DOCUMENTO PROGRAMMATICO DELLA SICUREZZA ai sensi dell’art. 34 lett. g) D. Lgs. 196/2003 e regola 19 allegato B al D. Lgs. 196/2003
Scopo di questo documento è delineare il quadro di sicurezza del sistema informativo della Società Olympos Group Srl Via XXV aprile, 40 – 24030 Brembate di Sopra (BG).
Premesso che nell’ambito della propria attività effettua trattamento di dati personali, come di seguito elencati, con il presente documento raccoglie e fornisce le informazioni utili per l’identificazione delle misure di sicurezza, organizzative, fisiche e logiche, previste per la tutela dei dati trattati.
In conformità con quanto prescritto al punto 19 del Disciplinare tecnico (allegato B al Decreto Legislativo 196/2003) nel presente documento si forniscono idonee informazioni riguardanti:
Titolare del trattamento dei dati è Olympos Group srl nella persona del legale rappresentante, l’Amministratore Unico Dr. Gianluca Gambirasio.
La Società Olympos Group srl tratta i dati personali esclusivamente per la realizzazione del mandato professionale conferito. I dati personali sono raccolti, valutati, conservati e utilizzati per la redazione della contabilità, delle dichiarazione dei redditi, degli atti giudiziari che la pretesa dell’interessato richiede ovvero per la gestione della trattativa voluta dall’interessato medesimo ovvero ancora per la consulenza desiderata.
I dati raccolti sono trattati nel rispetto del diritto alla riservatezza e alla dignità dell’interessato.
I documenti consegnati allo studio conservati dopo la definizione della pratica per il tempo stabilito dalla legge in archivi riservati.
I dati personali raccolti non sono comunicati a terzi, se ciò non è reso necessario dall’incarico conferito ed in particolar modo in sede giudiziaria. I dati raccolti, inoltre, possono essere comunicati e utilizzati dai professionisti che collaborano con lo studio, nonché dal personale esecutivo impiegato.
In particolare i dati raccolti sono i seguenti:
dati personali dei Clienti, dei fornitori o di terzi ricavati da albi, elenchi pubblici, visure camerali; (cod. 01)
dati personali del personale dipendente e dei consulenti e/o collaboratori, quali quelli necessari al rapporto di lavoro, alla reperibilità ed alla corrispondenza con gli stessi o richiesti ai fini fiscali e previdenziali o dati di natura bancaria; (cod. 02)
dati personali dei Clienti, dagli stessi forniti per l’espletamento degli incarichi affidati allo studio, o necessari per fini fiscali o afferenti alla reperibilità ed alla corrispondenza con gli stessi; (cod. 03)
RUOLI, COMPITI E RESPONSABILITA’
SEZIONE CONSULENZA: l'amministratore, i dipendenti, i consulenti e collaboratori che collaborano con lo studio svolgono le operazioni di trattamento necessarie allo svolgimento dell’attività di consulenza con i trattamenti sopra richiamati: 01, 02, 03.
SEZIONE SEGRETERIA: La segretaria svolge le seguenti operazioni di trattamento necessarie allo svolgimento di attività d’archivio / ufficio, corrispondenza, amministrazione / rapporti di lavoro, e stampa degli atti con i trattamenti sopra richiamati: 01, 02, 03.
L’accesso ai dati personali e al loro trattamento con strumenti informatici da parte dei soggetti facenti parte delle varie SEZIONI della Società, è regolato in base alle misure minime di sicurezza indicate nell’Allegato 1 al presente documento.
Il sistema sarà gradualmente implementato prevedendo l’adozione di un sistema di procedure di autorizzazione di accesso ai dati dei diversi soggetti incaricati e di un sistema di credenziali di autenticazione
Soggetti incaricati
Il trattamento dei dati personali viene effettuato solo da soggetti che hanno ricevuto un formale incarico mediante designazione per iscritto di ogni singolo incaricato, con il quale si individua l’ambito del trattamento consentito. Le lettere di incarico sono allegate al presente documento (allegato 2).
Istruzioni specifiche fornite ai soggetti incaricati
Oltre alle istruzioni generali su come devono essere trattati i dati personali, agli incaricati sono fornite esplicite istruzioni relativamente a:
• procedure da seguire per la classificazione dei dati personali;
• modalità di reperimento dei documenti contenenti dati personali e modalità da osservare per la custodia e l’archiviazione degli stessi;
• modalità per elaborare e custodire le password necessarie per accedere agli elaboratori elettronici e ai dati in essi contenuti, nonché per fornirne copia al preposto alla custodia della parola chiave;
• prescrizione di non lasciare incustoditi e accessibili gli strumenti elettronici, mentre è in corso una sessione di lavoro;
• procedure per il salvataggio dei dati;
Formazione degli incaricati al trattamento
Agli incaricati al trattamento, il titolare (direttamente o tramite soggetti da lui identificati) fornisce la necessaria formazione:
al momento dell’ingresso in servizio
in occasione dell’introduzione di nuovi strumenti e programmi informatici
La formazione interesserà sia le norme generali in materia di privacy, sia gli aspetti peculiari dei trattamenti effettuati
ANALISI DEI RISCHI CHE INCOMBONO SUI DATI
Sui dati raccolti incombono i seguenti rischi:
rischio
grado del rischio
Rivelazione (comunicazione o diffusione) illegittima di informazioni da parte di soggetti interni o terzi
Basso
Distruzione o perdita dei dati stessi (anche accidentale)
Basso
Accesso non autorizzato ai dati, da parte di soggetti interni non autorizzati ad un determinato trattamento o da parte di terzi
Basso
Trattamento non consentito di dati da parte di soggetti non abilitati
Basso
MISURE ADOTTATE PER GARANTIRE INTEGRITA’ E DISPONIBILITA’ DEI DATI
Queste misure riguardano tutti i tipi di trattamento dati descritti in precedenza.
1) PROTEZIONE FISICA DELLE AREE E DEI LOCALI
a) La società è dotato di un sistema di protezione anti-intrusione (blocca tapparelle);
b) Gli archivi cartacei per la custodia dei dati personali sono dotati di serratura;
2) PROTEZIONE INFORMATICA DEGLI STRUMENTI ELETTRONICI
a) il sistema operativo in uso è Windows XP
b) Software antivirus installato: Norton Symantech aggiornato quotidianamente
c) Windows Firewall installato con aggiornamenti automatici
d) Tutti i computer richiedono una password di accesso
Responsabile controllo periodico efficienza informatica: Gianluca Gambirasio
RIPRISTINO DISPONIBILITA’ DEI DATI DISTRUTTI O DANNEGGIATI
Il salvataggio dei dati (c.d. back-up) verrà effettuato con frequenza quotidiana e con frequenza settimanale su hard disk esterno.
L’hard disk esterno verrà conservato in armadio a chiave.
Incaricato salvataggio dati: Gianluca Gambirasio
Il presente documento redatto in data 31/3/06 viene firmato in calce dal dr. Gianluca Gambirasio in qualità di Titolare del trattamento, e verrà aggiornato periodicamente entro il 31 marzo di ogni anno. L’originale del presente documento è custodito presso la Società Olympos Group srl, Via XXV aprile, 40 – 24030 Brembate di Sopra (BG) per essere esibito in caso di controllo.
Milano, 31 Marzo 2007
Firma del Titolare del Trattamento
Allegato 1: misure minime di sicurezza
Allegato 2: lettere di incarico
anni di esperienza
formatori e consulenti aziendali senior
corsi in aula / online e team building a catalogo
aziende Clienti
partecipanti