ATTO DI DESIGNAZIONE A RESPONSABILE DEL TRATTAMENTO
Tra
Professional Solutions S.r.l., con sede legale in Via Tolmezzo 15, 20132, Milano (MI), P.IVA 10539160969 in persona del proprio legale rappresentate, Davide Soffiantino (di seguito, la "Società"),
e
il medico competente (di seguito, il "Professionista") (di seguito, collettivamente, definite le "Parti")
PREMESSO CHE
a) La società gestisce una piattaforma web-based "APP&OPP", volta alla gestione di un apposito Programma di Supporto al Paziente (PSP);
b) Il "Professionista" è un soggetto che esercita la professione medico-sanitaria, il quale si occupa di pre-iscrivere all'interno della suddetta piattaforma, per conto della Società, i pazienti che hanno espresso la volontà di aderire al Servizio.
c) Di conseguenza, il "Professionista" può ricoprire, nei confronti della Società, tre differenti ruoli riconosciuti dalla normativa privacy e data protection vigente (Regolamento UE 2016/679 e D.Lgs. 196/2003, come novellato dal D.Lgs. 101/2018) e di seguito meglio rappresentati.
- Responsabile del trattamento dei dati personali:
è il ruolo al quale afferisce il presente atto di designazione e si configura limitatamente ai dati personali del paziente che il professionista dovrà inserire all'interno della piattaforma (l'elenco dei medesimi è riportato all'interno dell'Allegato 1).
- Soggetto interessato dal trattamento dei dati personali:
per poter utilizzare la piattaforma, il "Professionista" è tenuto a registrarsi come tale e, pertanto, la Società tratterà i dati di quest'ultimo in qualità di Titolare, fornendo al medesimo ogni informazione, ai sensi dell'art. 13 del Regolamento UE 2016/679 (GDPR);
- Titolare autonomo del trattamento dei dati personali dei pazienti:
stante la particolare posizione del "Professionista", il quale esercita la professione medico-sanitaria, lo stesso rimarrà, in ogni caso, Titolare autonomo del trattamento di ogni dato ulteriore dei propri pazienti (ossia quelli non richiesti per la pre-iscrizione alla piattaforma).
d) Il "Professionista" e la Società hanno stipulato, mediante l'iscrizione del Professionista alla piattaforma web-based "APP&OPP" un contratto (di seguito, "Contratto"), avente ad oggetto l'erogazione, da parte del "Professionista" stesso, del/dei servizio/i di inserimento dei dati dei pazienti all'interno della piattaforma web. (di seguito: "Servizi");
e) lo svolgimento dei suddetti Servizi da parte del "Professionista" comporta il trattamento, da parte di quest'ultimo, per conto della Società, dei dati personali di interessati di cui la Società stessa è Titolare (di seguito: "Dati Personali") indicati in Allegato 1, aventi gli impatti sui diritti e le libertà degli interessati riportati in Allegato 2;
f) il "Professionista" dichiara di possedere esperienza, competenze tecniche e risorse che gli consentono di mettere in atto misure tecniche e organizzative adeguate atte a garantire la conformità alla normativa in materia di tutela dei dati personali e la tutela degli interessati;
g) con il presente atto, le Parti intendono regolare i trattamenti dei Dati Personali da parte del Fornitore ai sensi dell'art. 28.3 del Regolamento UE 2016/679 del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali - Regolamento Generale sulla Protezione dei Dati Personali, entrato in vigore il 24 maggio 2016 e applicabile dal 25 maggio 2018 (di seguito, "GDPR" o "Regolamento");
h) la Società e il "Professionista" sono qualificati anche, nel prosieguo, rispettivamente, quali Titolare e Responsabile;
Tutto ciò premesso (e costituendo le premesse parte integrante e sostanziale del presente atto di designazione), fra le Parti si conviene e si stipula quanto segue
1. OGGETTO
1.1 Con il presente atto, il "Professionista" è nominato dalla Società, Responsabile del trattamento dei Dati Personali connesso all'erogazione dei Servizi.
2. OBBLIGHI DEL RESPONSABILE
Il "Professionista" è tenuto a trattare i Dati Personali solo ed esclusivamente ai fini dell'esecuzione dei Servizi, nel rispetto di quanto disposto dalla normativa applicabile in materia di protezione dei dati personali, nonché delle istruzioni del Titolare riportate nei successivi articoli e di ogni altra indicazione scritta che potrà essergli dallo stesso fornita.
