documento sulla sicurezza dati d.lgs. 196/2003 e ss.mm.ii. · 2 distribuzione dei compiti e...
TRANSCRIPT
MOG Capitale Lavoro S.p.A. – Parte Speciale Pag. 1 a 26
Allegato 7 - Documento sulla sicurezza dati
Capitale Lavoro spa Società Unipersonale della Città Metropolitana di Roma Capitale
Sede Legale: via Beniamino Franklin, 8 – 00153 Roma Tel. +39 06 85358322 Fax +39 06 8541473
P.I./C.F. 07170551001 www.capitalelavoro.it
CAPITALE LAVORO SPA
DOCUMENTO SULLA SICUREZZA DATI
D.lgs. 196/2003 e ss.mm.ii.
MOG Capitale Lavoro S.p.A. – Parte Speciale Pag. 2 a 26
Allegato 7 - Documento sulla sicurezza dati
2 Capitale Lavoro spa
Società Unipersonale della Città Metropolitana di Roma Capitale Sede Legale: via Beniamino Franklin, 8 – 00153 Roma
Tel. +39 06 85358322 Fax +39 06 8541473 P.I./C.F. 07170551001 www.capitalelavoro.it
INDICE
SEZIONE DESCRITTIVA 3
1 ELENCAZIONI TRATTAMENTI DEI DATI PERSONALI 5
1.1. Tipologia del trattamento dati 5 Finalità del trattamento o attività svolta 5 Struttura organizzativa 5 Categoria di persone a cui si riferiscono i dati 5 Elencazione banche dati 5 Natura dei dati 6 Modalità di trattamento 7
1.2. Altre strutture che concorrono al trattamento 8 1.3. Descrizione degli strumenti elettronici 8 1.4. Analisi dei rischi 10
Accesso non autorizzato 10 Perdita e distribuzione dei dati Trattamento dei dati non conforme alla finalità della raccolta dei dati stessi 11
2 DISTRIBUZIONE DEI COMPITI E RESPONSABILITA 11 2.1. Soggetti interessati 11 2.2. Criteri tecnici ed organizzativi – criteri e procedure per la integrità dei dati 13 2.3. Procedure di accesso ai locali 15 2.4. Criteri e procedure per la trasmissione dati 16
3 PIANIFICAZIONE INTERVENTI FORMATIVI 17
3.1. Informazione degli incaricati 17
4 TRATTAMENTI ESTERNALIZZATI 18 5 PIANO OPERATIVO AZIENDALE
SEZIONE TABELLARE 19
Elenco dei trattamenti 20 Competenze e responsabilità delle struttura centrale preposta al trattamento 21 Classi omogenee di incarico e profili di autorizzazione 22 Analisi dei rischi 23 Misure di sicurezze – sede Tirso 24 Criteri e procedure per il salvataggio dei dati 25 Interventi informativi 26 Trattamenti affidati all’esterno 27
SEZIONE DI AUTENTICAZIONE 28
MOG Capitale Lavoro S.p.A. – Parte Speciale Pag. 3 a 26
Allegato 7 - Documento sulla sicurezza dati
3 Capitale Lavoro spa
Società Unipersonale della Città Metropolitana di Roma Capitale Sede Legale: via Beniamino Franklin, 8 – 00153 Roma
Tel. +39 06 85358322 Fax +39 06 8541473 P.I./C.F. 07170551001 www.capitalelavoro.it
SEZIONE DESCRITTIVA
MOG Capitale Lavoro S.p.A. – Parte Speciale Pag. 4 a 26
Allegato 7 - Documento sulla sicurezza dati
4 Capitale Lavoro spa
Società Unipersonale della Città Metropolitana di Roma Capitale Sede Legale: via Beniamino Franklin, 8 – 00153 Roma
Tel. +39 06 85358322 Fax +39 06 8541473 P.I./C.F. 07170551001 www.capitalelavoro.it
1. ELENCAZIONI TRATTAMENTI DEI DATI PERSONALI
1.1. Tipologia del trattamento dati
Finalità del trattamento o attività svolta
Nell’esecuzione delle commesse da parte del personale di Capitale Lavoro S.p.A., si possono
riscontrare implicazioni in termini di acquisizione e trattamento di dati personali, sensibili e
giudiziari rilevanti ai sensi del D.Lgs. 196/2003 e successive modifiche ed integrazioni.
Struttura organizzativa
La sede legale ed amministrativa è in via Beniamino Franklin, 8 00153 Roma. I locali sono ubicati al
piano terra. L’accesso agli uffici è diretto dal marciapiede ed è sorvegliato da almeno un addetto
alla ricezione.
La sede è strutturata sul modello “open space”: una sala unica nella quale sono distribuiti i vari
uffici, separati da pareti divisorie trasparenti rimuovibili, come da planimetria seguente.
Le scritture contabili, i documenti amministrativi e fiscali sono detenuti in armadi ubicati degli
uffici in questione.
MOG Capitale Lavoro S.p.A. – Parte Speciale Pag. 5 a 26
Allegato 7 - Documento sulla sicurezza dati
Capitale Lavoro spa Società Unipersonale della Città Metropolitana di Roma Capitale
Sede Legale: via Beniamino Franklin, 8 – 00153 Roma Tel. +39 06 85358322 Fax +39 06 8541473
P.I./C.F. 07170551001 www.capitalelavoro.it
MOG Capitale Lavoro S.p.A. – Parte Speciale Pag. 6 a 26
Allegato 7 - Documento sulla sicurezza dati
Capitale Lavoro spa Società Unipersonale della Città Metropolitana di Roma Capitale
Sede Legale: via Beniamino Franklin, 8 – 00153 Roma Tel. +39 06 85358322 Fax +39 06 8541473
P.I./C.F. 07170551001 www.capitalelavoro.it
Categoria di persone a cui si riferiscono i dati
I dati raccolti da Capitale Lavoro S.p.A. riguardano:
• cittadini ed enti utenti dei servizi offerti a supporto della Città metropolitana di Roma
Capitale;
• dipendenti;
• collaboratori;
• fornitori;
• candidati per selezioni per formatori e docenti di corsi erogati nelle scuole tematiche;
Elencazione banche dati
Al fine di garantire che il trattamento dei dati personali avvenga nel rispetto dei principi di
correttezza e liceità, Capitale Lavoro S.p.A. ha attivato un processo di classificazione e rilevazione
delle banche dati, per le quali assume la qualifica di “Titolare” ai sensi del D.Lgs. 196/2003.
Sono state censite, inoltre, le modalità previste per il trattamento dei dati personali, con
particolare riguardo a quelli effettuati con strumenti elettronici e comunque automatizzati ed a
quelli concernenti dati sensibili, giudiziari o dati che presentano rischi specifici (art.17 del D.Lgs.
196/2003).
Non sono menzionate, nel presente documento, le banche dati che non contengano dati personali
o sensibili, come definiti ai sensi dell’art. 4 del D.Lgs. 196/2003.
I dati oggetto dei trattamenti sono riconducibili alle seguenti categorie:
• Banche dati relative agli utenti dei vari servizi svolti in convenzione con la Città
metropolitana di Roma Capitale;
• Banche dati relative ai dipendenti;
• Banche dati relative ai collaboratori;
• Banche dati relative ai fornitori;
• Banche dati relative al contenzioso.
Natura dei dati
Capitale Lavoro S.p.A. effettua trattamenti di dati personali nell’esercizio della propria attività
istituzionale a supporto della Città metropolitana di Roma Capitale relativamente a:
• soggetti terzi;
• fornitori;
• personale dipendente,
• collaboratori.
