DOCUMENTO SULLA SICUREZZA DATI D.lgs. 196/2003 e ss.mm.ii. · 2 DISTRIBUZIONE DEI COMPITI E RESPONSABILITA 11 2.1.Soggetti interessati 11 2.2.Criteri tecnici ed organizzativi –

MOG Capitale Lavoro S.p.A. – Parte Speciale Pag. 1 a 26

Allegato 7 - Documento sulla sicurezza dati

Capitale Lavoro spa Società Unipersonale della Città Metropolitana di Roma Capitale

Sede Legale: via Beniamino Franklin, 8 – 00153 Roma Tel. +39 06 85358322 Fax +39 06 8541473

P.I./C.F. 07170551001 www.capitalelavoro.it

CAPITALE LAVORO SPA

DOCUMENTO SULLA SICUREZZA DATI

D.lgs. 196/2003 e ss.mm.ii.

http://www.capitalelavoro.it/



2 Capitale Lavoro spa

Società Unipersonale della Città Metropolitana di Roma Capitale Sede Legale: via Beniamino Franklin, 8 – 00153 Roma

Tel. +39 06 85358322 Fax +39 06 8541473 P.I./C.F. 07170551001 www.capitalelavoro.it

INDICE

SEZIONE DESCRITTIVA 3

1 ELENCAZIONI TRATTAMENTI DEI DATI PERSONALI 5

1.1. Tipologia del trattamento dati 5 Finalità del trattamento o attività svolta 5 Struttura organizzativa 5 Categoria di persone a cui si riferiscono i dati 5 Elencazione banche dati 5 Natura dei dati 6 Modalità di trattamento 7

1.2. Altre strutture che concorrono al trattamento 8 1.3. Descrizione degli strumenti elettronici 8 1.4. Analisi dei rischi 10

Accesso non autorizzato 10 Perdita e distribuzione dei dati Trattamento dei dati non conforme alla finalità della raccolta dei dati stessi 11

2 DISTRIBUZIONE DEI COMPITI E RESPONSABILITA 11 2.1. Soggetti interessati 11 2.2. Criteri tecnici ed organizzativi – criteri e procedure per la integrità dei dati 13 2.3. Procedure di accesso ai locali 15 2.4. Criteri e procedure per la trasmissione dati 16

3 PIANIFICAZIONE INTERVENTI FORMATIVI 17

3.1. Informazione degli incaricati 17

4 TRATTAMENTI ESTERNALIZZATI 18 5 PIANO OPERATIVO AZIENDALE

SEZIONE TABELLARE 19

Elenco dei trattamenti 20 Competenze e responsabilità delle struttura centrale preposta al trattamento 21 Classi omogenee di incarico e profili di autorizzazione 22 Analisi dei rischi 23 Misure di sicurezze – sede Tirso 24 Criteri e procedure per il salvataggio dei dati 25 Interventi informativi 26 Trattamenti affidati all’esterno 27

SEZIONE DI AUTENTICAZIONE 28







SEZIONE DESCRITTIVA







1. ELENCAZIONI TRATTAMENTI DEI DATI PERSONALI

1.1. Tipologia del trattamento dati

Finalità del trattamento o attività svolta

Nell’esecuzione delle commesse da parte del personale di Capitale Lavoro S.p.A., si possono

riscontrare implicazioni in termini di acquisizione e trattamento di dati personali, sensibili e

giudiziari rilevanti ai sensi del D.Lgs. 196/2003 e successive modifiche ed integrazioni.

Struttura organizzativa

La sede legale ed amministrativa è in via Beniamino Franklin, 8 00153 Roma. I locali sono ubicati al

piano terra. L’accesso agli uffici è diretto dal marciapiede ed è sorvegliato da almeno un addetto

alla ricezione.

La sede è strutturata sul modello “open space”: una sala unica nella quale sono distribuiti i vari

uffici, separati da pareti divisorie trasparenti rimuovibili, come da planimetria seguente.

Le scritture contabili, i documenti amministrativi e fiscali sono detenuti in armadi ubicati degli

uffici in questione.













Categoria di persone a cui si riferiscono i dati

I dati raccolti da Capitale Lavoro S.p.A. riguardano:

• cittadini ed enti utenti dei servizi offerti a supporto della Città metropolitana di Roma

Capitale;

• dipendenti;

• collaboratori;

• fornitori;

• candidati per selezioni per formatori e docenti di corsi erogati nelle scuole tematiche;

Elencazione banche dati

Al fine di garantire che il trattamento dei dati personali avvenga nel rispetto dei principi di

correttezza e liceità, Capitale Lavoro S.p.A. ha attivato un processo di classificazione e rilevazione

delle banche dati, per le quali assume la qualifica di “Titolare” ai sensi del D.Lgs. 196/2003.

Sono state censite, inoltre, le modalità previste per il trattamento dei dati personali, con

particolare riguardo a quelli effettuati con strumenti elettronici e comunque automatizzati ed a

quelli concernenti dati sensibili, giudiziari o dati che presentano rischi specifici (art.17 del D.Lgs.

196/2003).

Non sono menzionate, nel presente documento, le banche dati che non contengano dati personali

o sensibili, come definiti ai sensi dell’art. 4 del D.Lgs. 196/2003.

I dati oggetto dei trattamenti sono riconducibili alle seguenti categorie:

• Banche dati relative agli utenti dei vari servizi svolti in convenzione con la Città

metropolitana di Roma Capitale;

• Banche dati relative ai dipendenti;

• Banche dati relative ai collaboratori;

• Banche dati relative ai fornitori;

• Banche dati relative al contenzioso.