3. MISURE DI SICUREZZA
3.1 Ai sensi dell'art. 32 del GDPR sia il titolare che il responsabile del trattamento devono mettere in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio.
3.2 Di conseguenza, le Parti concordano che:
i) Il Responsabile è tenuto a fornire alla Società una relazione annuale sulle attività di trattamento oggetto del presente Atto di Nomina nonché delle misure di sicurezza adottate, in particolare evidenziando gli aspetti problematici, le difficoltà attuative, gli incidenti e/o i reclami riscontrati e segnalando alla Società l'eventuale necessità di revisione delle misure di sicurezza necessarie per dare corretta esecuzione al Contratto ed al presente atto di nomina e non incorrere in violazioni di leggi e/o regolamenti.
ii) La Società, sulla base all'analisi fornita dal responsabile, potrà eventualmente rivedere il livello di rischio indicato in Allegato 2, comunicando al Responsabile la propria valutazione tramite e-mail, al fine di concordare le adeguate misure di sicurezza;
iii) Il Responsabile implementerà conseguentemente a proprie spese le misure di sicurezza, fra quelle riportate in Allegato 3 sezione 4, che siano adeguate in relazione al livello di rischio comunicato dal Titolare ai sensi della precedente lettera ii) entro 30 giorni dalla comunicazione.
3.3 Eventuali modifiche delle misure di sicurezza resesi necessarie a causa di modifiche e aggiornamenti della normativa in materia di protezione dei dati personali, nonché a causa di mutamenti delle tipologia, natura, contesto e finalità del trattamento, o variazioni del rischio o a seguito di evoluzioni tecnologiche delle applicazioni utilizzate dal Responsabile, saranno adottate ed implementate dal Responsabile e/o dei suoi eventuali sub-fornitori a onere e spese del Responsabile stesso, previa in ogni caso effettuazione della procedura di cui al precedente art. 3.2
3.4 A prescindere dal livello di rischio/impatto, il Responsabile si impegna in ogni caso ad implementare le misure di sicurezza indicate in Allegato 3, sezioni da 1 a 3.
3.5 Il Responsabile si impegna, altresì, ai sensi dell'art. 28.3, lett. f), ad assistere la Società in relazione all'obbligo del Titolare di mettere in atto proprie misure tecniche ed organizzative adeguate di cui all'art. 32 del GDPR, tenuto conto della natura del trattamento e delle informazioni a disposizione del Responsabile.
4. VIOLAZIONI DI DATI PERSONALI (D. "DATA BREACH")
Il Responsabile si impegna ad informare, senza ingiustificato ritardo e comunque entro 48 ore dal momento in cui ne è venuto a conoscenza, il Titolare (inviando una comunicazione a mezzo PEC all'indirizzo adeccoprofessionalsolutions@pec.it. di ogni violazione della sicurezza che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai Dati Personali trasmessi, conservati o comunque trattati, ed, ai sensi dell'art. 28.3, lett. f), tenuto conto della natura del trattamento e delle informazioni a disposizione del Responsabile, a prestare ogni necessaria collaborazione al Titolare in relazione all'adempimento degli obblighi sullo stesso gravanti di notifica delle suddette violazioni all'Autorità ai sensi dell'art. 33 del GDPR o di comunicazione della stessa agli interessati ai sensi dell'art. 34 del GDPR secondo i termini e le condizioni indicati in Allegato 3, paragrafo 3.
5. VALUTAZIONE D'IMPATTO (CD. "DATA PROTECTON IMPACT ASSESSMENT")
Il Responsabile, ai sensi dell'art. 28.3, lett. f), s'impegna fin da ora, tenuto conto della natura del trattamento e delle informazioni a disposizione del Responsabile, a fornire al Titolare ogni elemento utile all'effettuazione, da parte di quest'ultimo, della valutazione di impatto sulla protezione dei dati, qualora il Titolare sia tenuto ad effettuarla ai sensi dell'art. 35 del Regolamento, nonché ogni collaborazione nell'effettuazione della eventuale consultazione preventiva al Garante da parte di quest'ultimo ai sensi dell'art. 36 del Regolamento stesso.