I dati personali sono generalmente forniti direttamente dagli utenti dei servizi e dai soggetti
interessati o raccolti mediante acquisizione di informazioni gestite da Enti quali Città
MOG Capitale Lavoro S.p.A. – Parte Speciale Pag. 7 a 26
Allegato 7 - Documento sulla sicurezza dati
7 Capitale Lavoro spa
Società Unipersonale della Città Metropolitana di Roma Capitale Sede Legale: via Beniamino Franklin, 8 – 00153 Roma
Tel. +39 06 85358322 Fax +39 06 8541473 P.I./C.F. 07170551001 www.capitalelavoro.it
metropolitana, Comune, Municipio, ASL, Questura, Prefettura, Tribunali ed istituzioni pubbliche e
private.
Codice dati Tipologie di dati trattati
01 Dati personali degli utenti dei servizi svolti in convenzione con la Città metropolitana di Roma Capitale
02 Dati personali dei lavoratori dipendenti, quali quelli necessari al rapporto di lavoro, alla reperibilità ed alla corrispondenza con gli stessi o richiesti ai fini fiscali e previdenziali o dati di natura bancaria
03 Dati personali dei collaboratori, quali quelli necessari al rapporto di collaborazione, alla reperibilità ed alla corrispondenza con gli stessi o richiesti ai fini fiscali e previdenziali o dati di natura bancaria
04 Dati personali dei fornitori di beni o servizi concernenti la reperibilità e la corrispondenza con gli stessi, nonché inerenti ai fini fiscali o dati di natura bancaria
05 Dati personali di professionisti e consulenti cui Capitale Lavoro S.p.A. affida incarichi, quali quelli concernenti la reperibilità e la corrispondenza con gli stessi, nonché inerenti a finalità fiscali o dati di natura bancaria
06 Dati sensibili del personale dipendente, conseguenti al rapporto di lavoro, ovvero inerenti ai rapporti con gli enti previdenziali ed assistenziali, o dati giudiziari del personale dipendente, o l’adesione ad organizzazioni sindacali
Modalità di trattamento
Le tipologie di dati precedentemente elencate sono sottoposte alle seguenti modalità di
trattamento previste dal Codice, art.4 lettera a):
Modalità di trattamento
Raccolta
Registrazione
Organizzazione
Conservazione
Consultazione
Elaborazione
Modificazione
Selezione
Estrazione
Raffronto
Utilizzo
Interconnesione
Blocco
Comunicazione
Diffusione
Cancellazione
Distruzione
MOG Capitale Lavoro S.p.A. – Parte Speciale Pag. 8 a 26
Allegato 7 - Documento sulla sicurezza dati
8 Capitale Lavoro spa
Società Unipersonale della Città Metropolitana di Roma Capitale Sede Legale: via Beniamino Franklin, 8 – 00153 Roma
Tel. +39 06 85358322 Fax +39 06 8541473 P.I./C.F. 07170551001 www.capitalelavoro.it
1.2. Altre strutture che concorrono al trattamento
Capitale Lavoro S.p.A. si avvale della consulenza di professionisti incaricati per gli adempimenti
contabili, fiscali e di contabilità del personale.
In particolare, lo studio di consulenza del Dott. Cristiano Marini è incaricato di fornire assistenza e
consulenza specialistica in materia di gestione economica-giuridica del personale, analisi
normativa delle fattispecie esistenti presso il Committente e aggiornamento sulle novità
normative d’ interesse che dovessero verificarsi; redazione di pareri professionale in materia di
legislazione giuslavoristica, previdenziale sindacale e sociale; assistenza telefonica e via mail per le
istanze degli uffici, anche attraverso l’ istituzione di una casella mail dedicata e presidiata;
assistenza presso la sede dell’azienda per 2 mattine al mese, ad intervalli di 15 giorni.
Capitale Lavoro S.p.A. si avvale delle prestazioni professionali della Dott.ssa Elisa Romeo per
l’effettuazione delle visite mediche pre-assuntive ed in corso di rapporto di lavoro, in conformità
al T.U. 81/2008.
1.3. Descrizione degli strumenti elettronici
La cura di tutti i servizi informatici è affidata all’Area Sistemi Informativi, che ha il compito della
gestione di tutte le problematiche relative all’infrastruttura tecnologica (server, apparati di rete,
PC, ecc.), alla rete foni/dati e agli applicativi software di tutto il portfolio facente capo a Capitale
Lavoro S.p.A.
Per quanto riguarda i trattamenti che rientrano nella privacy, le funzionalità gestite sono:
✓ gestione account;
✓ gestione delle banche dati;
✓ impostazione dei parametri di sicurezza della rete (impostazioni condivise con
l’amministratore dei sistemi della Città Metropolitana di Roma Capitale)
✓ backup dei dati.
Nella attuale configurazione dei Sistemi Informativi di Capitale Lavoro S.p.A. i server fisici utilizzati
sono n. 3.
Tali server solo allocati in apposito armadio rack nel locale adibito a Centro Elaborazione Dati
(CED) dell’azienda, sito in Via Beniamino Franklin, 8 - 00153 Roma. Per garantire che all’interno
del CED i server lavorino alla corretta temperatura di esercizio (tipicamente individuabile nel
range 10 – 28 oC), all’interno del locale è presente un impianto di condizionamento. E’ presente
altresì un gruppo statico di continuità (detto anche UPS - Uninterruptible Power Supply) per
garantire costantemente l’alimentazione in corrente alternata delle apparecchiature. Il libero
accesso al CED è inibito grazie alla presenza di una porta costantemente chiusa a chiave. La
custodia della chiave di accesso è a carico del Responsabile dell’Ufficio Sistemi Informativi.
Esistono inoltre 20 macchine virtuali utilizzate sui vari progetti.
Il numero dei personal computer (desktop e portatili) è pari a 80, dislocati prevalentemente
presso la sede centrale di Capitale Lavoro S.p.A..
MOG Capitale Lavoro S.p.A. – Parte Speciale Pag. 9 a 26
Allegato 7 - Documento sulla sicurezza dati
9 Capitale Lavoro spa
Società Unipersonale della Città Metropolitana di Roma Capitale Sede Legale: via Beniamino Franklin, 8 – 00153 Roma
Tel. +39 06 85358322 Fax +39 06 8541473 P.I./C.F. 07170551001 www.capitalelavoro.it
Dal punto di vista del software, i sistemi informativi sono dotati di diversi applicativi gestionali
dedicati allo svolgimento delle attività istituzionali della società.
È presente un antivirus centralizzato denominato AVG business che si occupa di verificare la
presenza di eventuali virus (sia sui server che sugli end point) e viene costantemente aggiornato.
L’autenticazione alle risorse di rete nell’ambito del domino aziendale Capitalelavoro.local è basata
su standard Windows 2012.
Ogni dipendente ha a disposizione una cartella di rete riservata e, se necessario, condivisa con
altri colleghi sulla quale effettuare il salvataggio dei dati di interesse.
La lunghezza delle password è stata portata ad un minimo di 8 caratteri nel rispetto di complessità
delle “default domain policy”. Per le parole chiave stesse è stata impostata una periodicità di
cambiamento trimestrale.
La rete locale viene gestita attraverso la piattaforma Windows 2012 Server. In tale ambito le
credenziali di autenticazione vengono gestite attraverso le componenti di Windows a ciò
destinate. All’atto della creazione delle credenziali di autenticazione di un utente, viene generato
uno “user account” nel Dominio denominato “capitalelavoro.local”.
