Post on 25-Feb-2019
1
COLLEGIO GEOMETRI E GEOMETRI LAUREATI DELLA PROVINCIA DI VENEZIA 30172 Mestre (VE) – Viale Ancona n. 43 int. 8 e 9
C.F. 90035280271
REGISTRO DELLA ATTIVITA’ DI
TRATTAMENTO
REGOLAMENTO EUROPEO 2016/679
General Data Protection Regulation
Delibera di Consiglio Direttivo del 02/05/2018
3
Collegio dei
Geometri della
Provincia di
Venezia
REGISTRO DELLE ATTIVITA’ DI TRATTAMENTO
Rev. 00
02/05/2018
Pag. 3 di 1
INDICE GENERALE pag
INTRODUZIONE Struttura e Organizzazione dell’azienda e natura dei dati
trattati 4
MAPPATURA DELLE
INFORMAZIONI
Albo
Registro Tirocinanti
Consiglio Direttivo
Consiglio di Disciplina
Personale
Formazione Iscritti
Corrispondenza
Contabilità
Sito web
Sezione di Mediazione
Cassa di Previdenza
Riscossione quote tramite Agenzia delle Entrate
Recupero Crediti tramite studio legale
8
GESTIONE ARCHIVI Analisi dei rischi violazione dei dati 14
MISURE DI
PREVENZIONE
Misure di prevenzione violazione archivio cartaceo
Misure di prevenzione violazione archivio informatico
Trattamento dati affidati all’esterno
La Formazione del personale in materia di privacy
Tempo di conservazione delle informazioni
15
16
18
19
20
DATA BREACH Notifica delle violazioni dei dati 21
ADOZIONE
NORMATIVA Riferimento Normativo GDPR 679/2016
allegato
ALLEGATI
Nomine responsabile e incaricati
Procedure Qualità:
IPO01 Salvataggio dati informatici
IPO02 Manutenzione strumenti informatici
IPO03 Test anti virus
IPO04 Ubicazione archivi
rev 19.04.2018
4
STRUTTURA E ORGANIZZAZIONE DEL COLLEGIO E NATURA DEI DATI TRATTATI
Il Collegio dei Geometri e dei Geometri Laureati della Provincia di Venezia, titolare del
trattamento dei dati, gestisce i dati personali, giuridici e le categorie particolari di dati (dati
sensibili) degli Iscritti all’Albo, dei Tirocinanti, dei dipendenti, fornitori e collaboratori a vario
titolo, con la massima riservatezza.
Le finalità perseguite dal Collegio attengono alla gestione istituzionale dell’Albo dei
Geometri Iscritti, del Registro Tirocinanti; il Collegio collabora con la Cassa di Previdenza ed
Assistenza Geometri per la definizione delle pratiche pensionistiche.
Il Collegio è inoltre Sezione di Mediazione dell’Associazione Nazionale Geometri Consulenti
Tecnici Arbitri e Mediatori.
La natura dei dati trattati dal Collegio appartiene alla fattispecie dei dati personali e
sensibili degli Iscritti Albo e dei Tirocinanti; le operazioni di trattamento dei dati riguardano
in particolare la posizione contributiva, reddituale e previdenziale dei Geometri; in taluni
casi i dati possono essere di natura sanitaria e giuridica. Il Collegio gestisce inoltre i dati
personali dei dipendenti, dei collaboratori, dei consulenti e dei fornitori.
Si specifica che il Collegio Geometri di Venezia, in qualità di ente pubblico non economico,
ai sensi dell'art.18 co.4, Codice Privacy nonché dell'art.6 co.1 lett.e) GDPR 2016/679 ha
l'obbligo di fornire l'informativa ma non deve richiedere il consenso dell'interessato per il
trattamento dei dati personali; per il trattamento dei dati sensibili e/o giudiziari e/o di salute-
medici (dati particolari per il GDPR 2016/679) non ha l'obbligo di ottenere il consenso
dell'interessato ma ha l'obbligo di rendere l'informativa privacy completa del Regolamento
sui dati sensibili e/o giudiziari e/o sanitari-medici.
Il Collegio Geometri e Geometri Laureati in ottemperanza al nuovo Regolamento Europeo
in materia di Privacy – GDPR General Data Protection Regulation UE 2016/679, consapevole
che i dati devono essere considerati “asset” e come tali devono essere tutelati e protetti,
adotta il REGISTRO DELLE ATTIVITA’ DI TRATTAMENTO in cui, dopo attenta analisi delle
informazioni gestite e della base giuridica del loro trattamento, si evidenza:
- La mappatura dei dati personali, la finalità e la valutazione dei rischi di violazione;
- Le procedure tecniche e organizzative adottate per la sicurezza e la protezione;
- La modulistica.
