Documento Programmatico per la Sicurezza – DPS
Avviso per i professionisti.
Oggi è l’ultimo giorno per presentare il Documento Programmatico per la Sicurezza, per la tutela della privacy e del trattamento dei dati sensibili.
Se non lo avete ancora fatto, compilatelo, secondo lo schema che riportiamo sotto, e fatelo timbrare presso un ufficio postale, che lo affrancherà.
Ricordate di riportare le diciture sulla prima pagina
- ” SI RICHIEDE L’APPOSIZIONE DEL TIMBRO POSTALE PER DATA CERTA”
- DOCUMENTO UNICO FORMATO DA N. XXXX PAGINE
Timbrate e firmate ogni pagina.
Ecco uno schema.
FAC SIMILE PER UNO STUDIO SINGOLO
N.B. Le parti in corsivo sono da adattare ed essere corrispondenti alle esigenze e all’organizzazione del proprio studio professionale
DOCUMENTO PROGRAMMATICO SULLA SICUREZZA (DPS)
Redatto ai sensi e per gli effetti dell’art.34, comma 1, lettera g) del decreto legislativo n. 196 del 20 giugno 2003, e del disciplinare tecnico (allegato B del D.Legs. 196/2003)
L’architetto ……………………………………, con sede in ………….. alla via ………………… n. …………….. redige il seguente documento programmatico sulla sicurezza dei dati personali che vengono trattati nell’ambito dello studio ………………………………., delineando il quadro delle misure di sicurezza organizzative, fisiche e logiche poste a tutela del trattamento dei dati.
In conformità con quanto descritto al punto 19 del Disciplinare tecnico (allegato B del D.Legs. 196/2003) nel presente documento si forniscono idonee informazioni riguardanti:
- Elenco dei trattamenti di dati personali (regola 19.1) mediante:
1.1) individuazione dei dati personali trattati;
1.2) descrizione delle aree, dei locali e degli strumenti con i quali si effettuano i trattamenti;
1.3) l’elaborazione della mappa dei trattamenti effettuati.
2) Distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati (regola 19.2)
- Analisi dei rischi che incombono sui dati (regola 19.3)
- Misure in essere e da adottare (regola 19.4)
- Criteri e modalità di ripristino della disponibilità dei dati (regola 19.5)
- Pianificazione degli interventi formativi previsti (regola 19.6)
- Trattamenti affidati all’esterno (regola 19.7)
- Cifratura dei dati o separazione dei dati identificativi (regola 19.8)
- Dichiarazioni d’impegno e firma
1. Elenco dei trattamenti di dati personali
1.1 Dati personali trattati
A seguito dell’analisi compiuta si sono identificati i seguenti trattamenti:
- dati relativi al personale o ai candidati per diventarlo, di natura anche sensibile;
- dati relativi alle attività economiche e commerciali;
- dati anche sensibili indispensabili allo svolgimento dell’attività professionale per assolvere obblighi normativi e contrattuali
1.2 Aree, locali e strumenti con i quali si effettuano i trattamenti
Il trattamento dei dati avviene nella sede e luogo di lavoro situata in ………………. alla via ……… n. in zona …………………
Gli uffici sono dislocati al piano ………….. con doppio ingresso sulle scale principali controllati da telecamera con monitor ubicato nell’area di lavoro.
Le porte d’ingresso sono blindate con chiavi di sicurezza.
Lo studio è altresì dotato di sistema d’allarme del tipo elettronico con sensori sia del tipo perimetrico che volumetrico.
Le finestre che affacciato sul cortile interno sono anche dotate di inferriate mentre la porta finestra è del tipo blindato.
L’accesso all’ufficio è controllato da portone d’ingresso con citofono e suoneria d’ingresso al piano.
A – Schedari e altri supporti cartacei
I supporti cartacei sono raccolti in raccoglitori custoditi in librerie senza ante.
B – Elaboratori in rete privata
Il sistema di lavoro della struttura avviene con elaborazione in rete privata ethernet.
Si dispone di una rete di lavoro realizzata mediante collegamenti via cavo costituita da:
- n. ….. postazioni di lavoro dislocate nell’area ufficio;
- n. ….. stampanti, di cui una laser, dislocate nell’area ufficio;
- n. ….. plotter formato AO;
- n. …. fax/stampante localizzato nel’area ufficio;
- n. …… gruppo di continuità in caso di black out.
C – Elaboratori in rete pubblica
Sono collegati a internet i seguenti computer:
- n. ….. Mac fisso dislocato nell’area ufficio;
- n. ….. fisso dislocato nell’area ufficio con linea ADSL.