Il sistema implementato è caratterizzato dai seguenti punti di controllo chiave oltre ai criteri
generali precedentemente esposti:
✓ ciascun utente viene univocamente definito al Dominio, attraverso l’attribuzione di un
codice identificativo (user-id) personale a cui è associata una parola chiave (password) standard;
al primo log-on al sistema da parte dell’utente il sistema operativo obbliga la modifica della
password iniziale;
✓ la password di rete possono essere resettate dall’Amministratore di Sistema essendo stato
previsto nei PC un account di administrator local proprio per permettere l’accesso in caso di
smarrimento delle credenziali;
✓ le password di rete attualmente sono sottoposte a scadenza periodica;
✓ le password degli utenti hanno una lunghezza minima di 8 caratteri, controllata dal sistema,
e possono essere modificate autonomamente dall’utente.
L’accesso ad internet della rete aziendale è garantito da una connessione FASTWEB ADSL che
garantisce il servizio e la banda concordata nel contratto. Inoltre FASTWEB fornisce anche il
servizio antispam sulla posta Internet.
Il sito internet istituzionale è www.capitalelavoro.it. Il sito è installato sui server forniti in housing
a Capitale Lavoro S.p.A. da una società fornitrice del servizio.
L’infrastruttura di gestione fax prevede solo fax tradizionali.
1.4. Analisi dei rischi
Accesso non autorizzato
Gli Uffici di Capitale Lavoro S.p.A. sono ubicati al piano terra di uno stabile in via Beniamino
Franklin, 8 - 00153 Roma. L’accesso agli uffici è dotato di porta protetta da serratura di sicurezza,
è sorvegliato da un addetto alla ricezione.
La sede è dotata di un sistema di allarme.
MOG Capitale Lavoro S.p.A. – Parte Speciale Pag. 10 a 26
Allegato 7 - Documento sulla sicurezza dati
10 Capitale Lavoro spa
Società Unipersonale della Città Metropolitana di Roma Capitale Sede Legale: via Beniamino Franklin, 8 – 00153 Roma
Tel. +39 06 85358322 Fax +39 06 8541473 P.I./C.F. 07170551001 www.capitalelavoro.it
L’allarme si inserisce in modo automatico alle ore 21.00 e si spegne alle ore 8.00, salvo
spegnimenti o inserimenti effettuati dal personale autorizzato, o aggregato (pulizie) in possesso
del codice appropriato di cui ciascun detentore è responsabile.
Non sono utilizzati sistemi di videosorveglianza. L’accesso è selezionato sulla base del controllo
visivo esercitato dall’addetto alla segreteria. Gli uffici sono dotati di estintori portatili, con
specifici estinguenti. Tutti i sistemi antincendio, sia fissi che mobili, sono tenuti in efficienza con
verifiche periodiche e sono evidenziati mediante apposita segnaletica. Gli estintori sono
distribuiti in tutti gli ambienti, sono posizionati ad altezza adeguata, facilmente accessibili ed
opportunamente segnalati.
Quanto agli archivi elettronici, considerata l’informatizzazione del sistema di gestione ed il
collegamento in rete con i vari uffici dislocati sul territorio, la condivisione o comunque
l’accesso a banche dati detenute presso le varie Istituzioni pubbliche con cui Capitale Lavoro
S.p.A. collabora, il rischio di indebito acceso è di dispersione dei dati non è irrilevante. Al fine
pertanto di ridurre al minimo detto rischio, ad ogni operatore è stato assegnato un PC, dotato
di propria password e USER ID. La password è autonomamente sostituibile ad ogni incaricato.
Sono state inoltre previste procedure di disattivazione del codice identificativo consistenti nella
scadenza della password, sia per le ipotesi di perdita della qualità che di mancato utilizzo per
protratti periodi di tempo.
Sono in uso programmi antivirus con aggiornamento automatico. Sono state attuate le misure di sicurezza relative alla identificazione per iscritto degli incaricati e alle autorizzazioni. Perdita e distruzione dei dati I documenti cartacei vengono tenuti sulla scrivania di ciascun operatore per il tempo strettamente necessario all’espletamento della pratica; vengono trasferiti altrove solo per brevi momenti (ad es. per firme o approvazioni), non rimangono mai incustoditi e sono archiviati al termine dell’utilizzo o, in ogni caso, al termine dell’attività lavorativa. I predetti documenti cartacei, unitamente ai libri sociali e tutti i documenti societari, sono
conservati in armadi chiusi a chiave all’interno degli uffici amministrativi, muniti di serratura, a
cui accede il solo personale addetto.
Sono state adottate inoltre misure specifiche al fine di evitare la possibilità di distruzione sia
degli archivi cartacei che di quelli elettronici in connessione ad eventi esterni ed imprevedibili,
consistenti in idonei sistemi di antincendio.
Quanto agli archivi elettronici, sono stati previsti sistemi antivirus con aggiornamento automatico. Trattamento dei dati non conforme alla finalità della raccolta dei dati stessi Attualmente sono stati predisposti atti scritti di individuazione degli incaricati con relativa autorizzazione al trattamento ed istruzioni comportamentali, ed è stata prevista una procedura di revisione in relazione alle modifiche nell’organico del personale e al mutamento di mansioni.
2. DISTRIBUZIONE DEI COMPITI E RESPONSABILITA’
2 Soggetti interessati
MOG Capitale Lavoro S.p.A. – Parte Speciale Pag. 11 a 26
Allegato 7 - Documento sulla sicurezza dati
11 Capitale Lavoro spa
Società Unipersonale della Città Metropolitana di Roma Capitale Sede Legale: via Beniamino Franklin, 8 – 00153 Roma
Tel. +39 06 85358322 Fax +39 06 8541473 P.I./C.F. 07170551001 www.capitalelavoro.it
Sono state individuate le varie figure organizzative previste dal D.Lgs. 196/2003 All.B.
In particolare:
Il Titolare del Trattamento
E’ il “Titolare del trattamento” la persona fisica, la persona giuridica, la Pubblica Amministrazione e qualsiasi altro Ente, associazione ad organismo cui competono le decisioni in ordine alle finalità ed alle modalità del trattamento di dati personali, ivi compreso il profilo della sicurezza.
In particolare il Titolare del Trattamento effettua: ✓ la nomina del responsabile del trattamento; ✓ l’affidamento degli incarichi al Responsabile; ✓ la vigilanza sull’attività del Responsabile; ✓ l’osservanza delle diposizioni del Garante; ✓ l’adozione delle misure minime di sicurezza; ✓ l’informativa ed il consenso degli utenti al trattamento dei dati sensibili.
Nella specie il Titolare del trattamento è Capitale Lavoro S.p.A., con sede legale in Roma, Via Beniamino Franklin 8, in persona del legale rappresentante: Claudio Panella.
Il Responsabile del Trattamento
E’ la persona fisica, la persona giuridica, la Pubblica Amministrazione e qualsiasi altro Ente, associazione o organismo, dotati di particolare esperienza, capacità ed affidabilità, preposti dal titolare al trattamento dei dati personali. La nomina deve avvenire per atto scritto e deve contenere l’indicazione dei compiti assegnati a ciascun responsabile.
Il Responsabile del Trattamento è tenuto a: ✓ attenersi alle istruzioni impartite dal Titolare; ✓ vigilare sulla puntuale osservanza delle proprie istruzioni circa le concrete modalità di
trattamento dei dati e sull’osservanza delle disposizioni in materia di sicurezza.
