Privacy

D.Lgs. n. 196 del 30/06/2003 – CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI

Ai sensi e per gli effetti dell’art. 34, comma 1, lettera g) del D.Lgs. n. 196 del 30/06/2003, e del disciplinare tecnico allegato al medesimo decreto, all.B, si redige il seguente documento programmatico sulla sicurezza dei dati, in modo da approntare misure minime di sicurezza.

1-TITOLARE DEL TRATTAMENTO

Associazione Pubblica Assistenza Litorale Pisano (Presidente Dr. Aldo Vittorio Cavalli)

Sede del trattamento: Marina di Pisa . Comune di Pisa

Via R. Pisana _nc.68 _56128

Codice Fiscale 00403570500

Attività esercitata: soccorso sanitario, attività sociali, tutela ambientale

**

2-NOMINA DEL RESPONSABILE AL TRATTAMENTO

Il titolare del trattamento, individua nella persona del dr. Aldo Vittorio Cavalli, il responsabile del trattamento, il quale avrà il compito di controllare sul corretto comportamento degli associati, volontari e personale dell’Associazione e di affiancare il titolare del trattamento o sostituirlo in caso di temporanea assenza.

**

3-ELENCO DEI TRATTAMENTI DI DATI PERSONALI. (regola 19.1. all.B “Codice”)

3.1 trattamenti effettuati e tipi di dati

Il titolare tratta i dati personali per le finalità statutarie e più in generale per tutte le fasi necessarie per la gestione organizzativa dell’ associazione .

Esso detiene i seguenti dati:

• nominativi dei soci , dei volontari, del personale dipendente,dei fornitori abituali e occasionali, dei destinatari dei servizi offerti dall’associazione.
• Dati inerenti convenzioni con enti locali e ASL,dati fiscali amministrativi e contabili

3.2.struttura

– il trattamento viene svolto da personale interno / esterno all’associazione da soggetti allo scopo designati

3.3 strumenti elettronici impiegati

– personal computer n. 5 di cui server : 1

• collegati in rete locale
• collegamento a internet

________________________________

3.4.natura dei dati trattati :

presenza di dati sensibili nei dati personali trattati

3.5 struttura di riferimento:

sede associazione – uffici amministrativi

3.6 altre strutture che concorrono al trattamento:Studio Associato Fiorenzani & Bini

3.7 identificativo del trattamento P1

3.8 luogo di custodia dei supporti di memorizzazione :

La documentazione descritta viene conservata presso l’associazione con modalità cartacea e mediante archiviazione in cartelle contenute in armadi e classificatori dotati di chiusura a chiave.

I dati sono anche contenuti in supporti informatici e magnetici e sono conservati in contenitori dotati di chiave

4-DISTRIBUZIONE DEI COMPITI (regola 19.2. del “codice” )

4.1. contenuti :

Ai soci, volontari e personale dell’Associazione ed eventuali collaboratori, vengono assegnati compiti specifici attinenti il trattamento dei dati e della documentazione. Agli stessi sono impartite le disposizioni riguardanti:

• le modalità di raccolta e di conservazione della documentazione;
• la riservatezza dei dati e delle notizie di cui vengono a conoscenza;
• i metodi di archiviazione della documentazione in maniera da tutelare e preservare la privacy dei soggetti sopramenzionati;
• le modalità d’intervento telefonico verso i terzi, volta alla riservatezza;
• la metodologia di consegna dei documenti al fine di preservarli dalla diffusione a terzi di notizie riservate.

I nuovi soci, volontari e personale assunto viene istruito dal titolare del trattamento o dal responsabile del trattamento sui comportamenti da adottare all’interno dell’Associazione secondo quanto sopra esposto.

4.2.struttura. è la sede dell’associazione

4.3.trattamenti effettuati dalla struttura: i trattamenti vengono effettuati :

a- da una struttura unica preso la sede associativa

b- dallo Studio Rag. Fiorenzani

4.4.compiti e responsabilità della struttura :

Il trattamento dei dati avviene in tutti i suoi aspetti presso la sede associativa, negli uffici dell’amministrazione ad eccezione della raccolta dei dati in sede di servizio di trasporto sanitario che avviene a cura del responsabile della squadra che cura il trasporto .

