Privacy Policy
DOCUMENTO PROGRAMMATICO SULLA SICUREZZA (D.P.S.) NEL TRATTAMENTO DEI DATI PERSONALI DESCRITTIVO
Il presente documento è redatto ai sensi dell’art.34,comma 1,lett. g) del D.LGS. n. 196/03 (Codice della privacy) e al Disciplinare Tecnico allegato sub B, con lo scopo di descrivere il quadro delle misure minime di sicurezza, organizzate, fisiche e informatiche, da adottare e adottate dall’Associazione “CROCE VERDE VILLASTELLONE”, con sede in VILLASTELLONE Via A. Gentileschi n. 1, al fine della tutela dei dati personali trattati dall’associazione medesima. L’associazione svolge l’attività di soccorso e trasporto infermi a mezzo ambulanza Il presente DPS è redatto e firmato dal Presidente e legale rappresentante dell’Associazione, in seguito indicato anche solo come Titolare.
Elenco dei trattamenti di dati personali (19.1.D.T.)
L’associazione svolge i seguenti trattamenti di dati personali : COD1. trattamento di dati personali comuni e sensibili dei propri soci e/o volontari, relativi alla reperibilità ed alla corrispondenza con gli stessi o comunque necessari, funzionali o connessi alla gestione del rapporto associativo e allo svolgimento dell’attività istituzionale,per le seguenti finalità;
- Creazione, organizzazione, consultazione e utilizzo di una banca dati
- Invio delle convocazioni alle assemblee e altre comunicazioni postali
- Invio di messaggi di posta elettronica
- Invio di SMS
COD2. trattamento di dati personali comuni e sensibili dei beneficiari/utenti, relativi alla reperibilità ed alla corrispondenza con gli stessi o comunque necessari, funzionali o connessi al conseguimento delle finalità istituzionali,tra cui:
- Creazione, organizzazione, consultazione e utilizzo di una banca dati
- Creazione di schede relative a ciascun beneficiario
- Campagna di sensibilizzazione attraverso l’invio di e – mail
COD3. trattamento di dati personali di fornitori, collaboratori e professionisti (commercialisti, avvocati, consulenti del lavoro etc.), altre organizzazioni non-profit, enti pubblici, o comunque terzi con i quali l’associazione ha periodico contatto, riguardanti la reperibilità e la corrispondenza con gli stessi, nonché richiesti ai fini fiscali o dati di natura bancaria o comunque necessari o funzionali allo svolgimento dell’attività istituzionali; COD4. trattamento di dati personali del personale dipendente, necessario alla gestione del rapporto di lavoro, alla reperibilità ed alla corrispondenza con gli stessi o richiesto ai fini fiscali o previdenziali o trattamento di dati di natura bancaria per le stesse finalità; trattamento di dati sensibili del personale dipendente,conseguenti al rapporto di lavoro,ovvero inerenti i rapporti con gli enti previdenziali ed assistenziali,o all’adesione ad organizzazioni sindacali; COD5. trattamento di dati giudiziari dei beneficiari dell’attività sociale,dipendenti o soci e/o volontari,idonei a rilevare i provvedimenti di cui all’art. 3 DPR nr. 313/2002, o idonei a rivelare la qualità di imputato o indagato, forniti dagli stessi o da terzi,necessari o conseguenti allo svolgimento dell’attività istituzionali; I trattamenti possono comprendere il complesso di operazioni indicate nell’art.4,comma 1,lett.a) ed in particolare la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione il raffronto, l’utilizzo, l’interconnessione, il blocco, la cancellazione e la distruzione dei dati, nei limiti e con le modalità descritte nel presente DPS e nell’informativa rilasciata all’interessato. La comunicazione dei dati avviene nei limiti di legge con riferimento a ciascun tipo di dato.
Strutture dove sono svolti i trattamenti, responsabili delle strutture e distribuzione dei compiti(19.2.D.T.)