6. SOGGETTI AUTORIZZATI AL TRATTAMENTO
6.1 Fatto salvo quanto previsto all'articolo 11 che segue, il Responsabile garantisce che l'accesso ai Dati Personali sarà limitato esclusivamente ai soli propri dipendenti o collaboratori il cui accesso ai Dati Personali sia necessario per l'esecuzione dei Servizi, previamente identificati per iscritto.
6.2 Il Responsabile si impegna a fornire ai propri dipendenti o collaboratori deputati a trattare i Dati Personali di cui è Titolare la Società le istruzioni necessarie per garantire un corretto, lecito e sicuro trattamento, curarne la formazione, vigilare sul loro operato, vincolarli alla riservatezza su tutte le informazioni acquisite nello svolgimento della loro attività, anche per il periodo successivo alla cessazione del rapporto di lavoro, e a comunicare al Titolare, su specifica richiesta, l'elenco aggiornato degli stessi.
7. AMMINISTRATORI DI SISTEMA
Il Responsabile si impegna a conformarsi al Provvedimento generale del Garante per la protezione dei dati personali del 27 novembre 2008 "Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema", così come modificato dal Provvedimento del Garante del 25 giugno 2009, e ad ogni altro pertinente provvedimento dell'Autorità.
In caso di ricorso a fornitori di servizi per le attività di amministrazione dei sistemi, trasferisce contrattualmente tale obbligo ai fornitori stessi.
8. RAPPORTI CON LE AUTORITÀ
Il Responsabile, su richiesta del Titolare, si impegna a coadiuvare quest'ultimo nella difesa in caso di procedimenti dinanzi all'autorità di controllo o all'autorità giudiziaria che riguardino il trattamento dei Dati Personali.
9. ISTANZE DEGLI INTERESSATI
Il Responsabile si obbliga ad assistere il Titolare con misure tecniche ed organizzative adeguate, nella misura in cui ciò sia possibile, nell'adempimento degli obblighi gravanti su quest'ultimo di dar seguito ad eventuali istanze degli interessati di cui al capo III del GDPR ed a fornirgli ogni informazione e/o documento utile.
10. ULTERIORI OBBLIGHI
Il Responsabile mette a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui alla normativa in materia di protezione dei dati personali e/o delle istruzioni del Titolare di cui al presente atto di designazione e consente al Titolare del trattamento l'esercizio del potere di controllo e ispezione, prestando ogni ragionevole collaborazione alle attività di audit effettuate dal Titolare stesso o da un altro soggetto da questi incaricato o autorizzato, con lo scopo di controllare l'adempimento degli obblighi e delle istruzioni di cui al presente atto. Resta inteso che qualsiasi verifica condotta ai sensi del presente comma dovrà essere eseguita in maniera tale da non interferire con il normale corso delle attività del Responsabile e fornendo a quest'ultimo un ragionevole preavviso.
Il Responsabile si impegna altresì a:
a) effettuare almeno annualmente un rendiconto in ordine all'esecuzione delle istruzioni ricevute dal Titolare (e agli adempimenti eseguiti) ed alle conseguenti risultanze;
b) collaborare, se richiesto dalla Società, con gli altri Responsabili del trattamento, al fine di armonizzare e coordinare l'intero processo di trattamento dei Dati Personali;
c) realizzare quant'altro sia ragionevolmente utile e/o necessario al fine di garantire l'adempimento degli obblighi previsti dalla normativa applicabile in materia di protezione dei dati, nei limiti dei compiti affidati con il presente atto di designazione;
d) informare prontamente il Titolare di ogni questione rilevante ai fini di legge, in particolar modo, a titolo esemplificativo e non esaustivo, nei casi in cui abbia notizia, in qualsiasi modo, che il trattamento dei Dati Personali violi la normativa in materia di protezione dei dati personali o presenti comunque rischi specifici per i diritti, le libertà fondamentali e/o la dignità dell'interessato o qualora, a suo parere, un'istruzione violi la normativa, nazionale o comunitaria, relativa alla protezione dei dati oppure qualora il Responsabile sia soggetto ad obblighi di legge che gli rendono illecito o impossibile agire secondo le istruzioni ricevute dalla Società e/o conformarsi alla normativa o a provvedimenti dell'Autorità di Controllo.