5.ANALISI DEI RISCHI CHE INCOMBONO SUI DATI (regola 19.3.”Codice”)

 

	RISCHI	SI/NO	Descrizione dell’impatto sulla Sicurezza(gravità: alta/media/bassa)
Comportamenti degli operatori	Sottrazioni di credenziali di autenticazione	No
	Carenza di consapevolezza, disattenzione o incuria	No
	Comportamenti sleali o fraudolenti	No
	Errore materiale	Si	Media
	Altro evento	–
Eventi relativi agli strumenti	Azione di virus informatici o di programmi suscettibili di recare danno	Si
	Spamming o tecniche di sabotaggio	No
	Malfunzionamento, indisponibilità o degrado degli strumenti	Si	Media
	Accessi esterni non autorizzati	No
	Intercettazione di informazioni in rete	No
	Altro evento	–
Eventi relativi al contesto	Accessi non autorizzati a locali/reparti ad accesso ristretto	No
	Sottrazione di strumenti contenenti dati	No
	Eventi distruttivi, naturali o artificiali (movimenti tellurici, scariche atmosferiche, incendi, allagamenti, condizioni ambientali, ecc.), nonché dolosi, accidentali o dovuti ad incuria	Si	Bassa
	Guasto ai sistemi complementari (impianto elettrico, climatizzazione, ecc.)	Si	Media
	Errori umani nella gestione della sicurezza fisica	Si	Bassa
	Altro evento	–

 

6-MISURE DA ADOTTARE PER GARANTIRE L’INTEGRITÀ E LA DISPONIBILITÀ DEI DATI, LA PROTEZIONE DELLE AREE E DEI LOCALI RILEVANTI AI FINI DELLA LORO CUSTODIA ED ACCESSIBILITÀ (REGOLA 19.4 DEL CODICE)

6.1.misure

6.1.1.sistema di autenticazione informatica

1. trattamento di dati personali ad incaricati dotati di credenziale di autenticazione per specifici trattamenti o insieme di trattamenti ( codice di identificazione e parola chiave riservata);
2. misure di disattivazione delle credenziali in caso di non uso semestrale, o di perdita della qualità di incaricato del trattamento
3. misure che assicurino al titolare la disponibilità dei dati in caso di prolungata assenza o impedimento dell’incaricato

6.1.2.sistema di autorizzazione

– per l’ipotesi in cui gli incaricati debbano operare in ambito diverso si adotta un sistema di autorizzazione per singoli profili di trattamento individuati preventivamente, in modo da consentire l’ accesso solo ai dati autorizzati.

– Controllo annuale per la verifica della sussistenza delle condizioni per il mantenimento dell’autorizzazione.

6.1.3.altre misure di sicurezza

– nell’ambito delle revisioni periodiche dove si verificano degli ambiti consentiti di trattamento dei dati da parte dei singoli incaricati , eventuale redazione della lista di incaricati per classi omogenee di incarico e dei profili di autorizzazione.

– protezione dei dati personali contro il rischio di intrusione e dell’azione di programmi contraffatti mediante idonei strumenti elettronici da aggiornare ogni sei mesi

– aggiornamento annuale dei programmi volti a prevenire la vulnerabilità e correggere i difetti degli strumenti elettronici. Aggiornamento semestrale se si trattano dati sensibili

– istruzioni organizzative per il salvataggio giornaliero dei dati

6.1.4.Ulteriori misure in caso di trattamento di dati sensibili

– protezione dei dati sensibili da accessi abusivi con idonei strumenti elettronici

istruzioni organizzative per custodia ed uso di supporti rimovibili su cui sono memorizzati i dati per evitare accessi e trattamenti non autorizzati

– distruzione di supporto contenenti dati sensibili quando non più utilizzabili.

– misure per il ripristino di accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici in tempi non superiori a sette giorni

– attestazione scritta della conformità a legge dell’ intervento per le misure minime di sicurezza se effettuati da soggetto esterno

– menzione nella relazione di accompagnamento al bilancio dell’aggiornamento del documento programmatico sulla sicurezza.