Natura dei dati

Capitale Lavoro S.p.A. effettua trattamenti di dati personali nell’esercizio della propria attività

istituzionale a supporto della Città metropolitana di Roma Capitale relativamente a:

• soggetti terzi;

• fornitori;

• personale dipendente,

• collaboratori.

I dati personali sono generalmente forniti direttamente dagli utenti dei servizi e dai soggetti

interessati o raccolti mediante acquisizione di informazioni gestite da Enti quali Città







metropolitana, Comune, Municipio, ASL, Questura, Prefettura, Tribunali ed istituzioni pubbliche e

private.

Codice dati Tipologie di dati trattati

01 Dati personali degli utenti dei servizi svolti in convenzione con la Città metropolitana di Roma Capitale

02 Dati personali dei lavoratori dipendenti, quali quelli necessari al rapporto di lavoro, alla reperibilità ed alla corrispondenza con gli stessi o richiesti ai fini fiscali e previdenziali o dati di natura bancaria

03 Dati personali dei collaboratori, quali quelli necessari al rapporto di collaborazione, alla reperibilità ed alla corrispondenza con gli stessi o richiesti ai fini fiscali e previdenziali o dati di natura bancaria

04 Dati personali dei fornitori di beni o servizi concernenti la reperibilità e la corrispondenza con gli stessi, nonché inerenti ai fini fiscali o dati di natura bancaria

05 Dati personali di professionisti e consulenti cui Capitale Lavoro S.p.A. affida incarichi, quali quelli concernenti la reperibilità e la corrispondenza con gli stessi, nonché inerenti a finalità fiscali o dati di natura bancaria

06 Dati sensibili del personale dipendente, conseguenti al rapporto di lavoro, ovvero inerenti ai rapporti con gli enti previdenziali ed assistenziali, o dati giudiziari del personale dipendente, o l’adesione ad organizzazioni sindacali

Modalità di trattamento

Le tipologie di dati precedentemente elencate sono sottoposte alle seguenti modalità di

trattamento previste dal Codice, art.4 lettera a):

Modalità di trattamento

Raccolta

Registrazione

Organizzazione

Conservazione

Consultazione

Elaborazione

Modificazione

Selezione

Estrazione

Raffronto

Utilizzo

Interconnesione

Blocco

Comunicazione

Diffusione

Cancellazione

Distruzione







1.2. Altre strutture che concorrono al trattamento

Capitale Lavoro S.p.A. si avvale della consulenza di professionisti incaricati per gli adempimenti

contabili, fiscali e di contabilità del personale.

In particolare, lo studio di consulenza del Dott. Cristiano Marini è incaricato di fornire assistenza e

consulenza specialistica in materia di gestione economica-giuridica del personale, analisi

normativa delle fattispecie esistenti presso il Committente e aggiornamento sulle novità

normative d’ interesse che dovessero verificarsi; redazione di pareri professionale in materia di

legislazione giuslavoristica, previdenziale sindacale e sociale; assistenza telefonica e via mail per le

istanze degli uffici, anche attraverso l’ istituzione di una casella mail dedicata e presidiata;

assistenza presso la sede dell’azienda per 2 mattine al mese, ad intervalli di 15 giorni.

Capitale Lavoro S.p.A. si avvale delle prestazioni professionali della Dott.ssa Elisa Romeo per

l’effettuazione delle visite mediche pre-assuntive ed in corso di rapporto di lavoro, in conformità

al T.U. 81/2008.

1.3. Descrizione degli strumenti elettronici

La cura di tutti i servizi informatici è affidata all’Area Sistemi Informativi, che ha il compito della

gestione di tutte le problematiche relative all’infrastruttura tecnologica (server, apparati di rete,

PC, ecc.), alla rete foni/dati e agli applicativi software di tutto il portfolio facente capo a Capitale

Lavoro S.p.A.

Per quanto riguarda i trattamenti che rientrano nella privacy, le funzionalità gestite sono:

✓ gestione account;

✓ gestione delle banche dati;

✓ impostazione dei parametri di sicurezza della rete (impostazioni condivise con

l’amministratore dei sistemi della Città Metropolitana di Roma Capitale)

✓ backup dei dati.

Nella attuale configurazione dei Sistemi Informativi di Capitale Lavoro S.p.A. i server fisici utilizzati

sono n. 3.

Tali server solo allocati in apposito armadio rack nel locale adibito a Centro Elaborazione Dati

(CED) dell’azienda, sito in Via Beniamino Franklin, 8 - 00153 Roma. Per garantire che all’interno

del CED i server lavorino alla corretta temperatura di esercizio (tipicamente individuabile nel

range 10 – 28 oC), all’interno del locale è presente un impianto di condizionamento. E’ presente

altresì un gruppo statico di continuità (detto anche UPS - Uninterruptible Power Supply) per

garantire costantemente l’alimentazione in corrente alternata delle apparecchiature. Il libero

accesso al CED è inibito grazie alla presenza di una porta costantemente chiusa a chiave. La

custodia della chiave di accesso è a carico del Responsabile dell’Ufficio Sistemi Informativi.

Esistono inoltre 20 macchine virtuali utilizzate sui vari progetti.

Il numero dei personal computer (desktop e portatili) è pari a 80, dislocati prevalentemente

presso la sede centrale di Capitale Lavoro S.p.A..







Dal punto di vista del software, i sistemi informativi sono dotati di diversi applicativi gestionali

dedicati allo svolgimento delle attività istituzionali della società.

