTIONE SELEZIONE DEL PERSONALE Dati anagrafici e C.V.
Dati personali, particolari e giudiziari

CERVELLA TRISTANO

LELLI LILIANA – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Via Calamandrei, 24
64025 PINETO (TE)
Tel. e fax: (085) 9495234
GESTIONE SELEZIONE DEL PERSONALE Dati anagrafici e C.V.
Dati personali, particolari e giudiziari

CERVELLA TRISTANO

PAVONE ANTONIO – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Via Calamandrei, 24
64025 PINETO (TE)
Tel. e fax: (085) 9495234
GESTIONE SELEZIONE DEL PERSONALE Dati anagrafici e C.V.

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Incaricato da

Banca dati trattata

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Soggetto a cui è affidato

il trattamento

Luogo dove avviene il trattamento

Descrizione

Modello Organizzativo Privacy e Registro delle Attività di Trattamento

Pagina 43

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Tipo di dati trattati

Descrizione

Dati personali, particolari e giudiziari

Trattamenti

Incaricato da

CERVELLA TRISTANO

CERVELLA TRISTANO – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Via Calamandrei, 24
64025 PINETO (TE)
Tel. e fax: (085) 9495234
POSTA ELETTRONICA
Gestione posta elettronica e contatti Dati personali

CERVELLA TRISTANO

CIARELLI NOVELLA – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Via Calamandrei, 24
64025 PINETO (TE)
Tel. e fax: (085) 9495234
POSTA ELETTRONICA
Gestione posta elettronica e contatti Dati personali

CERVELLA TRISTANO

IOMMARINI ROBERTA – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Via Calamandrei, 24
64025 PINETO (TE)
Tel. e fax: (085) 9495234
POSTA ELETTRONICA
Gestione posta elettronica e contatti Dati personali

CERVELLA TRISTANO

LELLI LILIANA – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Via Calamandrei, 24
64025 PINETO (TE)
Tel. e fax: (085) 9495234
POSTA ELETTRONICA
Gestione posta elettronica e contatti Dati personali

CERVELLA TRISTANO

PAVONE ANTONIO – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Tipo di dati trattati

Trattamenti

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

Modello Organizzativo Privacy e Registro delle Attività di Trattamento

Pagina 44

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Luogo dove avviene il trattamento

Via Calamandrei, 24
64025 PINETO (TE)
Tel. e fax: (085) 9495234
POSTA ELETTRONICA
Gestione posta elettronica e contatti Dati personali

CERVELLA TRISTANO

PROFILO PC AMMINISTRATIVO (vedi elenco) – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE
c/o le sedi operative destinatarie dei servizi

POSTA ELETTRONICA

Gestione posta elettronica e contatti Dati personali

CERVELLA TRISTANO

PROFILO PC OPERATIVO SANITARIO (vedi elenco) – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE
c/o le sedi operative destinatarie dei servizi

POSTA ELETTRONICA

Gestione posta elettronica e contatti Dati personali

CERVELLA TRISTANO

CERVELLA TRISTANO – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Via Calamandrei, 24
64025 PINETO (TE)
Tel. e fax: (085) 9495234
POSTA ELETTRONICA CERTIFICATA Gestione posta elettronica certificata e contatti Dati personali

CERVELLA TRISTANO

CERVELLA TRISTANO – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

Via Calamandrei, 24
64025 PINETO (TE)
Tel. e fax: (085) 9495234 POTENZIALI CLIENTI
Dati anagrafici dei potenziali clienti Dati personali

CERVELLA TRISTANO
Modello Organizzativo Privacy e Registro delle Attività di Trattamento

Pagina 45

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

CIARELLI NOVELLA – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Luogo dove avviene il trattamento

Via Calamandrei, 24
64025 PINETO (TE)
Tel. e fax: (085) 9495234 POTENZIALI CLIENTI
Dati anagrafici dei potenziali clienti Dati personali

CERVELLA TRISTANO

IOMMARINI ROBERTA – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Via Calamandrei, 24
64025 PINETO (TE)
Tel. e fax: (085) 9495234 POTENZIALI CLIENTI
Dati anagrafici dei potenziali clienti Dati personali

CERVELLA TRISTANO

LELLI LILIANA – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Via Calamandrei, 24
64025 PINETO (TE)
Tel. e fax: (085) 9495234 POTENZIALI CLIENTI
Dati anagrafici dei potenziali clienti Dati personali

CERVELLA TRISTANO

PAVONE ANTONIO – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Via Calamandrei, 24
64025 PINETO (TE)
Tel. e fax: (085) 9495234 POTENZIALI CLIENTI
Dati anagrafici dei potenziali clienti Dati personali

CERVELLA TRISTANO

CERVELLA TRISTANO – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Incaricato da

Via Calamandrei, 24
64025 PINETO (TE)
Tel. e fax: (085) 9495234
PROTEZIONE DATI PERSONALI Adeguamento al Regolamento UE 679/2016 Dati personali

Limitazione Cancellazione Modello Organizzativo Privacy e Registro delle Attività di Trattamento

Comunicazione

Conservazione Pagina 46

Descrizione

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Soggetto a cui è affidato il trattamento

Luogo dove avviene il

trattamento

Banca dati trattata

Tipo di dati trattati

Trattamenti

Incaricato da

Consultazione Estrazione
Raccolta
Uso

CERVELLA TRISTANO

Diffusione
Interconnessione Raffronto

Distruzione Modifica
Registrazione

Strutturazione Organizzazione Selezione

Soggetto a cui è affidato il trattamento

CIARELLI NOVELLA – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Via Calamandrei, 24
64025 PINETO (TE)
Tel. e fax: (085) 9495234
PROTEZIONE DATI PERSONALI Adeguamento al Regolamento UE 679/2016 Dati personali

CERVELLA TRISTANO

INCARICATO SENZA PC – INFERMIERE (vedi elenco) – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE
c/o le sedi operative destinatarie dei servizi

PROTEZIONE DATI PERSONALI

Adeguamento al Regolamento UE 679/2016 Dati personali

CERVELLA TRISTANO

INCARICATO SENZA PC – O.S.S. (vedi elenco) – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE
c/o le sedi operative destinatarie dei servizi

PROTEZIONE DATI PERSONALI

Adeguamento al Regolamento UE 679/2016 Dati personali

CERVELLA TRISTANO

INCARICATO SENZA PC GENERICO (vedi elenco) – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE
c/o le sedi operative destinatarie dei servizi

PROTEZIONE DATI PERSONALI

Adeguamento al Regolamento UE 679/2016 Dati personali

CERVELLA TRISTANO

IOMMARINI ROBERTA – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Via Calamandrei, 24
64025 PINETO (TE)
Tel. e fax: (085) 9495234
PROTEZIONE DATI PERSONALI Adeguamento al Regolamento UE 679/2016

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Incaricato da

il trattamento

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Soggetto a cui è affidato

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Modello Organizzativo Privacy e Registro delle Attività di Trattamento

Pagina 47

Tipo di dati trattati

Dati personali

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

CERVELLA TRISTANO

LELLI LILIANA – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Via Calamandrei, 24
64025 PINETO (TE)
Tel. e fax: (085) 9495234
PROTEZIONE DATI PERSONALI Adeguamento al Regolamento UE 679/2016 Dati personali

CERVELLA TRISTANO

PAVONE ANTONIO – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Via Calamandrei, 24
64025 PINETO (TE)
Tel. e fax: (085) 9495234
PROTEZIONE DATI PERSONALI Adeguamento al Regolamento UE 679/2016 Dati personali

CERVELLA TRISTANO

PROFILO PC AMMINISTRATIVO (vedi elenco) – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE
c/o le sedi operative destinatarie dei servizi

PROTEZIONE DATI PERSONALI

Adeguamento al Regolamento UE 679/2016 Dati personali

CERVELLA TRISTANO

PROFILO PC OPERATIVO SANITARIO (vedi elenco) – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE
c/o le sedi operative destinatarie dei servizi

PROTEZIONE DATI PERSONALI

Adeguamento al Regolamento UE 679/2016 Dati personali

CERVELLA TRISTANO

CERVELLA TRISTANO – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Via Calamandrei, 24 64025 PINETO (TE)

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 48

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato

Tel. e fax: (085) 9495234

SERVIZI ASSISTENZIALI

Gestione attività collegate all’erogazione servizi Dati personali, particolari e giudiziari

CERVELLA TRISTANO

CIARELLI NOVELLA – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Via Calamandrei, 24
64025 PINETO (TE)
Tel. e fax: (085) 9495234
SERVIZI ASSISTENZIALI
Gestione attività collegate all’erogazione servizi Dati personali, particolari e giudiziari

CERVELLA TRISTANO

INCARICATO SENZA PC – INFERMIERE (vedi elenco) – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE
c/o le sedi operative destinatarie dei servizi

SERVIZI ASSISTENZIALI

Gestione attività collegate all’erogazione servizi Dati personali, particolari e giudiziari

CERVELLA TRISTANO

INCARICATO SENZA PC – O.S.S. (vedi elenco) – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE
c/o le sedi operative destinatarie dei servizi

SERVIZI ASSISTENZIALI

Gestione attività collegate all’erogazione servizi Dati personali, particolari e giudiziari

CERVELLA TRISTANO

IOMMARINI ROBERTA – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Via Calamandrei, 24
64025 PINETO (TE)
Tel. e fax: (085) 9495234
SERVIZI ASSISTENZIALI
Gestione attività collegate all’erogazione servizi Dati personali, particolari e giudiziari

CERVELLA TRISTANO

LELLI LILIANA – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Modello Organizzativo Privacy e Registro delle Attività di Trattamento

Pagina 49

il trattamento

Luogo dove avviene il trattamento

Via Calamandrei, 24
64025 PINETO (TE)
Tel. e fax: (085) 9495234
SERVIZI ASSISTENZIALI
Gestione attività collegate all’erogazione servizi Dati personali, particolari e giudiziari

CERVELLA TRISTANO

PAVONE ANTONIO – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Via Calamandrei, 24
64025 PINETO (TE)
Tel. e fax: (085) 9495234
SERVIZI ASSISTENZIALI
Gestione attività collegate all’erogazione servizi Dati personali, particolari e giudiziari

CERVELLA TRISTANO

PROFILO PC AMMINISTRATIVO (vedi elenco) – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE
c/o le sedi operative destinatarie dei servizi

SERVIZI ASSISTENZIALI

Gestione attività collegate all’erogazione servizi Dati personali, particolari e giudiziari

CERVELLA TRISTANO

PROFILO PC OPERATIVO SANITARIO (vedi elenco) – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE
c/o le sedi operative destinatarie dei servizi

SERVIZI ASSISTENZIALI

Gestione attività collegate all’erogazione servizi Dati personali, particolari e giudiziari

CERVELLA TRISTANO

CERVELLA TRISTANO – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Via Calamandrei, 24
64025 PINETO (TE)
Tel. e fax: (085) 9495234
SERVIZI INFERMIERISTICI
Gestione attività collegate all’erogazione servizi Dati personali, particolari e giudiziari

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Modello Organizzativo Privacy e Registro delle Attività di Trattamento

Pagina 50

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

CERVELLA TRISTANO

Soggetto a cui è affidato il trattamento

CIARELLI NOVELLA – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Via Calamandrei, 24
64025 PINETO (TE)
Tel. e fax: (085) 9495234
SERVIZI INFERMIERISTICI
Gestione attività collegate all’erogazione servizi Dati personali, particolari e giudiziari

CERVELLA TRISTANO

INCARICATO SENZA PC – INFERMIERE (vedi elenco) – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE
c/o le sedi operative destinatarie dei servizi

SERVIZI INFERMIERISTICI

Gestione attività collegate all’erogazione servizi Dati personali, particolari e giudiziari

CERVELLA TRISTANO

IOMMARINI ROBERTA – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Via Calamandrei, 24
64025 PINETO (TE)
Tel. e fax: (085) 9495234
SERVIZI INFERMIERISTICI
Gestione attività collegate all’erogazione servizi Dati personali, particolari e giudiziari

CERVELLA TRISTANO

LELLI LILIANA – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Via Calamandrei, 24
64025 PINETO (TE)
Tel. e fax: (085) 9495234
SERVIZI INFERMIERISTICI
Gestione attività collegate all’erogazione servizi Dati personali, particolari e giudiziari

CERVELLA TRISTANO

PAVONE ANTONIO – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Incaricato da

Soggetto a cui è affidato il trattamento

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Via Calamandrei, 24
64025 PINETO (TE)
Tel. e fax: (085) 9495234
SERVIZI INFERMIERISTICI
Gestione attività collegate all’erogazione servizi Dati personali, particolari e giudiziari

Limitazione Cancellazione Modello Organizzativo Privacy e Registro delle Attività di Trattamento

Comunicazione

Conservazione Pagina 51

Luogo dove avviene il

trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Incaricato da

Consultazione Estrazione
Raccolta
Uso

CERVELLA TRISTANO

Diffusione
Interconnessione Raffronto

Distruzione Modifica
Registrazione

Strutturazione Organizzazione Selezione

PROFILO PC AMMINISTRATIVO (vedi elenco) – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE
c/o le sedi operative destinatarie dei servizi

SERVIZI INFERMIERISTICI

Gestione attività collegate all’erogazione servizi Dati personali, particolari e giudiziari

CERVELLA TRISTANO

CERVELLA TRISTANO – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Via Calamandrei, 24
64025 PINETO (TE)
Tel. e fax: (085) 9495234
SERVIZI SOCIALI ASSISTENZIALI ED EDUCATIVI Gestione attività collegate all’erogazione servizi
Dati personali, particolari e giudiziari

CERVELLA TRISTANO

CIARELLI NOVELLA – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

CERVELLA TRISTANO

INCARICATO SENZA PC – INFERMIERE (vedi elenco) – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE
c/o le sedi operative destinatarie dei servizi

SERVIZI SOCIALI ASSISTENZIALI ED EDUCATIVI

Gestione attività collegate all’erogazione servizi Dati personali, particolari e giudiziari

CERVELLA TRISTANO

INCARICATO SENZA PC – O.S.S. (vedi elenco) – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE
c/o le sedi operative destinatarie dei servizi

SERVIZI SOCIALI ASSISTENZIALI ED EDUCATIVI

Gestione attività collegate all’erogazione servizi
Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 52

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Dati personali, particolari e giudiziari

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

CERVELLA TRISTANO

IOMMARINI ROBERTA – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

CERVELLA TRISTANO

LELLI LILIANA – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

CERVELLA TRISTANO

PAVONE ANTONIO – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

CERVELLA TRISTANO

PROFILO PC AMMINISTRATIVO (vedi elenco) – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE
c/o le sedi operative destinatarie dei servizi

SERVIZI SOCIALI ASSISTENZIALI ED EDUCATIVI

Gestione attività collegate all’erogazione servizi Dati personali, particolari e giudiziari

CERVELLA TRISTANO

PROFILO PC OPERATIVO SANITARIO (vedi elenco) – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE
c/o le sedi operative destinatarie dei servizi

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 53

trattamento

Banca dati trattata

SERVIZI SOCIALI ASSISTENZIALI ED EDUCATIVI

Gestione attività collegate all’erogazione servizi Dati personali, particolari e giudiziari

CERVELLA TRISTANO

CERVELLA TRISTANO – SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Via Calamandrei, 24
64025 PINETO (TE)
Tel. e fax: (085) 9495234
SICUREZZA SUL LAVORO E TUTELA AMBIENTE Dati relativi alla messa a norma D.Lgs. 81/08 e ss Dati personali e particolari

CERVELLA TRISTANO

Descrizione

Tipo di dati trattati

Trattamenti

Incaricato da

Soggetto a cui è affidato il trattamento

Luogo dove avviene il trattamento

Banca dati trattata

Descrizione

Tipo di dati trattati

Trattamenti

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

Incaricato da

Modello Organizzativo Privacy e Registro delle Attività di Trattamento

Pagina 54

Limitazione Consultazione Estrazione
Raccolta
Uso

Cancellazione
Diffusione
Interconnessione Raffronto

Comunicazione Distruzione
Modifica
Registrazione

Conservazione Strutturazione Organizzazione Selezione

3.3. Altre misure di sicurezza

In considerazione di quanto disposto dalla Normativa Applicabile, è fatto divieto a chiunque di:

 effettuare copie su supporti magnetici o trasmissioni non autorizzate dall’Amministratore di Base Dati oggetto del trattamento;

 effettuare copie fotostatiche o di qualsiasi altra natura, non autorizzate dal Designato per specifici compiti e funzioni (attività di trattamento), di stampe, tabulati, elenchi, rubriche e di ogni altro materiale riguardante i dati oggetto del trattamento;

 sottrarre, cancellare, distruggere senza l’autorizzazione del Designato per specifici compiti e funzioni (attività di trattamento), stampe, tabulati, elenchi, rubriche e ogni altro materiale riguardante i dati oggetto del trattamento;

 consegnare a persone non autorizzate dal Designato per specifici compiti e funzioni (attività di trattamento), stampe, tabulati, elenchi, rubriche e di ogni altro materiale riguardante i dati oggetto del trattamento.

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 55

3.4. Periodicità di revisione del Registro Attività di Trattamento e Modello Organizzativo Privacy

Le procedure adottate prevedono una verifica e, ove necessario, un aggiornamento periodico dell’analisi dei processi di trattamento e delle misure adottate.

Ne consegue che il presente documento è soggetto a revisione periodica in relazione all’introduzione di nuove operazioni di trattamento, e comunque ad una rivalutazione almeno annuale.

La documentazione allegata è parte integrante del sistema di gestione privacy ed è anch’essa soggetta alle relative revisioni ed integrazioni, se necessarie.

Il presidio delle attività di verifica periodica ed eventuale integrazione e revisione è a cura del Titolare o, eventualmente, dei Designati per specifici compiti e funzioni (attività di trattamento) nominati.

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 56

3.5. Elenco dei trattamenti di dati personali
3.5.1. Elenco delle sedi e degli uffici in cui vengono trattati i dati

Al Titolare attraverso i suoi collaboratori, è affidato il compito di redigere e di aggiornare ad ogni variazione l’elenco delle sedi in cui viene effettuato il trattamento dei dati.

Elenco delle sedi e degli uffici in cui vengono trattati i dati (DTEC_B)

Sede:SEDE CONSERVAZIONE COPIE BACKUP Presso il domicilio del Legale Rappresentante Ufficio:UFFICIO (PRESSO DOMICILIO LEGALE RAPPRESENTANTE)

Accesso al pubblico consentito:No Allarme:Non Presente
Registrazione Accessi:No
Finestre senza Inferriate:Si
Armadi ignifughi senza serratura:No Cassaforte:No

Armadi senza serratura:No Note:

Accesso:Controllato
Chiusura:Esiste una chiusura con serratura Finestre con Inferriate:No
Armadi ignifughi con serratura:No Armadi blindati:No
Armadi con serratura:Si Scaffalature:No

Sede:SEDE ISOLA DEL GRAN SASSO D’ITALIA Località San Gabriele, 96 64045 ISOLA DEL GRAN SASSO D’ITALIA (TE)
Ufficio:UFFICIO ISOLA DEL GRAN SASSO D’ITALIA
Accesso al pubblico consentito:No

Allarme:Centralizzato
Registrazione Accessi:No
Finestre senza Inferriate:Si
Armadi ignifughi senza serratura:No Cassaforte:No

Armadi senza serratura:Si Note:

Sede:SEDE LEGALE Viale della Resistenza, 24 – B.go S. Maria 64025 PINETO (TE)
Ufficio:UFFICIO SEDE LEGALE
Accesso al pubblico consentito:No

Allarme:Centralizzato
Registrazione Accessi:No
Finestre senza Inferriate:Si
Armadi ignifughi senza serratura:No Cassaforte:No

Armadi senza serratura:Si Note:

Sede:SEDE PINETO Via Calamandrei, 24 64025 PINETO (TE)
Tel. e fax: (085) 9495234
Ufficio:AREA SERVER

Accesso al pubblico consentito:No Allarme:Non Presente
Registrazione Accessi:No
Finestre senza Inferriate:Si
Armadi ignifughi senza serratura:No Cassaforte:No

Armadi senza serratura:Si Note:

Sede:SEDE PINETO Via Calamandrei, 24 64025 PINETO (TE)
Tel. e fax: (085) 9495234 Ufficio:UFFICIO PINETO

Accesso al pubblico consentito:No Allarme:Centralizzato Registrazione Accessi:No
Finestre senza Inferriate:Si

Accesso:Controllato
Chiusura:Esiste una chiusura con serratura Finestre con Inferriate:No
Armadi ignifughi con serratura:No Armadi blindati:No
Armadi con serratura:Si Scaffalature:No

Accesso:Controllato
Chiusura:Esiste una chiusura con serratura Finestre con Inferriate:No
Armadi ignifughi con serratura:No

Modello Organizzativo Privacy e Registro delle Attività di Trattamento

Pagina 57

Armadi ignifughi senza serratura:No Cassaforte:No
Armadi senza serratura:Si
Note:

Sede:SEDE TERAMO Via Giuseppe Di Vittorio, 25 64100 TERAMO (TE)
Ufficio:UFFICIO TERAMO
Accesso al pubblico consentito:No Allarme:Centralizzato

Registrazione Accessi:No
Finestre senza Inferriate:Si
Armadi ignifughi senza serratura:No Cassaforte:No
Armadi senza serratura:Si
Note:

Armadi blindati:No Armadi con serratura:Si Scaffalature:No

Accesso:Controllato
Chiusura:Esiste una chiusura con serratura Finestre con Inferriate:No
Armadi ignifughi con serratura:No Armadi blindati:No
Armadi con serratura:Si Scaffalature:No

Sede:SEDI OPERATIVE SERVIZI c/o le sedi operative destinatarie dei servizi Ufficio:LOCALI C/O SEDI OPERATIVE SERVIZI

Accesso al pubblico consentito:No Allarme:Non Presente
Registrazione Accessi:No
Finestre senza Inferriate:Si
Armadi ignifughi senza serratura:No Cassaforte:No

Armadi senza serratura:Si Note:

Accesso:Controllato
Chiusura:Esiste una chiusura con serratura Finestre con Inferriate:No
Armadi ignifughi con serratura:No Armadi blindati:No
Armadi con serratura:Si Scaffalature:No

3.5.2. Registro delle attività di trattamento
Tutti i Titolari e i Responsabili del trattamento sono tenuti a redigere il Registro delle attività di

trattamento (v. art. 30, par. 1 e 2 del GDPR).
In particolare, in ambito privato, i soggetti obbligati sono così individuabili:

 imprese o organizzazioni con almeno 250 dipendenti;
 qualunque Titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti)che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le
libertà dell’interessato;
 qualunque Titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti)che effettui trattamenti non occasionali;
 qualunque Titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti)che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 GDPR, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 GDPR.
Al di fuori dei casi di tenuta obbligatoria del Registro, anche alla luce del considerando 82 del GDPR, il Garante ne raccomanda la redazione a tutti i titolari e responsabili del trattamento, in quanto strumento che, fornendo piena contezza del tipo di trattamenti svolti, contribuisce a meglio attuare, con modalità semplici e accessibili a tutti, il principio di accountability e, al contempo, ad agevolare in maniera dialogante e collaborativa l’attività di controllo del Garante stesso.

3.5.3. Registro del Titolare
Il Regolamento individua dettagliatamente le informazioni che devono essere contenute nel registro

delle attività di trattamento del Titolare (art. 30, par. 1 del GDPR).

Con riferimento ai contenuti si rappresenta quanto segue:

(a) nel campo “finalità del trattamento” oltre alla precipua indicazione delle stesse, distinta per tipologie di trattamento (es. trattamento dei dati dei dipendenti per la gestione del rapporto di lavoro;

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 58

trattamento dei dati di contatto dei fornitori per la gestione degli ordini), sarebbe opportuno indicare anche la base giuridica dello stesso (v. art. 6 del GDPR; in merito, con particolare riferimento al “legittimo interesse”, si rappresenta che il registro potrebbe riportare la descrizione del legittimo interesse concretamente perseguito, le “garanzie adeguate” eventualmente approntate, nonché, ove effettuata, la preventiva valutazione d’impatto posta in essere dal Titolare (v. provv. del Garante del 22 febbraio 2018 – [doc web n. 8080493]). Sempre con riferimento alla base giuridica, sarebbe parimenti opportuno: in caso di trattamenti di “categorie particolari di dati”, indicare una delle condizioni di cui all’art. 9, par. 2del GDPR; in caso di trattamenti di dati relativi a condanne penali e reati, riportare la specifica normativa (nazionale o dell’Unione europea) che ne autorizza il trattamento ai sensi dell’art. 10 del GDPR;

(b) nel campo “descrizione delle categorie di interessati e delle categorie di dati personali” andranno specificate sia le tipologie di interessati (es. clienti, fornitori, dipendenti) sia quelle di dati personali oggetto di trattamento (es. dati anagrafici, dati sanitari, dati biometrici, dati genetici, dati relativi a condanne penali o reati, ecc.);

(c) nel campo “categorie di destinatari a cui i dati sono stati o saranno comunicati” andranno riportati, anche semplicemente per categoria di appartenenza, gli altri titolari cui siano comunicati i dati (es. enti previdenziali cui debbano essere trasmessi i dati dei dipendenti per adempiere agli obblighi contributivi). Inoltre, si ritiene opportuno che siano indicati anche gli eventuali altri soggetti ai quali – in qualità di responsabili e sub-responsabili del trattamento– siano trasmessi i dati da parte del Titolare (es. soggetto esterno cui sia affidato dal Titolare il servizio di elaborazione delle buste paga dei dipendenti o altri soggetti esterni cui siano affidate in tutto o in parte le attività di trattamento). Ciò al fine di consentire al Titolare medesimo di avere effettiva contezza del novero e della tipologia dei soggetti esterni cui sono affidate le operazioni di trattamento dei dati personali;

(d) nel campo “trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale” andrà riportata l’informazione relativa ai suddetti trasferimenti unitamente all’indicazione relativa al Paese/i terzo/i cui i dati sono trasferiti e alle “garanzie” adottate ai sensi del capo V del GDPR (es. decisioni di adeguatezza, norme vincolanti d’impresa, clausole contrattuali tipo, ecc.);

(e) nel campo “termini ultimi previsti per la cancellazione delle diverse categorie di dati” dovranno essere individuati i tempi di cancellazione per tipologia e finalità di trattamento (ad es. “in caso di rapporto contrattuale, i dati saranno conservati per 10 anni dall’ultima registrazione – v. art. 2220 del codice civile”). Ad ogni modo, ove non sia possibile stabilire a priori un termine massimo, i tempi di conservazione potranno essere specificati mediante il riferimento a criteri (es. norme di legge, prassi settoriali) indicativi degli stessi (es. “in caso di contenzioso, i dati saranno cancellati al termine dello stesso”);

(f) nel campo “descrizione generale delle misure di sicurezza” andranno indicate le misure tecnico- organizzative adottate dal Titolare ai sensi dell’art. 32 del GDPR tenendo presente che l’elenco ivi riportato costituisce una lista aperta e non esaustiva, essendo rimessa al Titolare la valutazione finale relativa al livello di sicurezza adeguato, caso per caso, ai rischi presentati dalle attività di trattamento concretamente poste in essere. Tale lista ha di per sé un carattere dinamico (e non più statico come è stato per l’Allegato B del d. lgs. 196/2003) dovendosi continuamente confrontare con gli sviluppi della tecnologia e l’insorgere di nuovi rischi. Le misure di sicurezza possono essere descritte in forma riassuntiva e sintetica, o comunque idonea a dare un quadro generale e complessivo di tali misure in relazione alle attività di trattamento svolte, con possibilità di fare rinvio per una valutazione più dettagliata a documenti esterni di carattere generale (es. procedure organizzative interne; security policy ecc.).

Inoltre, può essere riportata nel registro qualsiasi altra informazione che il Titolare o il responsabile ritengano utile indicare (ad es. le modalità di raccolta del consenso, le eventuali valutazioni di impatto effettuate, l’indicazione di eventuali “referenti interni” individuati dal Titolare in merito ad alcune tipologie di trattamento ecc.).

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 59

Il Registro dei trattamenti è un documento di censimento e analisi dei trattamenti effettuati dal Titolare o responsabile. In quanto tale, il registro deve essere mantenuto costantemente aggiornato poiché il suo contenuto deve sempre corrispondere all’effettività dei trattamenti posti in essere.

Qualsiasi cambiamento, in particolare in ordine alle modalità, finalità, categorie di dati, categorie di interessati, deve essere immediatamente inserito nel Registro, dando conto delle modifiche sopravvenute.

Il Registro può essere compilato sia in formato cartaceo che elettronico ma deve in ogni caso recare, in maniera verificabile, la data della sua prima istituzione (o la data della prima creazione di ogni singola scheda per tipologia di trattamento) unitamente a quella dell’ultimo aggiornamento.

3.5.4. Registro del Responsabile
Il Responsabile del trattamento tiene un registro di “tutte le categorie di attività relative al

trattamento svolte per conto di un Titolare” (art. 30, par. 2 del GDPR).

In merito alle modalità di compilazione dello stesso si rappresenta quanto segue:

a) nel caso in cui uno stesso soggetto agisca in qualità di responsabile del trattamento per conto di più clienti quali autonomi e distinti titolari (es. società di software house), le informazioni di cui all’art. 30, par. 2 del GDPR dovranno essere riportate nel registro con riferimento a ciascuno dei suddetti titolari. In questi casi il responsabile dovrà suddividere il registro in tante sezioni quanti sono i titolari per conto dei quali agisce; ove, a causa dell’ingente numero di titolari per cui si operi, l’attività di puntuale indicazione e di continuo aggiornamento dei nominativi degli stessi nonché di correlazione delle categorie di trattamenti svolti per ognuno di essi risulti eccessivamente difficoltosa, il registro del responsabile potrebbe riportare il rinvio, ad es., a schede o banche dati anagrafiche dei clienti (titolari del trattamento), contenenti la descrizione dei servizi forniti agli stessi, ferma restando la necessità che comunque tali schede riportino tutte le indicazioni richieste dall’art. 30, par. 2 del GDPR;

b) con riferimento alla “descrizione delle categorie di trattamenti effettuati” (art. 30, par. 2, lett. b) del GDPR) è possibile far riferimento a quanto contenuto nel contratto di designazione a responsabile che, ai sensi dell’art. 28 del GDPR, deve individuare, in particolare, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati oggetto del trattamento, nonché la durata di quest’ultimo;

c) in caso di sub-responsabile, parimenti, il registro delle attività di trattamento svolte da quest’ultimo potrà specificatamente far riferimento ai contenuti del contratto stipulato tra lo stesso e il responsabile ai sensi dell’art. 28, paragrafi 2 e 4 del GDPR.

L’elenco dei Titolari, per conto dei quali vengono eventualmente trattati dati in qualità di Responsabile, viene tenuto in forma scritta utilizzando una copia del modulo DTEC_R, che deve essere allegato al presente documento, ove presente.

3.5.5. Attività di trattamento del Titolare e del Responsabile

Di seguito schede dettagliate relative alle Attività di trattamento del Titolare e del Responsabile (DTEC_A):

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 60

Attività di trattamento

CERTIFICAZIONI QUALITA

Dati conseguimento certificazioni UNI ISO
Il processo è inerente la gestione delle attività necessarie all’adozione degli schemi ISO implementati in azienda, che prevede la conduzione delle politiche aziendali secondo le procedure stabilite dagli standard ISO, gli audit interni, gli audit da parte degli enti di certificazione o di terzi, la formazione aziendale, etc.
Banca dati soggetti legati ad attività pianificate e documentate su prodotti/servizi SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE
Titolare (dati affidati con contratto a Responsabile esterno della struttura del Titolare) Dati personali
Soggetti interessati dall’attività svolta

CERVELLA TRISTANO PROFILI AZIENDALI S.R.L.

Dati forniti dagli interessati in fase precontrattuale e contrattuale
Il trattamento è lecito ai sensi del GDPR Art. 6 co. 1 lett. b (il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso), lett. c (il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento)
Non esistono processi decisionali automatizzati né profilazione

Certificazione di Qualità. Rilevazione del grado di soddisfazione della clientela Strumenti elettronici e non
SISTEMA INFORMATICO (vedere allegato DTEC_D)
Non vengono trasferiti i dati all’estero

10 anni per la conservazione delle scritture contabili (art. 2220 c.c.) o fino a quando non siano definiti gli accertamenti relativi al corrispondente periodo di imposta (art. 22 del D.P.R. 29 Settembre 1973, n.600)

Descrizione breve

Descrizione dettagliata del processo di trattamento

Tipo banca dati

Titolare del trattamento

Trattamento effettuato come

Categorie dati personali

Categorie interessati

Categorie destinatari

Dipendenti e collaboratori autorizzati dal Titolare (art. 29 del GDPR e dell’art. 2-quaterdecies del D.Lgs.196/03), Responsabili esterni che svolgono attività di trattamento per conto del Titolare (art. 28 del GDPR), altri soggetti pubblici e privati cui la comunicazione sia comunque necessaria per il corretto adempimento delle finalità per cui è stata richiesta la prestazione o per assolvere a specifici obblighi di Legge

Designato alle attività di trattamento

Eventuale/i ulteriore/i Responsabile/i del trattamento

Descrizione fonte raccolta dati

Base Giuridica del trattamento o Criterio di liceità adottato

Trattamenti automatizzati e/o di profilazione

Tipo di finalità

Modalità di trattamento

Trasferimento dati all’estero

Sistema/i

Tempi di conservazione (ovvero criteri di determinazione)

Misure di sicurezza adottate

Nell’adottare le misure di sicurezza si è tenuto conto della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche. Il titolare del trattamento ha messo in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, provvedendo su base permanente alla riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento, ha predisposto un sistema per ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico ed ha attivato una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. Inoltre nel valutare l’adeguato livello di sicurezza, si è tenuto conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati. Per la natura dei dati trattati non si è ritenuto necessario procedere alla pseudonimizzazione e/o la cifratura dei dati personali (vedi punto 3.7.12 del presente Modello Organizzativo Privacy).

