Privacy policy
Sommario ipertestuale:
- Obiettivi e definizioni
- Ambito di applicazione
- Sicurezza delle informazioni
- Riservatezza delle informazioni
- Attuazione della policy
- Monitoraggio del sistema di gestione
- Informazione e formazione
- Organigramma, sistema di nomine e responsabilità
- Misure di sicurezza generali
1. Obiettivi e definizioni
Meg Solutions srl, titolare del marchio Compagnia Italiana e assegnataria del nome a dominio www.compagniaitaliana.it, in quanto titolare del trattamento dei dati intende dotarsi di linee guida per affrontare in maniera organica gli obblighi normativi in materia di protezione dei dati personali, così da conseguire i migliori risultati nel proteggere le informazioni e i dati gestiti nell’ambito delle proprie attività da tutte le minacce interne o esterne, intenzionali o accidentali, secondo le disposizioni previste dalla normativa comunitaria e nazionale.
Obiettivo del presente documento e di quelli ad esso collegati è definire il modello organizzativo per la tutela dei dati e la privacy policy, ovvero individuare strategia, linee guida generali e disposizioni operative interne volte a disciplinare il trattamento dei dati personali effettuato dall’ente, ai sensi del Codice della privacy e del GDPR. In questo Modello organizzativo sono quindi disciplinati i ruoli e le responsabilità nonché gli adempimenti da seguire in materia di protezione dei dati personali. Ai fini del presente modello organizzativo si adottano le seguenti definizioni, coerenti con quanto previsto dalla normativa di settore:
Regolamento: Regolamento (UE) 2016/679 (GDPR);
Codice privacy: D. Lgs. 30 giugno 2003, n. 196 (Codice privacy);
Normativa: D.Lgs. 2003/196 e Regolamento (UE) 2016/679;
Affiliate: società controllate o collegate al titolare del trattamento dei dati stabilite nel territorio dello Stato italiano, ovvero in altro Stato membro dell’Unione europea, e soggette al GDPR;
Dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici
della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
Interessato: la persona fisica cui si riferiscono i dati personali;
Titolare del trattamento: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; Responsabile del trattamento: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;
Autorizzato al trattamento: le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare del trattamento o dal responsabile del trattamento;
Trattamento: qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione.
2. Ambito di applicazione
La privacy policy che discende dal presente modello organizzativo si applica all’Azienda nella sua interezza, a tutti gli organi e alle strutture di qualsiasi livello organizzativo o funzionale. La sua attuazione è obbligatoria per tutto il personale e deve essere inserita come parte integrante nella regolamentazione di qualsiasi accordo con tutti i soggetti esterni coinvolti con il trattamento di informazioni che rientrano nel campo del sistema di gestione della privacy.
Il titolare del trattamento consente la comunicazione e la diffusione delle informazioni di tipo procedurale e organizzativo verso l’esterno esclusivamente per il corretto svolgimento delle attività aziendali che avvengono nel rispetto delle regole e delle norme vigenti.
Lo stesso titolare si impegna a garantire e dimostrare che il trattamento dei dati personali avviene in maniera conforme a quanto previsto dalla normativa. I dati perciò saranno:
- trattati in modo lecito, corretto e trasparente nei confronti dell’interessato;
- raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non vi sia incompatibilità con tali finalità;
- adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati; esatti e, se necessario, aggiornati;
- cancellati o rettificati tempestivamente rispetto alle finalità per le quali sono trattati;
- conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati;
- trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione – mediante misure fisiche, organizzative e tecniche adeguate – da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.
Poiché analoghe garanzie di protezione e l’adozione di adeguate misure di sicurezza sono richieste ai soggetti terzi ai quali l’ente affida l’incarico di responsabile del trattamento, la policy in oggetto è resa disponibile presso tali Responsabili del trattamento.
3. Sicurezza delle informazioni.
Il patrimonio informativo da tutelare è costituito dall’insieme delle informazioni trattate dalla Meg Solutions srl nell’espletamento delle procedure aziendali, rispetto alle quali la stessa società assicura l’integrità e la protezione e consente l’accesso esclusivamente ai ruoli e alle funzioni necessarie e preventivamente autorizzate.