6.1.5.Trattamento senza ausilio di strumenti elettronici

• istruzioni scritti agli incaricati per l’intero ciclo del trattamento per il controllo e custodia degli atti e documenti contenenti dati personali
• aggiornamento annuale della individuazione dell’ambito di trattamento consentito ai singoli incaricati, e redazione della lista degli incaricati anche per classi omogenee di incarico e di autorizzazione
• istruzioni agli incaricati che vengano in possesso di dati sensibili del loro controllo e custodia esclusiva fino al termine delle operazione affidate.
• Accesso controllato agli archivi contenenti dati sensibili. Identificazione e registrazione delle persone ivi ammesse dopo l’orario di lavoro.
• Previa autorizzazione all’accesso in caso di archivi con strumenti elettronici per l’accesso.

6.2. descrizione dei rischi

I rischi che si intendono contrastare sono quelli correlati alle misure che si adottano e a quelli evidenziati nel paragrafo relativo alla analisi del rischio.

6.3.Struttura o persone addette alla adozione.

Sono preposte alla adozione delle misure indicate

Signora Bani Stefania

Dr. Aldo Vittorio Cavalli

Dr. Carlo sorrente

**

7.CRITERI E MODALITÀ DI RIPRISTINO DEI DATI IN CASO DI DISTRUZIONE O DANNEGGIAMENTO (REGOLA 19.5 CODICE )

Per garantire la conservazione dei dati inseriti su supporti informatici, i personal computers / il server è dotato di sistema di salvataggio degli archivi tramite sistema di backup effettuato con “external disk drive iomegazip”. Detto salvataggio viene effettuato giornalmente.

I supporti informatici di salvataggio vengono conservati in luoghi diversi:

• uno nella cassaforte dell’Associazione;
• un’altra copia in luogo esterno conosciuto dal titolare del trattamento.

Per il ripristino dei dati saranno al massimo necessari sette giorni per renderli disponibili sull’unità centrale.

**

8-PIANIFICAZIONE DEGLI INTERVENTI FORMATIVI PREVISTI (REGOLA 19.6 CODICE)

– Vengono previsti interventi formativi degli incaricati del trattamento per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, della disciplina sui dati personali rilevante per l’attività svolta dagli incaricati, delle responsabilità che ne derivano e sulle modalità di aggiornamento delle misure minime di sicurezza.

La formazione si programma al momento dell’ingresso in servizio e in caso di cambio di mansioni o di introduzione di nuovi metodi o strumenti di trattamento.

-Non si prevedono tipologie differenziate di incarico in relazione ai trattamenti

 9- TRATTAMENTI AFFIDATI ALL’ ESTERNO (PER LE ASSOCIAZIONI CHE ABBIANO SOGGETTI ESTERNI CHE TRATTANO IN TUTTO O IN PARTE I DATI )

– tipo di attività affidata a terzi che comporta il trattamento di dati :

– attività_Contabilità Libri paga

-tipo di trattamento___ Dati sensibili

-soggetto esterno: Studio Rag. Fiorenzani ( Incaricato )

tenuto al:

trattamento dati ai soli fini dell’incarico

rispetto istruzioni specifiche

impegno a relazionare periodicamente sulle misure di sicurezza adottate

Il presente documento di rilevazione del rischio, redatto ai sensi del D.Lgs. 196 del 30/06/2003 e del relativo disciplinare tecnico, è aggiornato al 9 maggio 2005

Gli incaricati del trattamento sono stati debitamente informati circa il contenuto del presente documento e sono obbligati ad uniformarsi allo stesso mentre il responsabile del trattamento è obbligato a vigilare sull’osservanza delle disposizioni stesse da parte degli incaricati.

Il presente documento rappresenta alla data odierna, lo stato dell’arte delle politiche di sicurezza adottate ed in via di adozione dalla Pubblica Assistenza del Litorale Pisano in considerazione delle specificità operative e di particolari trattamenti di dati attivati.

Il presente documento, alla luce della doverosa e continua e sempre maggiore attenzione alla migliore cura del patrimonio informativo affidato all’Associazione dagli interessati, sarà oggetto di ulteriore aggiornamento entro il 31 marzo dell’anno 2009.

Il presente documento, composto di n. 9 pagine è conservato dal Titolare del trattamento presso la sede del proprio studio professionale.

Il Titolare del trattamento
Il Presidente
Signor Aldo Vittorio Cavalli