Luoghi di conservazione degli archivi cartacei

SEDE PINETO/UFFICIO PINETO giovedì 13 aprile 2023

Data ultima revisione

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 61

Attività di trattamento

CLIENTI

Dati anagrafici e contabili clienti
Il processo è relativo all’ordinaria gestione del rapporto contrattuale con i clienti ed il ciclo attivo di fatturazione, che prevede la gestione degli incassi, l’emissione di regolari fatture, i rapporti con i clienti stessi per le ordinarie attività amministrativo/contabili.

SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE Titolare
Dati personali
Clienti ed utenti

Dipendenti e collaboratori autorizzati dal Titolare (art. 29 del GDPR e dell’art. 2-quaterdecies del D.Lgs.196/03), altri soggetti pubblici e privati cui la comunicazione sia comunque necessaria per il corretto adempimento delle finalità per cui è stata richiesta la prestazione o per assolvere a specifici obblighi di Legge

CERVELLA TRISTANO

Dati forniti dagli interessati in fase precontrattuale e contrattuale

Non esistono processi decisionali automatizzati né profilazione

Gestione della clientela (amministrazione della clientela, amministrazione di contratti, ordini, spedizioni e fatture controllo dell’affidabilità e solvibilità)
Strumenti elettronici e non
SISTEMA INFORMATICO (vedere allegato DTEC_D)

Non vengono trasferiti i dati all’estero
5 anni per i pagamenti periodici (Art. 2948 c.c.); 10 anni per la conservazione delle scritture contabili (art. 2220 c.c.) o fino a quando non siano definiti gli accertamenti relativi al corrispondente periodo di imposta (art. 22 del D.P.R. 29 Settembre 1973, n.600)

Descrizione breve

Descrizione dettagliata del processo di trattamento

Tipo banca dati

Attività economiche, commerciali, finanziarie e assicurative (dati contabili; ordini, buoni di spedizione, fatture, articoli, prodotti, servizi, contratti, accordi, transazioni, identificativi finanziari, redditi, beni patrimoniali, investimenti, passività, solvibilità, prestiti mutui, ipoteche, crediti, indennità, benefici, concessioni, donazioni, sussidi, contributi, dati assicurativi, dati previdenziali)

Titolare del trattamento

Trattamento effettuato come

Categorie dati personali

Categorie interessati

Categorie destinatari

Designato alle attività di trattamento

Eventuale/i ulteriore/i Responsabile/i del trattamento

Descrizione fonte raccolta dati

Base Giuridica del trattamento o Criterio di liceità adottato

Trattamenti automatizzati e/o di profilazione

Tipo di finalità

Modalità di trattamento

Sistema/i

Trasferimento dati all’estero

Tempi di conservazione (ovvero criteri di determinazione)

Misure di sicurezza adottate

Luoghi di conservazione degli archivi cartacei

SEDE PINETO/UFFICIO PINETO giovedì 13 aprile 2023

Data ultima revisione

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 62

Attività di trattamento

Categorie destinatari

CONTENZIOSO LEGALE

Dati relativi a procedimenti di contenzioso
Il processo è legato alla fruizione di servizi di consulenza legale, precontenzioso e contenzioso (rappresentanza legale, assistenza per recupero crediti, difesa in giudizio, etc.)
Dati relativi alla consulenza giuridico-legale
SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE
Titolare (dati affidati con contratto a Responsabile esterno della struttura del Titolare)
Dati personali, particolari e giudiziari
Soggetti interessati dall’attività svolta

CERVELLA TRISTANO
STUDIO LEGALE RAPACCHIALE AVV. PAOLA

Dati forniti dagli interessati in fase precontrattuale e contrattuale

Non esistono processi decisionali automatizzati né profilazione

Gestione del contenzioso (inadempimenti contrattuali diffide transazioni recupero crediti arbitrati controversie giudiziarie)
Strumenti elettronici e non
SISTEMA INFORMATICO (vedere allegato DTEC_D)

Descrizione breve

Descrizione dettagliata del processo di trattamento

Tipo banca dati

Titolare del trattamento

Trattamento effettuato come

Categorie dati personali

Categorie interessati

Designato alle attività di trattamento

Eventuale/i ulteriore/i Responsabile/i del trattamento

Descrizione fonte raccolta dati

Base Giuridica del trattamento o Criterio di liceità adottato

Il trattamento è lecito ai sensi del GDPR Art. 6 co. 1 lett. b (il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso), lett. c (il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento), Art. 9 co. 2 lett. f (il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali), Art. 10 (trattamento dei dati personali relativi a condanne penali e reati)

Trattamenti automatizzati e/o di profilazione

Tipo di finalità

Modalità di trattamento

Sistema/i

Trasferimento dati all’estero

Tempi di conservazione (ovvero criteri di determinazione)

Misure di sicurezza adottate

Luoghi di conservazione degli archivi cartacei

SEDE PINETO/UFFICIO PINETO giovedì 13 aprile 2023

Data ultima revisione

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 63

Attività di trattamento

FORNITORI

Dati anagrafici e contabili fornitori
Il processo è relativo all’ordinaria gestione del rapporto contrattuale con i fornitori ed il ciclo passivo di fatturazione, che prevede la gestione dei pagamenti, la registrazione di regolari fatture, i rapporti con i fornitori stessi per le ordinarie attività amministrativo/contabili.

SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE Titolare
Dati personali
Fornitori

CERVELLA TRISTANO

Gestione dei fornitori (amministrazione dei fornitori amministrazione di contratti, ordini, arrivi, fatture selezione in rapporto alle necessità dell’impresa)
Strumenti elettronici e non
SISTEMA INFORMATICO (vedere allegato DTEC_D)

Descrizione breve

Descrizione dettagliata del processo di trattamento

Tipo banca dati

Titolare del trattamento

Trattamento effettuato come

Categorie dati personali

Categorie interessati

Categorie destinatari

Designato alle attività di trattamento

Eventuale/i ulteriore/i Responsabile/i del trattamento

Descrizione fonte raccolta dati

Base Giuridica del trattamento o Criterio di liceità adottato

Trattamenti automatizzati e/o di profilazione

Tipo di finalità

Modalità di trattamento

Trasferimento dati all’estero

Sistema/i

Tempi di conservazione (ovvero criteri di determinazione)

Misure di sicurezza adottate

Luoghi di conservazione degli archivi cartacei

SEDE PINETO/UFFICIO PINETO giovedì 13 aprile 2023

Data ultima revisione

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 64

Attività di trattamento

Categorie interessati

GESTIONE DATI AMMINISTRATIVI E CONTABILI

Dati amministrativi e contabili

SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE
Titolare (dati affidati con contratto a Responsabile esterno della struttura del Titolare) Dati personali e particolari
Soggetti interessati dall’attività svolta

CERVELLA TRISTANO

STUDIO CLAMOROSO DANILO – INTERMEDIARIO SISTEMA DI INTERSCAMBIO (vedi contratti)
Dati forniti dagli interessati in fase precontrattuale e contrattuale

Non esistono processi decisionali automatizzati né profilazione

Adempimento di obblighi fiscali o contabili Strumenti elettronici e non
SISTEMA INFORMATICO (vedere allegato DTEC_D) Non vengono trasferiti i dati all’estero

5 anni per i pagamenti periodici (Art. 2948 c.c.); 10 anni per la conservazione delle scritture contabili (art. 2220 c.c.) o fino a quando non siano definiti gli accertamenti relativi al corrispondente periodo di imposta (art. 22 del D.P.R. 29 Settembre 1973, n.600)

Descrizione breve

Il processo è relativo all’ordinaria gestione di scritture contabili (prima nota, cespiti, ratei e risconti) e la tenuta dei registri contabili aziendali, ciclo attivo e passivo, contabilità clienti e fornitori, il monitoraggio dei pagamenti e degli incassi, la predisposizione e verifica del bilancio d’esercizio (ante imposte e post imposte), la preparazione delle dichiarazioni fiscali periodiche ed annuali (come ad esempio la dichiarazione dei redditi, F24, certificazione unica, liquidazione IVA, ecc.), la redazione di report per il controllo di gestione e tutte le ulteriori attività necessarie alla corretta gestione degli adempimenti amministrativo/contabili.

Descrizione dettagliata del processo di trattamento

Tipo banca dati

Titolare del trattamento

Trattamento effettuato come

Categorie dati personali

Categorie destinatari

Designato alle attività di trattamento

Eventuale/i ulteriore/i Responsabile/i del trattamento

Descrizione fonte raccolta dati

Base Giuridica del trattamento o Criterio di liceità adottato

Trattamenti automatizzati e/o di profilazione

Tipo di finalità

Modalità di trattamento

Sistema/i

Trasferimento dati all’estero

Tempi di conservazione (ovvero criteri di determinazione)

Misure di sicurezza adottate

Luoghi di conservazione degli archivi cartacei

SEDE PINETO/UFFICIO PINETO giovedì 13 aprile 2023

Data ultima revisione

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 65

Attività di trattamento

Categorie destinatari

GESTIONE GARE APPALTI

Gestione capitolati gara ambito pubblico e privato

Dati relativi alla gestione analisi dei capitolati di gara, nella predisposizione di offerte economiche, nella costruzione dei costi orari della manodopera e nella predisposizione delle giustificazioni d’offerta nell’ambito delle gare di appalto, sia in ambito pubblico che privato. SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE
Titolare
Dati personali
Soggetti interessati dall’attività svolta
Dipendenti e collaboratori autorizzati dal Titolare (art. 29 del GDPR e dell’art. 2-quaterdecies del D.Lgs.196/03), altri soggetti pubblici e privati cui la comunicazione sia comunque necessaria per il corretto adempimento delle finalità per cui è stata richiesta la prestazione o per assolvere a specifici obblighi di Legge

CERVELLA TRISTANO

Dati forniti dagli interessati in fase precontrattuale e contrattuale

Non esistono processi decisionali automatizzati né profilazione

Analisi dei bandi di gara e/o qualifiche, predisposizione di Capitolati Tecnici ed Offerte Tecniche per il settore edile, predisposizione di Offerte economiche per il settore edile.
Strumenti elettronici e non
SISTEMA INFORMATICO (vedere allegato DTEC_D)

Descrizione breve

Descrizione dettagliata del processo di trattamento

I dati sono relativi al corretto funzionamento delle procedure per le gare d’appalto, sia per aziende pubbliche che private, dall’inizio alla fine, ossia dall’individuazione delle gare al completamento del loro iter burocratico. I dati trattati sono quelli necessari per curare la ricerca, la verifica della compatibilità di una gara d’appalto, per formulare un’offerta, per la partecipazione, l’aggiudicazione ed il monitoraggio dell’intera gestione della gara stessa. I dati sono altresì necessari per coordinare le operazioni burocratiche e di amministrazione, valutare l’idoneità dei partecipanti alla gara, analizzare preventivi e stipulare contratti, etc.

Tipo banca dati

Titolare del trattamento

Trattamento effettuato come

Categorie dati personali

Categorie interessati

Designato alle attività di trattamento

Eventuale/i ulteriore/i Responsabile/i del trattamento

Descrizione fonte raccolta dati

Base Giuridica del trattamento o Criterio di liceità adottato

Trattamenti automatizzati e/o di profilazione

Tipo di finalità

Modalità di trattamento

Sistema/i

Trasferimento dati all’estero

Tempi di conservazione (ovvero criteri di determinazione)

Misure di sicurezza adottate

Luoghi di conservazione degli archivi cartacei

SEDE PINETO/UFFICIO PINETO giovedì 13 aprile 2023

Data ultima revisione

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 66

Attività di trattamento

Categorie interessati

GESTIONE MODELLO ORGANIZZATIVO 231

Modello organizzativo responsabilità impresa

Descrizione breve

Il processo è inerente alla gestione del Modello Organizzativo ai sensi del DLgs 231/2001, ossia un insieme di protocolli, che regolano e definiscono la struttura aziendale e la gestione dei suoi processi sensibili. Tale gestione tenta di ridurre il rischio di commissione di illeciti penali, attraverso idonei controlli ed una oculata gestione del sistema delle deleghe e dei poteri, individuando quelle aree aziendali in cui i dirigenti e/o i dipendenti potrebbero scegliere di agire nell’interesse o a vantaggio dell’azienda, ledendo, al contempo, una serie di interessi diffusi e giuridicamente rilevanti (ad. es. la salute dei lavoratori, gli interessi e il patrimonio della Pubblica Amministrazione, la privacy di dipendenti o soggetti terzi, l’ambiente, i diritti umani, ecc…).

Descrizione dettagliata del processo di trattamento

Tipo banca dati

Titolare del trattamento

SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE
Titolare (dati affidati con contratto a Responsabile esterno della struttura del Titolare) Dati personali, particolari e giudiziari
Soggetti interessati dall’attività svolta

CERVELLA TRISTANO
STUDIO LEGALE RAPACCHIALE AVV. PAOLA

Dati forniti dagli interessati in fase precontrattuale e contrattuale o di richiesta informazioni

Non esistono processi decisionali automatizzati né profilazione

Implementazione e gestione di un modello organizzativo per permettere all’impresa di essere dispensata dai reati imputati ai singoli dipendenti
Strumenti elettronici e non
SISTEMA INFORMATICO (vedere allegato DTEC_D)

Trattamento effettuato come

Categorie dati personali

Categorie destinatari

Designato alle attività di trattamento

Eventuale/i ulteriore/i Responsabile/i del trattamento

Descrizione fonte raccolta dati

Base Giuridica del trattamento o Criterio di liceità adottato

Il trattamento è lecito ai sensi del GDPR Art. 6 co. 1 lett. f (il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi), Art. 9 co. 2 lett. b (il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale), Art. 10 (trattamento dei dati personali relativi a condanne penali e reati)

Trattamenti automatizzati e/o di profilazione

Tipo di finalità

Modalità di trattamento

Sistema/i

Trasferimento dati all’estero

Tempi di conservazione (ovvero criteri di determinazione)

Misure di sicurezza adottate

Luoghi di conservazione degli archivi cartacei

SEDE PINETO/UFFICIO PINETO giovedì 13 aprile 2023

Data ultima revisione

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 67

Attività di trattamento

Descrizione breve

GESTIONE PERSONALE DIPENDENTE

Gestione anagrafiche e altri dati del personale

Nominativo, indirizzo o altri elementi di identificazione personale (nome, cognome, età, sesso, luogo e data di nascita, indirizzo privato, indirizzo di lavoro, nr. di telefono, di posta elettronica, nr. Carta identità, ecc.)
SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Titolare (dati affidati con contratto a Responsabile esterno della struttura del Titolare)
Dati personali, particolari e giudiziari
Personale dipendente ed eventuali familiari solo in ragione di permessi particolari che devono essere garantiti (es.legge 104)

CERVELLA TRISTANO
STUDIO MARTEGIANI MAURO

Dati forniti dagli interessati in fase precontrattuale e contrattuale (lavoro)

Non esistono processi decisionali automatizzati né profilazione

Gestione del personale
Strumenti elettronici e non
SISTEMA INFORMATICO (vedere allegato DTEC_D)
Non vengono trasferiti i dati all’estero
10 anni (Art. 43 del Dpr 600/73; art. 2946 codice civile sulla prescrizione ordinaria; Titolo I, Capo III, del D.lgs.81/08 e s.m.i.)

Descrizione dettagliata del processo di trattamento

Il processo riguarda la normale gestione del personale dipendente in base agli obblighi previsti dal CCNL, dal contratto individuale e dalle normative che impattano sulla specifica attività svolta, oltre che le ovvie incombenze in ambito previdenza sociale ed amministrativo.
Solo per obblighi previsti per legge saranno trattati dati relativi a condanne penali e a reati (ogni 6 mesi gli addetti devono fornire il casellario giudiziale e i carichi pendenti). Tali dati NON vengono richiesti al personale adibito a mansioni che non prevedono per legge il trattamento di dati giudiziari

Tipo banca dati

Titolare del trattamento

Trattamento effettuato come

Categorie dati personali

Categorie interessati

Categorie destinatari

Designato alle attività di trattamento

Eventuale/i ulteriore/i Responsabile/i del trattamento

Descrizione fonte raccolta dati

Base Giuridica del trattamento o Criterio di liceità adottato

Il trattamento è lecito ai sensi del GDPR Art. 6 co. 1 lett. b (il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso), lett. c (il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento), co. 4 lett. c (della natura dei dati personali, specialmente se siano trattate categorie particolari di dati personali ai sensi dell’articolo 9, oppure se siano trattati dati relativi a condanne penali e a reati ai sensi dell’articolo 10), Art. 9 co. 2 lett. b (il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale), Art. 10 (trattamento dei dati personali relativi a condanne penali e reati)

Trattamenti automatizzati e/o di profilazione

Tipo di finalità

Modalità di trattamento

Sistema/i

Trasferimento dati all’estero

Tempi di conservazione (ovvero criteri di determinazione)

Misure di sicurezza adottate

Luoghi di conservazione degli archivi cartacei

SEDE PINETO/UFFICIO PINETO giovedì 13 aprile 2023

Data ultima revisione

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 68

Attività di trattamento

GESTIONE PROTOCOLLO COVID

Esecuzione protocollo di sicurezza anti-contagio
Il processo è legato alle procedure adottate in base al protocollo di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro. L’intero processo è descritto nel documento “Procedura Anti-Contagio Covid19”. Nominativo, indirizzo o altri elementi di identificazione personale (nome, cognome, età, sesso, luogo e data di nascita, indirizzo privato, indirizzo di lavoro, nr. di telefono, di posta elettronica, nr. Carta identità), dati sulla salute, luogo di provenienza e se vi sono stati contatti con persone risultate positive al Covid-19.
SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE
Titolare
Dati personali e particolari
Clienti ed utenti
Dipendenti e collaboratori autorizzati dal Titolare (art. 29 del GDPR e dell’art. 2-quaterdecies del D.Lgs.196/03), altri soggetti pubblici e privati cui la comunicazione sia comunque necessaria per il corretto adempimento delle finalità per cui è stata richiesta la prestazione o per assolvere a specifici obblighi di Legge

CERVELLA TRISTANO

Dati forniti dagli interessati in fase rilevazione
Il trattamento è necessario per adempiere a un obbligo legale al quale il Titolare del trattamento è soggetto Art. 6 lett. c (il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento)
Non esistono processi decisionali automatizzati né profilazione

Prevenzione dal contagio da COVID-19
Strumenti elettronici e non
SISTEMA INFORMATICO (vedere allegato DTEC_D)
Non vengono trasferiti i dati all’estero
I dati saranno trattati per il tempo strettamente necessario a perseguire la citata finalità di prevenzione dal contagio da COVID-19 e conservati non oltre il termine dello stato d’emergenza.

Descrizione breve

Descrizione dettagliata del processo di trattamento

Tipo banca dati

Titolare del trattamento

Trattamento effettuato come

Categorie dati personali

Categorie interessati

Categorie destinatari

Designato alle attività di trattamento

Eventuale/i ulteriore/i Responsabile/i del trattamento

Descrizione fonte raccolta dati

Base Giuridica del trattamento o Criterio di liceità adottato

Trattamenti automatizzati e/o di profilazione

Tipo di finalità

Modalità di trattamento

Sistema/i

Trasferimento dati all’estero

Tempi di conservazione (ovvero criteri di determinazione)

Misure di sicurezza adottate

Luoghi di conservazione degli archivi cartacei

SEDE PINETO/UFFICIO PINETO giovedì 13 aprile 2023

Data ultima revisione

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 69

Attività di trattamento

Categorie destinatari

GESTIONE SELEZIONE DEL PERSONALE

Dati anagrafici e C.V.

Titolare
Dati personali, particolari e giudiziari
Candidati da considerare per l’instaurazione di un rapporto di lavoro
Dipendenti e collaboratori autorizzati dal Titolare (art. 29 del GDPR e dell’art. 2-quaterdecies del D.Lgs.196/03), altri soggetti pubblici e privati cui la comunicazione sia comunque necessaria per il corretto adempimento delle finalità per cui è stata richiesta la prestazione o per assolvere a specifici obblighi di Legge

CERVELLA TRISTANO

Dati forniti dagli interessati in fase precontrattuale e contrattuale o di richiesta informazioni

Non esistono processi decisionali automatizzati né profilazione

Reclutamento, selezione, valutazione e monitoraggio del personale: concorsi interni Strumenti elettronici e non
SISTEMA INFORMATICO (vedere allegato DTEC_D)
Non vengono trasferiti i dati all’estero

Massimo 24 mesi (Art. 5 lett. e) del Reg UE 2016/679)

Descrizione breve

Descrizione dettagliata del processo di trattamento

I processi di ricerca e selezione del personale dipendente sono strutturati per accogliere sia le candidature spontanee di eventuali aspiranti, sia attraverso la ricerca tramite agenzie del lavoro specializzate (anche interinali). La struttura riceve, gestisce e conserva le candidature spontanee (Curriculum Vitae) inviate digitalmente tramite e-mail o consegnate in modo cartaceo (ricevuti sia per posta ordinaria che consegnati direttamente in sede) presso l’ufficio del personale preposto. Vengono conservati solo i CV dei soggetti ritenuti idonei, nel rispetto del principio di minimizzazione del dato. I candidati ritenuti idonei vengono contattati dalla Direzione aziendale per un colloquio conoscitivo tramite telefono o via e-mail. Vengono inoltre fornite tutte le informazioni previste dagli artt. 13 e 14 del Regolamento UE 679/2016, al primo contatto utile con il candidato.

Tipo banca dati

Titolare del trattamento

Trattamento effettuato come

Categorie dati personali

Categorie interessati

Designato alle attività di trattamento

Eventuale/i ulteriore/i Responsabile/i del trattamento

Descrizione fonte raccolta dati

Base Giuridica del trattamento o Criterio di liceità adottato

Il trattamento è lecito ai sensi del GDPR Art. 6 co. 1 lett. b (il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso), lett. c (il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento), Art. 9 co. 2 lett. b (il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale), Art. 10 (trattamento dei dati personali relativi a condanne penali e reati)

Trattamenti automatizzati e/o di profilazione

Tipo di finalità

Modalità di trattamento

Sistema/i

Trasferimento dati all’estero

Tempi di conservazione (ovvero criteri di determinazione)

Misure di sicurezza adottate

Modello Organizzativo Privacy e Registro delle Attività di Trattamento

Pagina 70

Luoghi di conservazione degli archivi cartacei

SEDE PINETO/UFFICIO PINETO giovedì 13 aprile 2023

Data ultima revisione

Attività di trattamento

POSTA ELETTRONICA

Gestione posta elettronica e contatti

Titolare (dati affidati con contratto a Responsabile esterno della struttura del Titolare) Dati personali
Soggetti interessati dall’attività svolta

CERVELLA TRISTANO ARUBA S.P.A.

Dati forniti dagli interessati in fase precontrattuale e contrattuale o di richiesta informazioni

Non esistono processi decisionali automatizzati né profilazione

Finalità connesse all’attività aziendale (invio/ricezione documentazione necessaria all’erogazione dei servizi o prestazioni, promozionali, di marketing, adempimenti di obblighi contabili e fiscali, ecc.)
Strumenti elettronici

SISTEMA INFORMATICO (vedere allegato DTEC_D)
Non vengono trasferiti i dati all’estero
5 anni per i pagamenti periodici (Art. 2948 c.c.); 10 anni per la conservazione delle scritture contabili (art. 2220 c.c.) o fino a quando non siano definiti gli accertamenti relativi al corrispondente periodo di imposta (art. 22 del D.P.R. 29 Settembre 1973, n.600)

Descrizione breve

Descrizione dettagliata del processo di trattamento

Il processo è relativo alla gestione del servizio di posta elettronica ordinaria aziendale (e-mail aziendale), utilizzata nella normale gestione quotidiana delle attività lavorative. La gestione dell’e-mail aziendale, da parte dei dipendenti a cui è stato fornito un account, è regolamentata dal “Disciplinare interno per il corretto utilizzo dei sistemi informativi/informatici, della posta elettronica e della navigazione internet”.

Tipo banca dati

Titolare del trattamento

Trattamento effettuato come

Categorie dati personali

Categorie interessati

Categorie destinatari

Designato alle attività di trattamento

Eventuale/i ulteriore/i Responsabile/i del trattamento

Descrizione fonte raccolta dati

Base Giuridica del trattamento o Criterio di liceità adottato

Trattamenti automatizzati e/o di profilazione

Tipo di finalità

Modalità di trattamento

Sistema/i

Trasferimento dati all’estero

Tempi di conservazione (ovvero criteri di determinazione)

Misure di sicurezza adottate

Luoghi di conservazione degli archivi cartacei

Data ultima revisione

giovedì 13 aprile 2023

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 71

Attività di trattamento

POSTA ELETTRONICA CERTIFICATA

Gestione posta elettronica certificata e contatti

Titolare (dati affidati con contratto a Responsabile esterno della struttura del Titolare) Dati personali
Soggetti interessati dall’attività svolta

CERVELLA TRISTANO ARUBA S.P.A.

Dati forniti dagli interessati in fase precontrattuale e contrattuale o di richiesta informazioni

Non esistono processi decisionali automatizzati né profilazione

Invio e ricezione di messaggi di posta elettronica che “certifica” l’avvenuta spedizione con una ricevuta che costituisce prova legale.
Strumenti elettronici
SISTEMA INFORMATICO (vedere allegato DTEC_D)

Descrizione breve

Descrizione dettagliata del processo di trattamento

Il processo è relativo alla gestione del servizio di Posta Elettronica Certificata (PEC), che consente di inviare e ricevere documentazione elettronica con un elevato livello di sicurezza e di dare valore legale al processo di consegna dei messaggi, nel rispetto della normativa vigente. Dato che i messaggi (e gli eventuali documenti allegati), inviati e ricevuti tramite PEC, hanno appunto valore legale, la gestione della PEC è riservata all’Amministratore ed aventuali altri incaricati formalmente delegati dallo stesso.

Tipo banca dati

Titolare del trattamento

Trattamento effettuato come

Categorie dati personali

Categorie interessati

Categorie destinatari

Designato alle attività di trattamento

Eventuale/i ulteriore/i Responsabile/i del trattamento

Descrizione fonte raccolta dati

Base Giuridica del trattamento o Criterio di liceità adottato

Trattamenti automatizzati e/o di profilazione

Tipo di finalità

Modalità di trattamento

Sistema/i

Trasferimento dati all’estero

Tempi di conservazione (ovvero criteri di determinazione)

Misure di sicurezza adottate

Luoghi di conservazione degli archivi cartacei

Data ultima revisione

giovedì 13 aprile 2023

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 72

Attività di trattamento

Categorie interessati

POTENZIALI CLIENTI

Dati anagrafici dei potenziali clienti

SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE Titolare
Dati personali
Clienti ed utenti

CERVELLA TRISTANO

Dati forniti dagli interessati in fase precontrattuale e contrattuale
Il trattamento è lecito ai sensi del GDPR Art. 6 co. 1 lett. a (l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità), lett. b (il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso)
Non esistono processi decisionali automatizzati né profilazione

Gestione della clientela potenziale (prenotazioni, ordini, dell’affidabilità e solvibilità ed ogni altro trattamento connesso all’acquisizione di nuova clientela)
Strumenti elettronici e non
SISTEMA INFORMATICO (vedere allegato DTEC_D)

Non vengono trasferiti i dati all’estero
Nel rispetto dei termini prescritti dalla legge per la tipologia di attività e comunque fino alla revoca del consenso o fino all’esercizio del diritto di opposizione (Provv. generale del 15/05/13; art. 21 Reg. UE 2016/679)

Descrizione breve

Di regola non è presente un’attività di marketing in senso stretto e le attività commerciali sono legate al solo dare risposta a clienti che effettuano richieste tramite la form di contatto sul sito istituzionale, oppure tramite richieste telefoniche od eventualmente tramite agenti/rappresentanti. Non risulta che siano effettuate campagne di marketing telefonico o mailing commerciale e non sono raccolte informazioni tramite particolari form di raccolta dati (se non quella di contatto presente sul sito, come già indicato). In sintesi il processo prevede l’elaborazione di preventivi su sollecitazione del cliente e la gestione dei susseguenti contratti.

Descrizione dettagliata del processo di trattamento

Tipo banca dati

Titolare del trattamento

Trattamento effettuato come

Categorie dati personali

Categorie destinatari

Designato alle attività di trattamento

Eventuale/i ulteriore/i Responsabile/i del trattamento

Descrizione fonte raccolta dati

Base Giuridica del trattamento o Criterio di liceità adottato

Trattamenti automatizzati e/o di profilazione

Tipo di finalità

Modalità di trattamento

Sistema/i

Trasferimento dati all’estero

Tempi di conservazione (ovvero criteri di determinazione)

Misure di sicurezza adottate

Luoghi di conservazione degli archivi cartacei

SEDE PINETO/UFFICIO PINETO – SEDE PINETO/UFFICIO SEDE LEGALE giovedì 13 aprile 2023

Data ultima revisione

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 73

Attività di trattamento

PROTEZIONE DATI PERSONALI

Adeguamento al Regolamento UE 679/2016

Titolare
Dati personali
Soggetti interessati dall’attività svolta
Dipendenti e collaboratori autorizzati dal Titolare (art. 29 del GDPR e dell’art. 2-quaterdecies del D.Lgs.196/03), altri soggetti pubblici e privati cui la comunicazione sia comunque necessaria per il corretto adempimento delle finalità per cui è stata richiesta la prestazione o per assolvere a specifici obblighi di Legge

CERVELLA TRISTANO

Messa in sicurezza, protezione e tutela dei dati personali (Privacy). Strumenti elettronici e non
SISTEMA INFORMATICO (vedere allegato DTEC_D)
Non vengono trasferiti i dati all’estero

10 anni

Descrizione breve

Descrizione dettagliata del processo di trattamento

Tipo banca dati

Titolare del trattamento

Trattamento effettuato come

Categorie dati personali

Categorie interessati

Categorie destinatari

Designato alle attività di trattamento

Eventuale/i ulteriore/i Responsabile/i del trattamento

Descrizione fonte raccolta dati

Base Giuridica del trattamento o Criterio di liceità adottato

Trattamenti automatizzati e/o di profilazione

Tipo di finalità

Modalità di trattamento

Trasferimento dati all’estero

Sistema/i

Tempi di conservazione (ovvero criteri di determinazione)

Misure di sicurezza adottate

Modello Organizzativo Privacy e Registro delle Attività di Trattamento

Pagina 74

Il processo è legato alle procedure adottate dal Titolare per garantire la corretta gestione e la protezione dei dati personali trattati, sia all’interno che all’esterno della struttura, da dipendenti/incaricati (persone autorizzate) o da soggetti esterni coinvolti nei trattamenti (responsabili esterni). L’intero processo, comprese le misure di sicurezza adottate, è descritto nel documento “Registro delle Attività di Trattamento e Modello Organizzativo Privacy”.

Luoghi di conservazione degli archivi cartacei

SEDE PINETO/UFFICIO PINETO giovedì 13 aprile 2023

Data ultima revisione

Attività di trattamento

Categorie destinatari

SERVIZI ASSISTENZIALI

Gestione attività collegate all’erogazione servizi

Nominativo, indirizzo o altri elementi di identificazione personale (nome, cognome, età, sesso, luogo e data di nascita, indirizzo privato, indirizzo di lavoro, nr. di telefono, di posta elettronica, nr. Carta identità, ecc.) ed eventualmente dati particolari
SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Titolare
Dati personali, particolari e giudiziari
Soggetti interessati/famigliari/tutori oggetto dei servizi erogati
Dipendenti e collaboratori autorizzati dal Titolare (art. 29 del GDPR e dell’art. 2-quaterdecies del D.Lgs.196/03), altri soggetti pubblici e privati cui la comunicazione sia comunque necessaria per il corretto adempimento delle finalità per cui è stata richiesta la prestazione o per assolvere a specifici obblighi di Legge

CERVELLA TRISTANO

Dati forniti dagli interessati o da altro soggetto autorizzato (es. esercenti la patria potestà o la tutela legale)

Non esistono processi decisionali automatizzati né profilazione

Fornire servizi ad anziani, minori, portatori di handicap, utenti psichiatrici e di tutte le fasce sociali che si trovino in condizioni di necessità e di inabilità
Strumenti elettronici e non
SISTEMA INFORMATICO (vedere allegato DTEC_D)

Non vengono trasferiti i dati all’estero
I dati forniti saranno conservati per il periodo necessario a conseguire gli scopi per cui sono stati raccolti

Descrizione breve

Descrizione dettagliata del processo di trattamento

Servizi di assistenza sociale, a carattere domiciliare oppure realizzati in centri diurni e/o strutture residenziali e/o semi-residenziali appositamente allestiti e/o messi a disposizione da enti pubblici o aziende private, nei confronti di anziani, minori, portatori di handicap, utenti psichiatrici e di tutte le fasce sociali che si trovino in condizioni di necessita’ e di inabilità, attività e servizi di assistenza e sostegno effettuati tanto presso le famiglie quanto presso le scuole o altre strutture di accoglienza, assistenza domiciliare, ad anziani, minori, disabili, portatori di patologie che consentano la permanenza nel loro domicilio.