I trattamenti vengono svolti presso la sede dell’associazione, ubicata in Via A. Gentileschi, 1 Villastellone al 2 piano di un edificio pubblico. I singoli locali della sede dove si trovano i computer sono dotati ciascuno di porta con chiusura a chiave, così come l’archivio. Responsabile della struttura dove vengono svolti i trattamenti è il Presidente dell’Associazione; il trattamento è svolto da lui stesso e da altri soggetti incaricati.
Modalità dei trattamenti
I trattamenti vengono svolti mediante i seguenti strumenti elettronici :
- 1 computer con funzioni di server connesso in rete ed ad internet, marca HP contenente software di gestione servizi, situato presso Centralino
- 1 computer portatile (di proprietà del presidente) connesso in rete ed ad internet, con sistema operativo Windows 10, contenente modulistica varia, conservato presso l’ufficio presidenza
- 1 hard disk esterno conservato dal Presidente il quale contiene tutta la documentazione dell’Associazione.
La connessione a internet è di tipo ADSL I trattamenti sono svolti anche mediante archivi e strumenti cartacei.
Analisi dei rischi incombenti sui dati(19.3.D.T.)
Con riferimento alla struttura, i rischi possono consistere in ingressi di estranei a locali/aree, nella sottrazione di strumenti contenenti dati,in eventi distruttivi naturali(es. incendi, allagamenti, condizioni ambientali, ecc), o artificiali(es. guasto di sistemi complementari),in errori umani nella gestione della sicurezza. Tali rischi possono essere definiti medio/bassi, poiché la sede ha una superficie modesta, viene sempre chiusa a chiave, l’accesso di estranei è controllato e subordinato alla presenza dei volontari; inoltre l’impianto elettrico è dotato di dispositivo salvavita. È sono presenti in sede due estintori. Con riferimento agli strumenti elettronici, i rischi possono consistere nell’azione di virus informatici o di programmi suscettibili di recare danno, nel funzionamento, indisponibilità o degrado degli strumenti, negli accessi esterni non autorizzati, nell’intercettazione di informazioni in rete, nella cancellazione di dati. I rischi possono essere definiti medi, essendo state adottate le misure di sicurezza minime, che saranno altresì costantemente aggiornate. Il rischio di deterioramento e perdita dei dati può essere ritenuto basso, grazie alla conservazione di copie di sicurezza/supporti di memorizzazione in un cassetto chiuso nell’abitazione del Presidente Con riferimento ai soggetti che trattano i dati,i rischi possono consistere nella sottrazione od uso improprio delle credenziali di autenticazione,nella carenza di consapevolezza,nella disattenzione o incuria,in errori materiali. A tal fine è prevista la specificazione nelle lettere di incarico dei compiti e degli accorgimenti necessari, opportuni approfondimenti in tema di sicurezza nel corso delle assemblee dei soci e lo svolgimento di corsi periodici almeno annuali.
Misure di sicurezza per il trattamento con strumenti elettronici (19.4.D.T.)
Per ridurre i rischi relativi agli strumenti elettronici sono state adottate le seguenti misure di sicurezza:
- Ciascun incaricato viene dotato dall’Amministrazione di Sistema di un proprio username e di una password, che va cambiata da ogni incaricato al primo accesso. La password non contiene elementi facilmente ricollegabili all’Odv o all’incaricato. La password scadrà automaticamente ogni 90 giorni.
- Si è disposto che tutti gli incaricati non lascino incustodito o accessibile il computer con propria utenza aperta.
- Per eliminare e/o limitare il rischio di intrusione e azione di programmi (virus, trojan, horse, malware, ecc.), i computer sono dotati di antivirus, aggiornato dall’Amministratore di Sistema almeno sei mesi/con funzione di aggiornamento automatico.
- Per ogni singolo computer è attivata la funzione di aggiornamento automatico mediante lo strumento windows-update
- È stato impostato il salvataggio automatico del software di gestione servizi contenente i dati dei volontari e dei pazienti trasportati. Lo stesso viene effettuato ogni notte mediante salvataggio in cartella dropbox
- Con riferimento ai supporti rimovibili, se contenenti dati sensibili o giudiziari, è stato disposto che siano custoditi in cassetti chiusi a chiave e, se non più utilizzati, siano distrutti o resi inutilizzabili.