È presente un antivirus centralizzato denominato AVG business che si occupa di verificare la

presenza di eventuali virus (sia sui server che sugli end point) e viene costantemente aggiornato.

L’autenticazione alle risorse di rete nell’ambito del domino aziendale Capitalelavoro.local è basata

su standard Windows 2012.

Ogni dipendente ha a disposizione una cartella di rete riservata e, se necessario, condivisa con

altri colleghi sulla quale effettuare il salvataggio dei dati di interesse.

La lunghezza delle password è stata portata ad un minimo di 8 caratteri nel rispetto di complessità

delle “default domain policy”. Per le parole chiave stesse è stata impostata una periodicità di

cambiamento trimestrale.

La rete locale viene gestita attraverso la piattaforma Windows 2012 Server. In tale ambito le

credenziali di autenticazione vengono gestite attraverso le componenti di Windows a ciò

destinate. All’atto della creazione delle credenziali di autenticazione di un utente, viene generato

uno “user account” nel Dominio denominato “capitalelavoro.local”.

Il sistema implementato è caratterizzato dai seguenti punti di controllo chiave oltre ai criteri

generali precedentemente esposti:

✓ ciascun utente viene univocamente definito al Dominio, attraverso l’attribuzione di un

codice identificativo (user-id) personale a cui è associata una parola chiave (password) standard;

al primo log-on al sistema da parte dell’utente il sistema operativo obbliga la modifica della

password iniziale;

✓ la password di rete possono essere resettate dall’Amministratore di Sistema essendo stato

previsto nei PC un account di administrator local proprio per permettere l’accesso in caso di

smarrimento delle credenziali;

✓ le password di rete attualmente sono sottoposte a scadenza periodica;

✓ le password degli utenti hanno una lunghezza minima di 8 caratteri, controllata dal sistema,

e possono essere modificate autonomamente dall’utente.

L’accesso ad internet della rete aziendale è garantito da una connessione FASTWEB ADSL che

garantisce il servizio e la banda concordata nel contratto. Inoltre FASTWEB fornisce anche il

servizio antispam sulla posta Internet.

Il sito internet istituzionale è www.capitalelavoro.it. Il sito è installato sui server forniti in housing

a Capitale Lavoro S.p.A. da una società fornitrice del servizio.

L’infrastruttura di gestione fax prevede solo fax tradizionali.

1.4. Analisi dei rischi

Accesso non autorizzato

Gli Uffici di Capitale Lavoro S.p.A. sono ubicati al piano terra di uno stabile in via Beniamino

Franklin, 8 - 00153 Roma. L’accesso agli uffici è dotato di porta protetta da serratura di sicurezza,

è sorvegliato da un addetto alla ricezione.

La sede è dotata di un sistema di allarme.








L’allarme si inserisce in modo automatico alle ore 21.00 e si spegne alle ore 8.00, salvo

spegnimenti o inserimenti effettuati dal personale autorizzato, o aggregato (pulizie) in possesso

del codice appropriato di cui ciascun detentore è responsabile.

Non sono utilizzati sistemi di videosorveglianza. L’accesso è selezionato sulla base del controllo

visivo esercitato dall’addetto alla segreteria. Gli uffici sono dotati di estintori portatili, con

specifici estinguenti. Tutti i sistemi antincendio, sia fissi che mobili, sono tenuti in efficienza con

verifiche periodiche e sono evidenziati mediante apposita segnaletica. Gli estintori sono

distribuiti in tutti gli ambienti, sono posizionati ad altezza adeguata, facilmente accessibili ed

opportunamente segnalati.

Quanto agli archivi elettronici, considerata l’informatizzazione del sistema di gestione ed il

collegamento in rete con i vari uffici dislocati sul territorio, la condivisione o comunque

l’accesso a banche dati detenute presso le varie Istituzioni pubbliche con cui Capitale Lavoro

S.p.A. collabora, il rischio di indebito acceso è di dispersione dei dati non è irrilevante. Al fine

pertanto di ridurre al minimo detto rischio, ad ogni operatore è stato assegnato un PC, dotato

di propria password e USER ID. La password è autonomamente sostituibile ad ogni incaricato.

Sono state inoltre previste procedure di disattivazione del codice identificativo consistenti nella

scadenza della password, sia per le ipotesi di perdita della qualità che di mancato utilizzo per

protratti periodi di tempo.

Sono in uso programmi antivirus con aggiornamento automatico. Sono state attuate le misure di sicurezza relative alla identificazione per iscritto degli incaricati e alle autorizzazioni. Perdita e distruzione dei dati I documenti cartacei vengono tenuti sulla scrivania di ciascun operatore per il tempo strettamente necessario all’espletamento della pratica; vengono trasferiti altrove solo per brevi momenti (ad es. per firme o approvazioni), non rimangono mai incustoditi e sono archiviati al termine dell’utilizzo o, in ogni caso, al termine dell’attività lavorativa. I predetti documenti cartacei, unitamente ai libri sociali e tutti i documenti societari, sono

conservati in armadi chiusi a chiave all’interno degli uffici amministrativi, muniti di serratura, a

cui accede il solo personale addetto.

Sono state adottate inoltre misure specifiche al fine di evitare la possibilità di distruzione sia

degli archivi cartacei che di quelli elettronici in connessione ad eventi esterni ed imprevedibili,

consistenti in idonei sistemi di antincendio.