Tipo banca dati

Titolare del trattamento

Trattamento effettuato come

Categorie dati personali

Categorie interessati

Designato alle attività di trattamento

Eventuale/i ulteriore/i Responsabile/i del trattamento

Descrizione fonte raccolta dati

Base Giuridica del trattamento o Criterio di liceità adottato

Il trattamento è lecito ai sensi del GDPR Art. 6 co. 1 lett. a (l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità), lett. b (il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso), lett. c (il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento), co. 4 lett. c, art. 9 co. 2 lett. h (il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale), art.10 trattamento dei dati personali relativi a condanne penali e reati (ove previsti certificati per i dipendenti che ad esempio lavorano a contatto con i minori)

Trattamenti automatizzati e/o di profilazione

Tipo di finalità

Modalità di trattamento

Sistema/i

Trasferimento dati all’estero

Tempi di conservazione (ovvero criteri di determinazione)

Misure di sicurezza adottate

Luoghi di conservazione degli archivi cartacei

SEDE PINETO/UFFICIO PINETO giovedì 13 aprile 2023

Data ultima revisione

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 75

Attività di trattamento

Descrizione breve

SERVIZI INFERMIERISTICI

Gestione attività collegate all’erogazione servizi

Nominativo, indirizzo o altri elementi di identificazione personale (nome, cognome, età, sesso, luogo e data di nascita, indirizzo privato, indirizzo di lavoro, nr. di telefono, di posta elettronica, nr. Carta identità, ecc.) ed eventualmente dati particolari
SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE; Vedi Registro dei Titolari (o dei Responsabili)

Titolare, Titolare (dati affidati con contratto a Responsabile esterno della struttura del Titolare) e Responsabile (per conto dei Titolari del trattamento con dati affidati con contratto a Sub- Responsabile esterno)
Dati personali, particolari e giudiziari

Soggetti interessati/famigliari/tutori oggetto dei servizi erogati

CERVELLA TRISTANO ADVENIAS S.R.L.

Dati forniti dagli interessati o da altro soggetto autorizzato (es. esercenti la patria potestà o la tutela legale)

Non esistono processi decisionali automatizzati né profilazione

Non vengono trasferiti i dati all’estero
I dati forniti saranno conservati per il periodo necessario a conseguire gli scopi per cui sono stati raccolti

Descrizione dettagliata del processo di trattamento

Servizi di assistenza infermieristica e riabilitativa in genere, a carattere domiciliare oppure realizzati in centri diurni e/o strutture residenziali e/o semi-residenziali appositamente allestiti e/o messi a disposizione da enti pubblici o aziende private, nei confronti di anziani, minori, portatori di handicap, utenti psichiatrici e di tutte le fasce sociali che si trovino in condizioni di necessita’ e di inabilità, attività e servizi di assistenza, sostegno e riabilitazione effettuati tanto presso le famiglie quanto presso le scuole o altre strutture di accoglienza, assistenza domiciliare, anche a carattere infermieristico e riabilitativo, ad anziani, minori, disabili, portatori di patologie che consentano la permanenza nel loro domicilio.

Tipo banca dati

Titolare del trattamento

Trattamento effettuato come

Categorie dati personali

Categorie interessati

Categorie destinatari

Designato alle attività di trattamento

Eventuale/i ulteriore/i Responsabile/i del trattamento

Descrizione fonte raccolta dati

Base Giuridica del trattamento o Criterio di liceità adottato

Trattamenti automatizzati e/o di profilazione

Tipo di finalità

Modalità di trattamento

Sistema/i

Trasferimento dati all’estero

Tempi di conservazione (ovvero criteri di determinazione)

Misure di sicurezza adottate

Luoghi di conservazione degli archivi cartacei

SEDE PINETO/UFFICIO PINETO giovedì 13 aprile 2023

Data ultima revisione

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 76

Attività di trattamento

Categorie destinatari

SERVIZI SOCIALI ASSISTENZIALI ED EDUCATIVI

Gestione attività collegate all’erogazione servizi

Nominativo, indirizzo o altri elementi di identificazione personale (nome, cognome, età, sesso, luogo e data di nascita, indirizzo privato, indirizzo di lavoro, nr. di telefono, di posta elettronica, nr. Carta identità, ecc.) ed eventualmente dati particolari
Vedi Registro dei Titolari (o dei Responsabili)

Responsabile (per conto dei Titolari del trattamento)
Dati personali, particolari e giudiziari
Soggetti interessati/famigliari/tutori oggetto dei servizi erogati
Dipendenti e collaboratori autorizzati dal Titolare (art. 29 del GDPR e dell’art. 2-quaterdecies del D.Lgs.196/03), altri soggetti pubblici e privati cui la comunicazione sia comunque necessaria per il corretto adempimento delle finalità per cui è stata richiesta la prestazione o per assolvere a specifici obblighi di Legge

CERVELLA TRISTANO

Dati forniti dagli interessati o da altro soggetto autorizzato (es. esercenti la patria potestà o la tutela legale) o da altro Titolare del trattamento

Non esistono processi decisionali automatizzati né profilazione

Non vengono trasferiti i dati all’estero
I dati forniti saranno conservati per il periodo necessario a conseguire gli scopi per cui sono stati raccolti

Descrizione breve

Descrizione dettagliata del processo di trattamento

Servizi educativi, di assistenza sociale, socio-sanitaria, in genere, sia pubblici che privati, a carattere domiciliare oppure realizzati in centri diurni e/o strutture residenziali e/o semi- residenziali appositamente allestiti e/o messi a disposizione da enti pubblici o aziende private, nei confronti di anziani, minori, portatori di handicap, utenti psichiatrici e di tutte le fasce sociali che si trovino in condizioni di necessita’ e di inabilità, attività e servizi di assistenza, sostegno e riabilitazione effettuati tanto presso le famiglie quanto presso le scuole o altre strutture di accoglienza, assistenza domiciliare, anche a carattere infermieristico e riabilitativo, ad anziani, minori, disabili, portatori di patologie che consentano la permanenza nel loro domicilio.

Tipo banca dati

Titolare del trattamento

Trattamento effettuato come

Categorie dati personali

Categorie interessati

Designato alle attività di trattamento

Eventuale/i ulteriore/i Responsabile/i del trattamento

Descrizione fonte raccolta dati

Base Giuridica del trattamento o Criterio di liceità adottato

Trattamenti automatizzati e/o di profilazione

Tipo di finalità

Modalità di trattamento

Sistema/i

Trasferimento dati all’estero

Tempi di conservazione (ovvero criteri di determinazione)

Misure di sicurezza adottate

Nell’adottare le misure di sicurezza si è tenuto conto della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche. Su indicazione dei vari Titolari, il Responsabile del trattamento ha messo in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, provvedendo su base permanente alla riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento, ha predisposto un sistema per ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico ed ha attivato una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. Inoltre nel valutare l’adeguato livello di sicurezza, si è tenuto conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati. Per la natura dei dati trattati non si è ritenuto necessario procedere alla pseudonimizzazione e/o la cifratura dei dati personali (vedi punto 3.7.12 del presente Modello Organizzativo Privacy).

Luoghi di conservazione degli archivi cartacei

SEDE PINETO/UFFICIO PINETO giovedì 13 aprile 2023

Data ultima revisione

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 77

Attività di trattamento

SICUREZZA SUL LAVORO E TUTELA AMBIENTE

Dati relativi alla messa a norma D.Lgs. 81/08 e ss

Titolare (dati affidati con contratto a Responsabile esterno della struttura del Titolare) Dati personali e particolari
Personale dipendente

CERVELLA TRISTANO AREA SOLUTION S.R.L.

Dati forniti dagli interessati in fase precontrattuale, contrattuale e dal medico competente per quanto riguarda l’idoneità lavorativa

Non esistono processi decisionali automatizzati né profilazione

Sicurezza sul lavoro e tutela ambiente
Strumenti elettronici e non
SISTEMA INFORMATICO (vedere allegato DTEC_D) Non vengono trasferiti i dati all’estero

Descrizione breve

Descrizione dettagliata del processo di trattamento

Il processo è legato alla gestione delle incombenze normative in ambito salute e sicurezza sul luogo di lavoro, come l’elaborazione della documentazione relativa al DVR, la pianificazione della sorveglianza sanitaria, la formazione specifica per le singole mansioni e singoli rischi, etc. Tale trattamento prevede anche la gestione eventuale di infortuni, secondo le procedure previste dall’INAIL, dove la documentazione di tali accadimenti è conservata dal datore di lavoro in modalità ad accesso riservato e gestita in collaborazione con le figure previste per legge (Medico Competente, RSPP, etc.). In caso di obbligo e/o necessità sono effettuate anche azioni formative previste dalla normativa o programmate su base volontaria.

Tipo banca dati

Titolare del trattamento

Trattamento effettuato come

Categorie dati personali

Categorie interessati

Categorie destinatari

Designato alle attività di trattamento

Eventuale/i ulteriore/i Responsabile/i del trattamento

Descrizione fonte raccolta dati

Base Giuridica del trattamento o Criterio di liceità adottato

Il trattamento è lecito ai sensi del GDPR Art. 6 co. 1 lett. b (il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso), lett. c (il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento), Art. 9 co. 2 lett. b (il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale), lett. h (il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale)

Trattamenti automatizzati e/o di profilazione

Tipo di finalità

Modalità di trattamento

Trasferimento dati all’estero

Sistema/i

l termini di conservazione sono quelli stabiliti dal diritto del lavoro che fornisce le indicazioni sui tempi ed obblighi di conservazione dei documenti da parte del datore di lavoro che, è tenuto comunque a tenere in debita considerazione il principio di pertinenza e non eccedenza in fase di trattamento dei dati (es. comunicazione e lettera di assunzione 10 anni, assenze del lavoratore 10 anni, LUL 5 anni, registro degli infortuni 4 anni, libri matricola 5 anni, etc.)

Tempi di conservazione (ovvero criteri di determinazione)

Misure di sicurezza adottate

Luoghi di conservazione degli archivi cartacei

SEDE PINETO/UFFICIO PINETO giovedì 13 aprile 2023

Data ultima revisione

Modello Organizzativo Privacy e Registro delle Attività di Trattamento

Pagina 78

3.5.6. Elenco dei sistemi di elaborazione per il trattamento
Al Titolare attraverso i suoi collaboratori è affidato il compito di redigere e di aggiornare ad ogni

variazione l’elenco dei sistemi di elaborazione con cui viene effettuato il trattamento dei dati. Per ogni sistema deve essere specificato:

 Il nome dell’Incaricato della gestione e della manutenzione
 Il nome dell’incaricato o degli incaricati che lo utilizzano
 Il nome di uno o più Incaricati della custodia delle copie delle credenziali

Elenco dei sistemi di elaborazione per il trattamento (DTEC_D)

SISTEMA INFORMATICO (vedi allegato DTEC_D)

Vedi allegato DTEC_D
Vedi allegato DTEC_D
Vedi allegato DTEC_D
IOMMARINI ROBERTA [SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE] CERVELLA TRISTANO [SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE] Si

Vedi allegato DTEC_D
In rete
Tutti i sistemi dispongono di un programma antivirus
Eventuali documenti integrativi (analisi di vulnerabilità e di sicurezza, schemi di rete e di sistema, documentazione tecnica, audit di verifica e controllo, report di manutenzione, etc.) sono allegati al DTEC_D

Sistema

Modello

Marca

Sistema Operativo

Incaricato della manutenzione

Custode delle credenziali

Automod. delle credenziali

Sede e Ufficio

Disponibilità

Antivirus

Note

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 79

3.6. Distribuzione compiti e responsabilità nell’ambito delle strutture preposte al trattamento

3.6.1. Elenco dei soggetti autorizzati al trattamento dei dati

Ogni Designato per specifici compiti e funzioni (attività di trattamento) ha il compito di:

 nominare gli Incaricati del trattamento dei dati personali limitatamente alle Banche di dati di cui sono responsabili;

 assegnare le Credenziali di autenticazione;
 informare l’Amministratore di Sistema delle variazioni intervenute nell’assegnazione delle

Credenziali di autorizzazione.
L’Amministratore di Sistema deve tenere aggiornato ad ogni variazione l’Elenco del personale

autorizzato al trattamento dei dati.

L’Elenco del personale autorizzato al trattamento dei dati deve essere redatto dal Designato per specifici compiti e funzioni (attività di trattamento), utilizzando il modulo DTEC_F, che deve essere allegato al presente Registro delle Attività di Trattamento e Modello Organizzativo Privacy, e deve essere conservato a cura dell’Amministratore di Sistema, in luogo sicuro.

Una copia dell’Elenco del personale autorizzato al trattamento dei dati deve essere consegnata all’Incaricato della custodia delle copie delle credenziali.

Elenco dei soggetti autorizzati al trattamento dei dati (DTEC_F)

CERVELLA TRISTANO
Via Calamandrei, 24 64025 PINETO (TE)
Tel. e fax: (085) 9495234

CERVELLA TRISTANO Via Calamandrei, 24

PROTEZIONE DATI PERSONALI Adeguamento al Regolamento UE 679/2016

GESTIONE DATI AMMINISTRATIVI E CONTABILI Dati amministrativi e contabili

POTENZIALI CLIENTI
Dati anagrafici dei potenziali clienti

GESTIONE SELEZIONE DEL PERSONALE Dati anagrafici e C.V.

CLIENTI
Dati anagrafici e contabili clienti

FORNITORI
Dati anagrafici e contabili fornitori

CERTIFICAZIONI QUALITA
Dati conseguimento certificazioni UNI ISO

CONTENZIOSO LEGALE
Dati relativi a procedimenti di contenzioso

Modello Organizzativo Privacy e Registro delle Attività di Trattamento

Pagina 80

64025 PINETO (TE)
Tel. e fax: (085) 9495234

CERVELLA TRISTANO
Via Calamandrei, 24 64025 PINETO (TE)
Tel. e fax: (085) 9495234

CIARELLI NOVELLA
Via Calamandrei, 24 64025 PINETO (TE)
Tel. e fax: (085) 9495234

SICUREZZA SUL LAVORO E TUTELA AMBIENTE Dati relativi alla messa a norma D.Lgs. 81/08 e ss

GESTIONE PROTOCOLLO COVID
Esecuzione protocollo di sicurezza anti-contagio

GESTIONE PERSONALE DIPENDENTE Gestione anagrafiche e altri dati del personale

SERVIZI SOCIALI ASSISTENZIALI ED EDUCATIVI Gestione attività collegate all’erogazione servizi

SERVIZI ASSISTENZIALI
Gestione attività collegate all’erogazione servizi

SERVIZI INFERMIERISTICI
Gestione attività collegate all’erogazione servizi

GESTIONE GARE APPALTI
Gestione capitolati gara ambito pubblico e privato

POSTA ELETTRONICA CERTIFICATA
Gestione posta elettronica certificata e contatti

POSTA ELETTRONICA
Gestione posta elettronica e contatti

GESTIONE MODELLO ORGANIZZATIVO 231 Modello organizzativo responsabilità impresa

PROTEZIONE DATI PERSONALI Adeguamento al Regolamento UE 679/2016

GESTIONE DATI AMMINISTRATIVI E CONTABILI Dati amministrativi e contabili

POTENZIALI CLIENTI
Dati anagrafici dei potenziali clienti

Modello Organizzativo Privacy e Registro delle Attività di Trattamento

Pagina 81

CIARELLI NOVELLA
Via Calamandrei, 24 64025 PINETO (TE)
Tel. e fax: (085) 9495234

GILIO ANTONIO – ODV Via Calamandrei, 24 64025 PINETO (TE)
Tel. e fax: (085) 9495234

INCARICATO SENZA PC – INFERMIERE (vedi elenco) c/o le sedi operative destinatarie dei servizi

GESTIONE SELEZIONE DEL PERSONALE Dati anagrafici e C.V.

CLIENTI
Dati anagrafici e contabili clienti

FORNITORI
Dati anagrafici e contabili fornitori

CERTIFICAZIONI QUALITA
Dati conseguimento certificazioni UNI ISO

GESTIONE PERSONALE DIPENDENTE Gestione anagrafiche e altri dati del personale

SERVIZI INFERMIERISTICI
Gestione attività collegate all’erogazione servizi

SERVIZI ASSISTENZIALI
Gestione attività collegate all’erogazione servizi

SERVIZI SOCIALI ASSISTENZIALI ED EDUCATIVI Gestione attività collegate all’erogazione servizi

POSTA ELETTRONICA
Gestione posta elettronica e contatti

GESTIONE MODELLO ORGANIZZATIVO 231 Modello organizzativo responsabilità impresa

PROTEZIONE DATI PERSONALI Adeguamento al Regolamento UE 679/2016

CLIENTI
Dati anagrafici e contabili clienti

FORNITORI
Dati anagrafici e contabili fornitori

SERVIZI SOCIALI ASSISTENZIALI ED EDUCATIVI Gestione attività collegate all’erogazione servizi

SERVIZI ASSISTENZIALI
Gestione attività collegate all’erogazione servizi

SERVIZI INFERMIERISTICI
Gestione attività collegate all’erogazione servizi

Modello Organizzativo Privacy e Registro delle Attività di Trattamento

Pagina 82

INCARICATO SENZA PC – O.S.S. (vedi elenco) c/o le sedi operative destinatarie dei servizi

INCARICATO SENZA PC GENERICO (vedi elenco) c/o le sedi operative destinatarie dei servizi

IOMMARINI ROBERTA Via Calamandrei, 24 64025 PINETO (TE)
Tel. e fax: (085) 9495234

IOMMARINI ROBERTA Via Calamandrei, 24 64025 PINETO (TE)

PROTEZIONE DATI PERSONALI Adeguamento al Regolamento UE 679/2016

CLIENTI
Dati anagrafici e contabili clienti

FORNITORI
Dati anagrafici e contabili fornitori

SERVIZI ASSISTENZIALI
Gestione attività collegate all’erogazione servizi

SERVIZI SOCIALI ASSISTENZIALI ED EDUCATIVI Gestione attività collegate all’erogazione servizi

PROTEZIONE DATI PERSONALI Adeguamento al Regolamento UE 679/2016

CLIENTI
Dati anagrafici e contabili clienti

FORNITORI
Dati anagrafici e contabili fornitori

PROTEZIONE DATI PERSONALI Adeguamento al Regolamento UE 679/2016

GESTIONE DATI AMMINISTRATIVI E CONTABILI Dati amministrativi e contabili

POTENZIALI CLIENTI
Dati anagrafici dei potenziali clienti

GESTIONE SELEZIONE DEL PERSONALE Dati anagrafici e C.V.

CLIENTI
Dati anagrafici e contabili clienti

FORNITORI
Dati anagrafici e contabili fornitori

CERTIFICAZIONI QUALITA
Dati conseguimento certificazioni UNI ISO

GESTIONE PERSONALE DIPENDENTE Gestione anagrafiche e altri dati del personale

SERVIZI SOCIALI ASSISTENZIALI ED EDUCATIVI Gestione attività collegate all’erogazione servizi

Modello Organizzativo Privacy e Registro delle Attività di Trattamento

Pagina 83

Tel. e fax: (085) 9495234

IOMMARINI ROBERTA Via Calamandrei, 24 64025 PINETO (TE)
Tel. e fax: (085) 9495234

LELLI LILIANA
Via Calamandrei, 24 64025 PINETO (TE)
Tel. e fax: (085) 9495234

LELLI LILIANA
Modello Organizzativo Privacy e Registro delle Attività di Trattamento

SERVIZI INFERMIERISTICI
Gestione attività collegate all’erogazione servizi

SERVIZI ASSISTENZIALI
Gestione attività collegate all’erogazione servizi

POSTA ELETTRONICA
Gestione posta elettronica e contatti

PROTEZIONE DATI PERSONALI Adeguamento al Regolamento UE 679/2016

GESTIONE DATI AMMINISTRATIVI E CONTABILI Dati amministrativi e contabili

POTENZIALI CLIENTI
Dati anagrafici dei potenziali clienti

GESTIONE SELEZIONE DEL PERSONALE Dati anagrafici e C.V.

CLIENTI
Dati anagrafici e contabili clienti

FORNITORI
Dati anagrafici e contabili fornitori

CERTIFICAZIONI QUALITA
Dati conseguimento certificazioni UNI ISO

GESTIONE PERSONALE DIPENDENTE Gestione anagrafiche e altri dati del personale

SERVIZI ASSISTENZIALI
Gestione attività collegate all’erogazione servizi

SERVIZI INFERMIERISTICI
Gestione attività collegate all’erogazione servizi

SERVIZI SOCIALI ASSISTENZIALI ED EDUCATIVI

Pagina 84

Via Calamandrei, 24 64025 PINETO (TE)
Tel. e fax: (085) 9495234

LELLI LILIANA
Via Calamandrei, 24 64025 PINETO (TE)
Tel. e fax: (085) 9495234

PAVONE ANTONIO
Via Calamandrei, 24 64025 PINETO (TE)
Tel. e fax: (085) 9495234

Gestione attività collegate all’erogazione servizi

POSTA ELETTRONICA
Gestione posta elettronica e contatti

PROTEZIONE DATI PERSONALI Adeguamento al Regolamento UE 679/2016

GESTIONE DATI AMMINISTRATIVI E CONTABILI Dati amministrativi e contabili

POTENZIALI CLIENTI
Dati anagrafici dei potenziali clienti

GESTIONE SELEZIONE DEL PERSONALE Dati anagrafici e C.V.

CLIENTI
Dati anagrafici e contabili clienti

FORNITORI
Dati anagrafici e contabili fornitori

CERTIFICAZIONI QUALITA
Dati conseguimento certificazioni UNI ISO

GESTIONE PERSONALE DIPENDENTE Gestione anagrafiche e altri dati del personale

SERVIZI SOCIALI ASSISTENZIALI ED EDUCATIVI Gestione attività collegate all’erogazione servizi

SERVIZI INFERMIERISTICI
Gestione attività collegate all’erogazione servizi

SERVIZI ASSISTENZIALI
Gestione attività collegate all’erogazione servizi

POSTA ELETTRONICA
Gestione posta elettronica e contatti

Modello Organizzativo Privacy e Registro delle Attività di Trattamento

Pagina 85

PROFILO PC AMMINISTRATIVO (vedi elenco) c/o le sedi operative destinatarie dei servizi

PROTEZIONE DATI PERSONALI Adeguamento al Regolamento UE 679/2016

GESTIONE DATI AMMINISTRATIVI E CONTABILI Dati amministrativi e contabili

CLIENTI
Dati anagrafici e contabili clienti

FORNITORI
Dati anagrafici e contabili fornitori

SERVIZI ASSISTENZIALI
Gestione attività collegate all’erogazione servizi

SERVIZI INFERMIERISTICI
Gestione attività collegate all’erogazione servizi

SERVIZI SOCIALI ASSISTENZIALI ED EDUCATIVI Gestione attività collegate all’erogazione servizi

POSTA ELETTRONICA
Gestione posta elettronica e contatti

PROTEZIONE DATI PERSONALI Adeguamento al Regolamento UE 679/2016

CLIENTI
Dati anagrafici e contabili clienti

FORNITORI
Dati anagrafici e contabili fornitori

SERVIZI SOCIALI ASSISTENZIALI ED EDUCATIVI Gestione attività collegate all’erogazione servizi

SERVIZI ASSISTENZIALI
Gestione attività collegate all’erogazione servizi

POSTA ELETTRONICA
Gestione posta elettronica e contatti

PROFILO PC OPERATIVO SANITARIO (vedi c/o le sedi operative destinatarie dei servizi

elenco) elenco) elenco) elenco) elenco) elenco)

3.6.2. Verifiche periodiche delle condizioni per il mantenimento delle autorizzazioni

L’Amministratore di Sistema eventualmente in collaborazione con i Designati per specifici compiti e funzioni (attività di trattamento) ha il compito di verificare ogni anno, le Credenziali di autenticazione.

L’Amministratore di Sistema deve tenere aggiornato ad ogni variazione l’Elenco del personale autorizzato al trattamento dei dati.

L’Elenco del personale autorizzato al trattamento dei dati deve essere redatto dall’Amministratore di Sistema, utilizzando il modulo DTEC_F, che deve essere allegato al presente Registro delle Attività di Trattamento e Modello Organizzativo Privacy, e deve essere conservato a cura dell’Amministratore di Sistema, in luogo sicuro.

Una copia dell’Elenco del personale autorizzato al trattamento dei dati deve essere consegnata all’Incaricato della custodia delle copie delle credenziali.

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 86

3.6.3. Distribuzione dei compiti e delle responsabilità

Pur essendo stato abrogato il Disciplinare tecnico in materia di misure minime di sicurezza (Allegato B del Dlgs. n.196 del 30 giugno 2003 – vedi punto 19.2) si ritiene utile che il modulo DTEC_J, venga allegato al presente Registro delle Attività di Trattamento e Modello Organizzativo Privacy.

Distribuzione dei compiti e delle responsabilità (DTEC_J)

1) SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE, Titolare del Trattamento dei dati personali 21) CERVELLA TRISTANO, Amministratore di base di dati
22) CERVELLA TRISTANO, Amministratore di sistema
23) CERVELLA TRISTANO, Amministratore di rete

3) IOMMARINI ROBERTA, Incaricato della gestione e manutenzione degli strumenti elettronici 4) CERVELLA TRISTANO, Incaricato della custodia delle copie delle credenziali
5) IOMMARINI ROBERTA, Incaricato delle copie di sicurezza delle banche dati
6) ADVENIAS S.R.L., Responsabile in outsourcing di specifici trattamenti di dati personali

6) AREA SOLUTION S.R.L., Responsabile in outsourcing di specifici trattamenti di dati personali 6) ARUBA S.P.A., Responsabile in outsourcing di specifici trattamenti di dati personali
10) CERVELLA TRISTANO, Designato per specifici compiti e funzioni (data breach)
11) CERVELLA TRISTANO, Designato per specifici compiti e funzioni (riscontro agli interessati) 8) CERVELLA TRISTANO, Designato per specifici compiti e funzioni (attività di trattamento)

7) CERVELLA TRISTANO
7) CIARELLI NOVELLA
7) GILIO ANTONIO – ODV
7) INCARICATO SENZA PC – INFERMIERE (vedi elenco) 7) INCARICATO SENZA PC – O.S.S. (vedi elenco)

7) INCARICATO SENZA PC GENERICO (vedi elenco) 7) IOMMARINI ROBERTA
7) LELLI LILIANA
7) PAVONE ANTONIO

7) PROFILO PC AMMINISTRATIVO (vedi elenco)

7) PROFILO PC OPERATIVO SANITARIO (vedi elenco)
14) CERVELLA TRISTANO, Designato per specifici compiti e funzioni (procedure anti-contagio)
12) CERVELLA TRISTANO, Designato per specifici compiti e funzioni (privacy by design e privacy by default)
6) INTERMEDIARIO SISTEMA DI INTERSCAMBIO (vedi contratti), Responsabile in outsourcing di specifici trattamenti di dati personali 9) PROFILI AZIENDALI S.R.L., Data Protection Officer – DPO
6) PROFILI AZIENDALI S.R.L., Responsabile in outsourcing di specifici trattamenti di dati personali
6) STUDIO CLAMOROSO DANILO, Responsabile in outsourcing di specifici trattamenti di dati personali
6) STUDIO LEGALE RAPACCHIALE AVV. PAOLA, Responsabile in outsourcing di specifici trattamenti di dati personali
6) STUDIO MARTEGIANI MAURO, Responsabile in outsourcing di specifici trattamenti di dati personali

Legenda:

1) Titolare dei dati personali
22) Amministratore di Sistema
3) Incaricato della gestione e manutenzione degli strumenti elettronici 5) Incaricato delle copie di sicurezza delle banche dati
7) Incaricato del trattamento dei dati personali
9) Data Protection Officer (ove nominato)
11) Designato per specifici compiti e funzioni (riscontro agli interessati)

13) Designato per specifici compiti e funzioni (data retention)

21) Amministratore di Base Dati
23) Amministratore di Rete
4) Incaricato della custodia delle copie delle credenziali
6) Responsabile trattamento dati esterno (in outsourcing)
8) Designato per specifici compiti e funzioni (attività di trattamento) 10) Designato per specifici compiti e funzioni (data breach)
12) Designato per specifici compiti e funzioni (privacy by design e privacy by default)
14) Designato per
contagio)

specifici

compiti e

funzioni

(procedure anti-

Modello Organizzativo Privacy e Registro delle Attività di Trattamento

Pagina 87

3.7. Analisi e valutazione dei rischi

3.7.1. Analisi dei rischi hardware

Gli Incaricati della gestione e della manutenzione degli strumenti elettronici, in collaborazione con l’Amministratore di Sistema, se nominato, anche avvalendosi di consulenti interni o esterni, devono verificare, almeno annualmente:

 la situazione delle apparecchiature hardware installate con cui vengono trattati i dati;  la situazione delle apparecchiature periferiche;
 la situazione dei dispositivi di collegamento con le reti pubbliche.

La verifica ha lo scopo di controllare l’affidabilità del sistema tenendo conto anche dell’evoluzione tecnologica, per quanto riguarda:

 la sicurezza dei dati trattati;
 il rischio di distruzione o di perdita;
 il rischio di accesso non autorizzato o non consentito.

Gli Incaricati della gestione e della manutenzione degli strumenti elettronici devono aggiornare, ogni qual volta ci siano delle condizioni che rendono necessaria una sua revisione, comunque almeno annualmente, il Report dei rischi hardware, conformemente al modulo DTEC_T.

Gli Incaricati della gestione e della manutenzione degli strumenti elettronici nel caso in cui esistano rischi evidenti devono informare tempestivamente l’Amministratore di Sistema affinché siano presi gli opportuni provvedimenti allo scopo di assicurare il corretto trattamento dei dati in conformità alle norme in vigore.

Report rischi hardware (DTEC_T)

3.7.2. Analisi dei rischi sui sistemi operativi e sui software installati

Agli Incaricati della gestione e della manutenzione degli strumenti elettronici, in collaborazione con l’Amministratore di Sistema, se nominato, è affidato il compito di verificare, almeno annualmente, la situazione dei Sistemi Operativi e delle applicazioni software installate sulle apparecchiature con cui vengono trattati i dati.

La verifica ha lo scopo di controllare l’affidabilità dei Sistemi Operativi e delle applicazioni software, per quanto riguarda:

 la sicurezza dei dati trattati;
 il rischio di distruzione o di perdita;
 il rischio di accesso non autorizzato o non consentito.

Tenendo conto in particolare di:

 disponibilità di nuove versioni migliorative dei software utilizzati;
 segnalazioni di Patch, Fix o System-Pack per la rimozione di errori o malfunzionamenti;
 segnalazioni di Patch, Fix o System-Pack per l’introduzione di maggiori sicurezze contro i rischi diintrusione o di danneggiamento dei dati.
Gli Incaricati della gestione e della manutenzione degli strumenti elettronici, in collaborazione con l’Amministratore di Sistema, se nominato, devono aggiornare, ogni qual volta ci siano delle condizioni che rendono necessaria una sua revisione, comunque almeno annualmente, il Report dei rischi sui software installati, conformemente al modulo DTEC_U.

Sistema	Tipo di rischio	Gravità rischio	Azione correttiva
Vedi allegato (DTEC_D)	Malfunzionamento, indisponibilità o degrado degli strumenti	Bassa	Per prevenire possibili guasti si deve procedere, con cadenza periodica, ad effettuare un controllo di funzionalità delle principali componenti della strumentazione, con eventuale sostituzione dei componenti che non risultano essere in piena efficienza

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 88

Gli Incaricati della gestione e della manutenzione degli strumenti elettronici, nel caso in cui esistano rischi evidenti, devono informare tempestivamente l’Amministratore di Sistema affinché siano presi gli opportuni provvedimenti per assicurare il corretto trattamento dei dati in conformità alle norme in vigore.

Report dei rischi sui software installati (DTEC_U)

Software

Sistema

Data Valutazione

Tipo di rischio

Gravità rischio

Azione Corretiva

SOFTWARE CTG. 1S.O. E/O FUNZIONALE (MICROSOFT /APPLE/LINUX/UNIXT /etc.)

Vedi allegato (DTEC_D)

Data del Documento sulla Sicurezza dei Dati Personali

Possibilità che si possano riscontrare eventuali bugs nel software utilizzato tali da compromettere l’integrità del software o dei dati trattati tramite il software. Possibilità di rilascio di una versione più aggiornata del programma.

Bassa

Monitorare almeno mensilmente se sono state rilasciate patch o versioni più aggiornate di quella in possesso.

SOFTWARE CTG. 2ANTIVIRUS (di qualsiasi genere e S.O.)