- Sarà inoltre adottata ogni altra misura che venisse ritenuta utile e necessaria dai tecnici, compatibilmente alle risorse dell’associazione, per migliorare la sicurezza degli strumenti elettronici.
Misure di sicurezza per i trattamenti non elettronici (27-29 D.T.)
Per ridurre i rischi relativi al trattamento cartaceo e manuale sono state adottate le seguenti misure:
- Si è disposto che gli incaricati non lascino incustoditi sulle scrivanie, o su altri ripiani o in luoghi accessibili all’utenza o al pubblico atti, documenti e fascicoli contenenti dati personali, ma li conservino in appositi schedari/fascicoli, prelevandoli solo per il tempo necessario al trattamento e poi restituendoli.
- Il locale destinato all’archivio sarà chiuso a chiave.
Misure per il ripristino dei dati (19.5.D.T.)
Nell’ipotesi di distruzione o danneggiamento dei dati sensibili o degli strumenti elettronici che li contengono si adotterà la seguente procedura:
- Gli incaricati avvertiranno il titolare/responsabile e la persona che ha in custodia le copie di back up e i supporti elettronici contenenti i vari software installati nei computer distrutti o danneggiati;
- Il titolare/responsabile chiederà immediatamente l’intervento dell’Amministratore di Sistema sollecitandone al più presto l’assistenza;
- L’Amministratore di Sistema provvederà a reinstallare i programmi danneggiati o distrutti, o sostituire il disco fisso o l’intero hardware,reinstallandovi il sistema operativo e i dati e programmi contenuti nelle copie di back up e provvedendo al loro aggiornamento;
- Verrà richiesto all’Amministratore di Sistema di suggerire ogni altra misura necessaria;
In ogni caso, viene data esplicita istruzione che il ripristino dei dati e dei sistemi sia effettuato entro e non oltre 7 giorni dalla distruzione o danneggiamento.
Formazione degli incaricati (19.6.D.T.)
La formazione degli incaricati verrà effettuata all’atto della nomina e dell’assunzione dei compiti relativi, in caso di installazione di nuovi strumenti per il trattamento dei dati, e comunque con frequenza annuale. Ogni incaricato riceve inoltre una lettera di incarico contenente i suoi compiti, le istruzioni operative e i limiti del suo trattamento. Potranno essere indetti specifici corsi di una giornata, destinati a coloro i quali svolgono il trattamento dei dati sensibili. La formazione tende a sensibilizzare gli incaricati sulle tematiche della sicurezza, facendo comprendere i rischi e le responsabilità in cui incorrono (con specificazione delle sanzioni amministrative, penali e disciplinari). Inoltre, essa consiste nella spiegazione del concetto di “dato sensibile”, nell’invito a segnalare eventuali disfunzioni dei sistemi operativi e, nel dubbio, di richiedere al titolare e al Responsabile ogni chiarificazione o istruzione.
Trattamento da parte di soggetti esterni (19.7.D.T.)
Il trattamento n. COD. 2 è svolto anche all’esterno dell’associazione, avvalendosi della collaborazione del Sig. Francesco TUCCI in quale è lo sviluppatore del software di gestione dei servizi e si occupa dei relativi aggiornamenti Tale soggetto è Responsabile di quel specifico trattamento. Tale soggetto offre piena garanzia per il corretto assolvimento del proprio compito, assume l’obbligo di utilizzare i dati solo per lo scopo a lui assegnato, dichiara di adottare le misure di sicurezza previste dal Codice e di relazionare periodicamente all’associazione sulle misure di sicurezza adottate. Il presente DPS è conservato presso la sede dell’associazione per essere esibito in caso di controllo; è a disposizione di ogni incaricato e verrà aggiornato entro il 15/03/2017