Nella caso di Capitale Lavoro S.p.A. Responsabile del Trattamento è Franco Leccese.
Gli Incarichi del Trattamento
Tutti gli operatori di Capitale lavoro S.p.A. che trattano dati personali, e/o sensibili e/o giudiziari vengono designati con atto scritto, quali “Incaricati del trattamento”. È stata inoltre consegnata a ciascuno copia del regolamento contenente le istruzioni comportamentali.
Gli Incaricati del Trattamento devono: ✓ compiere le operazioni di trattamento per le quali sono stati incaricati per iscritto
dal Titolare o dal Responsabile; ✓ elaborare i dati personali a cui hanno acceso attendendosi alle istruzioni del Titolare
o del Responsabile; ✓ rispettare l’obbligo del segreto d’ufficio.
Preposto alla custodia delle parole chiave
Il Preposto deve custodire con cura le parole-chiave e coordinare le modifiche.
MOG Capitale Lavoro S.p.A. – Parte Speciale Pag. 12 a 26
Allegato 7 - Documento sulla sicurezza dati
12 Capitale Lavoro spa
Società Unipersonale della Città Metropolitana di Roma Capitale Sede Legale: via Beniamino Franklin, 8 – 00153 Roma
Tel. +39 06 85358322 Fax +39 06 8541473 P.I./C.F. 07170551001 www.capitalelavoro.it
È designato quale Preposto alle parole – chiave di Capitale Lavoro S.p.A. Francesco Liguori
Amministratore di Sistema
Capitale lavoro S.p.A. è dotata di un Ufficio Sistemi Informativi.
È designato quale Amministratore di Sistema di Capitale Lavoro S.p.A. Francesco Liguori
Saranno adottate tutte le misure tecniche ed organizzative che riguardano tale figura, come prescritto, ai sensi dell’Art. 154 co. 1 lett. h) D.Lgs. n. 196/2003, nel parere del Garante per la privacy del 27/11/2008 (come modificato in base al provvedimento del 25/6/2009). L’attribuzione delle funzioni di Amministratore di Sistema avviene previa valutazione delle caratteristiche di esperienza, capacità e affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. La designazione quale Amministratore di Sistema è individuale e reca l’elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato. Gli estremi identificativi delle persone fisiche Amministratori di Sistema, con l’elenco delle funzioni ad essi attribuite, sono stati riportati nel presente DPS. Poiché gli Amministratori di Sistema intervengono anche su servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale dei lavoratori, il Titolare del Trattamento ha reso nota l’identità degli Amministratori di Sistema. Nell’ambito della propria organizzazione, mediante informativa resa agli interessati ai sensi dell’Art. 13 del Codice nell’ambito del rapporto di lavoro o in alternativa ordine di servizio a circolazione interna. L’operato degli Amministratori di Sistema sarà oggetto, con cadenza almeno annuale di un’attività di verifica da parte del Titolare del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti. Saranno adottati sistemi idonei di registrazione degli accessi logici (autenticazione informata) ai sistemi di elaborazione e agli archivi elettronici da parte degli Amministratori di Sistema. Le registrazione (access log) devono essere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate e devono essere conservate per un periodo non inferiore a sei mesi.
3 Criteri tecnici ed organizzativi – criteri e procedure per le integrità dei dati
Negli archivi informatici di Capitale Lavoro S.p.A. vengono conservati dati personali sia “comuni”
che “sensibili” e “giudiziari”.
In applicazione del D.Lgs. 196/2003 Capitale Lavoro S.p.A. in considerazione dei rischi come
dinnanzi evidenziati, di distruzione o perdita dei dati, di accesso non autorizzati e trattamento non
conforme alla finalità, provvede a fornire ad ogni Incaricato uno specifico codice identificativo ed
una parola chiave (o “password”) di default per l’accesso dei dati personali, che l’incaricato ha
l’obbligo di cambiare.
Ad ogni codice Identificativo – password corrisponde un profilo che consentirà a ciascun
incaricato di accedere ai soli dati strettamente necessari allo svolgimento dei propri compirti.
MOG Capitale Lavoro S.p.A. – Parte Speciale Pag. 13 a 26
Allegato 7 - Documento sulla sicurezza dati
13 Capitale Lavoro spa
Società Unipersonale della Città Metropolitana di Roma Capitale Sede Legale: via Beniamino Franklin, 8 – 00153 Roma
Tel. +39 06 85358322 Fax +39 06 8541473 P.I./C.F. 07170551001 www.capitalelavoro.it
Ogni Incaricato del trattamento mediante elaboratori elettronici è stato informato delle seguenti
regole:
✓ Divieto di accesso e trattamento dei dati, specie se sensibili e giudiziari, che non siano
strettamente necessari per il proprio lavoro;
✓ Sostituzione trimestrale della password (8 caratteri) da parte di ciascun incaricato;
✓ Divieto di utilizzo di uno stesso codice identificativo, anche in tempi diversi da parte di
persone diverse;
✓ Assegnazione e modifica dei codici identificativi personali in modo tale da consentirne la
disattivazione in caso di perdita della qualifica o delle funzioni che consentivano l’accesso
all’elaboratore o di mancato utilizzo dei medesimi per un periodo superiori a sei mesi. A tal
fine il Responsabile dell’amministrazione è tenuto a segnalare al Preposto alla custodia
delle parole – chiave, ogni cambiamento nella Capitale Lavoro S.p.A., al fine di eliminare il
relativo codice identificativo del sistema;
✓ Divieto di utilizzo di uno stesso codice identificativo per accedere contemporaneamente
alla stessa applicazione da diverse stazioni di lavoro. È obbligatorio disconnettersi dalla
stazione di lavoro precedenti e solo dopo riconnettersi da quella successivamente prescelta
✓ Necessità di disconnettersi dalla rete in tutti i casi di significativo allontanamento dalla
postazione di lavoro, e di svuotare quotidianamente il “cestino” di Windows (o analoghi);
✓ Divieto di utilizzo di software non autorizzato da Capitale Lavoro S.p.A.;
✓ Necessità di segnalazione al Responsabile di ogni eventuale disfunzione del sistema
informatico;
✓ Backup settimanale automatico
✓ Divieto di navigazione Internet su siti aventi contenuti estranei all’attività lavorativa e/o alle
mansioni assegnate;
✓ Divieto di download di software prelevati on line e/o pervenuti a mezzo posta elettronica se
non previa specifica autorizzazione del Responsabile dell’Ufficio Servizi Informativi e/o di un
suo incaricato.
✓ Divieto di iscrizione e/o registrazione ai siti, mailing list, forum list, chat line, guest book, i
cui contenuti non siano legati all’attività lavorativa ed in assenza di previa specifica
autorizzazione del proprio superiore diretto;
✓ Divieto di utilizzazione (in entrata e in uscita) della posta elettronica per motivi personali
estranei all’espletamento dell’attività lavorativa e segnatamente di apertura di allegati
posta elettronica provenienti da mittenti sconosciuti e/o inerenti all’espletamento della
propria attività lavorativa;
✓ Divieto di invio a mezzo posta elettronica di allegati particolarmente pesanti soprattutto
ove indirizzati a più destinatari;
✓ Divieto di conservazione sulla memoria del Server di dati non necessari per l’espletamento
della propria attività. A tale fine ogni incaricato deve provvedere alla cancellazione di tali
dati, previa la verifica tecnica del responsabile dell’Ufficio Servizi Informativo e/o un suo
incaricato;
✓ Divieto di connessione alla rete di stazioni di lavori non aziendali (ad es: PC, Portatili
immessi in azienda da consulenti), se non previa autorizzazione del Responsabile ITC e/o di
un suo incaricato.