- Misure di notifica alle violazioni dei dati personali
La redazione del Registro è il risultato dell’analisi delle procedure esistenti per ciascun
ambito di gestione dei dati personali (Albo, Registro Tirocinanti, Personale del Collegio,
Disciplina, Sezione di Mediazione, Previdenza, Contabilità, Protocollo, Formazione ecc…)
della comparazione dell’esistente con lo standard normativo, della programmazione di
azioni di adeguamento e dal controllo dell’efficacia e dell’efficienza delle azioni realizzate.
NORME DI RIFERIMENTO:
Regio Decreto n. 274 del 1929
5
Decreto Legislativo n. 382 del 1944
Decreto Legislativo n. 137 del 2012
Legge 818/1984
Decreto Legislativo 81/2008 e S.I.
Legge 75/1985 e S.I.
Contratto di Lavoro Enti Pubblici
Ordinanza Ministeriale Esami di Stato
Decreto Legislativo 28/2010 e S.I.
Decreto Presidente della Repubblica n. 600/1937 (normativa sostituto d’imposta)
Codice Deontologico 2007
Linee Guida Procedimenti Disciplinari CNGeGL 2014
Direttive sul praticantato CNGeGL 2015
Convenzione Cipag-Collegio
Regolamento Iscrizione CIPAG
Regolamento Organismo GEOCAM
Regolamento Formazione Continua 2018
Regolamento Contributivo Collegio 2017
Regolamento di Contabilità Collegio 2017
TITOLARE DEL TRATTAMENTO
Il titolare del trattamento è il Collegio Geometri e GL di Venezia C.F. 90035280271 nella
persona del Presidente e rappresentante legale pro-tempore Paolo BISCARO. La sede del
Collegio si trova a Mestre in Viale Ancona 43.
Contatti: tel. 041/985313
email: sede@collegio.geometri.ve.it PEC collegio.venezia@geopec.it
RESPONSABILE INTERNO DEL TRATTAMENTO
Funzionario incaricato Laura Bernardi nomina del 29/12/2015
INCARICATE AL TRATTAMENTO
Gianna Nardo incarico del 01/02/2017
Francesca Simionato incarico del 01/02/2017
Barbara Ziz incarico del 01/02/2017
6
DEFINIZIONE CATEGORIE DI DATI TRATTATI
Dati personali: qualsiasi informazione relativa ad una persona fisica
Particolari categorie di dato: dati che rivelano origine razziale, etnica, opinioni politiche,
convinzioni religiose, filosofiche, appartenenza sindacale, dati biomedici, dati genetici, dati
relativi all’orientamento sessuale (dati sensibili)
Dati relativi a condanne penali e reati: riguardano condanne penali, reati e misure di
sicurezza.
DESCRIZIONE SINTETICA DEL TRATTAMENTO
Finalità perseguita o attività svolta: Attività istituzionale anagrafica di gestione
dell’Albo dei Geometri e GL di Venezia e Registro
Tirocinanti.
Aggiornamento professionale
Categorie di interessati: Iscritti Albo e Registro Tirocinanti, dipendenti,
consulenti, collaboratori e fornitori, cittadino
richiedente informazioni, l'utente che visita il nostro
sito web
NATURA DEI DATI TRATTATI
Sensibili: SI
Personali/identificativi SI
STRUTTURA DI RIFERIMENTO Sede Collegio Geometri e GL della Provincia di Venezia
Viale Ancona 43 Mestre (VE)
ALTRE STRUTTURE IN OUTSOURCING CHE CONCORRONO AL TRATTAMENTO
1. Studio FAVARETTO Commercialista
2. Studio legale MOLIN ANDRICH
3. Consulente del lavoro Studio BONET LESPSCHY & ASSOCIATI
4. Revisore dei conti dott. Luca CORRO’
5. Studio Legale SALVALAIO e ASSOCIATI
6. NEW TRONIC Assistenza Tecnica HW e SW
7. ISI Sviluppo Informatico SRL
8. EQUITALIA Servizi di riscossione S.p.A.
9. 3click – Ing. Mattia CATTELAN
DESCRIZIONE DEGLI STRUMENTI INFORMATICI UTILIZZATI
Cinque personal computer collegati tra di loro tramite la rete informatica su server
“Pubblica”
Accesso alla rete dati “Internet” mediante Gestore FASTWEB
7
ELENCO DEI TRATTAMENTI: ULTERIORI ELEMENTI PER DESCRIVERE I TRATTAMENTI DEI DATI.