Vedi allegato (DTEC_D)

Data del Documento sulla Sicurezza dei Dati Personali

Possibilità che si possa riscontrare la presenza di virus informatici nello strumento informatico utilizzato tali da compromettere l’integrità del sistema, del software o dei dati trattati tramite il software.

Elevata

Dato che i virus informatici si propagano e si sviluppano con notevole celerità devono essere predisposti appositi contratti di aggiornamento del software antivirus in modo tale che il software risulti essere sempre aggiornato per la protezione anche dai virus di recente nascita. Monitorare GIORNALMENTE (settimanalmente per i PC non collegati ad Internet) il rilascio di nuovi aggiornamenti all’elenco virus conosciuti.

SOFTWARE CTG. 3ANTISPYWARE (di qualsiasi genere e S.O.)

Vedi allegato (DTEC_D)

Data del Documento sulla Sicurezza dei Dati Personali

Possibilità che si possa riscontrare la presenza di programmi spyware nello strumento informatico utilizzato tali da compromettere l’integrità del sistema, del software o dei dati trattati tramite il software.

Elevata

Dato che gli spyware informatici si diffondono e si sviluppano con notevole celerità devono essere predisposti appositi contratti di aggiornamento del software antispyware in modo tale che il software risulti essere sempre aggiornato per la protezione anche dagli spyware di recente nascita. Monitorare GIORNALMENTE (settimanalmente per i PC non collegati ad Internet) il rilascio di nuovi aggiornamenti all’elenco degli spyware conosciuti.

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 89

Software

Sistema

Data Valutazione

Tipo di rischio

Gravità rischio

Azione Corretiva

SOFTWARE CTG. 4GESTIONALE (di qualsiasi genere e S.O.)

Vedi allegato (DTEC_D)

Data del Documento sulla Sicurezza dei Dati Personali

Possibilità che si possano riscontrare eventuali bugs nel software utilizzato tali da compromettere l’integrità del software o dei dati trattati tramite il software.

Media

Per potere evitare i danni derivanti dalla presenza di bugs sui software utilizzati per il trattamento dei dati personali devono essere stipulati con le case produttrici del software stesso appositi contratti di aggiornamento, che in caso di presenza di eventuali bugs prevedono la risoluzione dei bugs stessi nel più breve tempo possibile. Monitorare almeno mensilmente se sono state rilasciate patch o versioni più aggiornate di quella in possesso.

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 90

3.7.3. Analisi dei rischi nel trattamento dei dati personali

L’analisi dei rischi in materia di protezione dei dati personali è una metodologia che ha lo scopo di individuare e valutare i rischi che incombono sui dati personali e gli impatti che questi possono avere sui diritti e le libertà delle persone fisiche.

3.7.3.1. Premessa

Diversamente dall’analisi di altre tipologie di rischi, il cui fulcro è costituito dai rischi verso gli asset aziendali e dai conseguenti impatti sul business, l’analisi dei rischi in materia di protezione dati personali, partendo dalla premessa che l’impianto del GDPR è volto alla tutela del soggetto interessato, è finalizzata ad individuare il livello di esposizione al rischio dei dati personali trattati ed i conseguenti impatti sugli interessati.

3.7.3.2. Scopo

La seguente procedura ha lo scopo di formalizzare la metodologia che l’organizzazione intende seguire al fine di valutare il rischio concreto per i diritti e le libertà degli interessati, nell’ottica di adottare le misure di sicurezza, tecniche ed organizzative, adeguate al rischio.

Ai sensi dell’art. 32 GPDR, infatti:
“Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.”

Tale articolo precisa che “Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati”.

Viene inoltre indicato che l’adesione a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 41 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di sicurezza nel trattamento. Infine, l’articolo 32 prescrive che il Titolare del trattamento e il Responsabile del trattamento “fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”.

L’art 25 del GDPR impone inoltre al Titolare/Responsabile del trattamento di mettere in atto “sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso” misure tecniche e organizzative adeguate, “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche”.

Il GDPR non impone dunque metodi o strumenti specifici di valutazione dei rischi. È compito dell’organizzazione scegliere l’approccio più appropriato rispetto alla realtà aziendale che si intende sottoporre a valutazione. In tale scelta si deve tenere conto dei processi di controllo già in essere, delle best practice di riferimento e della facilità di applicazione delle stesse nei processi aziendali oggetto di valutazione.

Ogni Titolare del trattamento può, dunque, scegliere liberamente le misure di sicurezza da attuare, senza vincoli legati a “misure minime”, purché le stesse siano adeguate al rischio, motivi e documenti le scelte effettuate, anche in occasione di eventuali attività di controllo e verifica da parte del Garante e prenda in considerazione gli eventuali presidi che provvedimenti normativi (in senso ampio) rivolti a specifici ambiti individuano come obbligatori. In definitiva i Titolari del trattamento devono definire, documentare e applicare metodi, elaborare procedure operative, nonché nominare i relativi responsabili al fine di valutare i rischi in ambito privacy per gli interessati.

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 91

In questo quadro, l’organizzazione ha adottato la metodologia ispirandosi allo standard ENISA per le PMI, ai controlli ISO/IEC 27701 e ai controlli del Framework Nazionale per la Cybersecurity e la Data Protection del CIS SAPIENZA.

3.7.3.3. Funzione di riferimento

Per l’esecuzione della valutazione dei rischi l’organizzazione deve individuare una figura adeguata che sia in grado di governarla, monitorarla ed anche aggiornarla con costanza, che nella circostanza si identifica nel Designato per specifici compiti e funzioni (attività di trattamento), che opererà con il coinvolgimento dei soggetti con funzione apicale e di governance di ogni processo sottoposto a valutazione, del personale IT dell’organizzazione (AdS, Incaricati della gestione e della manutenzione degli strumenti elettronici, etc.) e, ove necessario, anche dei consulenti, fornitori e più in generale di tutte quelle figure che hanno attività impattanti sullo specifico processo o ne sono semplicemente coinvolti.

Il Designato per specifici compiti e funzioni (attività di trattamento) deve aggiornare, ogni qual volta ci siano delle condizioni che rendono necessaria una sua revisione, comunque almeno annualmente, il Report dei rischi sul trattamento dei dati personali, conformemente al modulo DTEC_Z

3.7.4. Modalità di esecuzione della valutazione dei rischi

La valutazione dei rischi viene effettuata attraverso un percorso strutturato in fasi ben definite e consequenziali in termini logici ed operativi. È necessario, in primo luogo, individuare ogni singolo processo per il quale si sta effettuando la valutazione del rischio, analizzandolo in modo approfondito in termini di tipologia dei dati trattati, di finalità perseguite, di verifica delle misure di sicurezza tecniche ed organizzative in essere, individuando, inoltre, i soggetti coinvolti nel trattamento ed ogni altro elemento utile per procede, successivamente, ai seguenti punti:

a. la prima fase è quella di valutare l’impatto o il danno, cioè una stima (in astratto) del danno/conseguenze, per singolo processo di trattamento, che deriverebbero all’interessato qualora si verificasse una perdita di riservatezza, integrità e disponibilità, da intendersi come conseguenze che la perdita di requisiti di sicurezza dei dati personali trattati dal Titolare possono comportare per i diritti degli interessati e per la loro libertà e dignità (nel modello compreso nell’analisi dei processi tale operazione viene quantificata nelle specifiche colonne situate prima delle note sul singolo processo);

b. la seconda fase prevede l’identificazione delle minacce rilevanti per il singolo processo di trattamento, partendo da un elenco prestabilito di minacce, e la stima della probabilità di occorrenza delle minacce. Per “minaccia” deve intendersi qualsiasi circostanza o evento che potenzialmente può determinare un impatto negativo (un male o un danno) ad una cosa o persona. Le minacce tendono ad essere specifiche relativamente a determinati ambienti. La scelta del tipo di minaccia da prendere in considerazione al loro potenziale di rischio dovrà ricadere, ovviamente, su quelle che si presentano caratterizzanti per l’organizzazione in relazione ai tipi di trattamento svolto e al contesto in cui detti trattamenti si svolgono;

c. la terza fase prevede che, attraverso il rapporto fra impatto e stima della probabilità di occorrenza delle minacce, si proceda al calcolo del livello di rischio intrinseco, cioè il rischio connesso ad un trattamento in assenza di misure o dei controlli di sicurezza applicati;

d. la quarta fase è dedicata a valutare la vulnerabilità (la misura della mancanza dei controlli ritenuti desiderabili), cioè ad attribuire un punteggio allo stato dell’arte delle misure di Data Protection dell’organizzazione, sulla base della presenza/assenza dei controlli ispirati allo standard ENISA per le PMI, ai controlli ISO/IEC 27701 e ai controlli del Framework Nazionale per la Cybersecurity e la Data Protection del CIS SAPIENZA;

la quinta fase prevede la valutazione del livello di Rischio Residuo che si ottiene moltiplicando il rischio intrinseco per il livello di vulnerabilità. Il rischio residuo connesso ad un trattamento è quello che deriva dal rischio implicito legato al trattamento e dalla capacità di attuazione dei controlli ritenuti desiderabili;
la sesta fase è dedicata ad individuare le azioni di gestione del rischio. A tal fine occorre agire sul parametro della vulnerabilità, attraverso un piano di trattamento che ha l’obiettivo di introdurre i conseguenti controlli di sicurezza necessari e quindi minimizzare lo scostamento fra lo standard desiderabile e le misure implementate dall’organizzazione.

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 92

3.7.5. (1° Fase) Procedura ed istruzioni per la valutazione dell’impatto

La valutazione dell’impatto è un processo qualitativo la cui determinazione considera una serie di fattori quali la tipologia di dati personali, la criticità dell’operazione di trattamento, il volume dei dati personali, le modalità di gestione dei trattamenti cartacei o informatici, le misure di sicurezza in essere, la tipologia di soggetti interessati. Il punto di partenza non è la minaccia, ma l’interessato.

3.7.5.1 Istruzioni per la valutazione d’impatto

Il processo di valutazione, come indicato in precedenza, consiste in una stima (in astratto) del danno/conseguenze che deriverebbero all’interessato qualora, per un certo tipo di trattamento, si verificasse una perdita di:

 Riservatezza: proprietà volta a garantire la riservatezza del dato e ad evitare che ci siano accessi non autorizzati. In concreto un’informazione deve essere accessibile esclusivamente ai soggetti e/o ai processi legittimamente autorizzati. Tale requisito implica che i dati siano gestiti in sicurezza in modo tale da mitigare il rischio di accesso ai dati o di loro utilizzo non autorizzato.
 Integrità: proprietà di un’informazione volta a garantire l’inalterabilità e/o la non modificabilità della stessa da parte di soggetti non legittimamente autorizzati. I dati, pertanto, non devono essere alterati, subire modifiche o cancellazioni a seguito di eventi esterni e/o di azioni deliberate e non.
 Disponibilità: proprietà tesa a garantire che un’informazione sia sempre accessibile ed utilizzabile da chi ne abbia accesso legittimo. Tale requisito implica che i dati debbano essere salvaguardati in modo che ne sia garantito l’accesso, l’usabilità e la confidenzialità.Gli eventi che possono dar luogo a perdite dei requisiti di sicurezza possono così sintetizzarsi:

Danno/conseguenze

Perdita di

Furto / Sottrazione / Accesso o Uso Illegittimo o Improprio (a Edifici, Sistemi, Attrezzature) / Copia Illecita / Intercettazione / Consultazione / Comunicazione / Diffusione Illecita
Guasto / Danneggiamento / Distruzione / Alterazione / Invecchiamento (Reale o Tecnologico) / Perdita Di Qualità

Furto / Sottrazione / Guasto / Danneggiamento / Distruzione / Alterazione / Inaccessibilità

Riservatezza

Integrità Disponibilità

Come anticipato occorre tenere in considerazione anche una serie di fattori che attengono al singolo trattamento che riguardano:

 la natura dei dati personali oggetto di trattamento – I trattamenti di categorie di dati particolari o di dati relativi a reati e condanne penali presentano rischi elevati e conseguentemente l’impatto derivante da eventuali perdite dei requisiti di sicurezza è più elevato;

 il volume dei dati personali trattati in riferimento al singolo interessato – Un trattamento che contempli un elevato numero di dati per ogni singolo interessato può rendere l’operazione di trattamento di interesse per eventuali aggressori (a causa del valore intrinseco di questi dati) e può determinare in caso di perdita dei requisiti di sicurezza un impatto maggiore e conseguenze significative per l’interessato che potrebbe avere gravi difficoltà o significativi disagi;

 un danno fisico, materiale, economico e/o reputazionale per i soggetti interessati – Trattamenti di dati la cui perdita dei requisiti di sicurezza può determinare uno dei danni citati e cioè trattamenti che includono dati relativi agli estremi della carta di credito (danno finanziario e/o economico), alle preferenze sessuali (danno reputazionale), alla salute (danno fisico – l’indisponibilità, anche solo temporanea, di dati medici critici di pazienti di un ospedale potrebbe comportare l’annullamento di operazioni e mettere a rischio le vite dei pazienti), alle abitudini del soggetto (danno materiale – la sottrazione dei dati relativi ai periodi assenza presso le proprie abitazioni per vacanza di soggetti determinati può risultare estremamente appetibile ad organizzazioni interessate a perpetrare furti);

 l’impossibilità per i soggetti interessati di esercitare i propri diritti e/o fruire dei servizi o altre opportunità – Distruzione delle liste dei soggetti convocati a selezioni di personale;

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 93

 la tipologia di dati personali che riguardano minori, persone fisiche vulnerabili e persone esposte – Trattamenti di dati la cui perdita dei requisiti di sicurezza può determinare danni che includono informazioni sensibili sulle condizioni sociali, fisiche e/o mentali dell’interessato.

3.7.5.2 Valutazione d’impatto

La valutazione dell’impatto avviene assegnando per ciascun processo di trattamento, ai requisiti di sicurezza, uno dei valori di una scala compresa tra 1 e 5 (vedi tabella seguente) in relazione all’impatto che in astratto le minacce sopra indicate possono avere sul singolo requisito di sicurezza ed è frutto della valutazione complessiva del processo di trattamento.

Valore Impatto	Livello Impatto	Criterio di valutazione
5	Molto alto	La valutazione complessiva del processo di trattamento come indicata spinge a ritenere elevatissimi gli impatti per i soggetti interessati in tema di riservatezza, integrità o disponibilità del dato. In pratica gli individui possono subire conseguenze significative, o addirittura irreversibili, che non sono in grado di superare (incapacità di lavorare, disturbi psicologici o fisici a lungo termine, morte, ecc.).
4	Alto	La valutazione complessiva del processo di trattamento come indicata spinge a ritenere elevati gli impatti per i soggetti interessati in tema di riservatezza, integrità o disponibilità del dato. In pratica gli individui possono andare incontro a conseguenze significative, che dovrebbero essere in grado di superare anche se con gravi difficoltà (appropriazione indebita di fondi, inserimento in liste nere da parte di istituti finanziari, danni alla proprietà, perdita di posti di lavoro, citazione in giudizio, peggioramento della salute, ecc.).
3	Medio	La valutazione complessiva del processo di trattamento come indicata spinge a ritenere medi gli impatti per i soggetti interessati in tema di riservatezza, integrità o disponibilità del dato. In pratica gli individui possono andare incontro a significativi disagi, che saranno in grado di superare nonostante alcune difficoltà (costi aggiuntivi, rifiuto di accesso ai servizi aziendali, paura, mancanza di comprensione, stress, disturbi fisici di lieve entità, ecc.).
2	Basso	La valutazione complessiva del processo di trattamento come indicata spinge a ritenere bassi gli impatti per i soggetti interessati in tema di riservatezza, integrità o disponibilità del dato. In pratica gli individui possono andare incontro a disagi minori, che supereranno senza alcun problema (tempo trascorso reinserendo informazioni, fastidi, irritazioni, ecc.).
1	Molto basso	La valutazione complessiva del processo di trattamento come indicata spinge a ritenere bassissimi gli impatti per i soggetti interessati in tema di riservatezza, integrità o disponibilità del dato. In pratica gli individui possono andare incontro a disagi minimi o quasi nulli, che non comportano problemi

3.7.6. (2° Fase) Procedura ed istruzioni per la valutazione della probabilità di accadimento

In questa fase l’organizzazione determina quali sono le minacce e gli accadimenti pertinenti al processo di trattamento assegnando un valore relativo alla probabilità di accadimento dell’evento valutato, adottando una scala compresa tra 1 e 3 (vedi tabella seguente).

La probabilità di occorrenza della minaccia è una variabile indipendente, cioè non dipende dal contesto che viene esaminato dal soggetto che procede all’analisi dei rischi ma viene individuata e determinata, sulla base delle minacce applicabili, con l’ausilio di report o documenti di settore quali ENISA THREAT LANDSCAPE, Rapporto Clusit, Bollettini CERT e CSIRT ed ogni altra fonte ufficiale che possa essere di ausilio oggettivo.

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 94

In pratica, sulla base delle informazioni acquisite durante la fase di analisi dei trattamenti, verranno determinate le minacce applicabili (ad esempio, per un’organizzazione con trattamento dati residuale ed esclusivamente in modalità cartacea, non saranno applicabili le cyber-minacce).

Successivamente verranno anche consultate le fonti di settore sopra citate per motivare l’attribuzione di un punteggio alla probabilità di occorrenza della minaccia applicabile.

Per l’individuazione delle minacce applicabili al singolo trattamento si terrà conto dell’elenco riportato nel seguente schema:

Identificazione delle minacce applicabili

Categoria Minaccia

IncendioAllagamento
Danni materiali Polvere, corrosione, congelamento

Compromissione degli apparati da parte di soggetti esterni malintenzionati Attacchi non informatici (terrorismo)

page95image674368976 page95image674369392 page95image674369808 page95image674370224

Fenomeni climatici (uragani, nevicate) Eventi naturali Terremoti, eruzioni vulcanicheFulmini e scariche atmosferiche

page95image674371472 page95image674371888

Guasto aria condizionata o sistemi di raffreddamento Interruzione servizi Interruzione di corrente (o sbalzi di tensione)Guasto hardware / apparati di rete
Guasti al fornitore di servizio di telecomunicazione

page95image674373136 page95image674373552 page95image674373968

Disturbi Disturbi elettromagnetici

Minacce fisicheIntrusione nella sede o nei locali di malintenzionati
Intercettazione (inclusa analisi del traffico) da parte di soggetti interni Danneggiamento di Apparecchiature fisiche
Lettura, furto, copia o alterazione di documenti cartacei
Furto di apparati o componenti o supporti di memorizzazione
Recupero di informazioni da media (principalmente memorie di massa) dismessi Rivelazione di informazioni (da parte del personale o fornitori) – Social Engineering Infiltrazione nelle comunicazioni, intercettazione, analisi del traffico da parte di soggetti esterni

page95image674463168 page95image674454848 page95image674451728

Minacce cyberMITM da parte di soggetti interni
Keylogger
Spyware
Malware [virus-trojan-worm-backdoor]
Phishing/Social Engineering
Infiltrazione nelle comunicazioni, intercettazione, analisi del traffico e MITM da parte di soggetti esterni (attacchi mirati ad intercettare le comunicazioni tra due soggetti) Cryptojacking

Ramsonware
Attacchi Ddos / Botnet

page95image674447776 page95image674456096 page95image674458384 page95image674451520

Malfunzionamenti Errori di manutenzione hardware e software di base

Comportamenti non autorizzatiUso non autorizzato della strumentazione (strumenti/ applicativi/gestionali) Alterazione volontaria e non autorizzata di dati di business
Spam
Installazione Access Point wireless non autorizzati

abuso delle autorizzazioni
Trattamento (volontario o inconsapevole) non consentito di dati (personali) Invio di dati a persone non autorizzate

page95image674456512 page95image674452768 page95image674459632 page95image674451312

Insider o minaccia interna, proveniente da persone all’interno dell’azienda, comedipendenti, ex dipendenti, appaltatori o soci in affari, che dispongono di informazioni Altro privilegiate relative alle pratiche di sicurezza, ai dati e ai sistemi informatici

dell’organizzazione Furto identità

page95image674483664

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 95

La probabilità di occorrenza della minaccia viene stimata assegnando, per ciascun trattamento, uno dei valori di una scala compresa tra 1 e 3 come da scheda seguente:

Valore	Livello	Criterio di valutazione
3	Superiore alla media	È applicabile ad almeno una delle seguenti situazioni: – la minaccia si può verificare più frequentemente rispetto a quantoriportato dalle ricerche più note (dalle riviste, dagli studi di settore la minaccia è in aumento rispetto all’anno precedente) (occorre indicare la fonte); – in caso di attacco deliberato, i dati sono appetibili o l’immagine aziendale è compromessa, e quindi può essere condotto da malintenzionati molto motivati, tecnicamente preparati e con ingenti risorse a disposizione; o in alternativa, gli studi confermano che tentativi di attacco sono comunque portati molto di frequente; – in caso di attacco non deliberato, l’ambito è di elevata complessità (per esempio per molteplicità di sedi, tipologie di sistemi informatici, utenti interni e/o esterni) e quindi è facile siano commessi errori; – in caso di eventi naturali, gli studi dimostrano che la minaccia si verifica quasi certamente.
2	In linea con la media	È applicabile ad almeno una delle seguenti situazioni: – la minaccia si può verificare secondo quanto riportato dalle ricerche piùnote (dalle riviste, dagli studi di settore la minaccia è stabile rispetto all’anno precedente); – in caso di attacco deliberato, i dati sono poco appetibili e l’immagineaziendale non è compromessa e quindi può essere condotto da malintenzionati non particolarmente motivati, mediamente preparati da un punto di vista tecnico e con scarse risorse a disposizione; o in alternativa, gli studi confermano che tentativi di attacco sono comunque rari; – in caso di attacco non deliberato, l’ambito è mediamente complesso e quindi possono essere commessi errori; – in caso di eventi naturali, gli studi dimostrano che la minaccia può verificarsi nella media dei casi studiati.
1	Inferiore alla media	È applicabile ad almeno una delle seguenti situazioni: – la minaccia si può verificare con frequenza inferiore rispetto a quantoriportato dalle ricerche più note (dalle riviste, dagli studi di settore la minaccia è in deflessione rispetto all’anno precedente); – in caso di attacco deliberato, i dati sono poco appetibili e l’immagine aziendale non è compromessa e pertanto i tentativi di attacco o non sono iniziati o sono condotti da malintenzionati scarsamente preparatida un punto di vista tecnico e con scarse risorse a disposizione. – in caso di attacco non deliberato, l’ambito è poco complesso e quindi èdifficile commettere errori; – in caso di eventi naturali, gli studi dimostrano che la minaccia puòverificarsi molto raramente.

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 96

3.7.7. (3° Fase) Procedura ed istruzioni per la valutazione del rischio intrinseco

Si ricorda che il Rischio Intrinseco è il rischio connesso ad un trattamento in assenza di misure o dei controlli di sicurezza applicati. Tale rischio viene calcolato moltiplicando l‘impatto con la stima della probabilità di occorrenza delle minacce, attraverso la formula RI = I x P, dove:

RI è il Livello di Rischio Intrinseco di ciascun trattamento dei dati personali;
I indica la stima dell’impatto;
P è la probabilità di occorrenza della minaccia.La seguente tabella riporta i possibili valori di Rischio Intrinseco di ciascun trattamento e le soglie per tale classificazione:
-  Rischio Molto Basso (1 ≥ RI ≤ 3)
-  Rischio Basso (4 ≥ RI ≤ 6)
-  Rischio Medio (7 ≥ RI ≤ 9)
-  Rischio Alto (10 ≥ RI ≤ 12)
-  Rischio Molto Alto (13 ≥ RI ≤ 15)

Probabilità

Superiore alla media (3)

Molto Basso

(3)

Medio

(6)

Medio

(9)

Alto

(12)

Molto Alto

(15)

In linea con la media (2)

Molto Basso

(2)

Basso

(4)

Basso

(6)

Medio

(8)

Alto (10)

Inferiore alla media (1)

Molto Basso

(1)

Molto Basso

(2)

Molto Basso

(3)

Basso

(4)

Basso

(5)

Livello 1

Livello 2

Livello 3

Livello 4

Livello 5

Impatto

3.7.8. (4° Fase) Procedura ed istruzioni per la valutazione della vulnerabilità

Dopo aver calcolato il rischio intrinseco si procede, come descritto nelle indicazioni preliminari, a valutare la vulnerabilità, cioè ad attribuire un punteggio allo stato dell’arte delle misure di Data Protection dell’organizzazione, sulla base della presenza/assenza di controlli ispirati a standard riconosciuti ad esempio: allo standard ENISA per le PMI, ai controlli ISO/IEC 27701 e ai controlli del Framework Nazionale per la Cybersecurity e la Data Protection del CIS SAPIENZA.

La vulnerabilità rappresenta, in sintesi, la misura della mancanza dei controlli ritenuti desiderabili e passa attraverso la valutazione dell’adeguatezza delle misure implementate dall’organizzazione.

Ai fini della valutazione del livello di vulnerabilità, in concreto si prende a base di riferimento il trattamento con il rischio intrinseco più alto ed in relazione a tale livello vengono valutate le misure tecniche ed organizzative adeguate che l’organizzazione dovrebbe aver implementato, cioè il modello di riferimento dei controlli desiderabili.

Le misure di sicurezza, infatti, nella maggior parte dei casi sono trasversali a tutti i trattamenti, poiché gli asset utilizzati e le funzioni relative sono spesso interconnessi. Pertanto, il calcolo della vulnerabilità, viene eseguito una sola volta e sarà applicabile a tutti i trattamenti.

Il punteggio di vulnerabilità (assegnato in seguito a valutazione globale dello stato dell’arte) può dar luogo ai seguenti valori:

Valore

Livello

controlli sotto lo standard con la necessità di introdurre molteplici misure di sicurezza

legate al trattamento

controlli conformi allo standard ma necessarie alcune misure di sicurezza aggiuntive legate al trattamento

controlli conformi allo standard e non sono necessarie misure di sicurezza aggiuntive legate al trattamento

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 97

Il livello di vulnerabilità viene calcolato facendo la media ponderata dei valori assegnati ad ogni misura valutata, attribuendo 1 punto per ogni misura adottata (indicata con “Sì”) e 0 punti per ogni misura non adottata od adottata in parte (indicate con “No” o “In parte”), escludendo dal calcolo le misure che vengono considerate non applicabili allo specifico contesto dell’organizzazione (indicate con “N/A”).

Per l’identificazione delle misure di sicurezza tecniche ed organizzative adottate dall’organizzazione viene utilizzata la seguente tabella che riporta la presenza o meno di controlli generali, organizzativi e tecnici.

Categoria misure adottate

Sottocategoria misure adottate

Area concettuale

Descrizione misure di sicurezza adottate

Misure Organizzative

Controlli Generali

Controlli Generali Controlli Generali

Controlli Generali

Controlli Generali Controlli Generali

Controlli Generali

Identificazione delle finalità del trattamento Identificazione della base giuridica

Registrazione del consenso

DPIA

Legami con i Contitolari

Accessibilità delle informazioni

Meccanismi di opposizione / revocadelconsenso

Meccanismi di portabilità

Minimizzazione

I flussi di trattamento prevedono che le finalità per cui i dati personali sono trattati siano specificate e documentate
La base giuridica che supporta il trattamento è definita, documentata e rispettata

L’organizzazione richiede e registra in modo in modo documentabile il consenso ottenuto, in conformità con la procedura.
L’organizzazione è dotata di una procedura per determinare la necessità di una DPIA

Per ogni eventuale contitolare del trattamento, l’organizzazione ha determinato e documentato gli ambiti reciproci di responsabilità

L’organizzazione garantisce e documenta che le informazioni sul trattamento siano accessibili e rese in modo chiaro
L’organizzazione garantisce procedure chiare di opposizione al trattamento o revoca del consenso

L’organizzazione garantisce procedure di copia/portabilità dei dati trattati riferiti all’interessato che ne faccia richiesta

L’organizzazione è dotata di una procedura che garantisce che i dati trattati siano solo quelli

Misure Organizzative

Controlli Generali

Contratti con i Responsabili

L’organizzazione ha una lista di responsabili del trattamento con cui ha un accordo scritto nel quale richiede requisiti (specificati nella categoria di controlli nei confronti del responsabile)

Misure Organizzative	Controlli Generali	Obblighi di conformità	L’organizzazione ha una procedura per garantire che ogni flusso di trattamento sia preceduto dai corretti adempimenti (informativa, consenso, canale esercizio dei diritti, etc.)
Misure Organizzative	Controlli Generali	Obblighi di conformità	Le informative redatte ai sensi degli artt. 13-14 del GDPR sono verificate periodicamente ed aggiornate alla modifica dei processi di trattamento

Misure Organizzative	Controlli Generali	Canali di esercizio dei diritti	È stata adottata una procedura che garantisce, per ciascun processo di trattamento, meccanismi di esercizio dei diritti di accesso, modifica, cancellazione
Misure Organizzative	Controlli Generali	Obbligo di comunicazione alle terze parti	L’organizzazione garantisce e documenta che le terze parti cui i dati siano stati comunicati vengano informati delle modifiche o obiezioni richieste o addotte dall’interessato

Misure Organizzative

Controlli Generali

Trattamento automatizzato

L’organizzazione comunica la logica degli algoritmi e assicura il diritto dell’interessato a non essere sottoposto a decisioni esclusivamente automatizzate

Modello Organizzativo Privacy e Registro delle Attività di Trattamento

Pagina 98

Categoria misure adottate

Sottocategoria misure adottate

Area concettuale

Descrizione misure di sicurezza adottate

Misure Organizzative

Misure Organizzative Misure Organizzative

Misure Organizzative

Controlli Generali Controlli Generali

Controlli Generali Controlli Generali Controlli Generali

Controlli Generali Controlli Generali

Controlli Generali

Minimizzazione Accuratezza

Cancellazione dei dati

Conservazione dei dati
Trasferimento fuori SEE

Audit

necessari e pertinenti alle finalità L’organizzazione documenta le modalità con cui garantisce il principio di minimizzazione

L’organizzazione è dotata di un sistema di gestione che garantisce l’integrità e la correttezza dei dati trattati
L’organizzazione è dotata di un sistema di gestione che garantisce che i dati siano cancellati o anonimizzati all’esaurirsi della finalità L’organizzazione ha definito una procedura per la distruzione sicura dei documenti cartacei o dei supporti informatici

Se il processo di cancellazione è esternalizzato, la procedura è affidata ad un responsabile in possesso di specifica certificazione

Sono definiti tempi o criteri di conservazione dei dati
L’organizzazione ha una procedura documentata per identificare la base giuridica del trasferimento dei dati e le garanzie appropriate Viene effettuato il monitoraggio e l’audit dei trattamenti al fine di verificare l’effettiva applicazione delle misure adottate

Misure Organizzative

Controlli Generali

Cessione dei dati

L’organizzazione è dotata di una procedura documentata per la cessione/trasmissione dei dati che garantisce la liceità e la sicurezza del trattamento

Misure Organizzative	Controlli nei confronti del Responsabile	Atto di affidamento dati	Esiste un contratto o un altro atto giuridico che determini con chiarezza i reciproci ruoli e responsabilità verso l’interessato, compreso l’obbligo di cooperazione nel garantire l’esercizio dei diritti
Misure Organizzative	Controlli nei confronti del Responsabile	Finalità	Il Responsabile garantisce che i dati ed i trattamenti affidati saranno trattati solo nel rispetto delle istruzioni e per le finalità definite dal titolare e regolate contrattualmente
Misure Organizzative	Controlli nei confronti del Responsabile	Sub-responsabili	Il Responsabile del trattamento garantisce di non avvalersi di sub-responsabili senza essere stato autorizzato in tal senso dal Titolare, di attribuire al sub-responsabile i medesimi vincoli definiti tra il responsabile ed il titolare e di assumersi la responsabilità dell’operato dei sub- responsabili
Misure Organizzative	Controlli nei confronti del Responsabile	Notifica delle violazioni	Il Responsabile informa il Titolare qualora una sua istruzione violi un requisito di legge oppure non siano presenti delle istruzioni necessarie per garantirne il rispetto
Misure Organizzative	Controlli nei confronti del Responsabile	Notifica delle violazioni	Il Responsabile informa senza ingiustificato ritardo il Titolare di un incidente sui dati trattati nel suo nome (anche da sub-responsabili posti sotto la sua vigilanza) e collabora per la redazione della DPIA
Misure Organizzative	Controlli nei confronti del Responsabile	Registro dei trattamenti e altre garanzie di conformità	Il Responsabile si impegna a mantenere il registro dei trattamenti che riguardano il Titolare e a rispettare tutti i requisiti richiesti dal Regolamento UE 679/2016

Misure Organizzative

Controlli nei confronti del

Audit

Il Responsabile favorisce e consente le attività di audit e verifica eseguite dal Titolare per

Modello Organizzativo Privacy e Registro delle Attività di Trattamento

Pagina 99

Categoria misure adottate

Sottocategoria misure adottate

Area concettuale

Descrizione misure di sicurezza adottate

Misure Organizzative Misure Organizzative

Misure Organizzative

Misure Organizzative Misure Organizzative

Misure Organizzative

Responsabile Controlli organizzativi Controlli organizzativi

Controlli organizzativi

Controlli organizzativi Controlli organizzativi

Controlli organizzativi

Security Policy Security Policy

Ruoli e Responsabilità

Dispositivi mobili e telelavoro

Procedure operative e responsabilità

Rapporti fornitori

Gestione incidenti

accertare i requisiti di conformità L’organizzazione documenta la propria politica in materia di trattamento dei dati personali L’organizzazione revisiona la propria politica in materia di sicurezza dei dati su base annuale e ad ogni cambiamento significativo
I ruoli e le responsabilità in materia di trattamento dei dati sono chiaramente definiti e documentati
È documentata la nomina del Responsabile per la Sicurezza dei Dati, i suoi compiti e le responsabilità