Fatto salvo quanto previsto nell'art. 12, resta inteso che qualora il Responsabile determini autonomamente le finalità e i mezzi di trattamento in violazione del GDPR, sarà considerato Titolare del trattamento, assumendo i conseguenti oneri, rischi e responsabilità.
11. ULTERIORI RESPONSABILI
11.1 Il Responsabile potrà ricorrere ad altri responsabili (di seguito, "Sub-responsabili") per l'esecuzione di specifiche attività di trattamento oggetto del presente atto, imponendo agli stessi i medesimi obblighi in materia di protezione dei dati cui è soggetto il Responsabile, in particolare in relazione alle misure di sicurezza.
11.2 Il Responsabile si impegna espressamente ad informare di eventuali modifiche riguardanti l'aggiunta o la sostituzione degli ulteriori Sub-responsabili il Titolare, che avrà il diritto di opporsi a tali modifiche, comunicando la sua opposizione per iscritto entro 30 giorni dalla notifica da parte del Responsabile. Il Responsabile non ricorrerà ai Sub-responsabile nei cui confronti il Titolare abbia manifestato la sua opposizione.
11.5 Resta espressamente inteso che il Responsabile rimarrà direttamente responsabile nei confronti della Società in ordine alle azioni e alle omissioni dei propri Sub-responsabili.
12. RESPONSABILITÀ
Il Responsabile si impegna a mantenere indenne la Società, da ogni danno, costo od onere di qualsiasi genere e natura, nonché da ogni contestazione, azione o pretesa avanzate nei confronti del Titolare da parte degli interessati e/o di qualsiasi altro soggetto e/o Autorità derivanti da eventuali inadempimenti del presente atto da parte del Responsabile stesso (o di eventuali suoi Sub-responsabili) o inosservanze delle istruzioni di cui al presente atto o di ulteriori istruzioni eventualmente trasmesse per iscritto dalla Società.
13. DURATA
La presente designazione decorre dalla data in cui viene sottoscritta dalle Parti ed è valida fino alla cessazione per qualunque motivo del Contratto e/o, comunque, dei Servizi ovvero fino alla revoca anticipata per qualsiasi motivo da parte del Titolare, fermo restando che, anche successivamente alla cessazione del Contratto o dei Servizi o alla revoca, il Responsabile dovrà mantenere la massima riservatezza sui dati e le informazioni relative al Titolare delle quali sia venuto a conoscenza nell'adempimento delle sue obbligazioni.
14. RESTITUZIONE E CANCELLAZIONE DEI DATI PERSONALI
14.1 Il Responsabile, all'atto della scadenza del Contratto e/o dei Servizi o, comunque, in caso di cessazione – per qualunque causa – dell'efficacia del presente atto di designazione, salvo la sussistenza di un obbligo di legge o di regolamento nazionale e/o comunitario che preveda la conservazione dei Dati Personali, dovrà interrompere ogni operazione di trattamento degli stessi e dovrà provvedere, a scelta del Titolare, all'immediata restituzione allo stesso dei Dati Personali oppure alla loro integrale cancellazione, in entrambi i casi rilasciando contestualmente un'attestazione scritta che presso lo stesso Responsabile non ne esiste alcuna copia.
14.2 In caso di richiesta scritta del Titolare, il Responsabile è tenuto a indicare le modalità tecniche e le procedure utilizzate per la cancellazione/distruzione.
15. DISPOSIZIONI FINALI
15.1 Resta inteso che la presente designazione non comporta alcun diritto per il Responsabile ad uno specifico compenso o indennità o rimborso per l'attività svolta, né ad un incremento del compenso spettante allo stesso in virtù del Contratto con la Società.
15.2 Gli allegati alla presente designazione fanno parte integrante della stessa. In caso di conflitto, prevale quanto indicato nelle premesse e negli articoli da 1 a 15 della presente designazione.
15.3 Per tutto quanto non previsto dal presente atto di designazione si rinvia alle disposizioni generali vigenti ed applicabili in materia protezione dei dati personali.
ALLEGATO 1
AMBITO del TRATTAMENTO
Categorie di interessati
- Pazienti
Tipo di Dati Personali oggetto di trattamento (indicare se dati comuni, categorie particolari, dati relativi a condanne penali e reati)
- Dati comuni: nome, cognome, contatti telefonici, indirizzo e-mail, data di nascita, regione, provincia;
- Categorie particolari di dati: dati relativi alla salute (peso, altezza, circonferenza addominale, indice di massa corporea).