BANCA DATI
UBICAZIONE FISICA DEI
SUPPORTI DI
MEMORIZZAZIONE
TIPOLOGIA DEI
DISPOSITIVI DI
ACCESSO
TIPOLOGIA DI
INTERCONNESSIONE
Cartacea
Vedi allegato IPO04
Ubicazione archivi
Archivio – Segreteria –
Stanza del Funzionario –
Stanza del Presidente
Schedari, cassetti ed
armadi contenenti
fascicoli e documenti
(chiusura a chiave
contenuta in
cassaforte)
Custodia con chiavi in
cassaforte
Rete Informatica
“Pubblica”
1) Segreteria P n° 1
2) Segreteria P n° 2
3) Segreteria P n° 3
4) Segretario P n° 4
5) Funzionario P n° 5
User ID e Password
Vedi allegato IPO01
procedura gestione
UserID e Password
Rete informatica
Pubblica su Server
COMPETENZE E RESPONSABILITÀ DELLE STRUTTURE PREPOSTE AI TRATTAMENTI.
STRUTTURA TRATTAMENTI EFFETTUATI DALLA STRUTTURA
Titolare del trattamento
Responsabile interno delegato al
trattamento dei dati:
Funzionario del Collegio nominato dal
Consiglio Direttivo dei Geometri della
Provincia di Venezia.
Deleghe interne:
Sig.ra Gianna NARDO
Sig.ra Francesca Simionato
Sig.ra Barbara Ziz
Collegio Geometri e GL di Venezia -Presidente pro
tempore Paolo Biscaro
Responsabilità e supervisione delle attività di
archiviazione, consultazione, aggiornamento e
cancellazione dati degli iscritti, dei fornitori, dei
dipendenti, dei collaboratori.
Attività di consultazione, aggiornamento e
cancellazione dati degli iscritti e tirocinanti; attività
amministrativo-contabile, attività di consulenza in
materia pensionistica; accesso agli archivi informatici e
cartacei per attività istituzionale.
8
MAPPATURA DEI DATI TRATTATI
ALBO
DATI BASE
GIURIDICA
FINALITA’ DATO
SENSIBILE
ARCHIVIO
Anagrafici Iscritti
Obbligo di
Legge
Consenso
Iscrizione e
variazioni Albo e
Cipag
No Cartaceo/informatico
Attestato o Requisito
Prevenzione Incendi
Iscrizione Elenchi
Speciali Ministero
dell’Interno
No Cartaceo/informatico
Pagamento quote Verifica Morosità No Cartaceo/informatico
Provvedimenti
disciplinari
Rispetto
deontologia
professionale
Si Cartaceo/informatico
Certificati medici
per esenzione
formazione
continua
Verifica formazione
obbligatoria
Si Cartaceo
Sospensioni morosità Rispetto
regolamento
contributivo
No Cartaceo/informatico
Parcelle Liquidazione No Cartaceo
Attestati formazione
Aggiornamento
obbligatorio
No Cartaceo
REGISTRO TIROCINANTI
DATI BASE
GIURIDICA
FINALITA’ DATO
SENSIBILE
ARCHIVIO
Anagrafici iscritto
Obblighi di
Legge
Iscrizione e
reperibilità
No Cartaceo/informatico
Dati Dante Pratica
(se iscritto ns. albo)
Tenuta Registro
Tirocinanti
No Cartaceo/informatico
Dati Dante Pratica
(se Iscritto altro
Albo/Ordine)
Tenuta Registro
Tirocinanti No Cartaceo
Iscrizione Cipag Versamento
contributi
previdenziali
No Cartaceo/informatico
Quote iscrizione
(sollecito pag.ti)
Tenuta Registro
Tirocinanti No Cartaceo/informatico
Istanza esami di
stato
Esame di accesso
alla libera
professione
No Cartaceo
Esito prove d’esame Affissione e
Comunicazione
esito esame
No Cartaceo/informatico
9
CONSIGLIO DIRETTIVO
DATO BASE
GIURIDICA
FINALITA’ DATO
SENSIBILE
ARCHIVIO
Angrafica e dati
contatto componenti
Obblighi di
Legge
Funzionament
o dell’organo
No Cartaceo/informatico
Iscrizioni e
cancellazioni
geometri
Tenuta Albo e
Registro
Tirocinanti
No Cartaceo/informatico
Approvazione fatture Gestione