La mancanza di adeguati livelli di sicurezza può infatti comportare il danneggiamento dell’immagine aziendale, la mancata soddisfazione della clientela, il rischio di incorrere in sanzioni legate alla violazione delle leggi vigenti nonché altri danni di natura economica e finanziaria.
Per conseguire sempre l’allineamento normativo e aumentare la capacità di controllo il Titolare istituisce e mantiene aggiornato un registro dei trattamenti.
Il Titolare identifica, quando ritenuto necessario a seguito delle risultanze dell’analisi dei rischi connessi al trattamento dei dati personali, le ulteriori esigenze di sicurezza tramite valutazioni di impatto sulla protezione dei dati; valutazione che consente di acquisire un livello aggiuntivo di consapevolezza sul livello di esposizione a minacce dei propri sistemi di gestione dei dati.
La valutazione del rischio, eseguita su tutti i trattamenti in essere o previsti, permette di conoscere le potenziali conseguenze e i danni che possono derivare dalla mancata applicazione delle misure di sicurezza al sistema informativo, e in generale all’intera organizzazione, oltre a indicare quale sia la probabilità che le minacce identificate trovino reale attuazione. I risultati di questa valutazione determinano le azioni necessarie per individuare le corrette e adeguate misure di sicurezza e i meccanismi per garantire la protezione dei dati personali.
La gestione della sicurezza delle informazioni è fondata sui seguenti principi generali:
- gli accessi ai sistemi informativi sono sottoposti a una procedura di identificazione e autenticazione;
- le autorizzazioni di accesso alle informazioni sono differenziate in base al ruolo e agli incarichi ricoperti dai singoli individui, in modo che ogni utente possa accedere alle sole informazioni di cui necessita, e tali autorizzazioni sono periodicamente sottoposte a revisione;
- sono definite delle procedure per l’utilizzo sicuro dei beni (luoghi, mezzi di trasporto, strumenti) e delle informazioni aziendali;
- è incoraggiata la piena consapevolezza da parte del personale delle problematiche relative alla sicurezza delle informazioni;
- per prevenire o gestire in modo tempestivo gli incidenti, tutti sono resi partecipi del sistema di sicurezza aziendale e pertanto tenuti a segnalare qualsiasi problema relativo alla sicurezza di cui sono a conoscenza;
- l’accesso ai locali e alle apparecchiature dove sono gestite le informazioni è consentito solo alle persone autorizzate;
- è predisposto un piano di continuità che permetta all’azienda di affrontare efficacemente un evento imprevisto, garantendo il ripristino dei servizi critici in tempi e con modalità che limitino le conseguenze negative sulla missione aziendale.
4. Riservatezza delle informazioni
Il titolare si impegna a garantire la riservatezza e la confidenzialità delle informazioni e dei dati degli interessati acquisiti nel corso della propria attività in conformità alle procedure interne previste, coerenti con il presente modello organizzativo.
Il trattamento dei dati può essere effettuato attraverso strumenti manuali, informatici e telematici atti a memorizzare, elaborare, gestire e trasmettere i dati stessi nel rispetto delle misure di sicurezza previste. Tutti i soggetti in qualsiasi modo coinvolti nel trattamento dei dati personali sono tenuti all’osservanza del segreto sugli stessi.
L’ente si impegna a garantire adeguati livelli minimi di sicurezza delle informazioni rese disponibili da terzi con la medesima diligenza e livello di protezione utilizzati per la sicurezza e la riservatezza dei propri dati.
5. Attuazione della policy
Tutto il personale che, a qualsiasi titolo, collabora con l’azienda è tenuto all’osservanza e all’attuazione del presente Modello Organizzativo. Il personale è infatti responsabile, ciascuno per quanto di propria competenza, della segnalazione di tutte le anomalie e violazioni di cui dovesse venire a conoscenza. Chiunque, in modo intenzionale o riconducibile a negligenza, disattenda le regole di sicurezza stabilite e in tal modo provochi un danno, potrà essere perseguito nelle opportune sedi, nel pieno rispetto dei vincoli di legge e contrattuali.
6. Monitoraggio del sistema di gestione
Il titolare del trattamento verifica almeno una volta all’anno l’efficacia e l’efficienza del sistema di gestione della privacy, in modo di assicurare un supporto adeguato all’introduzione di tutte le migliorie necessarie e di favorire l’attivazione di un processo di aggiornamento continuo.