Natura e finalità del trattamento
- Inserimento delle anagrafiche dei pazienti all’interno della piattaforma web-based “APP&OPP”.
Durata del trattamento
- Per tutta la durata del contratto/registrazione del Professionista alla piattaforma web-based “APP&OPP”.
ALLEGATO 2
IMPATTI e RISCHI del TRATTAMENTO
In linea con il risk-based approach di cui al GDPR, il Titolare ha individuato per le seguenti operazioni di trattamento il livello di impatto (e ove misurabile di rischio) sui diritti e le libertà degli interessati di seguito indicato:
| Trattamento |
Impatto |
Rischio |
| Inserimento delle anagrafiche dei pazienti all’interno della piattaforma web-based “APP&OPP” |
basso |
basso |
I livelli di impatto sono definiti come segue:
- Impatto basso: gli interessati dei dati personali coinvolti dal nuovo trattamento non saranno affetti da inconvenienti oppure possono incontrare alcuni inconvenienti che possono superare senza alcun problema (es. ricezione di spam, perdita di tempo per ripetere formalità, etc.);
- Impatto medio: gli interessati dei dati personali coinvolti dal nuovo trattamento possono incontrare disagi significativi che però possono superare nonostante alcune difficoltà (es. multe imposte erroneamente, account servizi online bloccati, dati non aggiornati, etc.);
- Impatto alto: gli interessati dei dati personali coinvolti dal nuovo trattamento possono avere conseguenze significative che dovrebbero essere in grado di superare seppure con gravi difficoltà (es. perdita di lavoro, separazione o divorzio, perdita finanziaria a seguito di frode, etc.);
- Impatto molto alto: gli interessati dei dati personali coinvolti dal nuovo trattamento possono incontrare conseguenze significative, o addirittura irreversibili, che non possono superare (es. Perdita di prova nel contesto di contenzioso; Perdita di accesso a infrastrutture vitali, etc. ).
ALLEGATO 3
MISURE DI SICUREZZA
1. Premessa
A prescindere dal livello di rischio individuato, il responsabile si impegna, per i trattamenti dallo stesso effettuati, a:
- provvedere alla rimozione dei dati entro i termini definiti nell’art. 14 dell’atto di designazione fornendo opportuna evidenza dell’avvenuta rimozione. La rimozione dei dati dovrà essere tale da impedire il recupero degli stessi anche tramite attività di computer forensic;
- di attenersi alle indicazioni fornite dalla Società.
- In caso di ricorso a fornitori di servizi (Sub-responsabili), a trasferire contrattualmente gli obblighi di cui al presente allegato ai fornitori stessi.
2. Ruoli e responsabilità
È responsabilità del Responsabile, eventualmente delegata ai suoi sub-fornitori:
- verificare con continuità la correttezza, la completezza e la pertinenza dei dati personali e garantirne l’aggiornamento e la modifica.
- garantire la riservatezza dei dati personali dei clienti che tratta.
- garantire la sicurezza delle postazioni di lavoro e delle credenziali di accesso utilizzate per l’accesso ai sistemi informativi, nonché l’adeguatezza dei profili di accesso assegnati ad eventuali collaboratori.
È responsabilità della Società:
- garantire la sicurezza dei propri sistemi eventualmente utilizzati dal responsabile nonché dei dati trattati in particolare in termini di riservatezza, integrità, disponibilità.
3. Gestione delle violazioni di dati personali (Personal Data Breach)
Il Responsabile dovrà tempestivamente comunicare alla Società qualunque violazione dei dati relativa a riservatezza, integrità, disponibilità e qualità dei dati in conformità con termini e condizioni indicati nell’art. 4 dell’atto di designazione, garantendo il supporto al Titolare nelle attività di indagine e remediation.
Il Responsabile è tenuto a concordare con il titolare le modalità più appropriate per la comunicazione, la gestione e le attività di escalation relative alle violazioni dei dati personali.
Inoltre, il Responsabile deve garantire il presidio dei canali di comunicazione attivati, al fine di garantire una tempestiva presa in carico in caso di necessità.