Collegio
No Cartaceo/informatico
Provvedimenti
amministrativi di
sospensione
Recupero
crediti
No Cartaceo/informatico
Dati candidati ed Eletti
CD
Nomina
Organo
No Cartaceo
Bilancio Approvazione No Cartaceo/Informatico
Quote associative
Albo e Registro
Tirocinanti
Gestione
Collegio
No Cartaceo/Informatico
Delibere Consiglio Indirizzo
amministrativo
e politico
No/Si Cartaceo/Informatico
Proposta nominativi
per Consiglio di
Disciplina
Nomina
Organo
No Cartaceo/Informatico
CONSIGLIO DISCIPLINA
DATI BASE
GIURIDICA
FINALITA’ DATO
SENSIBILE
ARCHIVIO
Angrafica e dati
contatto
componenti
Obbligo di
Legge
Funzionamento
dell’organo
No Cartaceo/Informatico
Anagrafici
dell’esponente
Reperibilità No
Cartaceo
Esposto – presunto
illecito
Procedimento
disciplinare
Si Cartaceo/Informatico
Memorie attinto Difesa No Cartaceo/Informatico
Incolpazione Aperura
procedimento
No Cartaceo/Informatico
Provvedimento Chiusura
procedimento
No Cartaceo/Informatico
Verbali Consiglio
Disciplina
Valutazione
Disciplinare
si Cartaceo/Informatico
Notifica Comunicazione
esito procedimento
No Cartaceo/Informatico
10
PERSONALE
DATI BASE
GIURIDICA
FINALITA’ DATO SENSIBILE ARCHIVIO
Anagrafici
dipendenti,
Contratto di
lavoro Enti
Pubblici
Consenso
Consenso
Consenso
Consenso
Obbligo di
Legge
Reperibilità NO Cartaceo
Dati INPS e INAIL Busta paga SI Cartaceo/Informatico
Dati reddituali Modello CUD
gestione
paghe
No
Informatico
Dati familiari Detrazioni
fiscali
No Cartaceo
Iscrizione Sindacato Costo azienda Si Cartaceo
Certificati Malattia Assenze orario
e retribuzione
Si Cartaceo/informatico
Certificati
Maternità
Assenza orario
e retribuzione
Si Cartaceo
Incarichi extra
contrattuali
Assegnazioni di
responsabilità
No Cartaceo
Richiesta ferie
permessi
Assenza orario
e retribuzione
No Cartaceo
Richieste anticipo
TFR
Retribuzione Si Cartaceo
Richieste prestiti
ente previdenziale
Accesso al
credito
agevolato
No Cartaceo
Attestati corsi di
formazione
Formazione
interna
No Cartaceo
Certificati visite
mediche
Idoneità del
lavoratore
Si Cartaceo
FORMAZIONE ISCRITTI
DATI BASE
GIURIDICA
FINALITA’ DATO SENSIBILE ARCHIVIO
Crediti Formativi Obbligo di
Legge
Consenso
Interesse
legittimo
Obbligo di
Legge
Consenso
Formazione
obbligatoria
No Informatico
Istanza di deroga Esenzione
attività
formativa
Si Cartaceo/Informatico
Delibera di
deroga
Autorizzazione No Cartaceo/Informatico
Curriculum
Certificato
Riepilogo
formazione
No Informatico
Attestati Adempimento
corsi obbligatori
No Cartaceo/informatico
Curriculum
Docenti
Organizzazione
Corsi
No Cartaceo/informatico
11
CORRISPONDENZA
DATI BASE
GIURIDICA
FINALITA’ DATO SENSIBILE ARCHIVIO
Contatto enti,
cittadini
Consenso
Interesse
legittimo
Istituzionali,
Informative
No/Si Cartaceo
Protocollo Informatico
CONTABILITA’ FORNITORI
DATO BASE
GIURIDICA
FINALITA’ DATO SENSIBILE ARCHIVIO
Anagrafici
(Reversali-
mandati-fatture
PA)
Obbligo di
Legge
Applicazione
normative
contabili
vigenti
NO
Cartaceo/informatico
Reddituali
(Certificazioni
Uniche)
Applicazione
normative
vigenti
NO
Cartaceo/informatico
Anagrafica e dati
bancari Fornitori
Gestione
Pagamenti
No Cartaceo/informatico
SITO WEB
DATO BASE
GIURIDICA
FINALITA’ DATO SENSIBILE ARCHIVIO
Anagrafica Iscritti