MOG Capitale Lavoro S.p.A. – Parte Speciale Pag. 14 a 26
Allegato 7 - Documento sulla sicurezza dati
14 Capitale Lavoro spa
Società Unipersonale della Città Metropolitana di Roma Capitale Sede Legale: via Beniamino Franklin, 8 – 00153 Roma
Tel. +39 06 85358322 Fax +39 06 8541473 P.I./C.F. 07170551001 www.capitalelavoro.it
Ogni Incaricato è stato informato delle seguenti regole:
✓ Obbligo di conservazione dei dati solo nei predetti archivi, con divieto pertanto di collocare
i documenti in luoghi diversi, o di lasciarli fuori dagli archivi stessi;
✓ Divieto di lasciare le pratiche contenenti dati personali, specie se sensibili, sulla scrivania o
comunque a portata di mano se non il tempo necessario all’effettivo utilizzo, al termine del
quale i documenti devono essere riposti;
✓ Obbligo di riporre i documenti contenenti i dati personali negli archivi, al termine delle
operazioni affidate;
✓ Obbligo, nel corso della giornata, di riporre la documentazione o negli armadi o nei cassetti,
purché chiusi, in ogni caso di allontanamento dal proprio posto di lavoro;
✓ Registrazione dei soggetti ammessi agli archivi cartacei/non automatizzati contenenti dati
sensibili dopo l’orario di chiusura degli archivi stessi.
Saranno adottate misure concrete per assicurare l’integrità fisica dei dati e per ridurre il rischio di
accesso non autorizzato.
In particolare verranno realizzati ulteriori interventi di adeguamento della struttura logistica e la
previsione di procedure di identificazione dei soggetti terzi che per l’esercizio delle loro funzioni
debbono accedere ai locali ove sono detenuti gli archivi.
4 Procedure di accesso ai locali
Le stanze dei locali ove sono detenuti gli archivi, in assenza dei titolari, vengono chiuse a chiave.
La sede operativa è dotata di impianto antifurto.
Vengono predisposti appositi atti di identificazione, registrazione ed autorizzazione all’accesso
fuori dal normale orario di lavoro sia dal personale che di soggetti terzi (ad esempio. Addetto
pulizie, tecnico addetto alla manutenzione dei sistemi informatici).
È altresì predisposto atto di autorizzazione del tecnico informatico per gli interventi di
manutenzione sia ordinaria che straordinaria.
5 Criteri e procedure per la trasmissione dei dati
Sono state stabilite delle procedure nei flussi verso entità esterne dei dati personali al fine di
evitare, o quanto meno di ridurre, il rischio che il trasferimento di dati possa consentire indebiti
accessi alle informazioni o perdita dei dati (es: identificazione dato, identificazione destinatario,
trasferimento, controllo).
3. PIANIFICAZIONE INTERVENTI FORMATIVI 3.1. Informazione degli incaricati
Allo stato si sta provvedendo a fornire agli incaricati istruzioni scritte circa le modalità di
trattamento dei dati. È previsto un piano di formazione mediante la partecipazione dei singoli
incaricati ad appositi corsi aziendali di formazione.
È prevista la verifica annuale della sussistenza delle condizioni per l’autorizzazione al trattamento
di dati personali e/o sensibili, oltre che l’aggiornamento delle modalità di gestione tramite
sistema informatico in relazione alle modifiche e alle novità tecnologiche.
MOG Capitale Lavoro S.p.A. – Parte Speciale Pag. 15 a 26
Allegato 7 - Documento sulla sicurezza dati
15 Capitale Lavoro spa
Società Unipersonale della Città Metropolitana di Roma Capitale Sede Legale: via Beniamino Franklin, 8 – 00153 Roma
Tel. +39 06 85358322 Fax +39 06 8541473 P.I./C.F. 07170551001 www.capitalelavoro.it
In relazione a quanto sopra ogni anno entro il 31/03 il presente documento verrà aggiornato.
4. TRATTAMENTI ESTERNALIZZATI Capitale Lavoro S.p.A. si avvale della consulenza in outsourcing di professionisti incaricati per gli
adempimenti contabili, fiscali e di contabilità del personale come indicato al precedente punto
1.2.
Nell’effettuare il trasferimento dei dati, comuni e sensibili, ai soggetti terzi la Capitale Lavoro
S.p.A. adotta strategie utili al fine di ridurre al minimo il rischio di perdita dei dati o indebito
accessi.
Il servizio posta elettronica è esternalizzato presso la società Fastweb.
5. PIANO OPERATIVO AZIENDALE
In questo paragrafo si riporta in allegato il POA approvato per l’anno 2016.
MOG Capitale Lavoro S.p.A. – Parte Speciale Pag. 16 a 26
Allegato 7 - Documento sulla sicurezza dati
16 Capitale Lavoro spa
Società Unipersonale della Città Metropolitana di Roma Capitale Sede Legale: via Beniamino Franklin, 8 – 00153 Roma
Tel. +39 06 85358322 Fax +39 06 8541473 P.I./C.F. 07170551001 www.capitalelavoro.it
SEZIONE TABELLARE
MOG Capitale Lavoro S.p.A. – Parte Speciale Pag. 17 a 26
Allegato 7 - Documento sulla sicurezza dati
17 Capitale Lavoro spa
Società Unipersonale della Città Metropolitana di Roma Capitale Sede Legale: via Beniamino Franklin, 8 – 00153 Roma
Tel. +39 06 85358322 Fax +39 06 8541473 P.I./C.F. 07170551001 www.capitalelavoro.it
Elenco dei trattamenti
Struttura di
riferimento
Altre strutture
(anche esterne)
Descrizione
degli strumenti
Finalità del
trattamento o
attività svolta
Categorie di
interessatiSensibili Giudiziari
Contenzioso
Dipendenti
collaboratori,
fornitori
Sede Legale di
Capitale
Lavoro S.p.A.
Strumenti
elettronici
collegati in rete
locale e pubblica
e cartacei
X
Adempimenti
amministrativi,
fiscali e
contabili
Dipendenti
collaboratori,
fornitori
Sede Legale di
Capitale
Lavoro S.p.A.
Strumenti
elettronici
collegati in rete
locale e pubblica
e cartacei
X
Contabilità ed
amministrazio
ne del
personale
Dipendenti
collaboratori,
fornitori
Sede Legale di
Capitale
Lavoro S.p.A.
Studio Pappalardo
Strumenti
elettronici
collegati in rete
locale e pubblica
e cartacei
X
Strumenti
elettronici
collegati in rete
locale e pubblica
Selezione di
personale da
assumere
Dipendenti,
collaboratori
Sede Legale di
Capitale
Lavoro S.p.A.
Studio Pappalardo
Strumenti
elettronici
collegati in rete
locale e pubblica
e cartacei
X X
X
Descrizione sintetica del
trattamento
Natura dei dati
Attività di
realizzazione e
potenziamento
reti
informatiche
Utenti
Dipendenti,
Collaboratori
Sede Legale di
Capitale
Lavoro S.p.A.
Inoltre è riportato in allegato apposito prospetto contenente l’elenco delle commesse affidate a Capitale
Lavoro S.p.A. dalla Provincia di Roma con indicazione della finalità del trattamento, della tipologia dei dati
trattati, della sede, dei destinatari del trattamento.