3.1 Incident Report
Il Responsabile è tenuto a registrare i data breach insieme ai dettagli relativi all'evento e alle successive azioni correttive di contenimento eseguite, in particolare:
- le modalità di gestione e registrazione degli eventi di sicurezza che interessano l'infrastruttura e le successive azioni di attenuazione
- le modalità di comunicazione di tutte le informazioni ed evidenze nel caso l'incidente interessi anche solo parzialmente le infrastrutture assegnate al Titolare
- le modalità di comunicazioni di eventuali remediation plan che possano interessare anche parzialmente le infrastrutture assegnate al Titolare
- la comunicazione degli esiti delle revisioni delle analisi dei rischi che incombono sulle infrastrutture di interesse del Titolare a seguito del verificarsi di un incidente
3.2 Incident Notification
Il Responsabile si impegna:
a) ad effettuare una classificazione degli incidenti in termini di gravità
b) a rispettare le procedure di escalation previste per le varie tipologie di incidenti, come di seguito riportato:
- Una prima sommaria comunicazione dell’evento di sicurezza deve essere inviata appena l’evento si verifica e/o il Responsabile ne viene a conoscenza, in particolare se questo coinvolge dati personali e/o sistemi critici per il Titolare.
Si riportano di seguito le modalità in cui il Responsabile può comunicare al Titolare un'eventuale anomalia rilevata sui servizi erogati:
• via pec all’indirizzo adeccoprofessionalsolutions@pec.it
- Una comunicazione dettagliata entro 48 ore dal verificarsi dell'evento in particolare se questo insiste su sistemi che trattano dati personali
c) a fornire supporto al Titolare in caso di notifica alle autorità competenti
d) in caso di ricorso a fornitori (sub-responsabili) per la gestione dei servizi informatici e di comunicazione, le attività connesse alla rilevazione e gestione degli incidenti, incluso il supporto al titolare per l’analisi degli stessi, dovranno essere traferite contrattualmente al fornitore stesso.
3.3 Accesso ai locali ed ai sistemi
Fermo restando quanto indicato nell’art. 10 dell’atto di designazione, nel caso di data breach, il Responsabile deve garantire al Titolare o alle figure da esso ingaggiate, per la verifica e/o l’accertamento di eventuali data breach, l'accesso ai locali e ai sistemi, nonché l'adeguato supporto durante tutta la fase di analisi dell’incidente.
4 Misure di sicurezza in funzione del rischio
Nella tabella di seguito riportata vengono descritti gli obiettivi di controllo suddivisi per livello di rischio/impatto secondo lo schema seguente:
| Livello di Rischio |
Livello di Impatto |
Colore |
| Basso |
Basso |
Verde |
| Medio |
Medio |
Verde + Giallo |
| Alto / Critico |
Alto / Molto Alto |
Verde + Giallo + Rosso |
Al responsabile è richiesto l’adempimento degli obiettivi di controllo relativi al livello di rischio/impatto più alto tra quelli associati ai trattamenti indicati nell’Allegato 2, articolando il livello di sicurezza sui singoli trattamenti, ove opportuno o conveniente.
Il responsabile deve essere in grado di fornire evidenza della conformità ai controlli indicati.
Nel caso in cui il responsabile non sia in grado di soddisfare in tutto o in parte un obiettivo di controllo è tenuto a comunicarlo al titolare fornendo i necessari razionali e informazioni ed evidenza degli eventuali controlli compensativi rilevanti.
In caso di ricorso a fornitori (sub-responsabili) per la gestione dei servizi informatici e di sicurezza, l’applicazione delle misure sotto descritte dovrà essere traferita contrattualmente al fornitore stesso.
Misure per livelli di rischio/impatto ALTO/MOLTO ALTO, MEDIO E BASSO
| CATEGORIA DELLA MISURA ID LIVELLO DESCRIZIONE |
ID |
LIVELLO |
DESCRIZIONE |
| Politica di sicurezza e procedure per la protezione dei dati personali |
A.1 |
|
Le modalità di gestione dei dati personali tramite strumenti informatici e le misure di sicurezza adottate sono descritte in un documento di sicurezza che è riesaminato e riveduto periodicamente e a fronte di eventi significativi (es: incidenti informatici, cambiamenti organizzativi, etc..). |
| Ruoli e responsabilità |
B.1 |
|
I ruoli e le responsabilità relative al trattamento dei dati personali devono essere chiaramente definiti e assegnati in conformità con la politica di sicurezza.