Quanto agli archivi elettronici, sono stati previsti sistemi antivirus con aggiornamento automatico. Trattamento dei dati non conforme alla finalità della raccolta dei dati stessi Attualmente sono stati predisposti atti scritti di individuazione degli incaricati con relativa autorizzazione al trattamento ed istruzioni comportamentali, ed è stata prevista una procedura di revisione in relazione alle modifiche nell’organico del personale e al mutamento di mansioni.

2. DISTRIBUZIONE DEI COMPITI E RESPONSABILITA’

2 Soggetti interessati







Sono state individuate le varie figure organizzative previste dal D.Lgs. 196/2003 All.B.

In particolare:

Il Titolare del Trattamento

E’ il “Titolare del trattamento” la persona fisica, la persona giuridica, la Pubblica Amministrazione e qualsiasi altro Ente, associazione ad organismo cui competono le decisioni in ordine alle finalità ed alle modalità del trattamento di dati personali, ivi compreso il profilo della sicurezza.

In particolare il Titolare del Trattamento effettua: ✓ la nomina del responsabile del trattamento; ✓ l’affidamento degli incarichi al Responsabile; ✓ la vigilanza sull’attività del Responsabile; ✓ l’osservanza delle diposizioni del Garante; ✓ l’adozione delle misure minime di sicurezza; ✓ l’informativa ed il consenso degli utenti al trattamento dei dati sensibili.

Nella specie il Titolare del trattamento è Capitale Lavoro S.p.A., con sede legale in Roma, Via Beniamino Franklin 8, in persona del legale rappresentante: Claudio Panella.

Il Responsabile del Trattamento

E’ la persona fisica, la persona giuridica, la Pubblica Amministrazione e qualsiasi altro Ente, associazione o organismo, dotati di particolare esperienza, capacità ed affidabilità, preposti dal titolare al trattamento dei dati personali. La nomina deve avvenire per atto scritto e deve contenere l’indicazione dei compiti assegnati a ciascun responsabile.

Il Responsabile del Trattamento è tenuto a: ✓ attenersi alle istruzioni impartite dal Titolare; ✓ vigilare sulla puntuale osservanza delle proprie istruzioni circa le concrete modalità di

trattamento dei dati e sull’osservanza delle disposizioni in materia di sicurezza.

Nella caso di Capitale Lavoro S.p.A. Responsabile del Trattamento è Franco Leccese.

Gli Incarichi del Trattamento

Tutti gli operatori di Capitale lavoro S.p.A. che trattano dati personali, e/o sensibili e/o giudiziari vengono designati con atto scritto, quali “Incaricati del trattamento”. È stata inoltre consegnata a ciascuno copia del regolamento contenente le istruzioni comportamentali.

Gli Incaricati del Trattamento devono: ✓ compiere le operazioni di trattamento per le quali sono stati incaricati per iscritto

dal Titolare o dal Responsabile; ✓ elaborare i dati personali a cui hanno acceso attendendosi alle istruzioni del Titolare

o del Responsabile; ✓ rispettare l’obbligo del segreto d’ufficio.

Preposto alla custodia delle parole chiave

Il Preposto deve custodire con cura le parole-chiave e coordinare le modifiche.







È designato quale Preposto alle parole – chiave di Capitale Lavoro S.p.A. Francesco Liguori

Amministratore di Sistema

Capitale lavoro S.p.A. è dotata di un Ufficio Sistemi Informativi.

È designato quale Amministratore di Sistema di Capitale Lavoro S.p.A. Francesco Liguori

Saranno adottate tutte le misure tecniche ed organizzative che riguardano tale figura, come prescritto, ai sensi dell’Art. 154 co. 1 lett. h) D.Lgs. n. 196/2003, nel parere del Garante per la privacy del 27/11/2008 (come modificato in base al provvedimento del 25/6/2009). L’attribuzione delle funzioni di Amministratore di Sistema avviene previa valutazione delle caratteristiche di esperienza, capacità e affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. La designazione quale Amministratore di Sistema è individuale e reca l’elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato. Gli estremi identificativi delle persone fisiche Amministratori di Sistema, con l’elenco delle funzioni ad essi attribuite, sono stati riportati nel presente DPS. Poiché gli Amministratori di Sistema intervengono anche su servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale dei lavoratori, il Titolare del Trattamento ha reso nota l’identità degli Amministratori di Sistema. Nell’ambito della propria organizzazione, mediante informativa resa agli interessati ai sensi dell’Art. 13 del Codice nell’ambito del rapporto di lavoro o in alternativa ordine di servizio a circolazione interna. L’operato degli Amministratori di Sistema sarà oggetto, con cadenza almeno annuale di un’attività di verifica da parte del Titolare del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti. Saranno adottati sistemi idonei di registrazione degli accessi logici (autenticazione informata) ai sistemi di elaborazione e agli archivi elettronici da parte degli Amministratori di Sistema. Le registrazione (access log) devono essere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate e devono essere conservate per un periodo non inferiore a sei mesi.

3 Criteri tecnici ed organizzativi – criteri e procedure per le integrità dei dati

Negli archivi informatici di Capitale Lavoro S.p.A. vengono conservati dati personali sia “comuni”

che “sensibili” e “giudiziari”.

In applicazione del D.Lgs. 196/2003 Capitale Lavoro S.p.A. in considerazione dei rischi come

dinnanzi evidenziati, di distruzione o perdita dei dati, di accesso non autorizzati e trattamento non

conforme alla finalità, provvede a fornire ad ogni Incaricato uno specifico codice identificativo ed

una parola chiave (o “password”) di default per l’accesso dei dati personali, che l’incaricato ha

l’obbligo di cambiare.