Lo stesso titolare ha il compito di condurre operativamente la revisione del presente modello organizzativo, verificando lo stato delle azioni preventive e correttive e l’aderenza alla normativa delle procedure in atto così come di quelle previste e non ancora applicate. Deve inoltre tenere conto di tutti i cambiamenti che possono influenzare l’approccio alla gestione della sicurezza delle informazioni, includendo i cambiamenti organizzativi, l’ambiente tecnico, la disponibilità di risorse, le condizioni legali, regolamentari o contrattuali e dei risultati dei precedenti riesami.
7. Informazione e formazione
L’obiettivo di garantire un corretto trattamento dei dati, conforme ai requisiti previsti dalla normativa, viene raggiunto anche e soprattutto grazie alla particolare attenzione risposta nei confronti della formazione del proprio personale.
A tale scopo il presente modello organizzativo è distribuito presso il personale già in servizio e, nel caso di nuove risorse umane inserite in organico, fin dal momento del loro ingresso nella compagine dell’ente. Per gli stessi fini di conoscenza, eventuali aggiornamenti del modello organizzativo di tutela dei dati sono diffusi con gli strumenti ritenuti di volta in volta più efficaci.
Il Titolare del trattamento adotta un piano formativo di alfabetizzazione, in materia di protezione dei dati personali, destinato a tutto il personale proprio e di quello delle società sue affiliate o controllate che abbiano accesso ai dati. Il Titolare conserva la documentazione distribuita e la modulistica attestante la partecipazione agli interventi formativi.
La formazione dei soggetti autorizzati al trattamento riguarda in particolare:
- gli aspetti generali della disciplina di protezione dei dati personali;
- le minacce, le vulnerabilità, la probabilità di accadimento e di conseguenza i rischi che minacciano i dati trattati;
- le conseguenze derivanti dalla violazione dei dati personali (Data Breach);
- le procedure da seguire in caso di violazione dei dati personali;
- le misure di prevenzione per evitare o almeno ridurre la probabilità di accadimento delle violazioni e le misure di mitigazione del danno in caso si verifichino;
- gli aspetti specifici della disciplina di protezione dei dati personali nel settore di azione dell’ente;
- l’addestramento specifico per aggiornare il personale sulle misure di sicurezza e protezione dei dati personali ritenute adeguate e adottate dal Titolare del trattamento.
La formazione deve essere:
- adeguata al proprio sistema di trattamento dei dati personali;
- efficace nella trasmissione delle informazioni in materia di protezione dei dati personali;
- efficiente nel fornire strumenti per l’esecuzione delle procedure previste dal sistema di gestione della privacy;
- documentabile, in quanto la formazione è parte integrante del modello organizzativo del titolare del trattamento e l’articolazione e gli esiti di tale attività devono essere sempre disponibili.
8. Organigramma, sistema di nomine e responsabilità
Per garantire la tutela dei diritti delle persone fisiche relativamente al trattamento dei dati personali, il titolare garantisce sempre la precisa individuazione dei soggetti che ricoprono ruoli attivi nel trattamento. Ciò avviene con un sistema tracciabile di nomine e di attribuzione di mansioni. In questo modo risulta di immediata comprensione la ripartizione delle responsabilità di ogni soggetto, in relazione alla natura, all’ambito di applicazione, al contesto e alle finalità del trattamento, nonché ai rischi per i diritti e le libertà delle persone fisiche analizzati ogni volta ritenuto necessario.
L’organigramma verrà aggiornato con la cadenza periodica ritenuta più opportuna in relazione al settore di attività e all’articolazione della propria organizzazione oppure in occasione di qualsiasi variazione intervenuta.
In conformità con la normativa di riferimento e con il presente modello organizzativo, vengono identificate le seguenti figure chiave:
Titolare del trattamento.