In caso di dimissioni o riorganizzazione interna esiste una procedura per la revoca dei diritti di accesso agli asset di trattamento
I ruoli e le responsabilità relativi ai dispositivi e strumenti aziendali, ivi compresi quelli portatili, sono chiaramente definiti

Esiste una mappatura degli asset demandati al trattamento dati e le modifiche agli stessi sono registrate e monitorate

Lo sviluppo software è eseguito in ambiente speciale, non collegato al sistema IT e non coinvolgente dati personali
Esiste una procedura relativa al processo di gestione di un data breach definendo ruoli e responsabilità

Le linee guida e le istruzioni formali del trattamento dei dati sono definite, documentate e concordate con il Responsabile del trattamento Il Titolare può documentare che al rilevamento di una violazione dei dati personali, il Responsabile informa il Titolare senza ritardo
Il Responsabile del trattamento fornisce prove documentate di conformità al Regolamento (anche attraverso audit)
Esiste un piano di risposta agli incidenti sui dati personali con procedure di notifica al vertice aziendali e, se del caso, alle autorità
Esiste una politica di gestione della continuità operativa
Gli obblighi di riservatezza e le responsabilità in materia di protezione dei dati personali sono definiti e comunicati in modo documentabile

Esiste un disciplinare sull’uso di internet e della posta elettronica

Misure Organizzative

Controlli organizzativi

Ruoli e Responsabilità

È prevista una policy per garantire la separazione di compiti e responsabilità potenzialmente in conflitto di interesse (ad esempio RSI e DPO)

Misure Organizzative

Controlli organizzativi

Procedure operative e responsabilità

Esiste una policy di gestione delle modifiche dei ruoli/responsabilità a livello organizzativo, coordinata con la modifica dei permessi utenti a livello tecnico ed operativo

con i con i con i degli della

Gestione
continuità operativa Sicurezza delle risorse umane

Misure Organizzative

Controlli organizzativi

Formazione delle risorse umane

Le persone autorizzate al trattamento sono formate sui requisiti di sicurezza e sull’uso corretto degli asset di trattamento, aggiornato con periodicità annuale

Formazione delle risorse umane

Modello Organizzativo Privacy e Registro delle Attività di Trattamento

Pagina 100

Categoria misure adottate

Sottocategoria misure adottate

Area concettuale

Descrizione misure di sicurezza adottate

Misure Organizzative

Misure Organizzative Misure Organizzative

Misure Organizzative

Controlli organizzativi

Controlli organizzativi Controlli organizzativi

Controlli organizzativi

Sicurezza delle informazioni

Sicurezza fisica Sicurezza fisica

Sicurezza fisica

Sono implementati e procedure per permettere il trattamento di dati personali custoditi in archivi o aree riservate solo ai soggetti autorizzati
Sono implementati processi per l’accesso agli archivi contenenti dati cartacei da parte di persone esterne all’organizzazione

Sono adottate misure per la sicurezza fisica del perimetro
Sono implementati controlli per l’accesso fisico e misure per garantire la sicurezza fisica delle sedi ove sono conservati i dati

Sono implementate misure di protezione degli archivi documentali per impedire l’accesso a non autorizzati

Misure Organizzative

Controlli organizzativi

Sicurezza fisica

Sono implementati dispositivi antincendio, sistemi di continuità dell’alimentazione elettrica e comunque di protezione delle infrastrutture di supporto che possono impattare sul trattamento dati in caso di malfunzionamento o incidenti

Misure Organizzative	Controlli organizzativi	Obblighi di conformità a provvedimenti Garante	Adottate prescrizioni provvedimento Biometria e Grafometria
Misure Organizzative	Controlli organizzativi	Obblighi di conformità a provvedimenti Garante	Adottate prescrizioni provvedimento Cookies
Misure Organizzative	Controlli organizzativi	Obblighi di conformità a provvedimenti Garante	Adottate prescrizioni provvedimento conservazione dati traffico telefonico
Misure Organizzative	Controlli organizzativi	Obblighi di conformità a provvedimenti Garante	Adottate prescrizioni provvedimento Dossier Sanitario Elettronico
Misure Organizzative	Controlli organizzativi	Obblighi di conformità a provvedimenti Garante	Adottate prescrizioni provvedimento Fascicolo Sanitario Elettronico
Misure Organizzative	Controlli organizzativi	Obblighi di conformità a provvedimenti Garante	Adottate prescrizioni provvedimento Videosorveglianza
Misure Organizzative	Controlli organizzativi	Obblighi di conformità a provvedimenti Garante	Adottate prescrizioni provvedimento Posta elettronica e WEB
Misure Organizzative	Controlli organizzativi	Obblighi di conformità a provvedimenti Garante	Adottate prescrizioni provvedimento Geolocalizzazione mezzi di Lavoro

Misure Tecniche
Misure Tecniche
Misure Tecniche
Modello Organizzativo Privacy e Registro delle Attività di Trattamento

Esiste un inventario delle risorse hardware ed è verificato a scadenze periodiche ed aggiornato ad ogni cambiamento significativo
Esiste inventario del software autorizzato ed è verificato a scadenze periodiche e aggiornato ad ogni cambiamento significativo

L’accesso alle risorse dell’organizzazione è

Pagina 101

Controlli tecnici Controlli tecnici Controlli tecnici

Asset Management Asset Management Controllo degli

Categoria misure adottate

Sottocategoria misure adottate

Area concettuale

Descrizione misure di sicurezza adottate

Misure Tecniche Misure Tecniche Misure Tecniche Misure Tecniche Misure Tecniche Misure Tecniche

Misure Tecniche Misure Tecniche Misure Tecniche

Misure Tecniche Misure Tecniche Misure Tecniche Misure Tecniche

Misure Tecniche

Misure Tecniche Misure Tecniche Misure Tecniche Misure Tecniche Misure Tecniche

Controlli tecnici Controlli tecnici Controlli tecnici Controlli tecnici Controlli tecnici Controlli tecnici

Controlli tecnici Controlli tecnici Controlli tecnici

Controlli tecnici Controlli tecnici Controlli tecnici Controlli tecnici

Controlli tecnici

Controlli tecnici Controlli tecnici Controlli tecnici Controlli tecnici Controlli tecnici

accessi Controllo degli accessi Controllo degli accessi Controllo degli accessi Controllo degli accessi Controllo degli accessi Controllo degli accessi

Controllo degli accessi

basato su un sistema di controllo degli accessi Il sistema di controllo degli accessi è centralizzato
Il sistema di controllo degli accessi è basato su autenticazione forte (due fattori)

Tutti gli endpoint sono sottoposti al processo di autenticazione
Esiste una politica centralizzata di gestione dei requisiti di complessità delle password

Il sistema di autenticazione memorizza le password in formato hash
L’accesso è profilato secondo il principio del minimo privilegio

Sono definite procedure per non assegnare ad altri soggetti i medesimi codici per l’identificazione, neppure in tempi diversi Esiste documentazione sul sistema di classificazione delle risorse, tracciatura e monitoraggio dei log

Il sistema di monitoraggio prevede una procedura di segnalazione di anomalie e di attivazione del piano di risposta agli incidenti

Le base dati sono cifrate

Esiste una procedura di gestione delle chiavi di cifratura
Sono implementati strumenti ed azioni volti alla protezione dal malware, virus e similari

Esiste una procedura documentata di verifica dell’aggiornamento dei SO e del software applicativo
L’utilizzo di dispositivi esterni di archiviazione (hard disk, pendrive) è regolamentato e prevede cifratura

Esistono dispositivi a protezione perimetrale

La configurazione di rete è documentata formalmente
La configurazione delle regole del firewall è documentata formalmente

Il sistema Wi-fi è configurato su segmento separato, garantendo reti specifiche per gli ospiti Il sistema Wi-fi è basato su cifratura WPA2 o più recenti

Misure Tecniche

Controlli tecnici

Controllo degli accessi

Sono implementate azioni tecniche di disattivazione codici di accesso in caso di non uso di determinate utenze o in caso di perdita della qualifica o cambio ruolo

Tracciatura e monitoraggio log Tracciatura e monitoraggio log

dei dei

Misure Tecniche

Controlli tecnici

Tracciatura e monitoraggio dei log

Sono adottati sistemi idonei alla registrazione degli accessi logici ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema e tali sistemi hanno caratteristiche di completezza, inalterabilità e possibilità di verifica

Sicurezza del server/database Sicurezza del server/database Sicurezza dei sistemi Sicurezza dei sistemi

Sicurezza dei sistemi

Sicurezza delle comunicazioni Sicurezza delle comunicazioni Sicurezza delle comunicazioni Sicurezza delle comunicazioni Sicurezza delle comunicazioni

Misure Tecniche

Controlli tecnici

Sicurezza dei sistemi

Sono adottati sistemi che impediscono agli utenti di disattivare o aggirare le impostazioni di sicurezza applicate o di scaricare programmi software non autorizzati

Modello Organizzativo Privacy e Registro delle Attività di Trattamento

Pagina 102

Categoria misure adottate

Sottocategoria misure adottate

Area concettuale

Descrizione misure di sicurezza adottate

Misure Tecniche

Misure Tecniche Misure Tecniche Misure Tecniche

Misure Tecniche Misure Tecniche

Controlli tecnici

Controlli tecnici Controlli tecnici Controlli tecnici

Controlli tecnici Controlli tecnici

Sicurezza delle comunicazioni Sicurezza delle comunicazioni Backup

Backup Backup Backup

Backup Backup

Dispositivi mobili e telelavoro

L’accesso remoto è autorizzato solo con VPN
I server strategici non sono connessi ad internet

Esiste un sistema di backup incrementale su base giornaliera su tutti i dispositivi
Il sistema di backup è centralizzato
Il sistema di backup è ridondato su NAS Esiste una procedura per la verifica periodica verbalizzata dell’effettivo funzionamento della procedura di backup

Un ripristino a campione del backup di asset strategici viene effettuato su base annuale
Il backup è archiviato in modo sicuro e separato dalle basi dati originali

I dati sui dispositivi mobili sono cifrati

Esistono sistemi centralizzati di gestione degli endpoint che consentano la cancellazione da remoto dei dati

Misure Tecniche

Controlli tecnici

Dispositivi mobili e telelavoro

Esiste un inventario dei dispositivi mobili e una procedura di assegnazione agli operatori autorizzati unitamente alle dovute istruzioni all’utilizzo

Misure Tecniche	Controlli tecnici	Gestione delle vulnerabilità tecniche e sicurezza nei processi di sviluppo e supporto	Esistono test periodici di vulnerabilità documentati (con relativi report)
Misure Tecniche	Controlli tecnici	Gestione delle vulnerabilità tecniche e sicurezza nei processi di sviluppo	I processi di sviluppo software seguono gli standard metodologici di sviluppo sicuro
Misure Tecniche	Controlli tecnici	Gestione delle vulnerabilità tecniche e sicurezza nei processi di sviluppo e supporto	I requisiti di sicurezza vengono definiti by design nel momento della progettazione del flusso applicativo
Misure Tecniche	Controlli tecnici	Gestione delle vulnerabilità tecniche e sicurezza nei processi di sviluppo e supporto	La fase di test del software ripercorre tutte le funzionalità dei flussi esecutivi
Misure Tecniche	Controlli tecnici	Gestione delle vulnerabilità tecniche e sicurezza nei processi di sviluppo e supporto	Le patch software vengono testate e valutate prima di essere installate in ambiente operativo (esiste una procedura di Change Management)

Misure Tecniche Misure Tecniche Misure Tecniche

Controlli tecnici Controlli tecnici Controlli tecnici

Smaltimento dei supporti

Esiste una procedura di sovrascrittura basata su software o di distruzione meccanica prima dello smaltimento
Per i documenti cartacei è prevista procedura documentata di distruzione fisica attraverso dispositivo

Se il processo è esternalizzato, ci si avvale di responsabili in possesso di specifiche certificazioni

Modello Organizzativo Privacy e Registro delle Attività di Trattamento

Pagina 103

Categoria misure adottate

Sottocategoria misure adottate

Area concettuale

Descrizione misure di sicurezza adottate

Altre misure … … … specifiche

Resta inteso che sarà necessario introdurre specifici controlli derivanti ad esempio da misure rese obbligatorie da atti normativi. Pertanto, laddove sia necessario approfondire aspetti particolari per una valutazione più adeguata, possono essere compilate ulteriori schede relative alla:

 specifica misura previste da norme vigenti ivi compresi provvedimenti delle DPA;
 sicurezza fisica dei locali;
 sicurezza della rete;
 sicurezza dei sistemi informatici;
 sicurezza delle workstation;
 sistema di controllo degli accessi;
 sistema di monitoraggio dei log;
 sicurezza del sito web.3.7.9. (5° Fase) Procedura ed istruzioni per il calcolo del Rischio Residuo
Il passo successivo consiste nel calcolo del Rischio Residuo che, in sintesi, rappresenta il livello di rischiosità che permane per ogni trattamento dopo l’applicazione dei controlli/misure di sicurezza e che l’organizzazione deve gestire attraverso azioni di trattamento.

A tal fine si moltiplicherà il Rischio Intrinseco, calcolato per ogni trattamento, per la Vulnerabilità determinata secondo la procedura di cui al punto precedente (che può dar luogo a 3 livelli di vulnerabilità), attraverso la formula RR = RI x V, dove:

RR è il Livello di Rischio Residuo di ciascun processo di trattamento dei dati personali;
RI indica il Rischio Intrinseco calcolato;
V è la vulnerabilità calcolata in base alla procedura per la valutazione della vulnerabilità.La seguente tabella riporta i possibili valori di Rischio Residuo di ciascun trattamento e le soglie per tale classificazione:
-  Rischio Basso (1 ≥ RR ≤ 10)
-  Rischio Medio (11 ≥ RR ≤ 27)
-  Rischio Alto (28 ≥ RR ≤ 45)

Vulnerabilità

Livello 3

Basso

(9)

Medio

(18)

Medio

(27)

Alto

(30)

Alto

(45)

Livello 2

Basso

(6)

Medio

(12)

Medio

(18)

Medio

(20)

Alto

(30)

Livello 1

Basso

(3)

Basso

(6)

Basso

(9)

Basso

(10)

Medio

(15)

Molto Basso (1 ≥ RI ≤ 3)

Basso (4 ≥ RI ≤ 6)

Medio (7 ≥ RI ≤ 9)

Alto
(10 ≥ RI ≤ 12)

Molto Alto (13 ≥ RI ≤ 15)

Rischio Intrinseco

3.7.10. (6° Fase) Misure per la gestione del rischio

In base al livello di rischio residuo emerso ed alla valutazione dell’organizzazione è possibile adottare misure di gestione del rischio stesso che possono essere le seguenti:

a. Accettare il rischio. Tale opzione, in considerazione del fatto che nessuna attività può essere considerata a rischio nullo, è legata alle situazioni in cui il rischio calcolato è residuo e fisiologico e, di

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 104

conseguenza, l’unica opzione percorribile è accettarlo in quanto intrinseco all’attività in essere e non

mitigabile.
b. Mitigare il rischio procedendo al suo trattamento. Tale opzione è legata alla definizione di

misure e presidi tecnici, organizzativi, procedurali, di minimizzazione del trattamento e ad ogni azione che possa incidere sulla riduzione del rischio. Tale opzione può prevedere interventi che possono mitigare la probabilità di accadimento di una minaccia oppure ridurre l’impatto di un trattamento (ad esempio modificando, ove possibile, la tipologia di dati trattati o la loro qualità) oppure ancora ridurre contemporaneamente impatto e probabilità di accadimento di eventi malevoli.

c. Evitare il rischio. Tale opzione è rara e di difficile adozione, verificandosi in concreto solo nel caso in cui l’organizzazione può consapevolmente decidere di intervenire con modifiche organizzative, procedurali e/o tecnologiche in modo da evitare in termini assoluti un rischio. A titolo esemplificativo può citarsi il caso in cui un processo cartaceo viene digitalizzato totalmente. Tale scelta, comunque, pur consentendo di evitare i rischi connessi ad una gestione cartacea, non tiene conto della probabilità che si manifestino altre e diverse minacce (connesse a rischi di natura tecnica ed informatica).

d. Trasferire il rischio. Il trasferimento del rischio è un metodo di gestione del rischio che sposta lo stesso da un soggetto ad un terzo. Un esempio classico di trasferimento del rischio è la stipula di un’assicurazione, che permette di trasferire il rischio dall’organizzazione alla compagnia assicurativa. In considerazione del fatto che in ambito trattamento dati personali il Titolare del trattamento deve valutare e gestire in prima battuta i rischi che incombono sui soggetti interessati, si ritiene che siano rarissimi i casi in cui il rischio possa effettivamente essere trasferito. In sostanza anche se determinati trattamenti sono affidati a terzi, il titolare del trattamento non trasferisce la totalità del rischio al soggetto terzo e continua a rispondere nei confronti del soggetto interessato e delle Autorità di controllo;

e. Procedere con un DPIA o Valutazione di impatto. Tale opzione è legata alla decisione dell’organizzazione di procedere ad un DPIA. Tale opzione è da percorrere in tre situazioni generali:

(1) quando un trattamento può comportare un rischio elevato per i diritti e le libertà delle persone interessate (a causa del monitoraggio sistematico dei loro comportamenti, o per il gran numero dei soggetti interessati di cui sono magari trattati dati sensibili, o anche per una combinazione di questi e altri fattori), il Reg. UE 2016/679 obbliga i titolari a svolgere una valutazione di impatto prima di darvi inizio, consultando l ́autorità di controllo nel caso in cui le misure tecniche e organizzative da loro stessi individuate per mitigare l ́impatto del trattamento non siano ritenute sufficienti – cioè quando il rischio residuale per i diritti e le libertà degli interessati resti elevato. A titolo non esaustivo l’art. 35 del GDPR prevede che sia effettuata in particolare nei casi seguenti: valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
 trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10;

 sorveglianzasistematicasulargascaladiunazonaaccessibilealpubblico.
(2) In una serie di casi in cui l’autorità di controllo ha già definito i trattamenti come ad elevato rischio potenziale (è sostanzialmente un atto dell’autorità che definisce a priori una serie di trattamenti che devono essere considerati ad elevato rischio). L’Autorità Garante per la protezione dei dati personali con Provvedimento n. 476 dell’11 ottobre 2018 ha indicato i trattamenti per cui ritiene obbligatoria l’esecuzione di una valutazione di impatto.
(3) quando per propria accountability l’organizzazione ritiene di procedere con una valutazione approfondita del processo pur non risultando formalmente obbligatoria.

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 105

3.7.11. Report dei rischi sul trattamento dei dati personali (DTEC_Z)

CERTIFICAZIONI QUALITA
Dati conseguimento certificazioni UNI ISO

CLIENTI
Dati anagrafici e contabili clienti

CONTENZIOSO LEGALE
Dati relativi a procedimenti di contenzioso

FORNITORI
Dati anagrafici e contabili fornitori

GESTIONE DATI AMMINISTRATIVI E CONTABILI Dati amministrativi e contabili

GESTIONE GARE APPALTI
Gestione capitolati gara ambito pubblico e privato

GESTIONE MODELLO ORGANIZZATIVO 231 Modello organizzativo responsabilità impresa

GESTIONE PERSONALE DIPENDENTE
Gestione anagrafiche e altri dati del personale

GESTIONE PROTOCOLLO COVID
Esecuzione protocollo di sicurezza anti-contagio

GESTIONE SELEZIONE DEL PERSONALE Dati anagrafici e C.V.

POSTA ELETTRONICA
Gestione posta elettronica e contatti

POSTA ELETTRONICA CERTIFICATA
Gestione posta elettronica certificata e contatti

POTENZIALI CLIENTI
Dati anagrafici dei potenziali clienti

PROTEZIONE DATI PERSONALI Adeguamento al Regolamento UE 679/2016

SERVIZI ASSISTENZIALI
Gestione attività collegate all’erogazione servizi

SERVIZI INFERMIERISTICI
Gestione attività collegate all’erogazione servizi

SERVIZI SOCIALI ASSISTENZIALI ED EDUCATIVI Gestione attività collegate all’erogazione servizi

SICUREZZA SUL LAVORO E TUTELA AMBIENTE Dati relativi alla messa a norma D.Lgs. 81/08 e ss

Processo di Trattamento

7 8 9 10 11 12 13 14 15 25 26 27 26 27

RISCHIO RESIDUO

MACRO CATEGORIE MINACCE

Rischi Rischi Rischi Rischi Rischi Rischi Rischi Rischi Rischi

Probabilità di accadimento per le singole minacce

o1 o2 o3 o4 o5 o6 o7 o8 o9

RISCHIO INTRINSECO

Danni materiali

Eventi naturali

Interruzione dei servizi

Disturbi

Minacce fisiche

Minacce cyber

Malfunzionamenti

Comportamenti non autorizzati

Altro

Medio

Indice di rischio residuo medio: 9,00 (Range da 1 a 45)

Basso

Alto

Molto basso

Molto alto

Indice di rischio intrinseco medio: 9,00 (Range da 1 a 15)

Basso

Medio

Basso

Medio

Alto

Molto Basso

Medio

Alto

Medio

Basso

Alto

Medio

Basso

Alto

Minacce Sicurezza Informazioni

123456789

Vulnerabilità
calcolata

Impatto

Probabilità di accadimento calcolata

VALORE

Livello di rischio intrinseco

DI LIVELLO DI RISCHIO RISCHIO

VALORE

LIVELLO RISCHIO

Livello di rischio residuo

RISCHIO RESIDUO

RESIDUO

BASSO

MEDIO

BASSO

MEDIO

BASSO

MEDIO

BASSO

Azione da intraprendere

Accettare

Mitigare

Accettare

Mitigare

Accettare

Mitigare

Accettare

ggetti esterni mali

amento

ione

onati parte di soggetti

ti cartacei memorizzazione mente memorie di onale o fornitori) –

ne, analisi del traf

i base
umenti/ applicativ

i di business
zzati

consentito di dat
rsone all’interno d

1 CERTIFICAZIONI QUALITA
Dati conseguimento certificazioni UNI ISO
2 CLIENTI
Dati anagrafici e contabili clienti
3 CONTENZIOSO LEGALE
Dati relativi a procedimenti di contenzioso
4 FORNITORI
Dati anagrafici e contabili fornitori
5 GESTIONE DATI AMMINISTRATIVI E CONTABILI Dati amministrativi e contabili
6 GESTIONE GARE APPALTI
Gestione capitolati gara ambito pubblico e privato
7 GESTIONE MODELLO ORGANIZZATIVO 231 Modello organizzativo responsabilità impresa
8 GESTIONE PERSONALE DIPENDENTE Gestione anagrafiche e altri dati del personale
9 GESTIONE PROTOCOLLO COVID
Esecuzione protocollo di sicurezza anti-contagio
10 GESTIONE SELEZIONE DEL PERSONALE Dati anagrafici e C.V.
11 POSTA ELETTRONICA
Gestione posta elettronica e contatti
12 POSTA ELETTRONICA CERTIFICATA
Gestione posta elettronica certificata e contatti
13 POTENZIALI CLIENTI
Dati anagrafici dei potenziali clienti
14 PROTEZIONE DATI PERSONALI Adeguamento al Regolamento UE 679/2016
15 SERVIZI ASSISTENZIALI
Gestione attività collegate all’erogazione servizi
16 SERVIZI INFERMIERISTICI
Gestione attività collegate all’erogazione servizi
17 SERVIZI SOCIALI ASSISTENZIALI ED EDUCATIVI
18 SICUREZZA SUL LAVORO E TUTELA AMBIENTE

RID

12121221212122211112221211122212212222221111

23221221212122211232233322233322322332222221

33221221212122211232233322222222222332222221

23221221212122211232233322233322322332222221

33321221212122211232233322233322322332222221

33221221212122211212111221222112222211222221

33321221212122211232233322233322322332222221

34321221212122211232233322233322322332222221

11121221212122211121122212122212212221222221

33221221212122211232233322233322322332222221

43321221212122211232n.a.33322233322322332222221

44421221212122211232n.a.33322233322322332222221

32221221212122211232233322233322322332222221

22221221212122211232233322233322322332222211

43321221212122211232333322233322322332222221

44421221212123322232333322233322322332222232

43321221212122211232333322233322322332222221 33321221212122211232333321133221122332122211

3.7.11. Matrice delle Minacce (DTEC_Z)

7 8 9 10 11 14 15 25 26 27

arte di so e)

i raffredd tensione)

omunicaz

malintenzi affico) da

fisiche documen

pporti di principal del pers

ercettazio

or)
ercettazio

oftware d
zione (str
ata di dat

on autori

vole) non
ate

nte da pe

mento ati da p orismo) nevicat

e he stemi d

balzi di di rete

di telec

cali di

si del tr
chiature
ione di
nti o su
media (
a parte
oni, int

erni

backdo
oni, int

are e s
umenta
autorizz

eless n

onsape
utorizz
rovenie

12345 6789

ID processo

Processo di trattamento

impatto riservatezza impatto integrità impatto disponibilità

Incendio
Allagamento
Polvere, corrosione, congela Compromissione degli appar
Attacchi non informatici (terr
Fenomeni climatici (uragani,
Terremoti, eruzioni vulcanich
Fulmini e scariche atmosferic
Guasto aria condizionata o si
Interruzione di corrente (o s
Guasto hardware / apparati
Guasti al fornitore di servizio
Disturbi elettrici
Disturbi magnetici
Intrusione nella sede o nei lo Intercettazione (inclusa anali Danneggiamento di Apparec
Lettura, furto, copia o alteraz
Furto di apparati o compone
Recupero di informazioni da

Rivelazione di informazioni (d
Infiltrazione nelle comunicazi
MITM da parte di soggetti int
Keylogger

Spyware
Malware (virus-trojan-worm-
Phishing / Social Engineering
Infiltrazione nelle comunicazi
Cryptojacking
Ramsonware
Attacchi Ddos / Botnet
Errori di manutenzione hard
Uso non autorizzato della str
Alterazione volontaria e non
Spam
Installazione Access Point wir
Abuso delle autorizzazioni
Trattamento (volontario o inc
Invio di dati a persone non a
Insider o minaccia interna, p
Furto identità

3.7.12. Misure di sicurezza adottate

L’analisi dei rischi porterà all’identificazione delle misure di sicurezza (tecniche, organizzative e procedurali) adottate e all’individuazione di eventuali ulteriori misure di sicurezza da adottare per la mitigazione del rischio residuo emerso dall’analisi.

Il Designato per specifici compiti e funzioni (attività di trattamento), deve aggiornare, ogni qual volta ci siano delle condizioni che rendono necessaria una sua revisione, comunque almeno annualmente, il Report delle misure di sicurezza adottate, conformemente al modulo DTEC_V

Report delle misure di sicurezza adottate (DTEC_V)

Categoria SubCategoria Area

Descrizione misure di sicurezza adottate

Specifici processi coinvolti
(se vuoto TUTTI i processi sono coinvolti)

Misure Organizzative Controlli Generali Identificazione delle finalità del trattamento

Misure Organizzative Controlli Generali Identificazione della base giuridica

Misure Organizzative Controlli Generali
Contratti con i Responsabili

Misure Organizzative Controlli Generali Obblighi di conformità Misure Organizzative Controlli Generali Obblighi di conformità Misure Organizzative Controlli Generali Accessibilità delle informazioni

Misure Organizzative Controlli Generali
Canali di esercizio dei diritti

Misure Organizzative Controlli Generali
Obbligo di comunicazione alle terze parti

Misure Organizzative Controlli Generali Meccanismi di portabilità Misure Organizzative Controlli Generali Trattamento automatizzato

Misure Organizzative Controlli Generali Minimizzazione

I flussi di trattamento prevedono che le finalità per cui i dati personali sono trattati siano specificate e documentate

La base giuridica che supporta il trattamento è definita, documentata e rispettata

L’organizzazione ha una lista di responsabili del trattamento con cui ha un accordo scritto nel quale richiede requisiti (specificati nella categoria di controlli nei confronti del responsabile)

L’organizzazione ha una procedura per garantire che ogni flusso di trattamento sia preceduto dai corretti adempimenti (informativa, consenso, canale esercizio dei diritti, etc.)
Le informative redatte ai sensi degli artt. 13-14 del GDPR sono verificate periodicamente ed aggiornate alla modifica dei processi di trattamento

L’organizzazione garantisce e documenta che le informazioni sul trattamento siano accessibili e rese in modo chiaro

È stata adottata una procedura che garantisce, per ciascun processo di trattamento, meccanismi di esercizio dei diritti di accesso, modifica, cancellazione

L’organizzazione garantisce e documenta che le terze parti cui i dati siano stati comunicati vengano informati delle modifiche o obiezioni richieste o addotte dall’interessato

L’organizzazione garantisce procedure di copia/portabilità dei dati trattati riferiti all’interessato che ne faccia richiesta

L’organizzazione comunica la logica degli algoritmi e assicura il diritto dell’interessato a non essere sottoposto a decisioni esclusivamente automatizzate

L’organizzazione è dotata di una procedura che garantisce che i dati trattati siano solo quelli necessari e pertinenti alle finalità

Misure Organizzative Controlli Generali Registrazione del consenso

L’organizzazione richiede e registra in modo in modo documentabile il consenso ottenuto, in conformità con la procedura.

Misure Organizzative Controlli Generali Meccanismi di opposizione / revoca del consenso

L’organizzazione garantisce procedure chiare di opposizione al trattamento o revoca del consenso

Modello Organizzativo Privacy e Registro delle Attività di Trattamento

Pagina 108

Misure Organizzative Controlli Generali Minimizzazione Misure Organizzative Controlli Generali Accuratezza

Misure Organizzative Controlli Generali Cancellazione dei dati Misure Organizzative Controlli Generali Cessione dei dati
Misure Organizzative Controlli Generali Conservazione dei dati Misure Organizzative Controlli nei confronti del Responsabile

Atto di affidamento dati Misure Organizzative Controlli nei confronti del Responsabile

Finalità
Misure Organizzative Controlli nei confronti del Responsabile Sub-responsabili

Misure Organizzative Controlli nei confronti del Responsabile
Notifica delle violazioni

Misure Organizzative Controlli nei confronti del Responsabile
Audit

Misure Organizzative Controlli organizzativi Security Policy

Misure Organizzative Controlli organizzativi Ruoli e Responsabilità Misure Organizzative Controlli organizzativi Ruoli e Responsabilità Misure Organizzative Controlli organizzativi Ruoli e Responsabilità

Misure Organizzative Controlli organizzativi Ruoli e Responsabilità

L’organizzazione documenta le modalità con cui garantisce il principio di minimizzazione

L’organizzazione è dotata di un sistema di gestione che garantisce l’integrità e la correttezza dei dati trattati

L’organizzazione è dotata di un sistema di gestione che garantisce che i dati siano cancellati o anonimizzati all’esaurirsi della finalità

L’organizzazione è dotata di una procedura documentata per la cessione/trasmissione dei dati che garantisce la liceità e la sicurezza del trattamento
Sono definiti tempi o criteri di conservazione dei dati

Esiste un contratto o un altro atto giuridico che determini con chiarezza i reciproci ruoli e responsabilità verso l’interessato, compreso l’obbligo di cooperazione nel garantire l’esercizio dei diritti

Il Responsabile garantisce che i dati ed i trattamenti affidati saranno trattati solo nel rispetto delle istruzioni e per le finalità definite dal titolare e regolate contrattualmente

Il Responsabile del trattamento garantisce di non avvalersi di sub-responsabili senza essere stato autorizzato in tal senso dal Titolare, di attribuire al sub- responsabile i medesimi vincoli definiti tra il responsabile ed il titolare e di assumersi la responsabilità dell’operato dei sub- responsabili

Il Responsabile informa il Titolare qualora una sua istruzione violi un requisito di legge oppure non siano presenti delle istruzioni necessarie per garantirne il rispetto

Il Responsabile favorisce e consente le attività di audit e verifica eseguite dal Titolare per accertare i requisiti di conformità.