Ad ogni codice Identificativo – password corrisponde un profilo che consentirà a ciascun

incaricato di accedere ai soli dati strettamente necessari allo svolgimento dei propri compirti.







Ogni Incaricato del trattamento mediante elaboratori elettronici è stato informato delle seguenti

regole:

✓ Divieto di accesso e trattamento dei dati, specie se sensibili e giudiziari, che non siano

strettamente necessari per il proprio lavoro;

✓ Sostituzione trimestrale della password (8 caratteri) da parte di ciascun incaricato;

✓ Divieto di utilizzo di uno stesso codice identificativo, anche in tempi diversi da parte di

persone diverse;

✓ Assegnazione e modifica dei codici identificativi personali in modo tale da consentirne la

disattivazione in caso di perdita della qualifica o delle funzioni che consentivano l’accesso

all’elaboratore o di mancato utilizzo dei medesimi per un periodo superiori a sei mesi. A tal

fine il Responsabile dell’amministrazione è tenuto a segnalare al Preposto alla custodia

delle parole – chiave, ogni cambiamento nella Capitale Lavoro S.p.A., al fine di eliminare il

relativo codice identificativo del sistema;

✓ Divieto di utilizzo di uno stesso codice identificativo per accedere contemporaneamente

alla stessa applicazione da diverse stazioni di lavoro. È obbligatorio disconnettersi dalla

stazione di lavoro precedenti e solo dopo riconnettersi da quella successivamente prescelta

✓ Necessità di disconnettersi dalla rete in tutti i casi di significativo allontanamento dalla

postazione di lavoro, e di svuotare quotidianamente il “cestino” di Windows (o analoghi);

✓ Divieto di utilizzo di software non autorizzato da Capitale Lavoro S.p.A.;

✓ Necessità di segnalazione al Responsabile di ogni eventuale disfunzione del sistema

informatico;

✓ Backup settimanale automatico

✓ Divieto di navigazione Internet su siti aventi contenuti estranei all’attività lavorativa e/o alle

mansioni assegnate;

✓ Divieto di download di software prelevati on line e/o pervenuti a mezzo posta elettronica se

non previa specifica autorizzazione del Responsabile dell’Ufficio Servizi Informativi e/o di un

suo incaricato.

✓ Divieto di iscrizione e/o registrazione ai siti, mailing list, forum list, chat line, guest book, i

cui contenuti non siano legati all’attività lavorativa ed in assenza di previa specifica

autorizzazione del proprio superiore diretto;

✓ Divieto di utilizzazione (in entrata e in uscita) della posta elettronica per motivi personali

estranei all’espletamento dell’attività lavorativa e segnatamente di apertura di allegati

posta elettronica provenienti da mittenti sconosciuti e/o inerenti all’espletamento della

propria attività lavorativa;

✓ Divieto di invio a mezzo posta elettronica di allegati particolarmente pesanti soprattutto

ove indirizzati a più destinatari;

✓ Divieto di conservazione sulla memoria del Server di dati non necessari per l’espletamento

della propria attività. A tale fine ogni incaricato deve provvedere alla cancellazione di tali

dati, previa la verifica tecnica del responsabile dell’Ufficio Servizi Informativo e/o un suo

incaricato;

✓ Divieto di connessione alla rete di stazioni di lavori non aziendali (ad es: PC, Portatili

immessi in azienda da consulenti), se non previa autorizzazione del Responsabile ITC e/o di

un suo incaricato.







Ogni Incaricato è stato informato delle seguenti regole:

✓ Obbligo di conservazione dei dati solo nei predetti archivi, con divieto pertanto di collocare

i documenti in luoghi diversi, o di lasciarli fuori dagli archivi stessi;

✓ Divieto di lasciare le pratiche contenenti dati personali, specie se sensibili, sulla scrivania o

comunque a portata di mano se non il tempo necessario all’effettivo utilizzo, al termine del

quale i documenti devono essere riposti;

✓ Obbligo di riporre i documenti contenenti i dati personali negli archivi, al termine delle

operazioni affidate;

✓ Obbligo, nel corso della giornata, di riporre la documentazione o negli armadi o nei cassetti,

purché chiusi, in ogni caso di allontanamento dal proprio posto di lavoro;

✓ Registrazione dei soggetti ammessi agli archivi cartacei/non automatizzati contenenti dati

sensibili dopo l’orario di chiusura degli archivi stessi.

Saranno adottate misure concrete per assicurare l’integrità fisica dei dati e per ridurre il rischio di

accesso non autorizzato.

In particolare verranno realizzati ulteriori interventi di adeguamento della struttura logistica e la

previsione di procedure di identificazione dei soggetti terzi che per l’esercizio delle loro funzioni

debbono accedere ai locali ove sono detenuti gli archivi.

4 Procedure di accesso ai locali

Le stanze dei locali ove sono detenuti gli archivi, in assenza dei titolari, vengono chiuse a chiave.

La sede operativa è dotata di impianto antifurto.

Vengono predisposti appositi atti di identificazione, registrazione ed autorizzazione all’accesso

fuori dal normale orario di lavoro sia dal personale che di soggetti terzi (ad esempio. Addetto

pulizie, tecnico addetto alla manutenzione dei sistemi informatici).

È altresì predisposto atto di autorizzazione del tecnico informatico per gli interventi di

manutenzione sia ordinaria che straordinaria.