D – Impianti di video-sorveglianza.
All’interno dei locali dello studio non sono utilizzati impianti di video sorveglianza oltre a quello già in precedenza descritto per il controllo dell’accesso interno.
1.3 Mappa del trattamenti effettuati
Dal riepilogo dei dati trattati e dall’identificazione degli strumenti utilizzati si delinea il seguente schema:
Tipologia trattamento |
Cartaceo |
Computer non in rete |
Computer in rete privata |
Computer in rete pubblica |
Videosorveglianza |
| Dati comuni relativi a clienti /utenti |
X |
X |
X |
|
|
| Dati comuni relativi a fornitori |
X |
|
X |
|
|
| Dati comuni relativi a d altri soggetti |
X |
|
X |
X |
|
| Dati biometrici relativi a clienti/personale |
|
|
|
|
|
| Dati idonei a rilevare la posizione di persone/oggetti |
|
|
|
|
|
| Dati relativi allo svolgimento di attività economiche/commerciali |
X |
|
X |
|
|
| Dati di natura giudiziaria |
X |
|
|
|
|
| Dati relativi al personale, candidati, anche sensibili |
X |
|
X |
|
|
| Dati di natura anche sensibile relativi a clienti /utenti |
X |
|
|
|
|
| Dati idonei a rilevare lo stato di salute |
|
|
|
|
|
1.4 Analisi dei trattamenti effettuati
Dalla rilevazione degli strumenti utilizzati e delle tipologie dei dati trattati emerge che:
- solo i dati personali vengono sistematicamente tratti con supporti cartacei e con elaborazione;
- i dati sensibili trattati con elaborazione sono limitati a quelli necessari per assolvere agli obblighi normativi e contrattuali;
- gli economico/patrimoniali trattati nono quelli necessari per assolvere gli obblighi normativi e di legge;
- gli elaboratori in rete pubblica presenti dispongono eslusivamente del collegamento a internet.
2. Distribuzione dei compiti e delle responsabilità e interventi formativi degli incaricati
2.1 Titolare del trattamento dei dati
Per il trattamento dei dati personali Il sottoscritto/a titolare dello studio non ha al momento nominato responsabili, ovvero persone preposte al trattamento dei dati personali, assumendo direttamente l’incarico di progettare, realizzare e mantenere in efficienza le misure di sicurezza.
2.2 Soggetti incaricati
Il trattamento dei dati personali viene effettuato solo da soggetti che hanno ricevuto un formale incarico per iscritto di ogni singolo incarico, con il quale s’individua l’ambito del trattamento consentito.
Le lettere di incarico che vanno a completare il mansionario sono allegate al presente documento.
2.3 Istruzioni specifiche fornite ai soggetti incaricati
Oltre alle istruzioni generali su come devono essere trattati i dati personali, agli incaricati sono fornite esplicite istruzioni relativamente a:
- procedure da seguire per la classificazione dei dati personali, al fine di distinguere quelli sensibili e giudiziari, osservando le maggiori cautele di trattamento che questo tipo di dati richiedono;
- modalità di reperimento dei documenti contenenti dati personali e modalità da osservare per la custodia e l’archiviazione degli stessi;
- modalità di elaborare e custodire le “password” necessarie per accedere agli elaboratori elettronici e ai dati in essi contenuti, nonché per fornirne copia al preposto alla custodia della parola chiave;
- prescrizione di non lasciare incustoditi e accessibili gli strumenti elettronici, mentre è in coso una sessione di lavoro;
- procedure e modalità di utilizzo degli strumenti e dei programmi atti a proteggere i sistemi informativi;
- procedure per il salvataggio dei dati;
- modalità di utilizzo, custodia e archiviazione dei supporti rimuovibili contenenti dati personali;
- aggiornamento continuo, utilizzando il materiale e gli strumenti forniti dal Titolare, sulle misure di sicurezza.
2.4 Formazione degli incaricati al trattamento
Il sottoscritto/a titolare fornisce direttamente agli incaricati al trattamento la necessaria formazione:
- al momento dell’ingresso in servizio;
- in occasione di cambiamenti di mansione;
- in occasione dell’introduzione di nuovi strumenti e programmi informatici.
La formazione interesserà sia le norme generali in materia di privacy sia gli aspetti peculiari dei trattamenti effettuati.
3. Analisi dei rischi cui sono soggetti i dati
L’analisi dei possibili rischi che gravano sui dati è stata effettuata combinando due tipi di rilevazioni:
- la tipologia dei dati trattati, la loro appetibilità, nonché la loro pericolosità per la privacy dei soggetti cui essi si riferiscono;
- le caratteristiche degli strumenti utilizzati per il trattamento dei dati.