Il titolare assume ogni decisione sulle finalità, le modalità del trattamento dei dati e gli strumenti utilizzati, ivi compreso il profilo della sicurezza; individua e designa i responsabili del trattamento dei dati, impartendo loro direttive e istruzioni specifiche; vigila sulla puntuale osservanza delle disposizioni e istruzioni impartite a tutti i soggetti che hanno un ruolo attivo nel trattamento dei dati personali; garantisce il controllo sulla piramide organizzativa di cui è al vertice, concedendo autorizzazioni generali o speciali ai responsabili del trattamento secondo criteri di opportunità nelle diverse situazioni ed esprimendo o negando il gradimento nei confronti di subresponsabili eventualmente proposti dai responsabili, assumendo così un ruolo di effettivo controllo e indirizzo.
Il titolare, inoltre, si impegna a garantire l’esercizio dei diritti degli interessati e in particolare:
- il diritto all’accesso, volto a ottenere la conferma dell’esistenza o meno di dati personali che lo riguardano e a conoscerne il contenuto di tali informazioni; l’interessato ha inoltre diritto di conoscere l'origine dei dati personali; le finalità e modalità del trattamento; la logica applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronici; gli estremi identificativi del titolare e dei responsabili del trattamento; l’elenco dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza a qualsiasi titolo in linea con la normativa e quello dei soggetti autorizzati al trattamento;
- il diritto alla rettifica, volto a ottenere l’aggiornamento, la correzione o l’integrazione dei dati;
- il diritto alla cancellazione, per ottenere la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, ovvero di quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;
- il diritto di opporsi, per motivi legittimi, al trattamento.
Per garantire effettività ai diritti sopra menzionati, il titolare si impegna a rispondere senza ritardo alle richieste presentate da parte dell’interessato direttamente ad esso, ai responsabili o agli altri soggetti autorizzati.
Responsabile del trattamento.
Il responsabile è il soggetto, persona fisica o giuridica, che tratta i dati personali (anche solo raccogliendoli e archiviandoli in un data base) per conto del titolare del trattamento e da lui nominato. Il responsabile del trattamento è tenuto all’osservanza degli stessi obblighi che incombono al titolare ed è chiamato all’osservanza del presente modello organizzativo. Il responsabile, pertanto, deve osservare le procedure in materia di protezione dei dati personali adottate dal titolare; organizzare, gestire e supervisionare tutte le operazioni di trattamento dei dati personali affinché esse vengano effettuate nel rispetto delle disposizioni di legge e predisporre tutti i documenti nonché le misure tecniche organizzative richiesti dal Codice e dal Regolamento; adottare e verificare il rispetto delle misure di sicurezza indicate dal Codice e dal Regolamento e la conformità nel tempo dei sistemi e delle misure di sicurezza; redigere e aggiornare il registro dei trattamenti; informare il titolare del trattamento di tutte le misure adottate e contribuire alle attività di revisione, comprese le ispezioni, realizzate dal titolare del trattamento o da un altro soggetto da questi incaricato al compito specifico; nominare i soggetti autorizzati che svolgono tali funzioni per suo conto, conservando i relativi estremi identificativi, definendo gli ambiti di operatività consentiti e verificando almeno annualmente il relativo operato per controllarne la rispondenza alle misure di sicurezza, fisiche, organizzative e tecniche riguardanti il trattamento dei dati personali; nominare i soggetti autorizzati al trattamento dei dati nelle altre funzioni ritenute necessarie conferendo loro apposite istruzioni sulle norme e le procedure da osservare e provvedendo alla relativa formazione; controllare le operazioni di trattamento svolte dai soggetti autorizzati sottoposti alla propria responsabilità e la conformità all’ambito di trattamento consentito; redigere e aggiornare la lista dei nominativi dei soggetti autorizzati sottoposti alla propria responsabilità e verificarne almeno annualmente l’ambito di trattamento consentito; attuare gli obblighi di informazione ed acquisizione del consenso, quando richiesto, nei confronti degli interessati; garantire all’interessato che ne faccia richiesta l’effettivo esercizio dei diritti previsti dalla normativa di settore inoltrando al titolare del trattamento le richieste pervenute nel caso non possano essere evase autonomamente; distruggere i dati personali alla fine del trattamento nei casi previsti dal Regolamento, secondo le procedure atte a garantire la sicurezza degli stessi e provvedere alle formalità di legge e agli adempimenti necessari; comunicare immediatamente al titolare non oltre le 24 ore successive al loro ricevimento, ogni richiesta, ordine o attività di controllo da parte del Garante o dell’Autorità Giudiziaria; osservare le procedure in materia di protezione dei dati personali adottate dal titolare del trattamento. Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il Titolare del trattamento può modificare la propria struttura per conseguire i migliori risultati di protezione variando opportunamente l’articolazione del proprio Sistema di Gestione Privacy (SGP).