5 Criteri e procedure per la trasmissione dei dati

Sono state stabilite delle procedure nei flussi verso entità esterne dei dati personali al fine di

evitare, o quanto meno di ridurre, il rischio che il trasferimento di dati possa consentire indebiti

accessi alle informazioni o perdita dei dati (es: identificazione dato, identificazione destinatario,

trasferimento, controllo).

3. PIANIFICAZIONE INTERVENTI FORMATIVI 3.1. Informazione degli incaricati

Allo stato si sta provvedendo a fornire agli incaricati istruzioni scritte circa le modalità di

trattamento dei dati. È previsto un piano di formazione mediante la partecipazione dei singoli

incaricati ad appositi corsi aziendali di formazione.

È prevista la verifica annuale della sussistenza delle condizioni per l’autorizzazione al trattamento

di dati personali e/o sensibili, oltre che l’aggiornamento delle modalità di gestione tramite

sistema informatico in relazione alle modifiche e alle novità tecnologiche.







In relazione a quanto sopra ogni anno entro il 31/03 il presente documento verrà aggiornato.

4. TRATTAMENTI ESTERNALIZZATI Capitale Lavoro S.p.A. si avvale della consulenza in outsourcing di professionisti incaricati per gli

adempimenti contabili, fiscali e di contabilità del personale come indicato al precedente punto

1.2.

Nell’effettuare il trasferimento dei dati, comuni e sensibili, ai soggetti terzi la Capitale Lavoro

S.p.A. adotta strategie utili al fine di ridurre al minimo il rischio di perdita dei dati o indebito

accessi.

Il servizio posta elettronica è esternalizzato presso la società Fastweb.

5. PIANO OPERATIVO AZIENDALE

In questo paragrafo si riporta in allegato il POA approvato per l’anno 2016.







SEZIONE TABELLARE







Elenco dei trattamenti

Struttura di

riferimento

Altre strutture

(anche esterne)

Descrizione

degli strumenti

Finalità del

trattamento o

attività svolta

Categorie di

interessatiSensibili Giudiziari

Contenzioso

Dipendenti

collaboratori,

fornitori

Sede Legale di

Capitale

Lavoro S.p.A.

Strumenti

elettronici

collegati in rete

locale e pubblica

e cartacei

X

Adempimenti

amministrativi,

fiscali e

contabili

Dipendenti

collaboratori,

fornitori

Sede Legale di

Capitale

Lavoro S.p.A.

Strumenti

elettronici

collegati in rete

locale e pubblica

e cartacei

X

Contabilità ed

amministrazio

ne del

personale

Dipendenti

collaboratori,

fornitori

Sede Legale di

Capitale

Lavoro S.p.A.

Studio Pappalardo

Strumenti

elettronici

collegati in rete

locale e pubblica

e cartacei

X

Strumenti

elettronici

collegati in rete

locale e pubblica

Selezione di

personale da

assumere

Dipendenti,

collaboratori

Sede Legale di

Capitale

Lavoro S.p.A.

Studio Pappalardo

Strumenti

elettronici

collegati in rete

locale e pubblica

e cartacei

X X

X

Descrizione sintetica del

trattamento

Natura dei dati

Attività di

realizzazione e

potenziamento

reti

informatiche

Utenti

Dipendenti,

Collaboratori

Sede Legale di

Capitale

Lavoro S.p.A.

Inoltre è riportato in allegato apposito prospetto contenente l’elenco delle commesse affidate a Capitale

Lavoro S.p.A. dalla Provincia di Roma con indicazione della finalità del trattamento, della tipologia dei dati

trattati, della sede, dei destinatari del trattamento.







Competenze e responsabilità della struttura centrale preposta al trattamento

Struttura Trattamenti effettuati dalla strutturaDescrizione dei compiti e delle responsabilità della

struttura

Consiglio di AmministrazioneElaborazione, modifica, consultazione, utilizzo, raffronto, comunicazione, diffusione,

blocco dati

Attività di amministrazione ordinaria e straordinaria della

società, ad eccezione di quella affidata all'Amministratore

Delegato

Presidente del Consiglio di

Amministrazione

Elaborazione, modifica, consultazione, utilizzo, raffronto, comunicazione, diffusione,

blocco datiRappresentanza legale e attuazione delle delibere del C.d.A.

Ufficio Staff Presidente ed Internal Audit,

assistenza Organi Collegiali

Amministratore Delegato

Raccolta, Registrazione, Organizzazione, conservazione, Consultazione, Elaborazione,

Modificazione, selezione, Estrazione, Interconnessione, Comunicazione, Diffusione,

Cancellazione, Distruzione

Supporto operativo agli organi sociali, al Presidente

Amministratore DelegatoElaborazione, modifica, consultazione, utilizzo, raffronto, comunicazione, diffusione,

blocco dati

Gestione tecnica aziendale e gestyione del personale con

poteri di spesa; cura dei rapporti istituzionali e delle relazioni

sindacali; programmazione e coordinamento delle attività

delle Aree con determinazione e valutazione degli obiettivi

Segreteria A.D.




Supporto operativo all'A.D.