3.1 Strumenti impiegati nel trattamento
Sono stati individuati come sorgenti soggette a rischio le seguenti categorie di strumenti utilizzati per il trattamento:
|
Strumenti |
Legenda |
| Schedari e altri supporti custoditi nell’area controllata |
A |
| Elaboratori non in rete custoditi nell’area controllata |
B |
| Elaboratori non in rete privata custoditi nell’area controllata |
C |
| Elaboratori non in rete pubblica |
D |
|
Fattori di rischio |
Basso |
Medio |
Elevato |
| Rischio d’area legato all’accesso non autorizzato nei locali |
|
|
A B C D |
| Rischio guasti tecnici hardware, software, supporti |
|
C D |
B |
| Rischio penetrazione nelle reti di comunicazione |
|
|
D |
| Rischio legato a errori umani |
A |
B |
C D |
| Rischio d’area per possibili eventi distruttivi |
|
|
A B C D |
4. Misure atte a garantire l’integrità e la disponibilità dei dati
Alla luce dei fattori di rischio e delle aree individuate nel presente paragrafo vengono descritte le misure atte a garantire:
- la protezione delle aree e dei locali ove si svolge il trattamento dei dati personali;
- la corretta archiviazione e custodia di atti, documenti e supporti contenenti dati personali;
- la sicurezza logica, nell’ambito degli strumenti elettronici.
Le successive misure indicate a sostegno della fase di protezione dei dati si suddividono in:
- misure già adottate al momento della stesura del presente documento;
- ulteriori misure finalizzate a incrementare il livello di sicurezza nel trattamento dei dati.
4.1 La protezione di aree e locali
Per quanto concerne il rischio che i dati vengano danneggiato o perduti a seguito di eventi distruttivi i locali ove si svolge il trattamento dei dati sono protetti da:
- gruppo di continuità dell’alimentazione elettrica;
- impianto di condizionamento.
Sono adottate le seguenti misure per impedire accessi non autorizzati:
- dotazione di portiere elettrico;
- dotazione di spioncini (occhio magico) sulle porte di ingresso;
- telecamera per controllo ingressi.
4.2 Custodia e archiviazione dei dati
Agli incaricati sono state (Agli incaricati, qualora nominati, saranno) impartite istruzione per la gestione, la custodia e l’archiviazione dei documenti e dei supporti. In particolare sono state fornite direttive per:
- il corretto accesso ai dati personali, sensibili e giudiziari;
- la conservazione e la custodia di documenti, atti e supporti contenenti dati personali, sensibili e giuridici;
- la definizione delle persone autorizzate ad accedere ai locali archivio e le modalità di accesso.
4.3 misure logiche di sicurezza
Per il trattamento effettuato con strumenti elettronici si sono individuate le seguenti misure:
- realizzazione e gestione di un sistema di autenticazione informatica al fine di accertare l’identità delle persone che hanno accesso agli strumenti elettronici;
- autorizzazione e definizione delle tipologie di dati ai quali gli incaricati possono accedere o utilizzare al fine delle proprie mansioni lavorative;
- protezione di strumenti e dati da malfunzionamento e attacchi informatici;
- prescrizione delle opportune cautele per la custodia e l’utilizzo dei supporti rimovibili, contenenti dati personali.
4.4 Accesso ai dati e istruzioni impartite agli incaricati
Gli incaricati al trattamento dei dati dovranno osservare le seguenti istruzioni per l’utilizzo degli strumenti informatici:
- obbligo di custodire i dispositivi di accesso agli strumenti informatici (username e password);
- obbligo di non lasciare incustodito e accessibile lo strumento elettronico asssegnato durante una sessione di trattamento;
- obbligo di assoluta riservatezza;
- divieto di divulgazione della password di accesso al sistema.
4.5 Protezione di strumenti e dati
Premesso che non vengono trattati dati sensibili e giudiziari in rete, il sistema di elaborazione è, comunque, protetto da programmi antivirus e di sistema firewall antintrusione.
Il sistema è altresì impostato per l’aggiornamento periodico automatico di protezione.
Agli incaricati è stato affidato il compito di aggiornare ogni tre mesi il sistema di protezione.
4.6 Supporti rimovibili
Anche se le norme prevedono particolari cautele solo per i supporti rimovibili contenenti dati sensibili e giuridici, la tutela per il trattamento viene estesa ai dati personali come segue:
- custodia dei supporti in contenitori chiusi a chiave in locali con accesso ai soli autorizzati;
- cancellazione o/o distruzione del supporto una volta cessate le ragioni per la conservazione.