A fronte di riorganizzazione interna, cessazione del rapporto di lavoro, modifica di mansione, devono essere definite chiaramente le modalità di revoca dei diritti, delle responsabilità e delle rispettive autorizzazioni al trattamento dei dati personali.
|
| Politica di controllo dell'accesso |
C.1 |
|
Devono essere individuate le persone con accesso privilegiato / amministrativo ai sistemi che trattano dati personali, in modo conforme al conforme al c.d. "Provvedimento Amministratori di Sistema" (Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema - 27 novembre 2008) del Garante per la Protezione dei Dati Personali
|
| Sub-Responsabili del trattamento |
F.1 |
|
Nel caso di trattamento dei dati personali da parte di fornitori (appaltatori/outsourcing), il Responsabile del trattamento deve concordare formalmente con il Sub-Responsabile del trattamento, prima dell'inizio del trattamento stesso, le procedure di trattamento dei dati da parte del Responsabile.
Queste procedure devono obbligatoriamente stabilire lo stesso livello di sicurezza dei dati personali come richiesto nella politica di sicurezza del Responsabile. In particolare, al momento della scoperta di una violazione dei dati personali, il Sub-Responsabile del trattamento deve informare il Responsabile del trattamento senza indebiti ritardi.
|
| Gestione di incidenti/violazioni dei dati personali |
G.1 |
|
Sono definite le modalità per la gestione degli incidenti relativi ai dati personali. Le violazioni devono essere segnalate immediatamente al Titolare. Nel caso di violazioni gravi, il Titolare segnala le violazioni alle autorità competenti e agli interessati coerentemente con gli art. 33 e 34 GDPR. |
| Confidenzialità del personale |
I.1 |
|
I ruoli e le responsabilità relativi al trattamento dei dati personali devono essere comunicati chiaramente durante il processo di selezione o di incarico dei dipendenti e collaboratori. |
| Formazione |
J.1 |
|
Il Responsabile deve garantire che tutti i dipendenti siano adeguatamente informati (anche attraverso campagne di sensibilizzazione periodiche):
- sulle misure di sicurezza previste sui sistemi su cui operano;
- sui requisiti di protezione dei dati e sugli obblighi legali.
|
| Controllo di accesso e autenticazione |
K.1 |
|
Per l'accesso ai dati personali deve essere utilizzato un account individuale non utilizzato da altre persone o per attività a rischio (giochi ecc.). Qualora il pc o smartphone sia utilizzato da altre persone, il Responsabile si deve assicurare che queste persone non abbiano accesso ai dati personali e non possano installare software. |
| Sicurezza workstation |
N.1 |
|
Gli utenti non-privilegiati/amministratori non devono essere in grado di disattivare o aggirare le impostazioni di sicurezza, né di installare o rimuovere applicazioni (ad esempio, prevedendo che i sistemi siano inclusi in un dominio e gli utenti non abbiano account amministrativi locali). Le applicazioni antivirus devono essere attive e aggiornate. Il sistema deve avere un time-out di sessione quando l'utente non è attivo per un determinato periodo di tempo (al più 30 minuti). Gli aggiornamenti di sicurezza critici rilasciati dal fornitore devono essere installati regolarmente (al più entro 1 mese). |
| Sicurezza della rete/comunicazione |
O.1 |
|
L'accesso a dati personali tramite Internet deve avvenire solo con connessioni cifrate (es. SSL/TLS) |
| Cancellazione/eliminazione dei dati |
S.1 |
|
I supporti contenenti dati personali devono essere cancellati, ad esempio mediante sovrascrittura, prima della loro eliminazione. Nei casi in cui questo non sia possibile (CD, DVD, ecc.) si deve eseguire la distruzione fisica. Devono essere distrutte le chiavi di cifratura dei supporti cifrati. Per dati personali su carta e su dispositivi di memorizzazione rimovibili, è necessario provvedere alla distruzione fisica prima dello smaltimento. |
| Sicurezza fisica |
T.1 |
|
I sistemi server non devono essere fisicamente collocati in aree accessibili al pubblico |
Misure per livelli di rischio/impatto ALTO/MOLTO ALTO E MEDIO
| CATEGORIA DELLA MISURA ID LIVELLO DESCRIZIONE |
ID |
LIVELLO |
DESCRIZIONE |
| Politica di sicurezza e procedure per la protezione dei dati personali |
A.3 |
|
Il documento di sicurezza per l'elaborazione dei dati personali è comunicato a tutti i dipendenti, collaboratori e alle parti esterne pertinenti, e come minimo riporta: i ruoli e le responsabilità, le misure tecniche e organizzative di base adottate per la sicurezza dei dati personali, i responsabili dei dati e altre terze parti coinvolte nel trattamento di dati personali.