MOG Capitale Lavoro S.p.A. – Parte Speciale Pag. 18 a 26
Allegato 7 - Documento sulla sicurezza dati
Capitale Lavoro spa Società Unipersonale della Città Metropolitana di Roma Capitale
Sede Legale: via Beniamino Franklin, 8 – 00153 Roma Tel. +39 06 85358322 Fax +39 06 8541473
P.I./C.F. 07170551001 www.capitalelavoro.it
Competenze e responsabilità della struttura centrale preposta al trattamento
Struttura Trattamenti effettuati dalla strutturaDescrizione dei compiti e delle responsabilità della
struttura
Consiglio di AmministrazioneElaborazione, modifica, consultazione, utilizzo, raffronto, comunicazione, diffusione,
blocco dati
Attività di amministrazione ordinaria e straordinaria della
società, ad eccezione di quella affidata all'Amministratore
Delegato
Presidente del Consiglio di
Amministrazione
Elaborazione, modifica, consultazione, utilizzo, raffronto, comunicazione, diffusione,
blocco datiRappresentanza legale e attuazione delle delibere del C.d.A.
Ufficio Staff Presidente ed Internal Audit,
assistenza Organi Collegiali
Amministratore Delegato
Raccolta, Registrazione, Organizzazione, conservazione, Consultazione, Elaborazione,
Modificazione, selezione, Estrazione, Interconnessione, Comunicazione, Diffusione,
Cancellazione, Distruzione
Supporto operativo agli organi sociali, al Presidente
Amministratore DelegatoElaborazione, modifica, consultazione, utilizzo, raffronto, comunicazione, diffusione,
blocco dati
Gestione tecnica aziendale e gestyione del personale con
poteri di spesa; cura dei rapporti istituzionali e delle relazioni
sindacali; programmazione e coordinamento delle attività
delle Aree con determinazione e valutazione degli obiettivi
Segreteria A.D.
Raccolta, Registrazione, Organizzazione, conservazione, Consultazione, Elaborazione,
Modificazione, selezione, Estrazione, Interconnessione, Comunicazione, Diffusione,
Cancellazione, Distruzione
Supporto operativo all'A.D.
Segreteria GeneraleRaccolta, Registrazione, Organizzazione, conservazione, Consultazione, Elaborazione,
Modificazione, selezione, Estrazione, Interconnessione, Comunicazione, Diffusione
Supporto operativo agli Uffici centrali, tenuta del protocollo
generale di ingresso e uscita
Staff di Area Supporto tecnico-legale alle
procedure di esecuzione delle attività
Raccolta, Registrazione, Organizzazione, conservazione, Consultazione, Elaborazione,
Modificazione, selezione, Estrazione, Interconnessione, Comunicazione, DiffusioneSupporto tecnico specialistico all'esecuzione delle attività
Staff di Area Qualità, Privacy,
Certificazione etica, Formazione
Raccolta, Registrazione, Organizzazione, conservazione, Consultazione, Elaborazione,
Modificazione, selezione, Estrazione, Interconnessione, Comunicazione, Diffusione,
Cancellazione, Distruzione
Sviluppo ed implementazione Sistema Qualità aziendale e
trattamento dati personali, supporto allo sviluppob della SA
8000, formazione del personale
Staff di Area Sistemi InformativiRaccolta, Registrazione, Organizzazione, conservazione, Consultazione, Elaborazione,
Modificazione, selezione, Estrazione, Interconnessione, Comunicazione, DiffusionePianificazione e sviluppo dei sistemi Informativi aziendali
Staff di Area Servizio Prevenzione e
Protezione
Raccolta, Registrazione, Organizzazione, conservazione, Consultazione, Elaborazione,
Modificazione, selezione, Estrazione, Interconnessione, Comunicazione
Valutazione dei rischi ed elaborazione misure di sicurezza e
prevenzione
Staff di Area Comunicazione e content
management
Raccolta, Registrazione, Organizzazione, conservazione, Consultazione, Elaborazione,
Modificazione, selezione, Estrazione, Interconnessione, ComunicazionePianificazione e implementazione dei contenuti del sito web
Staff di Area Gare e Contratti
Raccolta, Registrazione, Organizzazione, conservazione, Consultazione, Elaborazione,
Modificazione, selezione, Estrazione, Interconnessione, Comunicazione, Diffusione,
Cancellazione, Distruzione
Gestione operativa delle procedure di affidamento contratti
pubblici e attività di approvviggionamento funzionale alle
esigenze produttive
Staff di Area Monitoraggio finanziario e
dei flussi di spesa
Raccolta, Registrazione, Organizzazione, conservazione, Consultazione, Elaborazione,
Modificazione, selezione, Estrazione, Interconnessione, Comunicazione, Diffusione,
Cancellazione, Distruzione
Verifica e controllo dei flussi finanziari
Staff di Area Archivio e protocollo
informatizzati
Raccolta, Registrazione, Organizzazione, conservazione, Consultazione, Elaborazione,
Modificazione, selezione, Estrazione, Interconnessione, Comunicazione, Diffusione,
Cancellazione, Distruzione
Gestione operativa dell'archivio
Staff di Area Studi e documentazione
Raccolta, Registrazione, Organizzazione, conservazione, Consultazione, Elaborazione,
Modificazione, selezione, Estrazione, Interconnessione, Comunicazione, Diffusione,
Cancellazione, Distruzione
Anali e studi
Area Produzione
Raccolta, Registrazione, Organizzazione, conservazione, Consultazione, Elaborazione,
Modificazione, selezione, Estrazione, Interconnessione, Comunicazione, Diffusiobne,
Cancellazione, Distruzione
Ideazione, supervisione controllo e coordinamento attività
progettuali
Area Produzione: progettazione e
organizzazione e gestione delle
commesse
Raccolta, Registrazione, Organizzazione, conservazione, Consultazione, Elaborazione,
Modificazione, selezione, Estrazione, Interconnessione, Comunicazione, Diffusione,
Cancellazione, Distruzione
Gestione operativa delle Commesse
Area Produzione: supporto tecnico
specializzato presso l'Ufficio Gare
Raccolta, Registrazione, Organizzazione, conservazione, Consultazione, Elaborazione,
Modificazione, selezione, Estrazione, Interconnessione, Comunicazione, Diffusione,
Cancellazione, Distruzione
Amministrazione dati commesse
Area Produzione: Sviluppo e selezione
delle Risorse Umane
Raccolta, Registrazione, Organizzazione, conservazione, Consultazione, Elaborazione,
Modificazione, selezione, Estrazione, Interconnessione, Comunicazione, Diffusione,
Cancellazione, Distruzione
Sviluppo e selezione delle risorse umane
Area Gestione e Organizzazione
personale
Raccolta, Registrazione, Organizzazione, conservazione, Consultazione, Elaborazione,
Modificazione, selezione, Estrazione, Interconnessione, Comunicazione, Diffusione,
Cancellazione, Distruzione
Gestione ed amministrazione del personale dipendente
Area gestione e organizzazione
personale: supporto organizzazione e
gestione
Raccolta, Registrazione, Organizzazione, conservazione, Consultazione, Elaborazione,
Modificazione, selezione, Estrazione, Interconnessione, Comunicazione, Diffusione,