L’organizzazione revisiona la propria politica in materia di sicurezza dei dati su base annuale e ad ogni cambiamento significativo

I ruoli e le responsabilità in materia di trattamento dei dati sono chiaramente definiti e documentati

È documentata la nomina del Responsabile per la Sicurezza dei Dati, i suoi compiti e le responsabilità

È prevista una policy per garantire la separazione di compiti e responsabilità potenzialmente in conflitto di interesse (ad esempio RSI e DPO)

In caso di dimissioni o riorganizzazione interna esiste una procedura per la revoca dei diritti di accesso agli asset di trattamento

Misure Organizzative Controlli nei confronti del Responsabile Notifica delle violazioni	Il Responsabile informa senza ingiustificato ritardo il Titolare di un incidente sui dati trattati nel suo nome (anche da sub-responsabili posti sotto la sua vigilanza) e collabora per la redazione della DPIA
Misure Organizzative Controlli nei confronti del Responsabile Registro dei trattamenti e altre garanzie di conformità	Il Responsabile si impegna a mantenere il registro dei trattamenti che riguardano il Titolare e a rispettare tutti i requisiti richiesti dal Regolamento UE 679/2016

Misure Organizzative Controlli organizzativi Security Policy

L’organizzazione documenta la propria politica in materia di trattamento dei dati personali

Modello Organizzativo Privacy e Registro delle Attività di Trattamento

Pagina 109

Misure Organizzative Controlli organizzativi Dispositivi mobili e telelavoro

Misure Organizzative Controlli organizzativi Procedure operative e responsabilità Misure Organizzative Controlli organizzativi Procedure operative e responsabilità

Misure Organizzative Controlli organizzativi Procedure operative e responsabilità

Misure Organizzative Controlli organizzativi Rapporti con i fornitori

Misure Organizzative Controlli organizzativi Gestione degli incidenti

Misure Organizzative Controlli organizzativi Formazione delle risorse umane

Misure Organizzative Controlli organizzativi Sicurezza delle informazioni

Misure Organizzative Controlli organizzativi Sicurezza fisica

I ruoli e le responsabilità relativi ai dispositivi e strumenti aziendali, ivi compresi quelli portatili, sono chiaramente definiti

Esiste una mappatura degli asset demandati al trattamento dati e le modifiche agli stessi sono registrate e monitorate

Esiste una policy di gestione delle modifiche dei ruoli/responsabilità a livello organizzativo, coordinata con la modifica dei permessi utenti a livello tecnico ed operativo

Esiste una procedura relativa al processo di gestione di un data breach definendo ruoli e responsabilità

Il Titolare può documentare che al rilevamento di una violazione dei dati personali, il Responsabile informa il Titolare senza ritardo

Il Responsabile del trattamento fornisce prove documentate di conformità al Regolamento (anche attraverso audit)

Esiste un piano di risposta agli incidenti sui dati personali con procedure di notifica al vertice aziendali e, se del caso, alle autorità

Le persone autorizzate al trattamento sono formate sui requisiti di sicurezza e sull’uso corretto degli asset di trattamento, aggiornato con periodicità annuale

Sono implementate procedure per permettere il trattamento di dati personali custoditi in archivi o aree riservate solo ai soggetti autorizzati

Sono implementati processi per l’accesso agli archivi contenenti dati cartacei da parte di persone esterne all’organizzazione

Sono adottate misure per la sicurezza fisica del perimetro

Sono implementati controlli per l’accesso fisico e misure per garantire la sicurezza fisica delle sedi ove sono conservati i dati

Sono implementate misure di protezione degli archivi documentali per impedire l’accesso a non autorizzati

Misure Organizzative Controlli organizzativi Rapporti con i fornitori

Le linee guida e le istruzioni formali del trattamento dei dati sono definite, documentate e concordate con il Responsabile del trattamento

Misure Organizzative Controlli organizzativi Sicurezza delle risorse umane

Gli obblighi di riservatezza e le responsabilità in materia di protezione dei dati personali sono definiti e comunicati in modo documentabile

Misure Organizzative Controlli organizzativi Formazione delle risorse umane

Esiste un disciplinare sull’uso di internet e della posta elettronica

Modello Organizzativo Privacy e Registro delle Attività di Trattamento

Pagina 110

Misure Organizzative Controlli organizzativi Obblighi di conformità a provvedimenti Garante Misure Organizzative Controlli organizzativi Obblighi di conformità a provvedimenti Garante Misure Tecniche Controlli tecnici

Asset Management

Misure Tecniche Controlli tecnici Asset Management

Misure Tecniche Controlli tecnici Controllo degli accessi

Adottate prescrizioni provvedimento Cookies

Adottate prescrizioni provvedimento Posta elettronica e WEB

Esiste un inventario delle risorse hardware ed è verificato a scadenze periodiche ed aggiornato ad ogni cambiamento significativo

Esiste inventario del software autorizzato ed è verificato a scadenze periodiche e aggiornato ad ogni cambiamento significativo

L’accesso alle risorse dell’organizzazione è basato su un sistema di controllo degli accessi

Misure Tecniche Controlli tecnici Controllo degli accessi	Il sistema di controllo degli accessi è centralizzato
Misure Tecniche Controlli tecnici Controllo degli accessi	Tutti gli endpoint sono sottoposti al processo di autenticazione
Misure Tecniche Controlli tecnici Controllo degli accessi	Esiste una politica centralizzata di gestione dei requisiti di complessità delle password

Misure Tecniche Controlli tecnici Controllo degli accessi

Misure Tecniche
Controlli tecnici Tracciatura e monitoraggio dei log
Misure Tecniche
Controlli tecnici Tracciatura e monitoraggio dei log Misure Tecniche
Controlli tecnici
Sicurezza dei sistemi

Misure Tecniche Controlli tecnici Sicurezza dei sistemi

Il sistema di autenticazione memorizza le password in formato hash

L’accesso è profilato secondo il principio del minimo privilegio

Sono definite procedure per non assegnare ad altri soggetti i medesimi codici per l’identificazione, neppure in tempi diversi

Esiste documentazione sul sistema di classificazione delle risorse, tracciatura e monitoraggio dei log

Il sistema di monitoraggio prevede una procedura di segnalazione di anomalie e di attivazione del piano di risposta agli incidenti

Sono implementati strumenti ed azioni volti alla protezione dal malware, virus e similari

Esiste una procedura documentata di verifica dell’aggiornamento dei SO e del software applicativo

Misure Tecniche Controlli tecnici Controllo degli accessi

Sono implementate azioni tecniche di disattivazione codici di accesso in caso di non uso di determinate utenze o in caso di perdita della qualifica o cambio ruolo

Modello Organizzativo Privacy e Registro delle Attività di Trattamento

Pagina 111

Misure Tecniche Controlli tecnici Sicurezza dei sistemi Misure Tecniche Controlli tecnici Sicurezza delle comunicazioni Misure Tecniche Controlli tecnici Sicurezza delle comunicazioni Misure Tecniche Controlli tecnici Sicurezza delle comunicazioni Misure Tecniche Controlli tecnici Sicurezza delle comunicazioni Misure Tecniche Controlli tecnici Sicurezza delle comunicazioni Misure Tecniche Controlli tecnici Backup

Misure Tecniche Controlli tecnici Backup

Misure Tecniche Controlli tecnici Dispositivi mobili e telelavoro

Misure Tecniche Controlli tecnici Smaltimento dei supporti Misure Tecniche Controlli tecnici Smaltimento dei supporti

Sono adottati sistemi che impediscono agli utenti di disattivare o aggirare le impostazioni di sicurezza applicate o di scaricare programmi software non autorizzati
Esistono dispositivi a protezione perimetrale

La configurazione di rete è documentata formalmente

La configurazione delle regole del firewall è documentata formalmente

L’accesso remoto è autorizzato solo con VPN

I server strategici non sono connessi ad internet

Esiste un sistema di backup incrementale su base giornaliera su tutti i dispositivi Il sistema di backup è centralizzato

Il sistema di backup è ridondato su NAS

Misure Tecniche Controlli tecnici Backup	Esiste una procedura per la verifica periodica verbalizzata dell’effettivo funzionamento della procedura di backup
Misure Tecniche Controlli tecnici Backup	Un ripristino a campione del backup di asset strategici viene effettuato su base annuale

Il backup è archiviato in modo sicuro e separato dalle basi dati originali

Esiste un inventario dei dispositivi mobili e una procedura di assegnazione agli operatori autorizzati unitamente alle dovute istruzioni all’utilizzo

I dati sui dispositivi mobili sono cifrati

Esistono sistemi centralizzati di gestione degli endpoint che consentano la cancellazione da remoto dei dati

Esiste una procedura di sovrascrittura basata su software o di distruzione meccanica prima dello smaltimento

Per i documenti cartacei è prevista procedura documentata di distruzione fisica attraverso dispositivo

Modello Organizzativo Privacy e Registro delle Attività di Trattamento

Pagina 112

3.7.13. Misure per la gestione del rischio

Infine, per procedere al trattamento del rischio mitigando il rischio residuo emerso, l’organizzazione deve elaborare un Piano di trattamento del rischio che si concretizza in un’analisi che comporterà l’indicazione di un piano dei controlli/misure di sicurezza che mancano (da applicare) rispetto a quelli desiderabili, prevedendo, altresì, se necessario, ulteriori specifiche tecniche (l’operazione in concreto da porre in essere) relative a ciascun controllo, nonché la priorità ed il termine per l’implementazione.

Il Titolare del trattamento, coadiuvato dal Designato per specifici compiti e funzioni (attività di trattamento), deve aggiornare, ogni qual volta ci siano delle condizioni che rendono necessaria una sua revisione, comunque almeno annualmente, il Piano di trattamento del rischio, conformemente al modulo DTEC_P

Piano di trattamento del rischio (DTEC_P)

Categoria SubCategoria Area	Descrizione misure di sicurezza da adottare	Specifici processi coinvolti (se vuoto TUTTI i processi sono coinvolti)	Priorità	Note
Misure Organizzative Controlli Generali DPIA	L’organizzazione deve dotarsi di una procedura per determinare l’eventuale necessità di una DPIA		Media	Formalizzare una procedura per la valutazione della necessità di effettuare una DPIA
Misure Organizzative Controlli Generali Cancellazione dei dati	L’organizzazione deve dotarsi di una procedura per la distruzione sicura dei documenti cartacei o dei supporti informatici		Media	Esiste una prassi consolidata che la gestione del processo ma una procedura vera e propria non è stata formalizzata. Formalizzare una procedura per stabilire le modalità per la distruzione dei documenti e/o dei supporti informatici
Misure Organizzative Controlli Generali Audit	Deve essere effettuato il monitoraggio e l’audit dei trattamenti al fine di verificare l’effettiva applicazione delle misure adottate		Media	Le verifiche sono state pianificate, anche se non formalmente e sono in fase di implementazione. È necessario formalizzare una procedura per l’individuazione dei soggetti designati al compito ed il riscontro dei risultati degli audit da parte degli stessi
Misure Organizzative Controlli organizzativi Gestione della continuità operativa	L’Organizzazione si deve dotare di una politica di gestione della continuità operativa		Media	Implementare e formalizzare una procedura per garantire la Business Continuity
Misure Tecniche Controlli tecnici Tracciatura e monitoraggio dei log	Devono essere adottati sistemi idonei alla registrazione degli accessi logici ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema e tali sistemi hanno caratteristiche di completezza, inalterabilità e possibilità di verifica		Alta	Implementare e formalizzare una procedura per garantire l’applicazione del Provvedimento dell’Autorità Garante in materia di AdS

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 113

Misure Tecniche Controlli tecnici Sicurezza dei sistemi	L’utilizzo di dispositivi esterni di archiviazione (hard disk, pendrive) deve essere regolamentato e prevedere la cifratura		Bassa	Formalizzare una procedura per disciplinare l’utilizzo di dispositivi esterni di archiviazione (hard disk esterni, USB key, etc.)
Misure Tecniche Controlli tecnici Gestione delle vulnerabilità tecniche e sicurezza nei processi di sviluppo e supporto	Devono essere effettuati test periodici di vulnerabilità documentati (con relativi report)		Bassa	Programmare test di vulnerabilità periodici (almeno annualmente)

Il Titolare del trattamento, in collaborazione con le eventuali figure individuate e coinvolte nell’attuazione del Piano di trattamento del rischio, provvede, nei tempi e nei modi indicati dal piano, ad adottare le misure di sicurezza previste dal piano stesso.

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 114

3.8. Misure da adottare per garantire l’integrità e la disponibilità dei dati

L’Amministratore di Base Dati in collaborazione con gli Incaricati della gestione e della manutenzione degli strumenti elettronici, al fine di garantire l’integrità dei dati contro i rischi di distruzione o perdita, stabilisce la periodicità con cui devono essere effettuate le copie di sicurezza delle banche di dati trattati.

I criteri devono essere definiti in relazione al tipo di rischio potenziale e in base al livello di tecnologia utilizzata.

Gli Incaricati della gestione e della manutenzione degli strumenti elettronici, per ogni banca di dati devono predisporre le istruzioni di copia, verifica e ripristino dei dati, utilizzando il modulo DTEC_M.

In particolare, per ogni banca di dati devono essere definite le seguenti specifiche:

 Il Tipo di supporto da utilizzare per le Copie di sicurezza dei dati.
 Il numero di Copie di sicurezza dei dati effettuate ogni volta
 Se i supporti utilizzati per le Copie di sicurezza dei dati sono riutilizzati e in questo caso con qualeperiodicità.
 Se per effettuare le Copie di sicurezza dei dati si utilizzano procedure automatizzate e programmate.
 Le modalità di controllo delle Copie di sicurezza dei dati.
 La durata massima stimata di conservazione delle informazioni senza che ci siano perdite ocancellazione di dati.
 Il nome dell’incaricato a cui è stato assegnato il compito di effettuare le Copie di sicurezza dei dati.
 Le istruzioni e i comandi necessari per effettuare le Copie di sicurezza dei dati.
 Le istruzioni e i comandi necessari per effettuare il ripristino delle Copie di sicurezza dei dati.Istruzioni di Backup (DTEC_M)
Banca dati

CERTIFICAZIONI QUALITA Dati conseguimento certificazioni UNI ISO

Incaricati delle copie di sicurezza

IOMMARINI ROBERTA [SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE]

Supporto di Back-up

Periodicità

N.ro di copie effettuate

N.ro di supporti

Disco removibile

Banca dati

CLIENTI

Incaricati delle copie di sicurezza

Settimanale

IOMMARINI ROBERTA (SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE)

Copia nro

Luogo di conservazione

Addetto copia

Addetto verifica

UFFICIO PINETO

IOMMARINI ROBERTA (SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE)

SEDE PINETO
UFFICIO (PRESSO DOMICILIO LEGALE RAPPRESENTANTE)

SEDE CONSERVAZIONE COPIE BACKUP

Operazione

Istruzioni

Backup

Le istruzioni di backup dell’integrità dei dati sono acquisite con specifica formazione dell’incaricato e con il supporto di soggetti esterni (qualora necessario, formalmente individuati quali Responsabili del trattamento in relazione alla specifica attività svolta per il titolare del trattamento). Vedi allegato DTEC_BKP
Le istruzioni di verifica backup dell’integrità dei dati sono acquisite con specifica formazione dell’incaricato e con il supporto di soggetti esterni (qualora necessario, formalmente individuati quali Responsabili del trattamento in relazione alla specifica attività svolta per il titolare del trattamento). Vedi allegato DTEC_BKP

Le istruzioni di ripristino backup dell’integrità dei dati sono acquisite con specifica formazione dell’incaricato e con il supporto di soggetti esterni (qualora necessario, formalmente individuati quali Responsabili del trattamento in relazione alla specifica attività svolta per il titolare del trattamento). Vedi allegato DTEC_BKP

Dati anagrafici e contabili clienti

Verifica

Ripristino

IOMMARINI ROBERTA [SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE]
Disco removibile Settimanale 2 2

UFFICIO PINETO IOMMARINI ROBERTA (SOLIDARIETÀ IOMMARINI ROBERTA E VITA SOCIETÀ COOPERATIVA (SOLIDARIETÀ E VITA

Supporto di Back-up

Periodicità

N.ro di copie effettuate

N.ro di supporti

Copia nro

Luogo di conservazione

Addetto copia

Addetto verifica

Modello Organizzativo Privacy e Registro delle Attività di Trattamento

Pagina 115

SEDE PINETO
UFFICIO (PRESSO DOMICILIO LEGALE RAPPRESENTANTE)

SEDE CONSERVAZIONE COPIE BACKUP

SOCIALE)

IOMMARINI ROBERTA (SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE)

SOCIETÀ COOPERATIVA SOCIALE)

IOMMARINI ROBERTA (SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE)

Banca dati

CONTENZIOSO LEGALE Dati relativi a procedimenti di contenzioso

Operazione

Backup

Verifica

Istruzioni

Ripristino

Incaricati delle copie di sicurezza

IOMMARINI ROBERTA [SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE]

Supporto di Back-up

Periodicità

N.ro di copie effettuate

N.ro di supporti

Disco removibile

Banca dati

FORNITORI

Incaricati delle copie di sicurezza

Settimanale

IOMMARINI ROBERTA (SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE)

Copia nro

Luogo di conservazione

UFFICIO PINETO

IOMMARINI ROBERTA (SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE)

Addetto copia

Addetto verifica

SEDE PINETO
UFFICIO (PRESSO DOMICILIO LEGALE RAPPRESENTANTE)

SEDE CONSERVAZIONE COPIE BACKUP

Operazione

Istruzioni

Backup

Dati anagrafici e contabili fornitori

Verifica

Ripristino

IOMMARINI ROBERTA [SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE]

Supporto di Back-up

Periodicità

N.ro di copie effettuate

N.ro di supporti

Disco removibile

Settimanale

IOMMARINI ROBERTA (SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE)

Copia nro

Luogo di conservazione

UFFICIO PINETO

IOMMARINI ROBERTA (SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE)

Addetto copia

Addetto verifica

SEDE PINETO
UFFICIO (PRESSO DOMICILIO LEGALE RAPPRESENTANTE)

SEDE CONSERVAZIONE COPIE BACKUP

Operazione

Istruzioni

Backup

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 116

Verifica

Ripristino

Le istruzioni di verifica backup dell’integrità dei dati sono acquisite con specifica formazione dell’incaricato e con il supporto di soggetti esterni (qualora necessario, formalmente individuati quali Responsabili del trattamento in relazione alla specifica attività svolta per il titolare del trattamento). Vedi allegato DTEC_BKP
Le istruzioni di ripristino backup dell’integrità dei dati sono acquisite con specifica formazione dell’incaricato e con il supporto di soggetti esterni (qualora necessario, formalmente individuati quali Responsabili del trattamento in relazione alla specifica attività svolta per il titolare del trattamento). Vedi allegato DTEC_BKP

Banca dati

GESTIONE DATI AMMINISTRATIVI E Dati amministrativi e contabili CONTABILI
Incaricati delle copie di sicurezza
IOMMARINI ROBERTA [SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE]

Supporto di Back-up

Periodicità

N.ro di copie effettuate

N.ro di supporti

Disco removibile

Banca dati

Settimanale

IOMMARINI ROBERTA (SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE)

Copia nro

Luogo di conservazione

UFFICIO PINETO

IOMMARINI ROBERTA (SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE)

Addetto copia

Addetto verifica

SEDE PINETO
UFFICIO (PRESSO DOMICILIO LEGALE RAPPRESENTANTE)

SEDE CONSERVAZIONE COPIE BACKUP

Operazione

Istruzioni

Backup

Verifica

Ripristino

GESTIONE GARE APPALTI Gestione capitolati gara ambito pubblico e privato

Incaricati delle copie di sicurezza

IOMMARINI ROBERTA [SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE]

Supporto di Back-up

Periodicità

N.ro di copie effettuate

N.ro di supporti

Disco removibile

Banca dati

Settimanale

IOMMARINI ROBERTA (SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE)

Copia nro

Luogo di conservazione

UFFICIO PINETO

IOMMARINI ROBERTA (SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE)

Addetto copia

Addetto verifica

SEDE PINETO
UFFICIO (PRESSO DOMICILIO LEGALE RAPPRESENTANTE)

SEDE CONSERVAZIONE COPIE BACKUP

Operazione

Istruzioni

Backup

Verifica

Ripristino

GESTIONE MODELLO ORGANIZZATIVO 231 Modello organizzativo responsabilità impresa

Incaricati delle copie di sicurezza

IOMMARINI ROBERTA [SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE]
Disco removibile Settimanale 2 2

Supporto di Back-up

Periodicità

N.ro di copie effettuate

N.ro di supporti

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 117

Copia nro

Luogo di conservazione

Addetto copia

Addetto verifica

UFFICIO PINETO

SEDE PINETO
UFFICIO (PRESSO DOMICILIO LEGALE RAPPRESENTANTE)

SEDE CONSERVAZIONE COPIE BACKUP

IOMMARINI ROBERTA (SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE)

Banca dati

Operazione

Backup

Verifica

Istruzioni

Ripristino

GESTIONE PERSONALE DIPENDENTE Gestione anagrafiche e altri dati del personale

Incaricati delle copie di sicurezza

IOMMARINI ROBERTA [SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE]

Supporto di Back-up

Periodicità

N.ro di copie effettuate

N.ro di supporti

Disco removibile

Banca dati

Settimanale

IOMMARINI ROBERTA (SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE)

Copia nro

Luogo di conservazione

UFFICIO PINETO

IOMMARINI ROBERTA (SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE)

Addetto copia

Addetto verifica

SEDE PINETO
UFFICIO (PRESSO DOMICILIO LEGALE RAPPRESENTANTE)

SEDE CONSERVAZIONE COPIE BACKUP

Operazione

Istruzioni

Backup

Verifica

Ripristino

GESTIONE PROTOCOLLO COVID Esecuzione protocollo di sicurezza anti-contagio

Incaricati delle copie di sicurezza

IOMMARINI ROBERTA [SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE]

Supporto di Back-up

Periodicità

N.ro di copie effettuate

N.ro di supporti

Disco removibile

Settimanale

IOMMARINI ROBERTA (SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE)

Copia nro

Luogo di conservazione

UFFICIO PINETO

IOMMARINI ROBERTA (SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE)

Addetto copia

Addetto verifica

SEDE PINETO
UFFICIO (PRESSO DOMICILIO LEGALE RAPPRESENTANTE)

SEDE CONSERVAZIONE COPIE BACKUP

Modello Organizzativo Privacy e Registro delle Attività di Trattamento

Pagina 118

Operazione

Istruzioni

Backup

Verifica

Ripristino

Banca dati

GESTIONE SELEZIONE DEL PERSONALE Dati anagrafici e C.V.

Incaricati delle copie di sicurezza

IOMMARINI ROBERTA [SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE]

Supporto di Back-up

Periodicità

N.ro di copie effettuate

N.ro di supporti

Disco removibile

Banca dati

POSTA ELETTRONICA Gestione posta elettronica e contatti

Incaricati delle copie di sicurezza

IOMMARINI ROBERTA [SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE]

Copia nro

Luogo di conservazione

UFFICIO PINETO

IOMMARINI ROBERTA (SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE)

Settimanale

IOMMARINI ROBERTA (SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE)

Addetto copia

Addetto verifica

SEDE PINETO
UFFICIO (PRESSO DOMICILIO LEGALE RAPPRESENTANTE)

SEDE CONSERVAZIONE COPIE BACKUP

Operazione

Backup

Istruzioni

Verifica

Ripristino

Supporto di Back-up

Periodicità

N.ro di copie effettuate

N.ro di supporti

Disco removibile

Banca dati

Settimanale

IOMMARINI ROBERTA (SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE)

Copia nro

Luogo di conservazione

UFFICIO PINETO

IOMMARINI ROBERTA (SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE)

Addetto copia

Addetto verifica

SEDE PINETO
UFFICIO (PRESSO DOMICILIO LEGALE RAPPRESENTANTE)

SEDE CONSERVAZIONE COPIE BACKUP

Operazione

Istruzioni

Backup

Verifica

Ripristino

POSTA ELETTRONICA CERTIFICATA Gestione posta elettronica certificata e contatti

Incaricati delle copie di sicurezza

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 119

IOMMARINI ROBERTA [SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE]

Supporto di Back-up

Periodicità

N.ro di copie effettuate

N.ro di supporti

Disco removibile

Banca dati

POTENZIALI CLIENTI Dati anagrafici dei potenziali clienti

Incaricati delle copie di sicurezza

IOMMARINI ROBERTA [SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE]

Copia nro

Luogo di conservazione

UFFICIO PINETO

IOMMARINI ROBERTA (SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE)

Settimanale

IOMMARINI ROBERTA (SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE)

Addetto copia

Addetto verifica

SEDE PINETO
UFFICIO (PRESSO DOMICILIO LEGALE RAPPRESENTANTE)

SEDE CONSERVAZIONE COPIE BACKUP

Operazione

Istruzioni

Backup

Verifica

Ripristino

Supporto di Back-up

Periodicità

N.ro di copie effettuate

N.ro di supporti

Disco removibile

Banca dati

Settimanale

IOMMARINI ROBERTA (SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE)

Copia nro

Luogo di conservazione

UFFICIO PINETO

IOMMARINI ROBERTA (SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE)

Addetto copia

Addetto verifica

SEDE PINETO
UFFICIO (PRESSO DOMICILIO LEGALE RAPPRESENTANTE)

SEDE CONSERVAZIONE COPIE BACKUP

Operazione

Istruzioni

Backup

Verifica

Ripristino

PROTEZIONE DATI PERSONALI Adeguamento al Regolamento UE 679/2016

Incaricati delle copie di sicurezza

IOMMARINI ROBERTA [SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE]

Supporto di Back-up

Periodicità

N.ro di copie effettuate

N.ro di supporti

Disco removibile

Settimanale

IOMMARINI ROBERTA (SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE)

Copia nro

Luogo di conservazione

UFFICIO PINETO

IOMMARINI ROBERTA (SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE)

Addetto copia

Addetto verifica

SEDE PINETO
UFFICIO (PRESSO DOMICILIO LEGALE RAPPRESENTANTE)

Modello Organizzativo Privacy e Registro delle Attività di Trattamento

Pagina 120

SEDE CONSERVAZIONE COPIE BACKUP

Operazione

Istruzioni

Backup

Verifica

Ripristino

Banca dati

SERVIZI ASSISTENZIALI Gestione attività collegate all’erogazione servizi

Incaricati delle copie di sicurezza

IOMMARINI ROBERTA [SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE]

Supporto di Back-up

Periodicità

N.ro di copie effettuate

N.ro di supporti

Disco removibile

Banca dati

Settimanale

IOMMARINI ROBERTA (SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE)

Copia nro

Luogo di conservazione

UFFICIO PINETO

IOMMARINI ROBERTA (SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE)

Addetto copia

Addetto verifica

SEDE PINETO
UFFICIO (PRESSO DOMICILIO LEGALE RAPPRESENTANTE)

SEDE CONSERVAZIONE COPIE BACKUP

Operazione

Istruzioni

Backup

Verifica

Ripristino

SERVIZI INFERMIERISTICI Gestione attività collegate all’erogazione servizi

Incaricati delle copie di sicurezza

IOMMARINI ROBERTA [SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE]

Supporto di Back-up

Periodicità

N.ro di copie effettuate

N.ro di supporti

Disco removibile

Settimanale

IOMMARINI ROBERTA (SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE)

Copia nro

Luogo di conservazione

UFFICIO PINETO

IOMMARINI ROBERTA (SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE)

Addetto copia

Addetto verifica

SEDE PINETO
UFFICIO (PRESSO DOMICILIO LEGALE RAPPRESENTANTE)

SEDE CONSERVAZIONE COPIE BACKUP

Operazione

Istruzioni

Backup

Verifica

Ripristino

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 121

Banca dati

SERVIZI SOCIALI ASSISTENZIALI ED Gestione attività collegate all’erogazione servizi EDUCATIVI
Incaricati delle copie di sicurezza
IOMMARINI ROBERTA [SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE]

Supporto di Back-up

Periodicità

N.ro di copie effettuate

N.ro di supporti

Disco removibile

Banca dati

Settimanale

IOMMARINI ROBERTA (SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE)

Copia nro

Luogo di conservazione

Addetto copia

Addetto verifica

UFFICIO PINETO

IOMMARINI ROBERTA (SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE)

SEDE PINETO
UFFICIO (PRESSO DOMICILIO LEGALE RAPPRESENTANTE)

SEDE CONSERVAZIONE COPIE BACKUP

Operazione

Istruzioni

Backup

Verifica

Ripristino

SICUREZZA SUL LAVORO E TUTELA AMBIENTE Dati relativi alla messa a norma D.Lgs. 81/08 e ss

Incaricati delle copie di sicurezza

IOMMARINI ROBERTA [SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE]

Supporto di Back-up

Periodicità

N.ro di copie effettuate

N.ro di supporti

Disco removibile

Settimanale

IOMMARINI ROBERTA (SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE)

Copia nro

Luogo di conservazione

UFFICIO PINETO

IOMMARINI ROBERTA (SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE)

Addetto copia

Addetto verifica

SEDE PINETO
UFFICIO (PRESSO DOMICILIO LEGALE RAPPRESENTANTE)

SEDE CONSERVAZIONE COPIE BACKUP

Operazione

Istruzioni

Backup

Verifica

Ripristino

 Una copia del “Documento con le istruzioni di copia” deve essere conservata a cura del’Amministratore di Base Dati in luogo sicuro.

 Una copia del “Documento con le istruzioni di copia” deve essere consegnata a ciascun Incaricato delle copie di sicurezza delle banche dati.

All’ Amministratore di Sistema e all’Amministratore di Base Dati, in collaborazione con gli Incaricati della gestione e della manutenzione degli strumenti elettronici, e con gli Incaricati delle copie di sicurezza delle banche dati è affidato il compito di verificare, almeno annualmente, le

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 122

necessità di formazione del personale incaricato di effettuare periodicamente le copie di sicurezza delle banca di dati trattate, in funzione anche di eventuali opportunità offerte dall’evoluzione tecnologica, utilizzando il modulo DTEC_N.

Piano di formazione incaricati del Back-up (DTEC_N)

Banca dati

Incaricato Back-up

Piano di formazione

PROTEZIONE DATI PERSONALI Adeguamento al Regolamento UE 679/2016

IOMMARINI ROBERTA

Corso on-line con lo scopo di fornire al discente i corretti strumenti per la verifica pratica del piano predisposto di “disaster recovery” con prova di backup e ripristino (su pc diverso dal server) dei dati salvati in precedenza. (Formazione svolta)

PROTEZIONE DATI PERSONALI Adeguamento al Regolamento UE 679/2016

IOMMARINI ROBERTA

Formazione erogata in e-learning per la verifica pratica del piano predisposto di “disaster recovery” con prova di backup e ripristino dei dati salvati. (Formazione svolta)

PROTEZIONE DATI PERSONALI Adeguamento al Regolamento UE 679/2016

IOMMARINI ROBERTA

Corso online erogato a distanza (FAD) in modalità e-learning con lo scopo di fornire al discente le informazioni essenziali all’aggiornamento delle procedure necessarie per applicare la normativa: realizzazione copie di salvataggio, ripristino dei dati, predisposizione del piano obbligatorio di “disaster recovery” e vari consigli pratici sulle opportunità offerte dalla tecnologia e dal software. (Formazione svolta)

PROTEZIONE DATI PERSONALI Adeguamento al Regolamento UE 679/2016

IOMMARINI ROBERTA

In questo corso, gli incaricati delle copie di sicurezza delle banche dati impareranno a preparare, attuare e testare piani di risposta agli incidenti e di ripristino in caso di disastro per garantire la continuità operativa e la protezione dei dati personali in caso di emergenza.

GESTIONE DATI AMMINISTRATIVI E CONTABILI
Dati amministrativi e contabili

IOMMARINI ROBERTA

GESTIONE DATI AMMINISTRATIVI E CONTABILI
Dati amministrativi e contabili

IOMMARINI ROBERTA

Formazione erogata in e-learning per la verifica pratica del piano predisposto di “disaster recovery” con prova di backup e ripristino dei dati salvati. (Formazione svolta)

GESTIONE DATI AMMINISTRATIVI E CONTABILI
Dati amministrativi e contabili

IOMMARINI ROBERTA

GESTIONE DATI AMMINISTRATIVI E CONTABILI
Dati amministrativi e contabili

IOMMARINI ROBERTA

In questo corso, gli incaricati delle copie di sicurezza delle banche dati impareranno a preparare, attuare e testare piani di risposta agli incidenti e di ripristino in caso

Modello Organizzativo Privacy e Registro delle Attività di Trattamento

Pagina 123

di disastro per garantire la continuità operativa e la protezione dei dati personali in caso di emergenza.

POTENZIALI CLIENTI
Dati anagrafici dei potenziali clienti

IOMMARINI ROBERTA

POTENZIALI CLIENTI
Dati anagrafici dei potenziali clienti

IOMMARINI ROBERTA

Formazione erogata in e-learning per la verifica pratica del piano predisposto di “disaster recovery” con prova di backup e ripristino dei dati salvati. (Formazione svolta)

POTENZIALI CLIENTI
Dati anagrafici dei potenziali clienti

IOMMARINI ROBERTA

POTENZIALI CLIENTI
Dati anagrafici dei potenziali clienti

IOMMARINI ROBERTA

GESTIONE SELEZIONE DEL PERSONALE Dati anagrafici e C.V.

IOMMARINI ROBERTA

GESTIONE SELEZIONE DEL PERSONALE Dati anagrafici e C.V.

IOMMARINI ROBERTA

Formazione erogata in e-learning per la verifica pratica del piano predisposto di “disaster recovery” con prova di backup e ripristino dei dati salvati. (Formazione svolta)

GESTIONE SELEZIONE DEL PERSONALE Dati anagrafici e C.V.

IOMMARINI ROBERTA

GESTIONE SELEZIONE DEL PERSONALE Dati anagrafici e C.V.