5. Criteri e modalità di ripristino dei dati
Per i dati trattati con strumenti elettronici sono previste procedure di backup attraverso le quali viene periodicamente effettuata una copia di tutti i dati presenti nel sistema.
Il salvataggio dati avviene:
- con frequenza settimanale;
- le copie vengono custodite in un luogo protetto.
6. Affidamento dei dati personali all’esterno
Nello svolgimento dell’attività di norma non vengono affidati dati personali all’esterno.
Nel caso il trattamento venga affidato all’esterno saranno impartite istruzioni per iscritto al terzo destinatario, al fine di rispettare quanto prescritto dal codice della privacy.
7. Controllo generale sullo stato di sicurezza
Il sottoscritto/a titolare dello studio, cui compete le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza, mantiene aggiornate le misure di sicurezza al fine di adottare gli strumenti più idonei per la tutela dei dati trattati.
Il sottoscritto/a titolare verifica con frequenza almeno mensile l’efficacia delle misure adottate relativamente a:
- accesso fisico ai locali dove si svolge il trattamento;
- procedure di archiviazione e custodia dei dati trattati;
- efficacia e utilizzo delle misure di sicurezza degli strumenti elettronici;
- integrità dei dati e delle loro copie di backup;
- distruzione dei supporti magnetici non più riutilizzabili;
- livello di informazione degli interessati.
8. Dichiarazione d’impegno e firma
Il presente documento redatto in data …………… viene firmato in calce dal sottoscritto/a, in qualità di titolare dello studio …………………………., e verrà aggiornato periodicamente entro il 31 marzo di ogni anno.
L’originale del presente documento è custodito presso la sede dello studio in via ………………………… al n. …………………. per essere esibito in caso di controllo.
Una copia verrà consegnata ai responsabili di determinati trattamenti di dati appositamente nominati.
………………., lì ……………….
arch. ………………….
Allegato A
ORGANIGRAMMA PRIVACY
TITOLARI DEL TRATTAMENTO
Cognome e nome o denominazione: arch. ………………..
Sede del trattamento: via ……………………… al n. ……………………..
Codice fiscale e Partita Iva …………………………
Attività esercitata: architetto
RESPONSABILE DEL TRATTAMENTO
I titolari del trattamento non hanno individuato alcun responsabile del trattamento, al quale affidare il compito di controllare sul corretto comportamento del personale dello studio e di affiancare il titolare del trattamento o sostituirlo in caso di temporanea assenza.
DOCUMENTAZIONE IN DEPOSITO/TIPOLOGIA DEI DATI TRATTATI
I dati trattati nell’ambito dello studio “……………………….” sono:
- informazioni di carattere anagrafico;
- contratti d’appalto per la fornitura di servizi e l’esecuzione di lavori;
- preventivi per la fornitura di servizi e l’esecuzione di lavori di terzi;
- fatture e corrispondenza della clientela;
- estratti conto bancari;
- atti di proprietà;
- atti patrimoniali e simili;
- visure e certificati catastali;
- atti costitutivi e modificativi di società;
- informazioni sulle abitudini e caratteristiche del nucleo famigliare;
- documentazione grafica e fotografica dell’abitazione e dei beni mobili della propria clientela.
TRATTAMENTO DELLE INFORMAZIONI
Le operazioni di trattamento effettuate nell’ambito dello studio tecnico consistono essenzialmente:
- nell’acquisizione e reperimento dei dati direttamente dalla persona interessata, presso terzi ovvero indirettamente;
- nella registrazione dei dati, cioè il loro inserimento in supporti informatici o cartacei;
- nell’elaborazione;
- nella modificazione dei dati registrati, in relazione a variazioni o nuove acquisizioni;
- nella conservazione dei dati per tutto il tempo necessario agli scopi per i quali sono stati raccolti o successivamente trattati;
- nella cancellazione o la distruzione dei dati, quando sono terminati gli scopi per cui sono stati inizialmente raccolti.
DISTRIBUZIONE DEI COMPITI
Al momento non si è provveduto a nominare per iscritto il/i “responsabile/i del trattamento”:
Al momento, altresì, non sono stati nominati per iscritto i diversi “incaricati del trattamento”, a ciascuno dei quali è stata consegnata una specifica lettera di incarico individuale, nella quale sono fornite precise istruzioni sulle modalità di effettuazione del trattamento e sulle misure di sicurezza da osservare.
Si è provveduto a nominare per iscritto “un incaricato della custodia delle parole chiavi “: il sig. arch. Vittorio Stanghellini Perilli, al quale gli incaricati devono consegnare periodicamente una busta chiusa, firmata e datata, contenente la propria password segreta.