Cancellazione, Distruzione
Supporto alla gestione e amministrazione del personale
dipendente
Area Servizi Amministrativi
Raccolta, Registrazione, Organizzazione, conservazione, Consultazione, Elaborazione,
Modificazione, selezione, Estrazione, Interconnessione, Comunicazione, Diffusione,
Cancellazione, Distruzione
Attività amministrativa, finanziaria e controllo di gestione
Area Amministrazione: Paghe, contributi
e contratti
Raccolta, Registrazione, Organizzazione, conservazione, Consultazione, Elaborazione,
Modificazione, selezione, Estrazione, Interconnessione, Comunicazione, Diffusione,
Cancellazione, Distruzione
Adempimento obblighi contrattuali, contributivi e fiscali
relativi al personale
Area Amministrazione: Contabilità e
finanza, gestione prestazioni
professionali, controllo di gestione
Raccolta, Registrazione, Organizzazione, conservazione, Consultazione, Elaborazione,
Modificazione, selezione, Estrazione, Interconnessione, Comunicazione, Diffusione,
Cancellazione, Distruzione
Gestione operativa di accordi finanziari e fluidità di cassa
Area Amministrazione: Rendicontazione
Raccolta, Registrazione, Organizzazione, conservazione, Consultazione, Elaborazione,
Modificazione, selezione, Estrazione, Interconnessione, Comunicazione, Diffusione,
Cancellazione, Distruzione
Controllo su spese e regolarità contabile delle attività
finanziate con fondi FSE
MOG Capitale Lavoro S.p.A. – Parte Speciale Pag. 19 a 26
Allegato 7 - Documento sulla sicurezza dati
Capitale Lavoro spa Società Unipersonale della Città Metropolitana di Roma Capitale
Sede Legale: via Beniamino Franklin, 8 – 00153 Roma Tel. +39 06 85358322 Fax +39 06 8541473
P.I./C.F. 07170551001 www.capitalelavoro.it
Classi omogenee di incarico e profili di autorizzazione
Tipologia di dati trattabili Modalità di trattamento consentite
Consiglio di AmministrazioneAl Consiglio di Amministrazione è attribuita la facoltà di
trattare tutte le tipologie di datiTutte
Presidente del Consiglio di AmministrazioneAl Presidente del Consiglio di Amministrazione è attribuita
la facoltà di trattare tutte le tipologie di datiTutte
Ufficio Staff Presidente ed Internal Audit, assistenza Organi
Collegiali
E' attribuita la facoltà di trattare tutte le tipologie di dati, nei
limiti delle proprie competenzeTutte
Amministratore DelegatoAll'Amministratore Delegato è attribuita la facoltà di trattare
tutte le tipologie di datiTutte
Segreteria Amministratore DelegatoE' attribuita la facoltà di trattare tutte le tipologie di dati, nei
limiti delle proprie competenzeTutte
Segreteria GeneraleE' attribuita la facoltà di trattare tutte le tipologie di dati, nei
limiti delle proprie competenzeTutte
Direttore Esecutivo Staff di areaE' attribuita la facoltà di trattare tutte le tipologie di dati, nei
limiti delle proprie competenzeTutte
Staff di Area Supporto tecnico-legale alle procedure di
esecuzione delle attività
E' attribuita la facoltà di trattare tutte le tipologie di dati, nei
limiti delle proprie competenzeTutte
Staff di Area Qualità, Privacy, c ertificazione etica,
Formazione
E' attribuita la facoltà di trattare tutte le tipologie di dati, nei
limiti delle proprie competenzeTutte
Staff di Area Sistemi InformativiE' attribuita la facoltà di trattare tutte le tipologie di dati, nei
limiti delle proprie competenzeTutte
Staff di Area Comunicazione e content management Non tratta dati personali né sensibili Nessuna
Staff di Area Gare e ContrattiE' attribuita la facoltà di trattare tutte le tipologie di dati, nei
limiti delle proprie competenzeTutte
Staff di Area monitoraggio finanziario e dei flussi di spesaE' attribuita la facoltà di trattare tutte le tipologie di dati, nei
limiti delle proprie competenzeTutte
Staff di Area Archivio e protocollo informatizzatoE' attribuita la facoltà di trattare tutte le tipologie di dati, nei
limiti delle proprie competenzeTutte
Staff di Area Studi e documentazione Non tratta dati personali né sensibili Nessuna
Direttore Area Amministrativa E' attribuita la facoltà di trattare tutte le tipologie di dati Tutte
Area Amministrazione: paghe, contributi e contrattiE' attribuita la facoltà di trattare tutte le tipologie di dati, nei
limiti delle proprie competenzeTutte
Area Amministrazione: contabilità, finanza, gestione
prestazioni professionali, controllo di gestione
E' attribuita la facoltà di trattare tutte le tipologie di dati, nei
limiti delle proprie competenzeTutte
Area Amministrazione: rendicontazioneE' attribuita la facoltà di trattare tutte le tipologie di dati, nei
limiti delle proprie competenzeTutte
Responsabile Area Gestione e organizzazione personaleE' attribuita la facoltà di trattare tutte le tipologie di dati, nei
limiti delle proprie competenzeTutte
Area Gestione e organizzaione personale: supporto
organizzazione e gestione
E' attribuita la facoltà di trattare tutte le tipologie di dati, nei
limiti delle proprie competenzeTutte
Direttore Area produzione E' attribuita la facoltà di trattare tutte le tipologie di dati Tutte
Area Produzione: progettazione e organizzazione e gestione
delle commesse
E' attribuita la facoltà di trattare tutte le tipologie di dati, nei
limiti delle proprie competenzeTutte
Area Produzione: supporto tecnico specializzatoE' attribuita la facoltà di trattare tutte le tipologie di dati, nei
limiti delle proprie competenzeTutte
Direttore Area Produzione: sviluppo e selezione delle
risorse umaneE' attribuita la facoltà di trattare tutte le tipologie di dati Tutte
Profili di autorizzazioneClassi omogenee di incarico
MOG Capitale Lavoro S.p.A. – Parte Speciale Pag. 20 a 26
Allegato 7 - Documento sulla sicurezza dati
Capitale Lavoro spa Società Unipersonale della Città Metropolitana di Roma Capitale
Sede Legale: via Beniamino Franklin, 8 – 00153 Roma Tel. +39 06 85358322 Fax +39 06 8541473
P.I./C.F. 07170551001 www.capitalelavoro.it
Analisi dei rischi
Rischi Si/No
Descrizione dell'impatto sulla sicurezza
(gravità: alta/media/bassa)
Comportamenti degli operatori
Sottrazione di credenziali di
autenticazione No
Carenza di consapevolezza, disattenzione
o incuria Si Bassa
Comportamenti sleali o fraudolenti No
Errore materiale Si Bassa
Altro evento No
Eventi relativi agli strumenti Bassa
Virus informatici Si Bassa
Spamming Si Bassa
Malfunzionamento, indisponibilità o
degrado degli strumenti Si
Accessi esterni non autorizzati No
Intercettazione di informazioni in rete No
Altro evento No
Eventi relativi al contesto
Accessi non autorizzati ai locali No
Sottrazione di strumenti contenenti dati No
Eventi distruttivi, naturali o artificiali Si Bassa