Segreteria GeneraleRaccolta, Registrazione, Organizzazione, conservazione, Consultazione, Elaborazione,

Modificazione, selezione, Estrazione, Interconnessione, Comunicazione, Diffusione

Supporto operativo agli Uffici centrali, tenuta del protocollo

generale di ingresso e uscita

Staff di Area Supporto tecnico-legale alle

procedure di esecuzione delle attività


Modificazione, selezione, Estrazione, Interconnessione, Comunicazione, DiffusioneSupporto tecnico specialistico all'esecuzione delle attività

Staff di Area Qualità, Privacy,

Certificazione etica, Formazione




Sviluppo ed implementazione Sistema Qualità aziendale e

trattamento dati personali, supporto allo sviluppob della SA

8000, formazione del personale

Staff di Area Sistemi InformativiRaccolta, Registrazione, Organizzazione, conservazione, Consultazione, Elaborazione,

Modificazione, selezione, Estrazione, Interconnessione, Comunicazione, DiffusionePianificazione e sviluppo dei sistemi Informativi aziendali

Staff di Area Servizio Prevenzione e

Protezione


Modificazione, selezione, Estrazione, Interconnessione, Comunicazione

Valutazione dei rischi ed elaborazione misure di sicurezza e

prevenzione

Staff di Area Comunicazione e content

management


Modificazione, selezione, Estrazione, Interconnessione, ComunicazionePianificazione e implementazione dei contenuti del sito web

Staff di Area Gare e Contratti




Gestione operativa delle procedure di affidamento contratti

pubblici e attività di approvviggionamento funzionale alle

esigenze produttive

Staff di Area Monitoraggio finanziario e

dei flussi di spesa




Verifica e controllo dei flussi finanziari

Staff di Area Archivio e protocollo

informatizzati




Gestione operativa dell'archivio

Staff di Area Studi e documentazione




Anali e studi

Area Produzione


Modificazione, selezione, Estrazione, Interconnessione, Comunicazione, Diffusiobne,


Ideazione, supervisione controllo e coordinamento attività

progettuali

Area Produzione: progettazione e

organizzazione e gestione delle

commesse




Gestione operativa delle Commesse

Area Produzione: supporto tecnico

specializzato presso l'Ufficio Gare




Amministrazione dati commesse

Area Produzione: Sviluppo e selezione

delle Risorse Umane




Sviluppo e selezione delle risorse umane

Area Gestione e Organizzazione

personale




Gestione ed amministrazione del personale dipendente

Area gestione e organizzazione

personale: supporto organizzazione e

gestione




Supporto alla gestione e amministrazione del personale

dipendente

Area Servizi Amministrativi




Attività amministrativa, finanziaria e controllo di gestione

Area Amministrazione: Paghe, contributi

e contratti




Adempimento obblighi contrattuali, contributivi e fiscali

relativi al personale

Area Amministrazione: Contabilità e

finanza, gestione prestazioni

professionali, controllo di gestione




Gestione operativa di accordi finanziari e fluidità di cassa

Area Amministrazione: Rendicontazione




Controllo su spese e regolarità contabile delle attività

finanziate con fondi FSE







Classi omogenee di incarico e profili di autorizzazione

Tipologia di dati trattabili Modalità di trattamento consentite

Consiglio di AmministrazioneAl Consiglio di Amministrazione è attribuita la facoltà di

trattare tutte le tipologie di datiTutte

Presidente del Consiglio di AmministrazioneAl Presidente del Consiglio di Amministrazione è attribuita

la facoltà di trattare tutte le tipologie di datiTutte

Ufficio Staff Presidente ed Internal Audit, assistenza Organi

Collegiali

E' attribuita la facoltà di trattare tutte le tipologie di dati, nei

limiti delle proprie competenzeTutte

Amministratore DelegatoAll'Amministratore Delegato è attribuita la facoltà di trattare

tutte le tipologie di datiTutte

Segreteria Amministratore DelegatoE' attribuita la facoltà di trattare tutte le tipologie di dati, nei


Segreteria GeneraleE' attribuita la facoltà di trattare tutte le tipologie di dati, nei


Direttore Esecutivo Staff di areaE' attribuita la facoltà di trattare tutte le tipologie di dati, nei


Staff di Area Supporto tecnico-legale alle procedure di

esecuzione delle attività



Staff di Area Qualità, Privacy, c ertificazione etica,

Formazione



Staff di Area Sistemi InformativiE' attribuita la facoltà di trattare tutte le tipologie di dati, nei


Staff di Area Comunicazione e content management Non tratta dati personali né sensibili Nessuna

Staff di Area Gare e ContrattiE' attribuita la facoltà di trattare tutte le tipologie di dati, nei


Staff di Area monitoraggio finanziario e dei flussi di spesaE' attribuita la facoltà di trattare tutte le tipologie di dati, nei


Staff di Area Archivio e protocollo informatizzatoE' attribuita la facoltà di trattare tutte le tipologie di dati, nei


Staff di Area Studi e documentazione Non tratta dati personali né sensibili Nessuna

Direttore Area Amministrativa E' attribuita la facoltà di trattare tutte le tipologie di dati Tutte

Area Amministrazione: paghe, contributi e contrattiE' attribuita la facoltà di trattare tutte le tipologie di dati, nei


Area Amministrazione: contabilità, finanza, gestione

prestazioni professionali, controllo di gestione



Area Amministrazione: rendicontazioneE' attribuita la facoltà di trattare tutte le tipologie di dati, nei


Responsabile Area Gestione e organizzazione personaleE' attribuita la facoltà di trattare tutte le tipologie di dati, nei


Area Gestione e organizzaione personale: supporto

organizzazione e gestione



Direttore Area produzione E' attribuita la facoltà di trattare tutte le tipologie di dati Tutte

Area Produzione: progettazione e organizzazione e gestione

delle commesse



Area Produzione: supporto tecnico specializzatoE' attribuita la facoltà di trattare tutte le tipologie di dati, nei