IOMMARINI ROBERTA

CLIENTI IOMMARINI ROBERTA Corso on-line con lo scopo di fornire al Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 124

Dati anagrafici e contabili clienti

discente i corretti strumenti per la verifica pratica del piano predisposto di “disaster recovery” con prova di backup e ripristino (su pc diverso dal server) dei dati salvati in precedenza. (Formazione svolta)

CLIENTI
Dati anagrafici e contabili clienti

IOMMARINI ROBERTA

Formazione erogata in e-learning per la verifica pratica del piano predisposto di “disaster recovery” con prova di backup e ripristino dei dati salvati. (Formazione svolta)

CLIENTI
Dati anagrafici e contabili clienti

IOMMARINI ROBERTA

CLIENTI
Dati anagrafici e contabili clienti

IOMMARINI ROBERTA

FORNITORI
Dati anagrafici e contabili fornitori

IOMMARINI ROBERTA

FORNITORI
Dati anagrafici e contabili fornitori

IOMMARINI ROBERTA

Formazione erogata in e-learning per la verifica pratica del piano predisposto di “disaster recovery” con prova di backup e ripristino dei dati salvati. (Formazione svolta)

FORNITORI
Dati anagrafici e contabili fornitori

IOMMARINI ROBERTA

FORNITORI
Dati anagrafici e contabili fornitori

IOMMARINI ROBERTA

CERTIFICAZIONI QUALITA
Dati conseguimento certificazioni UNI ISO

IOMMARINI ROBERTA

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 125

CERTIFICAZIONI QUALITA
Dati conseguimento certificazioni UNI ISO

IOMMARINI ROBERTA

Formazione erogata in e-learning per la verifica pratica del piano predisposto di “disaster recovery” con prova di backup e ripristino dei dati salvati. (Formazione svolta)

CERTIFICAZIONI QUALITA
Dati conseguimento certificazioni UNI ISO

IOMMARINI ROBERTA

CERTIFICAZIONI QUALITA
Dati conseguimento certificazioni UNI ISO

IOMMARINI ROBERTA

CONTENZIOSO LEGALE
Dati relativi a procedimenti di contenzioso

IOMMARINI ROBERTA

CONTENZIOSO LEGALE
Dati relativi a procedimenti di contenzioso

IOMMARINI ROBERTA

Formazione erogata in e-learning per la verifica pratica del piano predisposto di “disaster recovery” con prova di backup e ripristino dei dati salvati. (Formazione svolta)

CONTENZIOSO LEGALE
Dati relativi a procedimenti di contenzioso

IOMMARINI ROBERTA

CONTENZIOSO LEGALE
Dati relativi a procedimenti di contenzioso

IOMMARINI ROBERTA

SICUREZZA SUL LAVORO E TUTELA AMBIENTE
Dati relativi alla messa a norma D.Lgs. 81/08 e ss

IOMMARINI ROBERTA

SICUREZZA SUL LAVORO E TUTELA AMBIENTE
Dati relativi alla messa a norma D.Lgs. 81/08 e ss

IOMMARINI ROBERTA

Formazione erogata in e-learning per la verifica pratica del piano predisposto di “disaster recovery” con prova di backup e ripristino dei dati salvati. (Formazione

Modello Organizzativo Privacy e Registro delle Attività di Trattamento

Pagina 126

svolta)

SICUREZZA SUL LAVORO E TUTELA AMBIENTE
Dati relativi alla messa a norma D.Lgs. 81/08 e ss

IOMMARINI ROBERTA

SICUREZZA SUL LAVORO E TUTELA AMBIENTE
Dati relativi alla messa a norma D.Lgs. 81/08 e ss

IOMMARINI ROBERTA

GESTIONE PROTOCOLLO COVID Esecuzione protocollo di sicurezza anti- contagio

IOMMARINI ROBERTA

GESTIONE PROTOCOLLO COVID Esecuzione protocollo di sicurezza anti- contagio

IOMMARINI ROBERTA

Formazione erogata in e-learning per la verifica pratica del piano predisposto di “disaster recovery” con prova di backup e ripristino dei dati salvati. (Formazione svolta)

GESTIONE PROTOCOLLO COVID Esecuzione protocollo di sicurezza anti- contagio

IOMMARINI ROBERTA

GESTIONE PROTOCOLLO COVID Esecuzione protocollo di sicurezza anti- contagio

IOMMARINI ROBERTA

GESTIONE PERSONALE DIPENDENTE Gestione anagrafiche e altri dati del personale

IOMMARINI ROBERTA

GESTIONE PERSONALE DIPENDENTE Gestione anagrafiche e altri dati del personale

IOMMARINI ROBERTA

Formazione erogata in e-learning per la verifica pratica del piano predisposto di “disaster recovery” con prova di backup e ripristino dei dati salvati. (Formazione svolta)

GESTIONE PERSONALE DIPENDENTE Gestione anagrafiche e altri dati del personale

IOMMARINI ROBERTA

Corso online erogato a distanza (FAD) in modalità e-learning con lo scopo di fornire al discente le informazioni essenziali

Modello Organizzativo Privacy e Registro delle Attività di Trattamento

Pagina 127

all’aggiornamento delle procedure necessarie per applicare la normativa: realizzazione copie di salvataggio, ripristino dei dati, predisposizione del piano obbligatorio di “disaster recovery” e vari consigli pratici sulle opportunità offerte dalla tecnologia e dal software. (Formazione svolta)

GESTIONE PERSONALE DIPENDENTE Gestione anagrafiche e altri dati del personale

IOMMARINI ROBERTA

SERVIZI SOCIALI ASSISTENZIALI ED EDUCATIVI
Gestione attività collegate all’erogazione servizi

IOMMARINI ROBERTA

SERVIZI SOCIALI ASSISTENZIALI ED EDUCATIVI
Gestione attività collegate all’erogazione servizi

IOMMARINI ROBERTA

Formazione erogata in e-learning per la verifica pratica del piano predisposto di “disaster recovery” con prova di backup e ripristino dei dati salvati. (Formazione svolta)

SERVIZI SOCIALI ASSISTENZIALI ED EDUCATIVI
Gestione attività collegate all’erogazione servizi

IOMMARINI ROBERTA

SERVIZI SOCIALI ASSISTENZIALI ED EDUCATIVI
Gestione attività collegate all’erogazione servizi

IOMMARINI ROBERTA

SERVIZI ASSISTENZIALI
Gestione attività collegate all’erogazione servizi

IOMMARINI ROBERTA

SERVIZI ASSISTENZIALI
Gestione attività collegate all’erogazione servizi

IOMMARINI ROBERTA

Formazione erogata in e-learning per la verifica pratica del piano predisposto di “disaster recovery” con prova di backup e ripristino dei dati salvati. (Formazione svolta)

SERVIZI ASSISTENZIALI
Gestione attività collegate all’erogazione servizi

IOMMARINI ROBERTA

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 128

consigli pratici sulle opportunità offerte dalla tecnologia e dal software. (Formazione svolta)

SERVIZI ASSISTENZIALI
Gestione attività collegate all’erogazione servizi

IOMMARINI ROBERTA

SERVIZI INFERMIERISTICI
Gestione attività collegate all’erogazione servizi

IOMMARINI ROBERTA

SERVIZI INFERMIERISTICI
Gestione attività collegate all’erogazione servizi

IOMMARINI ROBERTA

Formazione erogata in e-learning per la verifica pratica del piano predisposto di “disaster recovery” con prova di backup e ripristino dei dati salvati. (Formazione svolta)

SERVIZI INFERMIERISTICI
Gestione attività collegate all’erogazione servizi

IOMMARINI ROBERTA

SERVIZI INFERMIERISTICI
Gestione attività collegate all’erogazione servizi

IOMMARINI ROBERTA

GESTIONE GARE APPALTI
Gestione capitolati gara ambito pubblico e privato

IOMMARINI ROBERTA

GESTIONE GARE APPALTI
Gestione capitolati gara ambito pubblico e privato

IOMMARINI ROBERTA

Formazione erogata in e-learning per la verifica pratica del piano predisposto di “disaster recovery” con prova di backup e ripristino dei dati salvati. (Formazione svolta)

GESTIONE GARE APPALTI
Gestione capitolati gara ambito pubblico e privato

IOMMARINI ROBERTA

GESTIONE GARE APPALTI IOMMARINI ROBERTA In questo corso, gli incaricati delle copie di Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 129

Gestione capitolati gara ambito pubblico e privato

sicurezza delle banche dati impareranno a preparare, attuare e testare piani di risposta agli incidenti e di ripristino in caso di disastro per garantire la continuità operativa e la protezione dei dati personali in caso di emergenza.

POSTA ELETTRONICA CERTIFICATA Gestione posta elettronica certificata e contatti

IOMMARINI ROBERTA

POSTA ELETTRONICA CERTIFICATA Gestione posta elettronica certificata e contatti

IOMMARINI ROBERTA

Formazione erogata in e-learning per la verifica pratica del piano predisposto di “disaster recovery” con prova di backup e ripristino dei dati salvati. (Formazione svolta)

POSTA ELETTRONICA CERTIFICATA Gestione posta elettronica certificata e contatti

IOMMARINI ROBERTA

POSTA ELETTRONICA CERTIFICATA Gestione posta elettronica certificata e contatti

IOMMARINI ROBERTA

POSTA ELETTRONICA
Gestione posta elettronica e contatti

IOMMARINI ROBERTA

POSTA ELETTRONICA
Gestione posta elettronica e contatti

IOMMARINI ROBERTA

Formazione erogata in e-learning per la verifica pratica del piano predisposto di “disaster recovery” con prova di backup e ripristino dei dati salvati. (Formazione svolta)

POSTA ELETTRONICA
Gestione posta elettronica e contatti

IOMMARINI ROBERTA

POSTA ELETTRONICA
Gestione posta elettronica e contatti

IOMMARINI ROBERTA

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 130

in caso di emergenza.

GESTIONE MODELLO ORGANIZZATIVO 231 Modello organizzativo responsabilità impresa

IOMMARINI ROBERTA

GESTIONE MODELLO ORGANIZZATIVO 231 Modello organizzativo responsabilità impresa

IOMMARINI ROBERTA

Formazione erogata in e-learning per la verifica pratica del piano predisposto di “disaster recovery” con prova di backup e ripristino dei dati salvati. (Formazione svolta)

GESTIONE MODELLO ORGANIZZATIVO 231 Modello organizzativo responsabilità impresa

IOMMARINI ROBERTA

GESTIONE MODELLO ORGANIZZATIVO 231 Modello organizzativo responsabilità impresa

IOMMARINI ROBERTA

Modello Organizzativo Privacy e Registro delle Attività di Trattamento

Pagina 131

3.9. Misure da adottare per la protezione di dati personali, rilevanti ai fini della loro custodia e accessibilità

3.9.1. Misure generali

In considerazione di quanto disposto dalla Normativa Applicabile, è fatto divieto a chiunque di:

 effettuare copie su supporti magnetici o trasmissioni non autorizzate dall’Amministratore di Sistema o dal Designato per specifici compiti e funzioni (attività di trattamento) oggetto del trattamento;

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 132

3.10. Formazione degli incaricati del trattamento

3.10.1. Piano di formazione

In conformità a quanto disposto dalla Normativa Applicabile, il Titolare, in collaborazione con i Designati per specifici compiti e funzioni (attività di trattamento), valuta per ogni incaricato a cui è stato affidato il trattamento, sulla base dell’esperienza, delle sue conoscenze, ed in funzione anche di eventuali opportunità offerte dall’evoluzione tecnologica, la necessità di pianificare interventi di formazione.

La formazione è programmata già al momento dell’ingresso in servizio di nuovi incaricati del trattamento, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali.

Il Piano di formazione del personale deve essere predisposto per:

 rendere edotti gli incaricati del trattamento sui rischi che incombono sui dati;
 rendere edotti gli incaricati del trattamento sulle misure disponibili per prevenire eventi dannosi;
 rendere edotti gli incaricati del trattamento sui profili della disciplina sulla protezione dei dati personalipiù rilevanti in rapporto alle relative attività;
 rendere edotti gli incaricati del trattamento sulle responsabilità che ne derivano;
 rendere edotti gli incaricati del trattamento sulle modalità per aggiornarsi sulle misure di sicurezza

adottate dal Titolare.

Piano di formazione del personale (DTEC_H)

Cognome e Nome

Necessità di formazione riscontrata

Piano di formazione/ Corsi

Corso Svolto

Data Formaz./ Corsi

CERVELLA TRISTANO

FAD) Privacy: Regolamento UE 679/2016

FAD) Covid-19: Virus e Privacy in Azienda

Corso on-line sul Regolamento UE 679/2016 relativo alla protezione della persone fisiche con riguardo al trattamento dei dati personali.

Il trattamento dei dati personali nella gestione dell’emergenza Covid19

01/04/2019

03/02/2021

CERVELLA TRISTANO

FAD-ADS) L’Amministratore di Sistema nello svolgimento delle quotidiane mansioni lavorative

Formazione erogata in e-learning alle figure professionali addette all’amministrazione, alla gestione e alla manutenzione della rete, del sistema informatico, di strumenti di elaborazione dati o di sue componenti e di applicazioni software.

03/02/2021

CERVELLA TRISTANO

FAD) Le nuove misure adottate dal Titolare in relazione agli adempimenti ed agli obblighi in materia di Data Protection

Formazione erogata in e-learning per il mantenimento del grado di conoscenza richiesto in relazione alla normativa in materia di privacy, con particolare riferimento alla verifica delle misure di sicurezza da adottare.

30/03/2021

CERVELLA TRISTANO

FAD) Formazione / Aggiornamento degli incaricati come previsto dal GDPR

Corso online erogato a distanza (FAD) in modalità e-learning con lo scopo di fornire al discente il mantenimento del grado di conoscenza richiesto in relazione alla normativa in materia di Data Protection (GDPR), con particolare riferimento alla verifica delle misure di sicurezza da adottare.

24/02/2022

CERVELLA TRISTANO

FAD) Covid-19: Virus e Privacy in Azienda

Corso online erogato a distanza (FAD) in
modalità e-learning con lo scopo di fornire al discente le informazioni essenziali

24/02/2022

Modello Organizzativo Privacy e Registro delle Attività di Trattamento

Pagina 133

all’aggiornamento delle procedure da adottare per il trattamento dei dati personali nella gestione dell’emergenza Covid19

CERVELLA TRISTANO

FAD-RSP) ORGANIZZAZIONE: formazione come previsto dal GDPR (EU 2016/679), rivolto ai responsabili.

Corso online erogato a distanza (FAD) in modalità e-learning con lo scopo di fornire al discente le informazioni necessarie sull’organigramma privacy aziendale, i differenti ruoli introdotti dalla normativa GDPR per la valutazione dei livelli di competenza, le differenze tra Titolare, Responsabile ed Incaricato, le loro funzioni, le modalità operative e le responsabilità stabilite dal GDPR.

24/02/2022

CERVELLA TRISTANO

FAD-ADS) Formazione / Aggiornamento AdS

Corso online di formazione/aggiornamento erogato a distanza (FAD) in modalità e-learning rivolto alle figure professionali addette all’amministrazione, alla gestione e alla manutenzione della rete, del sistema informatico, di strumenti di elaborazione dati o di sue componenti e di applicazioni software.

24/02/2022

CERVELLA TRISTANO

Corso FAD 23a – Formazione / Aggiornamento per gli incaricati del trattamento

In questo corso gli incaricati verranno aggiornati sui principi fondamentali della protezione dei dati personali (come i diritti degli interessati e le responsabilità degli incaricati del trattamento) e sulla normativa di riferimento che impatta direttamente sulla realtà aziendale.

13/04/2023

CERVELLA TRISTANO

Corso FAD 23b – Formazione / Aggiornamento per gli incaricati del trattamento

In questo corso, gli incaricati impareranno a identificare i rischi per la protezione dei dati personali e ad implementare misure per prevenirli. Verranno inoltre fornite informazioni su come valutare i rischi per la protezione dei dati personali e su come gestirli.

13/04/2023

CERVELLA TRISTANO

Corso FAD 23c – Formazione / Aggiornamento per i designati / incaricati apicali

In questo corso, i designati / incaricati apicali verranno formati sui requisiti legali e normativi relativi alla protezione dei dati personali (Regolamento Ue 2016/679, Codice Privacy e Provvedimenti Garante). Verranno anche fornite informazioni su come garantire la compliance con la normativa in materia.

13/04/2023

CERVELLA TRISTANO

Corso FAD 23e – Formazione / Aggiornamento degli AdS

In questo corso, verrà insegnato agli AdS come proteggere i dati personali contro le minacce informatiche, come la perdita o la violazione. Verranno anche fornite informazioni sulle best practice per la sicurezza dei dati, come la crittografia e la gestione degli accessi.

13/04/2023

CIARELLI NOVELLA

CIARELLI NOVELLA CIARELLI NOVELLA

FAD) Privacy: Regolamento UE 679/2016

FAD) Covid-19: Virus e Privacy in Azienda

FAD) Le nuove misure adottate dal Titolare in relazione agli adempimenti ed agli obblighi in materia di Data Protection

Corso on-line sul Regolamento UE 679/2016 relativo alla protezione della persone fisiche con riguardo al trattamento dei dati personali.

Il trattamento dei dati personali nella gestione dell’emergenza Covid19

Formazione erogata in e-learning per il mantenimento del grado di conoscenza richiesto in relazione alla normativa in materia di privacy, con particolare

01/04/2019

03/02/2021 30/03/2021

Modello Organizzativo Privacy e Registro delle Attività di Trattamento

Pagina 134

riferimento alla verifica delle misure di sicurezza da adottare.

CIARELLI NOVELLA

FAD) Formazione / Aggiornamento degli incaricati come previsto dal GDPR

24/02/2022

CIARELLI NOVELLA

FAD) Covid-19: Virus e Privacy in Azienda

Corso online erogato a distanza (FAD) in modalità e-learning con lo scopo di fornire al discente le informazioni essenziali all’aggiornamento delle procedure da adottare per il trattamento dei dati personali nella gestione dell’emergenza Covid19

24/02/2022

CIARELLI NOVELLA

Corso FAD 23a – Formazione / Aggiornamento per gli incaricati del trattamento

13/04/2023

CIARELLI NOVELLA

Corso FAD 23b – Formazione / Aggiornamento per gli incaricati del trattamento

13/04/2023

INCARICATO SENZA PC – INFERMIERE (vedi elenco)

INCARICATO SENZA PC – O.S.S. (vedi elenco)

INCARICATO SENZA PC GENERICO (vedi elenco)

IOMMARINI ROBERTA

Procedure per il trattamento dei dati personali cartacei

FAD) Privacy: Regolamento UE 679/2016

FAD) Covid-19: Virus e Privacy in Azienda

FAD) Formazione / Aggiornamento degli incaricati come previsto dal GDPR

Formazione interna sugli adempimenti e sugli obblighi cui sono soggetti gli incaricati del trattamento dei dati senza l’ausilio di strumenti elettronici

Corso on-line sul Regolamento UE 679/2016 relativo alla protezione della persone fisiche con riguardo al trattamento dei dati personali.

Il trattamento dei dati personali nella gestione dell’emergenza Covid19

Corso online erogato a distanza (FAD) in modalità e-learning con lo scopo di fornire al discente il mantenimento del grado di conoscenza richiesto in relazione alla

13/04/2023

01/04/2019

03/02/2021

IOMMARINI ROBERTA

FAD) Le nuove misure adottate dal Titolare in relazione agli adempimenti ed agli obblighi in materia di Data Protection

30/03/2021

24/02/2022

Modello Organizzativo Privacy e Registro delle Attività di Trattamento

Pagina 135

normativa in materia di Data Protection (GDPR), con particolare riferimento alla verifica delle misure di sicurezza da adottare.

IOMMARINI ROBERTA

FAD) Covid-19: Virus e Privacy in Azienda

24/02/2022

IOMMARINI ROBERTA

Corso FAD 23a – Formazione / Aggiornamento per gli incaricati del trattamento

13/04/2023

IOMMARINI ROBERTA

Corso FAD 23b – Formazione / Aggiornamento per gli incaricati del trattamento

13/04/2023

LELLI LILIANA

FAD) Privacy: Regolamento UE 679/2016

FAD) Covid-19: Virus e Privacy in Azienda

Corso on-line sul Regolamento UE 679/2016 relativo alla protezione della persone fisiche con riguardo al trattamento dei dati personali.

01/04/2019

03/02/2021

Il trattamento dei dati personali nella gestione dell’emergenza Covid19

LELLI LILIANA

FAD) Le nuove misure adottate dal Titolare in relazione agli adempimenti ed agli obblighi in materia di Data Protection

30/03/2021

LELLI LILIANA

FAD) Formazione / Aggiornamento degli incaricati come previsto dal GDPR

24/02/2022

LELLI LILIANA

FAD) Covid-19: Virus e Privacy in Azienda

24/02/2022

LELLI LILIANA

Corso FAD 23a – Formazione / Aggiornamento per gli incaricati del trattamento

13/04/2023

In questo corso, gli incaricati impareranno Modello Organizzativo Privacy e Registro delle Attività di Trattamento

13/04/2023

Pagina 136

LELLI LILIANA

Corso FAD 23b – Formazione /

Aggiornamento per gli incaricati del trattamento

a identificare i rischi per la protezione dei dati personali e ad implementare misure per prevenirli. Verranno inoltre fornite informazioni su come valutare i rischi per la protezione dei dati personali e su come gestirli.

PAVONE ANTONIO

FAD) Privacy: Regolamento UE 679/2016

FAD) Covid-19: Virus e Privacy in Azienda

Corso on-line sul Regolamento UE 679/2016 relativo alla protezione della persone fisiche con riguardo al trattamento dei dati personali.

Il trattamento dei dati personali nella gestione dell’emergenza Covid19

01/04/2019

03/02/2021

PAVONE ANTONIO

FAD) Le nuove misure adottate dal Titolare in relazione agli adempimenti ed agli obblighi in materia di Data Protection

30/03/2021

PAVONE ANTONIO

FAD) Formazione / Aggiornamento degli incaricati come previsto dal GDPR

24/02/2022

PAVONE ANTONIO

FAD) Covid-19: Virus e Privacy in Azienda

24/02/2022

PAVONE ANTONIO

Corso FAD 23a – Formazione / Aggiornamento per gli incaricati del trattamento

13/04/2023

PAVONE ANTONIO

Corso FAD 23b – Formazione / Aggiornamento per gli incaricati del trattamento

13/04/2023

PROFILO PC AMMINISTRATIVO (vedi elenco)

FAD) Privacy: Regolamento UE 679/2016

FAD) Covid-19: Virus e Privacy in Azienda

Corso on-line sul Regolamento UE 679/2016 relativo alla protezione della persone fisiche con riguardo al trattamento dei dati personali.

Il trattamento dei dati personali nella gestione dell’emergenza Covid19

01/04/2019

03/02/2021

PROFILO PC AMMINISTRATIVO (vedi elenco)

FAD) Le nuove misure adottate dal Titolare in relazione agli adempimenti ed agli obblighi in materia di Data Protection

30/03/2021

Modello Organizzativo Privacy e Registro delle Attività di Trattamento

Pagina 137

PROFILO PC AMMINISTRATIVO (vedi elenco)

FAD) Formazione / Aggiornamento degli incaricati come previsto dal GDPR

24/02/2022

PROFILO PC AMMINISTRATIVO (vedi elenco)

FAD) Covid-19: Virus e Privacy in Azienda

24/02/2022

PROFILO PC AMMINISTRATIVO (vedi elenco)

Corso FAD 23a – Formazione / Aggiornamento per gli incaricati del trattamento

13/04/2023

PROFILO PC AMMINISTRATIVO (vedi elenco)

Corso FAD 23b – Formazione / Aggiornamento per gli incaricati del trattamento

13/04/2023

PROFILO PC OPERATIVO SANITARIO (vedi elenco)

FAD) Privacy: Regolamento UE 679/2016

FAD) Covid-19: Virus e Privacy in Azienda

Corso on-line sul Regolamento UE 679/2016 relativo alla protezione della persone fisiche con riguardo al trattamento dei dati personali.

Il trattamento dei dati personali nella gestione dell’emergenza Covid19

01/04/2019

03/02/2021

PROFILO PC OPERATIVO SANITARIO (vedi elenco)

FAD) Le nuove misure adottate dal Titolare in relazione agli adempimenti ed agli obblighi in materia di Data Protection

30/03/2021

PROFILO PC OPERATIVO SANITARIO (vedi elenco)

FAD) Formazione / Aggiornamento degli incaricati come previsto dal GDPR

24/02/2022

PROFILO PC OPERATIVO SANITARIO (vedi elenco)

FAD) Covid-19: Virus e Privacy in Azienda

24/02/2022

PROFILO PC OPERATIVO SANITARIO (vedi elenco)

Corso FAD 23a – Formazione / Aggiornamento per gli incaricati del trattamento

In questo corso gli incaricati verranno aggiornati sui principi fondamentali della protezione dei dati personali (come i diritti degli interessati e le responsabilità

13/04/2023

Modello Organizzativo Privacy e Registro delle Attività di Trattamento

Pagina 138

degli incaricati del trattamento) e sulla normativa di riferimento che impatta direttamente sulla realtà aziendale.

PROFILO PC OPERATIVO SANITARIO (vedi elenco)

Corso FAD 23b – Formazione / Aggiornamento per gli incaricati del trattamento

13/04/2023

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 139

3.11. Criteri da adottare per garantire l’adozione delle misure di sicurezza adeguate in caso di trattamenti di dati personali affidati all’esterno della struttura del Titolare (art. 28 GDPR)

3.11.1. Trattamenti di dati personali affidati all’esterno della struttura del Titolare

Il Titolare, può decidere di affidare il trattamento dei dati in tutto o in parte all’esterno della struttura del Titolare. In tal caso, quest’ultimo ricorre unicamente a Responsabili esterni del trattamento (di seguito Responsabili del trattamento in Out-soucing) che presentino garanzie sufficienti per mettere in atto misure tecniche ed organizzative adeguate, in modo tale che il trattamento soddisfi i requisiti del Regolamento UE 679/2016 e garantisca la tutela dei diritti dell’interessato.

In questo caso, il Titolare deve verificare che il Responsabile del trattamento in Out-sourcing, applichi correttamente le misure minime di sicurezza, nel trattamento dei dati che gli viene affidato.

Il Titolare, deve redigere e aggiornare ad ogni variazione l’elenco dei soggetti che effettuano il trattamento dei dati in tutto o in parte all’esterno della struttura del Titolare, ed indicare per ognuno di essi il tipo di trattamento effettuato specificando:

 i soggetti interessati;
 i luoghi dove fisicamente avviene il trattamento dei dati stessi;  i responsabili del trattamento di dati personali.

Per l’inventario dei soggetti a cui affidare il trattamento dei dati in tutto o in parte all’esterno della struttura del Titolare, deve essere utilizzato il modulo DTEC_E, che deve essere allegato al presente Registro delle Attività di Trattamento e Modello Organizzativo Privacy, e deve essere conservato a cura del Designato per specifici compiti e funzioni (attività di trattamento), in luogo sicuro.

Enti terzi cui è affidato li trattamento dei dati in out-sourcing (DTEC_E) PROFILI AZIENDALI S.R.L.

Via Ungaretti, 4
64013 CORROPOLI (TE)
Tel. (0861) 855809 – Fax (0861) 807035
CERTIFICAZIONI QUALITA
Dati conseguimento certificazioni UNI ISO
Banca dati soggetti legati ad attività pianificate e documentate su prodotti/servizi Certificazione di Qualità. Rilevazione del grado di soddisfazione della clientela

STUDIO LEGALE RAPACCHIALE AVV. PAOLA

Via Nazionale Adriatica Nord, 3
64025 PINETO (TE)
Tel. (333) 4988499
CONTENZIOSO LEGALE
Dati relativi a procedimenti di contenzioso
Dati relativi alla consulenza giuridico-legale
Gestione del contenzioso (inadempimenti contrattuali diffide transazioni recupero crediti arbitrati controversie giudiziarie)

Responsabile esterno a cui è affidato il trattamento

Luogo dove avviene il trattamento

Attività di trattamento affidata

Descrizione dell’attività

Tipo di dati trattati

Scopo del trattamento

Note

Responsabile esterno a cui è affidato il trattamento

Luogo dove avviene il trattamento

Attività di trattamento affidata

Descrizione dell’attività

Tipo di dati trattati

Scopo del trattamento

Note

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 140

Responsabile esterno a cui è affidato il trattamento

INTERMEDIARIO SISTEMA DI INTERSCAMBIO (vedi contratti)

Luogo dove avviene il trattamento

c/o la sede del Fornitore

GESTIONE DATI AMMINISTRATIVI E CONTABILI

Dati amministrativi e contabili

Gestione fatturazione elettronica

STUDIO CLAMOROSO DANILO

Contrada Pozzo
64045 ISOLA DEL GRAN SASSO (TE)
Tel. (0861) 976194
GESTIONE DATI AMMINISTRATIVI E CONTABILI Dati amministrativi e contabili

Adempimento di obblighi fiscali o contabili

STUDIO LEGALE RAPACCHIALE AVV. PAOLA

Via Nazionale Adriatica Nord, 3
64025 PINETO (TE)
Tel. (333) 4988499
GESTIONE MODELLO ORGANIZZATIVO 231 Modello organizzativo responsabilità impresa

Consulenza per l’implementazione del modello organizzativo 231

STUDIO MARTEGIANI MAURO

Via Duca degli Abruzzi, 59
64046 MONTORIO AL VOMANO (TE)
Tel. (0861) 591501
GESTIONE PERSONALE DIPENDENTE
Gestione anagrafiche e altri dati del personale
Nominativo, indirizzo o altri elementi di identificazione personale (nome, cognome, età, sesso, luogo e data di nascita, indirizzo privato, indirizzo di lavoro, nr. di telefono, di posta elettronica, nr. Carta identità, ecc.)
Gestione del personale

ARUBA S.P.A.

Via San Clemente, 53
24036 PONTE SAN PIETRO (BG)
aruba@aruba.pec.it
POSTA ELETTRONICA
Gestione posta elettronica e contatti
Nominativo, indirizzo o altri elementi di identificazione personale (nome, cognome, età, sesso, luogo e data di nascita, indirizzo privato, indirizzo di lavoro, nr. di telefono, di posta elettronica, nr. Carta identità, ecc.)
Gestione servizi posta elettronica (antispam, backup, hosting, ecc.)

Attività di trattamento affidata

Descrizione dell’attività

Tipo di dati trattati

Scopo del trattamento

Note

Responsabile esterno a cui è affidato il trattamento

Luogo dove avviene il trattamento

Attività di trattamento affidata

Descrizione dell’attività

Tipo di dati trattati

Scopo del trattamento

Note

Responsabile esterno a cui è affidato il trattamento

Luogo dove avviene il trattamento

Attività di trattamento affidata

Descrizione dell’attività

Tipo di dati trattati

Scopo del trattamento

Note

Responsabile esterno a cui è affidato il trattamento

Luogo dove avviene il trattamento

Attività di trattamento affidata

Descrizione dell’attività

Tipo di dati trattati

Scopo del trattamento

Note

Responsabile esterno a cui è affidato il trattamento

Luogo dove avviene il trattamento

Attività di trattamento affidata

Descrizione dell’attività

Tipo di dati trattati

Scopo del trattamento

Note

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 141

Responsabile esterno a cui è affidato il trattamento

Luogo dove avviene il trattamento

Attività di trattamento affidata

Descrizione dell’attività

Tipo di dati trattati

Scopo del trattamento

Note

ARUBA S.P.A.

Via San Clemente, 53
24036 PONTE SAN PIETRO (BG)
aruba@aruba.pec.it
POSTA ELETTRONICA CERTIFICATA
Gestione posta elettronica certificata e contatti
Nominativo, indirizzo o altri elementi di identificazione personale (nome, cognome, età, sesso, luogo e data di nascita, indirizzo privato, indirizzo di lavoro, nr. di telefono, di posta elettronica, nr. Carta identità, ecc.)
Gestione servizi posta elettronica certificata (antispam, backup, hosting, ecc.)

ADVENIAS S.R.L.

Galleria Cavour, 4
40124 BOLOGNA (BO)
Tel. (051) 0827092
SERVIZI INFERMIERISTICI
Gestione attività collegate all’erogazione servizi
Nominativo, indirizzo o altri elementi di identificazione personale (nome, cognome, età, sesso, luogo e data di nascita, indirizzo privato, indirizzo di lavoro, nr. di telefono, di posta elettronica, nr. Carta identità, ecc.) ed eventualmente dati particolari
Assistenza e manutenzione gestionale in cloud

AREA SOLUTION S.R.L.

Frazione Villa Sant’Antonio
63100 ASCOLI PICENO (AP)
Tel. (0736) 811014
SICUREZZA SUL LAVORO E TUTELA AMBIENTE
Dati relativi alla messa a norma D.Lgs. 81/08 e ss
Nominativo, indirizzo o altri elementi di identificazione personale (nome, cognome, età, sesso, luogo e data di nascita, indirizzo privato, indirizzo di lavoro, nr. di telefono, di posta elettronica, nr. Carta identità, ecc.)