Guasto ai sistemi Si Bassa
Errori umani Si Bassa
Altro evento No
MOG Capitale Lavoro S.p.A. – Parte Speciale Pag. 21 a 26
Allegato 7 - Documento sulla sicurezza dati
21 Capitale Lavoro spa
Società Unipersonale della Città Metropolitana di Roma Capitale Sede Legale: via Beniamino Franklin, 8 – 00153 Roma
Tel. +39 06 85358322 Fax +39 06 8541473 P.I./C.F. 07170551001 www.capitalelavoro.it
Misure di sicurezza – sede tirso
MisureDescrizione dei rischi
contrastati
Trattamenti
interessati
Misura già in
essere
Misura da
adottare
Struttura o persone addette
all'adozione
Antifurto Accessi non autorizzati Custodia Sistemi di allarme Staff gare e acquisti
Antincendio Perdita e distribuzione Custodia Sistemi antincendio Staff servizio prevenzione e protezione
Accessi seleziontaiAccessi non autorizzati e
trattamento non conformeCustodia, elaborazione
Informatica e
logisticaArea Gestione e organizzazione personale
Armadi con serraturaAccessi non autorizzati e perdita
e distruzioneCustodia, elaborazione Logistica Staff gare e acquisti
PasswordAccessi non autorizzati e
trattamento non conforme
Elaborazione, modifica,
consultazione,
cancellazione
Si Staff di Area Sistemi informativi
Sostuzione automatica
password
Accessi non autorizzati e
trattamento non conforme
Elaborazione, modifica,
consultazione,
cancellazione
Si Staff di Area Sistemi informativi
Codice identificativoAccessi non autorizzati e
trattamento non conforme
Elaborazione, modifica,
consultazione,
cancellazione
Si Staff di Area Sistemi informativi
Disattivazione
password e ID
Accessi non autorizzati e
trattamento non conforme
Elaborazione, modifica,
consultazione,
cancellazione
Si Staff di Area Sistemi informativi
Tecniche di cifraturaAccessi non autorizzati e
trattamento non conforme
Elaborazione, modifica,
consultazione,
cancellazione
Fase di
realizzazioneStaff di Area Sistemi informativi
Programmi antivirus Perdita e distribuzione Tutti Si Staff di Area Sistemi informativi
Aggiornamento
automatico antivirusPerdita e distribuzione Tutti Si Staff di Area Sistemi informativi
Autorizzazioni incaricati Trattamento non conforme
Elaborazione, modifica,
consultazione,
cancellazione
SiStaff di Area Qualità, privacy,
certificazione etica, formazione
Aggiornamenti
autorizzazioniTrattamento non conforme
Elaborazione, modifica,
consultazione,
cancellazione
SiStaff di Area Qualità, privacy,
certificazione etica, formazione
MOG Capitale Lavoro S.p.A. – Parte Speciale Pag. 22 a 26
Allegato 7 - Documento sulla sicurezza dati
22 Capitale Lavoro spa
Società Unipersonale della Città Metropolitana di Roma Capitale Sede Legale: via Beniamino Franklin, 8 – 00153 Roma
Tel. +39 06 85358322 Fax +39 06 8541473 P.I./C.F. 07170551001 www.capitalelavoro.it
Criteri e procedure per il salvataggio dei dati
Banca DatiCriteri e procedure per il salvataggio
datiLuogo di custodia delle copie Struttura o persona incaricata del salvataggio
Fornitori Back up periodico automaticoArchivi tenuti presso la sede
Legale di Capitale Lavoro S.p.A.Staff di Area Sistemi Informativi
Dipendenti Back up periodico automaticoArchivi tenuti presso la sede
Legale di Capitale Lavoro S.p.A.Staff di Area Sistemi Informativi
Collaboratori Back up periodico automaticoArchivi tenuti presso la sede
Legale di Capitale Lavoro S.p.A.Staff di Area Sistemi Informativi
Utenti Back up periodico automatico
Archivi tenuti presso la sede
Legale di Capitale Lavoro S.p.A.
o presso la Provincia di Roma
Staff di Area Sistemi Informativi
MOG Capitale Lavoro S.p.A. – Parte Speciale Pag. 23 a 26
Allegato 7 - Documento sulla sicurezza dati
23 Capitale Lavoro spa
Società Unipersonale della Città Metropolitana di Roma Capitale Sede Legale: via Beniamino Franklin, 8 – 00153 Roma
Tel. +39 06 85358322 Fax +39 06 8541473 P.I./C.F. 07170551001 www.capitalelavoro.it
Interventi formativi
Descrizione sintetica degli
interventi formativi
Classe di incarico o tipologie
degli incaricati interessatiTempi previsti
Redazione e consegna delle
istruzioni procedimentaliTutti i dipendenti Immediata
Corsi di formazione in fase di realizzazione
MOG Capitale Lavoro S.p.A. – Parte Speciale Pag. 24 a 26
Allegato 7 - Documento sulla sicurezza dati
24 Capitale Lavoro spa
Società Unipersonale della Città Metropolitana di Roma Capitale Sede Legale: via Beniamino Franklin, 8 – 00153 Roma
Tel. +39 06 85358322 Fax +39 06 8541473 P.I./C.F. 07170551001 www.capitalelavoro.it
Trattamenti affidati all’esterno
Descrizione sintetica
dell'attività esternalizzata
Trattamento dei dati
interessatiSoggetto esterno Criteri per l'adozione delle misure
Elaborazione contabilità del
personale
Elaborazione, modifica,
cosultazione, cancellazione,
conservazione
Studio Pappalardo
Sono state predisposte le misure minime di
sicurezza di cui all. BTU 196/03 per il
trattamento dei dati personali e sensibili
provenienti da Capitale Lavoro S.p.A.
Contenzioso e consulenza
legale
Elaborazione, modifica,
cosultazione, cancellazione,
conservazione
Avvocatura Provincia di
Roma, Responsabile Dott.
Avv. Massimiliano Sieni
Sono state predisposte le misure minime di
sicurezza di cui all. BTU 196/03 per il
trattamento dei dati personali e sensibili
provenienti da Capitale Lavoro S.p.A.
Visite mediche preassuntive
e di controllo ex TU 81/2008
Elaborazione, modifica,
cosultazione, cancellazione,
conservazione
Dott.ssa Elisa Romeo
Sono state predisposte le misure minime di
sicurezza di cui all. BTU 196/03 per il
trattamento dei dati personali e sensibili
provenienti da Capitale Lavoro S.p.A.
MOG Capitale Lavoro S.p.A. – Parte Speciale Pag. 25 a 26
Allegato 7 - Documento sulla sicurezza dati
25 Capitale Lavoro spa
Società Unipersonale della Città Metropolitana di Roma Capitale Sede Legale: via Beniamino Franklin, 8 – 00153 Roma
Tel. +39 06 85358322 Fax +39 06 8541473 P.I./C.F. 07170551001 www.capitalelavoro.it
SEZIONE DI AUTENTICAZIONE
MOG Capitale Lavoro S.p.A. – Parte Speciale Pag. 26 a 26
Allegato 7 - Documento sulla sicurezza dati
26 Capitale Lavoro spa
Società Unipersonale della Città Metropolitana di Roma Capitale Sede Legale: via Beniamino Franklin, 8 – 00153 Roma
Tel. +39 06 85358322 Fax +39 06 8541473 P.I./C.F. 07170551001 www.capitalelavoro.it
Il presente documento si compone di 26 pagine, è suddiviso in tre sezioni (Descrittiva, Tabellare e di
autenticazione) ed è stato redatto secondo le previsioni contenute nel D.Lgs 196/03 con particolare
riferimento alle specifiche dell’art. 34 ed al Disciplinare Tecnico (all.B) nonché alle indicazioni fornite
dall’Autorità Garante per la Protezione dei Dati Personali in data 11/06/2004 con la Guida Operativa.