Direttore Area Produzione: sviluppo e selezione delle

risorse umaneE' attribuita la facoltà di trattare tutte le tipologie di dati Tutte

Profili di autorizzazioneClassi omogenee di incarico







Analisi dei rischi

Rischi Si/No

Descrizione dell'impatto sulla sicurezza

(gravità: alta/media/bassa)

Comportamenti degli operatori

Sottrazione di credenziali di

autenticazione No

Carenza di consapevolezza, disattenzione

o incuria Si Bassa

Comportamenti sleali o fraudolenti No

Errore materiale Si Bassa

Altro evento No

Eventi relativi agli strumenti Bassa

Virus informatici Si Bassa

Spamming Si Bassa

Malfunzionamento, indisponibilità o

degrado degli strumenti Si

Accessi esterni non autorizzati No

Intercettazione di informazioni in rete No

Altro evento No

Eventi relativi al contesto

Accessi non autorizzati ai locali No

Sottrazione di strumenti contenenti dati No

Eventi distruttivi, naturali o artificiali Si Bassa

Guasto ai sistemi Si Bassa

Errori umani Si Bassa

Altro evento No







Misure di sicurezza – sede tirso

MisureDescrizione dei rischi

contrastati

Trattamenti

interessati

Misura già in

essere

Misura da

adottare

Struttura o persone addette

all'adozione

Antifurto Accessi non autorizzati Custodia Sistemi di allarme Staff gare e acquisti

Antincendio Perdita e distribuzione Custodia Sistemi antincendio Staff servizio prevenzione e protezione

Accessi seleziontaiAccessi non autorizzati e

trattamento non conformeCustodia, elaborazione

Informatica e

logisticaArea Gestione e organizzazione personale

Armadi con serraturaAccessi non autorizzati e perdita

e distruzioneCustodia, elaborazione Logistica Staff gare e acquisti

PasswordAccessi non autorizzati e

trattamento non conforme

Elaborazione, modifica,

consultazione,

cancellazione

Si Staff di Area Sistemi informativi

Sostuzione automatica

password

Accessi non autorizzati e



consultazione,

cancellazione


Codice identificativoAccessi non autorizzati e



consultazione,

cancellazione


Disattivazione

password e ID

Accessi non autorizzati e



consultazione,

cancellazione


Tecniche di cifraturaAccessi non autorizzati e



consultazione,

cancellazione

Fase di

realizzazioneStaff di Area Sistemi informativi

Programmi antivirus Perdita e distribuzione Tutti Si Staff di Area Sistemi informativi

Aggiornamento

automatico antivirusPerdita e distribuzione Tutti Si Staff di Area Sistemi informativi

Autorizzazioni incaricati Trattamento non conforme


consultazione,

cancellazione

SiStaff di Area Qualità, privacy,

certificazione etica, formazione

Aggiornamenti

autorizzazioniTrattamento non conforme


consultazione,

cancellazione

SiStaff di Area Qualità, privacy,

certificazione etica, formazione







Criteri e procedure per il salvataggio dei dati

Banca DatiCriteri e procedure per il salvataggio

datiLuogo di custodia delle copie Struttura o persona incaricata del salvataggio

Fornitori Back up periodico automaticoArchivi tenuti presso la sede

Legale di Capitale Lavoro S.p.A.Staff di Area Sistemi Informativi

Dipendenti Back up periodico automaticoArchivi tenuti presso la sede


Collaboratori Back up periodico automaticoArchivi tenuti presso la sede


Utenti Back up periodico automatico

Archivi tenuti presso la sede

Legale di Capitale Lavoro S.p.A.

o presso la Provincia di Roma

Staff di Area Sistemi Informativi







Interventi formativi

Descrizione sintetica degli

interventi formativi

Classe di incarico o tipologie

degli incaricati interessatiTempi previsti

Redazione e consegna delle

istruzioni procedimentaliTutti i dipendenti Immediata

Corsi di formazione in fase di realizzazione







Trattamenti affidati all’esterno

Descrizione sintetica

dell'attività esternalizzata

Trattamento dei dati

interessatiSoggetto esterno Criteri per l'adozione delle misure

Elaborazione contabilità del

personale


cosultazione, cancellazione,

conservazione

Studio Pappalardo

Sono state predisposte le misure minime di

sicurezza di cui all. BTU 196/03 per il

trattamento dei dati personali e sensibili

provenienti da Capitale Lavoro S.p.A.

Contenzioso e consulenza

legale



conservazione

Avvocatura Provincia di

Roma, Responsabile Dott.

Avv. Massimiliano Sieni





Visite mediche preassuntive

e di controllo ex TU 81/2008



conservazione

Dott.ssa Elisa Romeo











SEZIONE DI AUTENTICAZIONE







Il presente documento si compone di 26 pagine, è suddiviso in tre sezioni (Descrittiva, Tabellare e di

autenticazione) ed è stato redatto secondo le previsioni contenute nel D.Lgs 196/03 con particolare

riferimento alle specifiche dell’art. 34 ed al Disciplinare Tecnico (all.B) nonché alle indicazioni fornite

dall’Autorità Garante per la Protezione dei Dati Personali in data 11/06/2004 con la Guida Operativa.


DOCUMENTO SULLA SICUREZZA DATI D.lgs. 196/2003 e ss.mm.ii. · 2 DISTRIBUZIONE DEI COMPITI E RESPONSABILITA 11 2.1.Soggetti interessati 11 2.2.Criteri tecnici ed organizzativi –

Documents