Si è provveduto a nominare per iscritto “l’amministratore del sistema informativo”: il sig./arch. ……………………………., al fine di garantire una migliore efficienza e tutela del sistema informativo.
ANALISI DEI RISCHI
I rischi ai quali possono essere soggetti i dati trattati dal personale dello studio tecnico nell’ambito dell’esercizio della propria normale attività, possono essere tutti quelli indicati nell’art. 31 del D. Lgs n. 196/03, vale a dire:
•· la distruzione o la perdita, anche accidentale;
•· l’accesso non autorizzato;
•· il trattamento non consentito;
•· il trattamento non conforme alle finalità per le quali è avvenuta la raccolta dei dati personali.
Per evitare o ridurre al minimo tutti questi rischi lo studio ……………………….. si è dotato di una serie di misure di sicurezza, di carattere organizzativo, fisico e logico, che riguardano le varie operazioni di trattamento che vengono effettuate e in particolare la custodia dei dati personali e il controllo della loro integrità.
CONSERVAZIONE DELLA DOCUMENTAZIONE e MISURE DI SICUREZZA
Le misure di protezione “fisica” delle aree e dei locali nei quali sono custoditi e trattati i dati personali, con particolare riguardo alle misure di sicurezza volte ad impedire l’accesso alle persone non autorizzate ed alle misure atte ad impedire la distruzione o la sottrazione dei dati custoditi sono le seguenti: sistema di allarme volumetrico e perimetrale, videosorveglianza dei due ingressi alla studio dal vano scale, portiere elettrico, porte d’ingresso blindate, persiana sull’interno in acciaio del tipo blindata, cassettiera con chiave, ambienti con porte datate di serrature a più mandate.
La documentazione dei dati personali viene conservata presso lo studio con modalità cartacea mediante archiviazione in cartelle personali contenute in armadi ai quali hanno accesso solo le persone “incaricate del trattamento” espressamente autorizzate dai titolari.
I dati sono inoltre contenuti in supporti informatici secondo la seguente organizzazione dello studio.
Il sistema di lavoro della struttura avviene con elaborazione in rete privata ethernet.
Si dispone di una rete di lavoro realizzata mediante collegamenti via cavo costituita da:
8 postazioni di lavoro dislocate nell’area ufficio;
n. 4 stampanti, di cui una laser, dislocate nell’area ufficio;
n. 2 plotter formato AO;
n. 1 fax/stampante localizzato nel’area ufficio;
n. 1 gruppo di continuità in caso di black out.
Sono collegati a internet i seguenti computer che fanno altresì uso della posta elettronica:
n. 1 Mac fisso dislocato nell’area ufficio;
n. 1 PC fisso dislocato nell’area ufficio con linea ADSL.
Il back up dei dati avviene ogni settimana facendone una copia su cd e/o su floppy disk.
I singoli clienti dello studio tecnico sono protetti da un sistema di autenticazione informatica per l’accesso ai dati con password e user-id; la loro sostituzione avviene ogni 3 mesi in caso di trattamento di dati sensibili e giudiziari.
Protezione degli strumenti e dei dati
I programmi anti-virus adottati sono: ………………. aggiornato al ……………….
I programmi anti-intrusione adottati sono: …………. aggiornato al ………………
Salvataggio e ripristino dei dati
Per garantire la conservazione dei dati inseriti sui supporti informatici viene effettuato il salvataggio tramite supporti rimovibili (cd e/o floppy disk) con cadenza settimanale.
Custodia ed uso dei supporti rimovibili
I supporti rimovibili (cd e/o floppy disk) sui quali sono memorizzati i dati sono custoditi in luoghi sicuri, in cassettiera chiusa a chiave che si trova nella stanza posta di fronte a chi entra dall’ingresso secondario dotata di porta con chiave.
Cessato lo scopo o le ragioni per cui i dati sono stati memorizzati e conservati su di essi, i supporti sono resi illeggibili mediante formattazione e/o cancellazione.
Il presente documento programmatico sulla sicurezza è sottoposto a revisione annuale nella sua interezza, entro la scadenza del 31 marzo di ciascun anno, come previsto dal punto 19. del Disciplinare tecnico Allegato B) al D.Lgs. 196/03, in relazione al disposto dell’art. 34, lettera g) del decreto stesso.
Il presente documento è aggiornato al …………………….
……………, lì ………………………
IL TITOLARE DEL TRATTAMENTO
arch. ………
Twitter
Facebook
YouTube
Lascia il tuo Commento!