Soggetti autorizzati al trattamento.
Il titolare e il responsabile del trattamento nominano, presso le unità organizzative in cui vengono svolti i trattamenti, i soggetti autorizzati al trattamento dei dati. Il soggetto autorizzato effettua tutte le operazioni di trattamento dei dati personali attinenti l’attività lavorativa di competenza dell’area di appartenenza e opera sotto la direzione e la vigilanza del titolare o del responsabile, attenendosi alle istruzioni dagli stessi impartite nonché alle specifiche procedure che regolamentano le modalità di utilizzo delle banche dati cui lo stesso abbia accesso. In particolare, i compiti a esso attribuiti sono così sintetizzati:
- segnalare al titolare del trattamento, eventuali richieste ricevute da parte dell’interessato sull’esercizio dei relativi diritti, nonché attenersi alla procedura interna sull’esercizio dei diritti;
- avvisare il titolare o il responsabile qualora, nello svolgimento di un’attività, dovesse riscontrare il trattamento di nuovi dati e finalità per cui risultasse necessario aggiornare il registro dei trattamenti ed eseguire almeno un’analisi dei rischi;
- segnalare immediatamente al titolare o al responsabile se le istruzioni ricevute appaiano non conformi alla normativa sulla protezione dai dati;
- segnalare al titolare o al responsabile eventuali accessi non autorizzati;
- rilasciare all’interessato l’informativa e acquisirne il consenso laddove necessario, secondo le istruzioni impartite dal titolare o dal responsabile.
Amministratore di Sistema.
L’amministratore di sistema, nominato dal titolare del trattamento, è la figura professionale che, in ambito informatico, mantiene, configura e gestisce un sistema di elaborazione dati o sue componenti, ivi inclusi sistemi software complessi, basi dati, ovvero reti e apparati di telecomunicazione di sicurezza.
L'attribuzione delle funzioni di Amministratore di Sistema avviene previa valutazione dei requisiti di professionalità, esperienza, capacità e affidabilità del soggetto designato, il quale fornisce idonea garanzia del pieno rispetto delle vigenti disposizioni in materia, ivi compreso il profilo relativo alla sicurezza.
L’amministratore di sistema sovraintende alle risorse dei sistemi computerizzati al fine di consentirne una corretta ed efficiente utilizzazione; in accordo con il titolare fornisce guida e supporto ai soggetti autorizzati in merito al trattamento dei dati personali; gestisce la sicurezza informatica operando anche come gestore e custode delle password; effettua periodici controlli e verifiche tecniche sulla sicurezza della struttura informatica; individua, in accordo con il titolare, i soggetti a cui affidare l’incarico di manutentore del sistema stesso.
Si precisa che per manutenzione del sistema s’intende ogni intervento tecnico diretto ad eliminare eventuali avarie tanto allo hardware quanto al software utilizzati, nonché ogni altro intervento volto alla ricostruzione di basi dati e archivi che dovessero in qualche modo risultare danneggiati o corrotti. Per consentire all’amministratore di sistema di svolgere adeguatamente le proprie funzioni, allo stesso vengono concesse dal titolare le “autorità di sistema”, che consistono nell’assegnazione di attributi, privilegi, o accessi che consentono la gestione delle “risorse critiche del sistema operativo”, ovvero degli oggetti informatici necessari al funzionamento dei sistemi e del servizio di elaborazione dati.
9. Misure di sicurezza generali
La responsabilità delle attività di impostazione e coordinamento delle misure che garantiscono la sicurezza e la tutela di tutti i dati oggetto di trattamento sono in carico ai relativi ruoli inseriti nell’organico dell’ente. Tali misure possono essere fisiche, organizzative e tecniche e la responsabilità comprende la loro gestione diretta o tramite fornitori esterni.
Misure organizzative.