Sicurezza sul lavoro e tutela ambiente

Responsabile esterno a cui è affidato il trattamento

Luogo dove avviene il trattamento

Attività di trattamento affidata

Descrizione dell’attività

Tipo di dati trattati

Scopo del trattamento

Note

Responsabile esterno a cui è affidato il trattamento

Luogo dove avviene il trattamento

Attività di trattamento affidata

Descrizione dell’attività

Tipo di dati trattati

Scopo del trattamento

Note

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 142

3.11.2. Nomina del Responsabile del trattamento in Out-sourcing

I trattamenti da parte di un Responsabile del trattamento in Out-sourcing devono essere disciplinati da un contratto o da altro atto giuridico (vedi allegato modello DTEC_W) a norma del diritto dell’Unione o degli Stati membri, che vincoli il Responsabile del trattamento in Out-sourcing al Titolare e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del Titolare.

Il contratto o altro atto giuridico prevede, in particolare, che il Responsabile del trattamento in Out- sourcing:

 tratti i dati personali soltanto su istruzione documentata del Titolare, anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione o nazionale cui è soggetto il Responsabile del trattamento in Out- sourcing (in tal caso, il Responsabile del trattamento in Out-sourcing informa il Titolare circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico);
 garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
 adotti tutte le misure richieste ai sensi dell’articolo 32 del GDPR;
 rispetti le condizioni di cui ai paragrafi 2 e 4 dell’art. 28 GDPR per ricorrere, a sua volta, ad unaltro Responsabile del trattamento in Out-sourcing (di seguito Sub-Responsabile del
trattamento in Out-sourcing);
 tenendo conto della natura del trattamento, assista il Titolare con misure tecniche eorganizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del
Titolare di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III;
 assista il Titolare nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 del GDPR (sicurezza del trattamento, notificazione violazione ai dati personali all’autorità di controllo, comunicazione violazione al soggetto interessato, valutazione d’impatto e consultazione preventiva) tenendo conto della natura del trattamento e delle informazioni a disposizione delResponsabile del trattamento in Out-sourcing;
 su richiesta del Titolare, cancelli o gli restituisca tutti i dati personali dopo che è terminata laprestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto
dell’Unione o degli Stati membri preveda la conservazione dei dati;
 metta a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degliobblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le
ispezioni, realizzati dal Titolare o da un altro soggetto da questi incaricato;
 informi immediatamente il Titolare qualora, a suo parere, un’istruzione violi il regolamento o altredisposizioni, nazionali o dell’Unione, relative alla protezione dei dati.
Quando un Responsabile del trattamento in Out-sourcing ricorre ad un Sub-Responsabile del trattamento in Out-sourcing per l’esecuzione di specifiche attività di trattamento per conto del Titolare, su tale altro Sub-Responsabile del trattamento in Out-sourcing sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il Titolare e il Responsabile del trattamento in Out-sourcing di cui sopra, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento. Qualora il Sub-Responsabile del trattamento in Out-sourcing ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei confronti del Titolare l’intera responsabilità dell’adempimento degli obblighi dell’altro responsabile.

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 143

3.12. Ulteriori misure in caso di trattamento di dati particolari o giudiziari

3.12.1. Protezione contro l’accesso abusivo

In conformità a quanto disposto dalla Normativa Applicabile al fine di garantire la sicurezza dei dati particolari (sensibili) o giudiziari contro l’accesso abusivo, il Titolare, in collaborazione con l’Amministratore di Sistema e l’Amministratore di Rete, se nominati, deve stabilire, con il supporto tecnico degli Incaricati della gestione e della manutenzione degli strumenti elettronici, le misure tecniche da adottare in rapporto ad eventuali rischi.

I criteri devono essere definiti dall’ Amministratore di Rete, se nominato, in relazione al tipo di rischio potenziale e in base al livello di tecnologia utilizzata.

In particolare, per ogni Sistema interessato, in conformità a quanto disposto dalla Normativa Applicabile, devono essere definite le seguenti specifiche:

 individuare gli idonei strumenti per la protezione degli strumenti elettronici contro il rischio di intrusione e dell’azione di programmi informatici aventi per scopo o per effetto il danneggiamento di un sistema informatico o telematico, dei dati o dei programmi in esso contenuti o ad esso pertinenti, ovvero l’interruzione, totale o parziale, o l’alterazione del suo funzionamento;
 stabilire la frequenza con cui aggiornare i programmi per elaboratore per prevenire la vulnerabilità degli strumenti elettronici e correggerne difetti;
 individuare come proteggere, mediante l’utilizzo di idonei strumenti elettronici, i dati particolari (sensibili) o giudiziari contro l’accesso abusivo da parte di chiunque abusivamente si introduce nel sistema informatico o telematico.Per ogni sistema deve essere utilizzato il modulo DTEC_D, e deve essere conservato a cura del Titolare, o dell’Amministratore di Sistema, se nominato, in luogo sicuro e deve essere trasmesso in copia controllata all’Incaricato della gestione e della manutenzione degli strumenti elettronici di competenza.
3.12.2. Istruzioni organizzative e tecniche per la custodia e l’uso dei supporti rimovibili

In conformità a quanto disposto in conformità a quanto disposto dalla Normativa Applicabile per ogni supporto utilizzato per le operazioni di copia deve essere individuato il luogo di conservazione in modo che sia convenientemente protetto dai potenziali rischi di:

 Agenti chimici
 Fonti di calore
 Campi magnetici
 Intrusioni e atti vandalici
 Incendio
 Allagamento
 Furto
 Accesso non autorizzato
 Trattamento non consentito

L’accesso ai supporti utilizzati per le copie dei dati è limitato per ogni banca di dati a:

 Incaricati delle copie di sicurezza delle banche dati  Amministratore di Sistema (se nominato)
 Amministratore di Base Dati (se nominato)

L’Amministratore di Base Dati, se nominato, è responsabile della custodia e della conservazione dei supporti utilizzati per le copie dei dati e deve indicare, utilizzando il modulo DTEC_M, il luogo di conservazione dei supporti utilizzati per le copie dei dati.

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 144

3.12.3. Riutilizzo dei supporti rimovibili

In conformità a quanto disposto in conformità a quanto disposto dalla Normativa Applicabile se l’Amministratore di Base Dati, se nominato, decide che i supporti magnetici contenenti dati particolari o giudiziari non siano più utilizzabili per gli scopi per i quali erano stati destinati, deve provvedere a farne cancellare il contenuto annullando e rendendo intelligibili e tecnicamente in alcun modo ricostruibili le informazioni in esso contenute.

È compito dell’Amministratore di Base Dati, se nominato, controllare e assicurarsi che in nessun caso vengano lasciate copie di banche di dati contenenti dati particolari o giudiziari, non più utilizzate, senza che ne venga cancellato il contenuto ed annullate e rese intelligibili e tecnicamente in alcun modo ricostruibili le informazioni in esso registrate.

3.12.4. Ripristino dell’accesso ai dati in caso di danneggiamento

In conformità a quanto disposto in conformità a quanto disposto dalla Normativa Applicabile la decisione di ripristinare la disponibilità dei dati in seguito a distruzione o danneggiamento è compito esclusivo dell’Amministratore di Sistema, se nominato. La decisione di ripristinare la disponibilità dei dati deve essere presa rapidamente e in ogni caso la disponibilità dei dati deve essere ripristinata al massimo entro 7 (sette) giorni.

Una volta valutata la assoluta necessità di ripristinare la disponibilità dei dati in seguito a distruzione o danneggiamento l’Amministratore di Sistema e l’Amministratore di Base Dati, se nominati, devono provvedere con la collaborazione dell’Incaricato delle copie di sicurezza delle banche dati e dell’Incaricato della gestione e della manutenzione degli strumenti elettronici all’operazione di ripristino dei dati. La decisione di ripristinare la funzionalità degli elaboratori elettronici guasti, è compito esclusivo dell’Amministratore di Sistema, se nominato, che si può avvalere del parere dell’Incaricato della gestione e della manutenzione degli strumenti elettronici.

La decisione di ripristinare la funzionalità degli elaboratori elettronici guasti deve essere presa rapidamente ed in ogni caso la funzionalità deve essere ripristinata al massimo entro 7 (sette) giorni.

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 145

3.13. Data Protection Officer – Responsabile Protezione Dati (DPO-RPD) 3.13.1. Trattamenti per cui è obbligatoria la nomina del DPO-RPD

 sì  no Trattamenti per conto o in qualità di amministrazioni ed enti pubblici, fatta eccezione per le autorità giudiziarie;
 sì  no Trattamenti per conto di terzi o in modo diretto, che per la loro natura, il loro oggetto o le loro finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;

 sì  no Trattamenti per conto di terzi o in modo diretto, su larga scala, di dati particolari, relativi alla salute o alla vita sessuale, genetici, giudiziari e dati biometrici.

3.13.2. Valutazione necessità di nomina Responsabile Protezione Dati (DPO-RPD)

La nostra struttura non effettua trattamenti come individuati all’art. 37 Reg. (UE)2016/679 e pertanto ritiene di non essere obbligata alla designazione di un RPD/DPO per le seguenti ragioni:

 la tipologia di attività non ha tra le core activity quelle legate a monitoraggio sistematico su larga scala degli interessati o trattamento su larga scala di dati particolari o giudiziari (vedi punto precedente);
 il trattamento di eventuali dati particolari è sostanzialmente legato alla gestione del personale ed imposto per legge;
 in merito all’art. 37, par. 1 a), l’organizzazione non può essere qualificata in alcun modo come autorità od organismo pubblico, con conseguente inapplicabilità della disposizione sopra citata;
 in merito all’art. 37, paragrafo 1 lettere b) e c) che stabilisce che l’obbligo di nominare un RPD scatta qualora le attività principali del Titolare consistano in trattamento di dati inerenti al monitoraggio sistematico e regolare degli interessati o di dati particolari e giudiziari “su larga scala”, la struttura ritiene che i trattamenti di dati che effettua non abbiano tale caratteristica, con conseguente inapplicabilità delle disposizioni sopra citate.Tali valutazioni sono comprovabili tramite l’analisi dei processi aziendali, le finalità i fondamenti giuridici la tipologia di dati trattati ed ogni analisi inserita nelle parti del documento “Registro delle Attività di Trattamento e Modello Organizzativo Privacy” (di seguito “MOP”).
Il regolamento pone con forza l’accento sulla “responsabilizzazione” di titolari e responsabili, ossia sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento.
La nostra struttura ha preso in forte considerazione tale principio, ed in considerazione della logica di accountability, è stato deciso, comunque, di nominare un Data Protection Officer su base volontaria.

Pertanto si è provveduti alla nomina del Data Protection Officer – Responsabile Protezione Dati:

NOMINATIVO:

PROFILI AZIENDALI SRL

Via Ungaretti, 4
64013 CORROPOLI (TE)
Tel. (0861) 855809 – Fax (0861) 807035 P.IVA/C.FISC: 01019240678

DATI DI CONTATTO:

GAMBELLA RENATO

Tel. 0861/855809 email: dpo@gdpr.it

Modello Organizzativo Privacy e Registro delle Attività di Trattamento

Pagina 146

4. Trattamenti senza l’ausilio di strumenti elettronici 4.1. Nomina e istruzioni agli incaricati

In base a quanto stabilito dalla Normativa Applicabile, le operazioni di trattamento possono essere effettuate solo da Incaricati del trattamento che operano sotto la diretta autorità del Titolare o, se designato, del Designato per specifici compiti e funzioni (attività di trattamento), attenendosi alle istruzioni impartite.

Il Designato per specifici compiti e funzioni (attività di trattamento) deve predisporre per ogni archivio di cui è responsabile l’elenco degli Incaricati del trattamento autorizzati ad accedervi e impartire istruzioni tese a garantire un controllo costante per l’accesso agli archivi.

In base a quanto stabilito dalla Normativa Applicabile, i documenti che contengono dati particolari (sensibili) o giudiziari devono essere custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate.

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 147

4.2. Norme di sicurezza trattamento dati personali effettuato senza l’ausilio di strumenti elettronici

In base a quanto stabilito dalla Normativa Applicabile, per i trattamenti di dati personali effettuati senza l’ausilio di strumenti elettronici vengono stabilite le seguenti regole che gli Incaricati del trattamento devono osservare:

 i documenti contenenti dati personali trattati senza l’ausilio di strumenti elettronici non devono essere portati al di fuori dei locali individuati per la loro conservazione se non in casi del tutto eccezionali, e nel caso questo avvenga, l’asportazione deve essere ridotta al tempo minimo necessario per effettuare le operazioni di trattamento;
 per tutto il periodo in cui i documenti contenenti dati personali trattati senza l’ausilio di strumenti elettronici sono al di fuori dei locali individuati per la loro conservazione, l’incaricato del trattamento non dovrà lasciarli mai incustoditi;
 l’incaricato del trattamento deve inoltre controllare che i documenti contenenti dati personali trattati senza l’ausilio di strumenti elettronici, composti da numerose pagine o più raccoglitori, siano sempre completi e integri;
 al termine dell’orario di lavoro l’incaricato del trattamento deve riportare tutti i documenti contenenti dati personali trattati senza l’ausilio di strumenti elettronici, nei locali individuati per la loro conservazione;
 i documenti contenenti dati personali trattati senza l’ausilio di strumenti elettronici non devono essere mai lasciati incustoditi sul tavolo durante l’orario di lavoro;
 si deve adottare ogni cautela affinché ogni persona non autorizzata, possa venire a conoscenza del contenuto di documenti contenenti dati personali trattati senza l’ausilio di strumenti elettronici.
 per evitare il rischio di diffusione dei dati personali trattati senza l’ausilio di strumenti elettronici, si deve limitare l’utilizzo di copie fotostatiche;
 particolare cautela deve essere adottata quando i documenti sono consegnati in originale a un altro incaricato debitamente autorizzato;
 documenti contenenti dati personali sensibili o dati che, per una qualunque ragione siano stati indicati come meritevoli di particolare attenzione, devono essere custoditi con molta cura;
 è inoltre tassativamente proibito utilizzare copie fotostatiche di documenti (anche se non perfettamente riuscite) all’esterno del posto di lavoro, né tantomeno si possono utilizzare come carta per appunti;
 quando i documenti devono essere portati al di fuori dei locali individuati per la loro conservazione o addirittura all’esterno del luogo di lavoro, l’incaricato del trattamento deve tenere sempre con sé la cartella o la borsa, nella quale i documenti sono contenuti;
 l’incaricato del trattamento deve inoltre evitare che un soggetto terzo non autorizzato al trattamento possa esaminare, anche solo la copertina del documento in questione;
 è proibito discutere, comunicare o comunque trattare dati personali per telefono, se non si è certi che il destinatario sia un incaricato autorizzato a potere trattare i dati in questione;
 si raccomanda vivamente di non parlare mai ad alta voce, trattando dati personali per telefono, soprattutto utilizzando apparati cellulari, in presenza di terzi non autorizzati, per evitare che i dati personali possano essere conosciuti da terzi non autorizzati, anche accidentalmente;
 queste precauzioni diventano particolarmente importanti, quando il telefono è utilizzato in luogo pubblico od aperto al pubblico.

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 148

4.3. Copie degli atti e dei documenti

In base a quanto stabilito dalla Normativa Applicabile, è fatto divieto a chiunque di:

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 149

4.4. Controllo degli accessi

In base a quanto stabilito dalla Normativa Applicabile, l’accesso agli archivi contenenti dati particolari (sensibili) o giudiziari deve essere controllato dai soggetti Incaricati della custodia delle aree e dei locali ed è consentito, solo agli Incaricati del trattamento autorizzati dal Designato per specifici compiti e funzioni (attività di trattamento).

Le persone ammesse, a qualunque titolo, dopo l’orario di chiusura, devono essere identificate e registrate.

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 150

5. Diritti dell’interessato 5.1. Trasparenza e modalità

In ottemperanza all’Articolo 12 ed ai consideranda (C58-C60, C64) sono adottate misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 (informative) e le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro.

Le informazioni relative ai diritti degli interessati sono inserite in apposita sezione delle informative ai soggetti interessati stessi.

5.2. Informazione e accesso ai dati personali e diritti dei soggetti interessati

Al soggetto interessato sono fornite le informazioni relative al trattamento dati di cui all’Articolo 13 Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato (C60-C62) e all’Articolo 14 Informazioni da fornire qualora i dati personali non siano stati ottenuti presso l’interessato (C60-C62) Tali obblighi sono ottemperati tramite la predisposizione di informative specifiche per le finalità perseguite.

Si riporta elenco dei diritti previsti dalla vigente normative e breve descrizione sull’organizzazione ed i processi adottati per poter rendere i diritti medesimi effettivi

Ogni soggetto interessato può esercitare i propri diritti presentando una richiesta tramite molteplici canali, contattando la struttura, mezzo mail mezzo posta, raccomandata fax pec. Ogni richiesta è comunicata senza indugio dal personale ricevente alla direzione ed è da questa processata anche con la collaborazione dei consulenti privacy ed ove necessario dei fornitori tecnici. Si ricorda che i responsabili del trattamento devono, per preciso obbligo contrattuale, supportare la nostra struttura anche del permettere l’esercizio dei diritti dei soggetti interessati.

E’ stato prodotto uno specifico modulo per poter permettere all’interessato di esercitare i propri diritti e al Titolare di identificare adeguatamente il richiedente.

DIRITTO PROCESSI A GARANZIA DELL’ESERCIZIO DEL DIRITTO

Articolo 15 diritti Diritto di accesso dell’interessato (C63, C64)	La richiesta viene ricevuta tramite i canali di cui sopra e segue la procedura indicata. La richiesta viene vagliata dalla direzione anche con il supporto dei consulenti privacy ed è dato riscontro tramite E-mail, PEC o Posta cartacea nel tempo massimo di un mese.
Articolo 16 Diritto di rettifica (C65)	La richiesta viene ricevuta tramite i canali di cui sopra e segue la procedura indicata. La richiesta viene vagliata dalla direzione anche con il supporto dei consulenti privacy ed i dati dell’interessato oggetto di rettifica, vengono modificati sui sistemi aziendali. All’interessato è dato riscontro tramite E-mail, PEC o Posta cartacea nel tempo massimo di un mese.
Articolo 17 Diritto alla cancellazione («diritto all’oblio») (C65, C66)	La richiesta viene ricevuta tramite i canali di cui sopra e segue la procedura indicata. I dati dell’interessato, oggetto di richiesta di cancellazione, vengono eliminati dai database fisici e informatici tenendo conto degli interessi legittimi della Titolare e degli obblighi di legge. All’interessato è dato riscontro tramite E-mail, PEC o Posta cartacea nel tempo massimo di un mese. La nostra struttura non diffonde dati.
Articolo 18 Diritto di limitazione di trattamento (C67)	La richiesta viene ricevuta tramite i canali di cui sopra e segue la procedura indicata. In tutti i casi in, è possibile procedere alla limitazione del trattamento tenendo conto degli interessi legittimi della Titolare e degli obblighi di legge si provvederà anche con il supporto dei fornitori tecnici. All’interessato è dato riscontro tramite E-mail, PEC o Posta cartacea nel tempo massimo di un mese.

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 151

Articolo 19 Obbligo di notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento (C31)

Le nostre procedure prevedono il riscontro a tutte le richieste degli interessati e si procede tramite la notifica per le rettifiche le cancellazioni o le limitazioni che sono state effettuate.

Articolo 20 Diritto alla portabilità dei Viene valutata caso per caso, la fattibilità tecnica della portabilità dati (C68) dei dati. All’interessato è dato riscontro tramite E-mail, PEC o

Posta cartacea nel tempo massimo di un mese.

Articolo 21 Diritto di opposizione (C69, C70)

La richiesta viene ricevuta tramite i canali di cui sopra e segue la procedura indicata. La direzione valuta la richiesta anche con la collaborazione dei consulenti privacy, e qualora il diritto del soggetto sia esercitabile viene dato seguito alla sua opposizione tenendo conto degli interessi legittimi della Titolare e degli obblighi di legge. All’interessato è dato riscontro tramite E-mail, PEC o Posta cartacea nel tempo massimo di un mese.

Articolo 22 Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione (C71, C72)

Non è prevista alcun tipo di profilazione

5.3. Esercizio dei diritti
I predetti diritti potranno essere esercitati mediante richiesta scritta rivolta senza formalità al Titolare ai

contatti indicati.

Il Titolare dovrà procedere in tal senso senza ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta. Il termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste ricevute dal Titolare. In tali casi il Titolare entro un mese dal ricevimento della richiesta dell’interessato, lo informerà e lo metterà al corrente dei motivi della proroga.

Laddove il riscontro alle richieste dell’interessato non sia stato a suo avviso soddisfacente, lo stesso potrà rivolgersi e proporre reclamo all’Autorità Garante per la Protezione dei Dati Personali (http://www.garanteprivacy.it/) nei modi previsti dalla Normativa Applicabile.

5.4. Designato per specifici compiti e funzioni (riscontro agli interessati)

In base a quanto stabilito dalla Normativa Applicabile (ai sensi del Codice Privacy (D.Lgs.196/03 modificato dal D.Lgs. 10 agosto 2018, Art. 2-quaterdecies), il Titolare, ove necessario, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, può designare facoltativamente uno o più soggetti Designati per specifici compiti e funzioni (riscontro agli interessati), anche mediante suddivisione di compiti, i quali sono individuati tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.

5.5. Compiti del Designato per specifici compiti e funzioni (riscontro agli interessati)

Il Designato per specifici compiti e funzioni (data breach) avrà il compito di:

 adottare, rendere conoscibili a tutte le persone coinvolte e far rispettare le misure previste nel documento (LI_RIp) “Procedura per il Riscontro agli Interessati”, che viene allegato allanomina;
 documentare le attività di controllo e monitoraggio mediante periodici report/resoconti/referti dasottoporre al Titolare;
 effettuare ogni ulteriore attività, anche se non espressamente indicata in precedenza enecessaria per la integrale attuazione della Normativa Applicabile.
Qualora il Titolare ritenga di non nominare uno o più Designati per specifici compiti e funzioni

(riscontro agli interessati), ne conserverà tutte le responsabilità e funzioni.
Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 152

5.6. Nomina dei Designati per specifici compiti e funzioni (riscontro agli interessati)

La nomina di ciascun Designato per specifici compiti e funzioni (riscontro agli interessati) deve essere effettuata dal Titolare con una lettera di incarico in cui sono specificate le responsabilità che gli sono affidate e deve essere controfirmata dal designato per accettazione.

Copia della lettera di nomina (LI_RI) accettata deve essere conservata a cura del Titolare in luogo sicuro.

Il Titolare deve informare ciascun Designato per specifici compiti e funzioni (riscontro agli interessati) delle responsabilità che gli sono affidate in conformità a quanto disposto dalle normative in vigore, ed in particolare di quanto stabilito dalla Normativa Applicabile.
La nomina del Designato per specifici compiti e funzioni (riscontro agli interessati) è a tempo indeterminato, e decade per revoca o dimissioni dello stesso, o può essere revocata in qualsiasi momento dal Titolare senza preavviso, ed eventualmente affidata ad altro soggetto.

5.7. Flow chart della Procedura per il Riscontro agli Interessati

Di seguito schema grafico delle procedure adottate per il riscontro agli interessati.

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 153

6. Data Breach
6.1. Violazioni di dati personali (Artt. 33 e 34 del Regolamento UE 679/2016)

A partire dal 25 maggio 2018, tutti i Titolari del trattamento devono notificare all’autorità di controllo le violazioni di dati personali di cui vengono a conoscenza, entro 72 ore e comunque “senza ingiustificato ritardo”, ma soltanto se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati (considerando 85).

Pertanto, la notifica all’autorità dell’avvenuta violazione è subordinata alla valutazione del rischio per gli interessati che spetta al Titolare.

I contenuti della notifica all’autorità e della comunicazione agli interessati sono indicati, in via non esclusiva, agli artt. 33 e 34 del Regolamento UE 679/2016 che impongono che:

In caso di violazione dei dati personali, il Titolare notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.
Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo.
Il Responsabili del trattamento in Out-sourcing informa il Titolare senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione.
La notifica deve almeno:
1. descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e ilnumero approssimativo di interessati in questione nonché le categorie e il numero
  approssimativo di registrazioni dei dati personali in questione;
2. comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro puntodi contatto presso cui ottenere più informazioni;
3. descrivere le probabili conseguenze della violazione dei dati personali;
4. descrivere le misure adottate o di cui si propone l’adozione da parte del Titolare per porrerimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi (qualora e nella misura in cui non sia possibile fornire le informazioni contestualmente, le informazioni possono essere fornite in fasi successive senza ulteriore ingiustificato ritardo).
Il Titolare documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all’autorità di controllo di verificare il rispetto del presente articolo.
Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare comunica la violazione all’interessato senza ingiustificato ritardo.
La comunicazione all’interessato descrive con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contiene almeno le informazioni e le misure di cui all’articolo 33.
Non è richiesta la comunicazione se è soddisfatta una delle seguenti condizioni:
a. il Titolare ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi,quali la cifratura;
b. il Titolare ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio

elevato per i diritti e le libertà degli interessati;
c. detta comunicazione richiederebbe sforzi sproporzionati (in tal caso, si procede invece a una

comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero).
Nel caso in cui il Titolare non abbia ancora comunicato all’interessato la violazione dei dati personali, l’autorità di controllo può richiedere, dopo aver valutato la probabilità che la violazione dei dati personali presenti un rischio elevato, che vi provveda o può decidere che una delle condizioni che permettono di non effettuare la comunicazione è soddisfatta.

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 154

Le indicazioni sopra riportate sono adottate tramite le seguenti procedure:

Procedura adottata

Descrizione sintetica

Adozione di strumenti per prevenire ed È presente una policy di “Gestione incidenti” eventualmente identificare il “data breach”. firewall e contratto ed assistenza per

manutenzione informatica.

Procedura e politiche per prevenire ed eventualmente identificare il “data breach” non strettamente IT (furto strumenti, accessi abusivi a locali archivio, etc.).	Adottata procedura conosciuta da tutto il personale vedasi procedura per gestione “data breach”.
Procedura per analizzare eventuali “data breach” e valutare il rischio per la libertà e dignità dei soggetti interessati.	Attualmente è prevista una prima valutazione interna a carico della direzione aziendale ed il coinvolgimento dei consulenti Privacy in qualsiasi “data breach”, al fine di valutare l’eventuale necessità di comunicazione al Garante e interessati. È presente una policy “Gestione incidenti” come modulo di comunicazione del “data breach” o saranno utilizzate specifiche procedure introdotte dall’autorità.
Adozione di clausole contrattuali nei confronti dei responsabili del trattamento affinché valutino gli incidenti, comunichino il “data breach” e collaborino nella valutazione della gravità dello stesso oltre che nel porre immediato rimedio in caso di accadimento.	Sono state introdotte specifiche clausole nel contratto con i fornitori a cui sono demandati i trattamenti. Tali clausole prevedono la comunicazione di eventuali breach in tempi certi e con precise indicazioni sull’accaduto e gli effetti in modo da permetterci una valutazione rapida e puntuale dell’evento.
Procedura per definire ed effettuare la comunicazione all’autorità di controllo ed ai soggetti interessati.	Attualmente è prevista una prima valutazione interna a carico della direzione aziendale ed il coinvolgimento dei consulenti Privacy in qualsiasi “data breach”, al fine di valutare l’eventuale necessità di comunicazione al Garante e interessati.

6.2. Designato per specifici compiti e funzioni (data breach)

In base a quanto stabilito dalla Normativa Applicabile (ai sensi del Codice Privacy (D.Lgs.196/03 modificato dal D.Lgs. 10 agosto 2018, Art. 2-quaterdecies), il Titolare, ove necessario, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, può designare facoltativamente uno o più soggetti Designati per specifici compiti e funzioni (data breach), anche mediante suddivisione di compiti, i quali sono individuati tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.

6.3. Compiti del Designato per specifici compiti e funzioni (data breach)

Il Designato per specifici compiti e funzioni (data breach) avrà il compito di:

 adottare, rendere conoscibili a tutte le persone coinvolte e far rispettare le misure previste nel documento (LI_DBp) “Procedura di Notifica Violazione di Dati Personali (Data Breach)del Titolare del trattamento”, che viene allegato alla presente nomina;
 documentare le attività di controllo e monitoraggio mediante periodici report/resoconti/referti dasottoporre al Titolare;
 effettuare ogni ulteriore attività, anche se non espressamente indicata in precedenza enecessaria per la integrale attuazione della Normativa Applicabile.
Qualora il Titolare ritenga di non nominare uno o più Designati per specifici compiti e funzioni

(Data Breach), ne conserverà tutte le responsabilità e funzioni.

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 155

6.4. Nomina dei Designati per specifici compiti e funzioni (data breach)

La nomina di ciascun Designato per specifici compiti e funzioni (data breach) deve essere effettuata dal Titolare con una lettera di incarico in cui sono specificate le responsabilità che gli sono affidate e deve essere controfirmata dal designato per accettazione.

Copia della lettera di nomina (LI_DB) accettata deve essere conservata a cura del Titolare in luogo sicuro.

Il Titolare deve informare ciascun Designato per specifici compiti e funzioni (data breach) delle responsabilità che gli sono affidate in conformità a quanto disposto dalle normative in vigore, ed in particolare di quanto stabilito dalla Normativa Applicabile.
La nomina del Designato per specifici compiti e funzioni (data breach) è a tempo indeterminato, e decade per revoca o dimissioni dello stesso, o può essere revocata in qualsiasi momento dal Titolare senza preavviso, ed eventualmente affidata ad altro soggetto.

6.5. Flow chart della Procedura di Data Breach

Di seguito schema grafico delle procedure adottate per la gestione delle violazioni di dati personali (Data Breach).

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 156

7. Privacy by Design e Privacy by Default

7.1. Procedura per garantire i principi di Privacy by Design & Privacy by Default

Il Regolamento UE 2016/679 all’art. 25, rubricato “Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita” (cd. “Privacy by design e by default”) richiede che il Titolare del trattamento (di seguito “Titolare”) sia in grado di dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione dei principi e delle disposizioni del GDPR in materia di tutela del trattamento dei dati personali, in particolare la protezione dei dati “fin dalla progettazione”.

Tale principio impone al Titolare la necessità di configurare il trattamento prevedendo, fin dalla sua progettazione, l’implementazione delle garanzie atte a soddisfare i requisiti del GDPR a tutela dei diritti degli Interessati.

In conseguenza di ciò, si richiede che prima di procedere al trattamento stesso, sia svolta da parte del Titolare un’analisi preventiva e siano adottate le conseguenti necessarie misure.

Detta attività di verifica preventiva, inoltre, deve essere opportunamente documentata.

È stata pertanto predisposta una “Procedura per garantire i principi di Privacy by Design & Privacy by Default” che deve essere applicata a tutti i nuovi progetti e/o a modifiche ad attività già in corso del Titolare, che comportino il trattamento di dati personali.

7.2. Designato per specifici compiti e funzioni (privacy by design e privacy by default)

In base a quanto stabilito dalla Normativa Applicabile (ai sensi del Codice Privacy (D.Lgs.196/03 modificato dal D.Lgs. 10 agosto 2018, Art. 2-quaterdecies), il Titolare, ove necessario, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, può designare facoltativamente uno o più soggetti Designati per specifici compiti e funzioni (privacy by design e privacy by default), anche mediante suddivisione di compiti, i quali sono individuati tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.

7.3. Compiti del Designato per specifici compiti e funzioni (data breach)

Il Designato per specifici compiti e funzioni (privacy by design e privacy by default) avrà il compito di:

 adottare, rendere conoscibili a tutte le persone coinvolte e far rispettare le misure previste nel documento (LI_PbDp) “Procedura per garantire i principi di Privacy by Design & Privacy by Default”, che viene allegato alla presente nomina;
 documentare le attività di controllo e monitoraggio mediante periodici report/resoconti/referti da sottoporre al Titolare;
 effettuare ogni ulteriore attività, anche se non espressamente indicata in precedenza e necessaria per la integrale attuazione della Normativa Applicabile.Qualora il Titolare ritenga di non nominare uno o più Designati per specifici compiti e funzioni (privacy by design e privacy by default), ne conserverà tutte le responsabilità e funzioni.
7.4. Nomina dei Designati per specifici compiti e funzioni (privacy by design e privacy by default)

La nomina di ciascun Designato per specifici compiti e funzioni (privacy by design e privacy by default) deve essere effettuata dal Titolare con una lettera di incarico in cui sono specificate le responsabilità che gli sono affidate e deve essere controfirmata dal designato per accettazione.

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 157

Copia della lettera di nomina (LI_PbD) accettata deve essere conservata a cura del Titolare in luogo sicuro.

Il Titolare deve informare ciascun Designato per specifici compiti e funzioni (privacy by design e privacy by default) delle responsabilità che gli sono affidate in conformità a quanto disposto dalle normative in vigore, ed in particolare di quanto stabilito dalla Normativa Applicabile.
La nomina del Designato per specifici compiti e funzioni (privacy by design e privacy by default) è a tempo indeterminato, e decade per revoca o dimissioni dello stesso, o può essere revocata in qualsiasi momento dal Titolare senza preavviso, ed eventualmente affidata ad altro soggetto.

Modello Organizzativo Privacy e Registro delle Attività di Trattamento Pagina 158

SOLIDARIETÀ E VITA SOCIETÀ COOPERATIVA SOCIALE

Viale della Resistenza, 24 – B.go S. Maria 64025 PINETO (TE)
Tel. e fax: (085) 9495234 tristanc@libero.it – solidarietaevita@pec.it P.IVA/C.FISC: 01518590672

SEGNALAZIONE WHISTLEBLOWING