|
| Ruoli e responsabilità |
B.3 |
|
Deve essere identificato un responsabile per la sicurezza delle informazioni, a cui devono essere comunicati i relativi compiti e responsabilità |
| Politica di controllo dell'accesso |
C.2 |
|
Il documento di sicurezza deve descrivere e documentate le regole di controllo accesso ai sistemi informatici che trattano dati personali. |
| Gestione di incidenti/violazioni dei dati personali |
G.3 |
|
La procedura di gestione degli incidenti è documentata. |
| Confidenzialità del personale |
I.2 |
|
Prima iniziare il rapporto di lavoro ai dipendenti e collaboratori deve essere chiesto di prendere visione del documento di sicurezza dell'organizzazione e di firmare i necessari accordi di riservatezza e non divulgazione (nel loro contratto di lavoro o altro atto legale). |
| Sicurezza workstation |
N.6 |
|
Le applicazioni anti-virus e le relative definizioni dei virus devono essere aggiornate giornalmente. |
| Sicurezza della rete/comunicazione |
O.2 |
|
Gli accessi wireless sono consentiti solo con protocollo WPA2 o superiore. Gli accessi da remoto ai sistemi informativi sono consentiti solo tramite VPN cifrata (es. IPSEC o VPN SSL/TLS). |
| Cancellazione/eliminazione dei dati |
S.3 |
|
Se sono utilizzati servizi di terze parti per eliminare in modo sicuro i dati su supporti multimediali o cartacei, deve essere in vigore un contratto di servizio e deve essere prodotto un log di distruzione dei supporti. |
| Sicurezza fisica |
T.2 |
|
I sistemi informatici e gli archivi cartacei che trattano dati personali devono essere protetti da opportune misure di sicurezza fisica (es. locali ed armadi chiusi, allarmi antintrusione, videosorveglianza ecc.) che permettano l'accesso solo al personale autorizzato. Devono essere previste dotazioni anti-incendio, di controllo della temperatura e di continuità del servizio elettrico (es. UPS). |
Misure per livelli di rischio/impatto ALTO/MOLTO ALTO
| CATEGORIA DELLA MISURA ID LIVELLO DESCRIZIONE |
ID |
LIVELLO |
DESCRIZIONE |
| Politica di sicurezza e procedure per la protezione dei dati personali |
A.6 |
|
Il documento di sicurezza deve essere riesaminato e, se necessario, riveduto annualmente. |
| Sub-Responsabili del trattamento |
F.5 |
|
Tra il Responsabile ed il Sub-Responsabile del trattamento di dati personali devono essere stabiliti specifici accordi di confidenzialità/non divulgazione. |
| Gestione di incidenti/violazioni dei dati personali |
G.4 |
|
Incidenti e violazioni dei dati personali devono essere registrate insieme ai dettagli relativi all'evento ed alle successive azioni di mitigazione e ripristino eseguite. |
| Sicurezza workstation |
N.7 |
|
Non deve essere permesso trasferire i dati personali dalle postazioni di lavoro ai dispositivi di memorizzazione esterni (ad esempio USB, DVD, dischi rigidi esterni). Deve essere attivata la cifratura completa del disco rigido. |
| Cancellazione/eliminazione dei dati |
S.5 |
|
La cancellazione dei supporti di memorizzazione magnetici deve prevedere anche misure basate su strumenti hardware specifici, come la smagnetizzazione, o la distruzione fisica. Se sono utilizzati servizi di terze parti per la distruzione di supporti multimediali o cartacei, occorre prevedere che il processo venga eseguito presso la sede del Responsabile del trattamento (ed evitare il trasferimento di dati personali). |