Le misure di sicurezza sono volte a minimizzare i rischi di illegittima o accidentale rivelazione, modificazione, alterazione o perdita delle informazioni. Tali misure comprendono un sistema di autenticazione per assicurare che la persona che accede al sistema nelle sue diverse articolazioni sia identificata con certezza, basato su codice identificativo e password individuale segreta, nonché un sistema di autorizzazione che prevede che a ciascuna persona che accede al sistema sia assegnato un profilo di accesso che definisce i dati ai quali l’utente è autorizzato ad accedere e, ove applicabile, le operazioni che per ciascun dato o gruppo di dati è autorizzato ad eseguire (consultazione, inserimento, modifica, cancellazione).
Tutti gli utenti che hanno a disposizione una postazione informatica sono censiti. Tale censimento viene aggiornato ogni volta che vi sia una modifica nell’organico del personale e, comunque, almeno una volta l’anno.
Ad eccezione dell’amministratore di sistema, nessun altro può avere le credenziali di amministratore della propria macchina.
Tutti i dispositivi concessi in dotazione personale a dipendenti e collaboratori, al termine del rapporto di lavoro o di collaborazione vengono restituiti al titolare e formattati, al fine di rimuovere tutti i dati personali contenuti al loro interno.
Misure fisiche.
La tecnica della scrivania sgombra e dello schermo inattivo consente di ridurre il rischio di violazioni della sicurezza della postazione di lavoro. Il suo scopo quello di prevenire violazioni accidentali o dolose dei dati personali e responsabilizzare i soggetti che nelle attività lavorative si trovano a loro contatto.
I dipendenti, pertanto, sono tenuti a garantire che tutte le informazioni, in formato elettronico o cartaceo, siano messe al sicuro nella propria postazione di lavoro, in particolare alla fine della giornata lavorativa e in caso di assenza prolungata. I computer devono essere bloccati quando le postazioni di lavoro non sono occupate e spenti alla fine della giornata lavorativa. Qualsiasi dato sensibile deve essere rimosso dalla scrivania e chiuso a chiave in un cassetto quando la postazione di lavoro non è occupata e alla fine della giornata lavorativa. Le cartelle contenenti dati riservati o sensibili devono essere tenute chiuse e bloccate quando non utilizzate. Le chiavi utilizzate per accedere ai dati riservati o sensibili non devono essere lasciate in luoghi non presidiati. I laptotp devono essere conservati in un cassetto se non utilizzati. Le password non possono essere lasciate su note adesive attaccate sopra, sotto o nei pressi di un computer, né possono essere lasciate per iscritto in posizione accessibile. Le stampe contenenti dati riservati o sensibili devono essere immediatamente rimosse dalle stampanti. Al momento dello smaltimento, i documenti riservati o contenenti dati sensibili devono essere distrutti e triturati con gli appositi macchinari, ove presenti. I dispositivi portatili come laptop, smartphone o tablet non devono mai essere lasciati sbloccati e incustoditi. Tutti i dispositivi di archiviazione di massa come CDROM, DVD, hard disk portatili o chiavi USB devono essere conservati in cassetti chiusi a chiave.
Il dipendente che viola queste norme di comportamento è soggetto alle azioni disciplinari previste, fino al licenziamento.
Misure tecniche.
L’amministrazione della sicurezza tecnica segue i seguenti criteri generali:
- applicazione del principio del privilegio minimo, secondo cui a ciascun utente vengono assegnate le autorizzazioni strettamente necessarie all’espletamento delle rispettive mansioni;
- automazione della verifica delle richieste di accesso ai dati, tramite autenticazione con UserID e password;
- verificazione periodica del traffico di rete generato, al fine di garantire un pronto intervento in caso di attività anomale;
- revisione periodica delle misure di sicurezza e dei sistemi informatici, al fine di verificarne l’adeguatezza e l’affidabilità;
- organizzazione di sessioni di formazione dei dipendenti, con la produzione di documentazione interna, per aumentarne la consapevolezza dei rischi in materia di sicurezza delle informazioni e di protezione dei dati personali.
CLICK & COLLECT
Ordina e ritira in boutique
RESO FACILE
A domicilio, in boutique
TROVA LO STORE
Trova il negozio più vicino a te
SHOP ASSISTANT
Scrivi per consigli di stile