PEC eventuali
provvedimenti
sanzionatori
Obbligo di
Legge
Consenso
Applicazione
normative
SI
Cartaceo/informatico
Indirizzi IP utente Accesso alle
informazioni
NO
Informativa Cookie
Il Collegio assolve attività di prestazione di servizi a favore di Enti Terzi sulla base di
specifiche convenzioni-contratti:
- Organismo GEOCAM di cui il Collegio è Sezione territoriale incaricata del
trattamento (Convenzione 2012)
- Cipag per la presentazione delle pratiche pensionistiche (Convenzione Cipag-
Collegio)
12
SEZIONE DI MEDIAZIONE GEOCAM
DATI BASE
GIURIDICA
FINALITA’ DATO SENSIBILE ARCHIVIO
Anagrafici parte
istante, parte
chiamata e legali
Consenso
Regolamento
Organismo
GEOCAM
Reperibilità No Cartaceo/informatico
Anagrafici
mediatore
Reperibilità -
Incarico
No Cartaceo/informatico
Copia documenti
identità parte
istante parte
chiamata e legali
Controllo
identità
Si cartaceo
Istanza di
mediazione,
adesione e
documenti
allegati
Conciliazione Si Cartaceo/informatico
Ricevute bonifico Verifica
Pagamento
Tariffa
No Cartaceo/Informatico
Verbali Esito
conciliazione
Si Cartaceo/informatico
Questionario Valutazione
obbligatoria
No Cartaceo
PREVIDENZA – CASSA GEOMETRI
DATI BASE
GIURIDICA
FINALITA’ DATO SENSIBILE ARCHIVIO
Anagrafici
Regolamento
attuativi CIPAG
Convenzione
Collegio/CIPAG
Iscrizione albo NO Cartaceo/informatico
Reddituali Iscrizione albo NO Cartaceo/informatico
Pensionistici Rispetto
Convenzione
SI Cartaceo/informatico
Stato di salute
(assistenza
straordinarie)
Rispetto
Convenzione
SI Cartaceo/informatico
13
RISCOSSIONE QUOTE ALBO tramite AGENZIA DELLE ENTRATE
DATO BASE
GIURIDICA
FINALITA’ DATO
SENSIBILE
ARCHIVIO
Anagrafici
(emissione ruoli)
Convenzione
Collegio/Agenzie
delle Entrate
Applicazione
Regolamento
Contributivo
NO
Cartaceo/informatico
Patrimoniali
(recupero crediti
fermi
amministrativi
ipoteche
sequestri)
Applicazione
Convenzione
vigente
SI
Cartaceo/informatico
RECUPERO CREDITI tramite STUDIO LEGALE
DATO BASE
GIURIDICA
FINALITA’ DATO SENSIBILE ARCHIVIO
Anagrafici
(diffide-decreti
ingiuntivi)
Interesse
legittimo
Applicazione
Regolamento
Contributivo
SI
Cartaceo/informatico
Patrimoniali
(recupero crediti
ipoteche – esiti
azioni
investigative)
Applicazione
Regolamento
Contributivo
SI
Cartaceo/informatico
GESTIONE E INDIVIDUAZIONE ARCHIVI
L’archivio Informatico è contenuto nella cartella Public (\\NAS12CE90) (Y:) Il back up della
cartella PUBBLICA verrà eseguito giornalmente mediante GOOGLE DRIVE. L’informativa di
protezione del server cloud è consultabile nel sito:
L’ubicazione degli archivi cartacei è specificata nell’apposita procedura IPO 04 contenuta
nel Manuale delle Istruzioni Operative del Sistema di Qualità “Ubicazione archivi Collegio”.
Le procedure di sicurezza e protezione degli archivi sono illustrate nelle procedure IPO 01 –
IPO 02 - IPO 03
14
ANALISI DEI RISCHI VIOLAZIONE DEI DATI
Documento revisionato in data 02/05/2018
A) COMPORTAMENTO DEGLI OPERATORI:
RISCHI SI/NO DESCRIZIONE DELL’IMPATTO SULLA SICUREZZA
(GRAVITÀ: ALTA/MEDIA/BASSA)
Sottrazione di credenziali di
autenticazione SI
Bassa – Le credenziali sono custodite in buste chiuse
in cassaforte e modificate ogni sei mesi
Carenza di consapevolezza,
disattenzione o incuria. SI
Bassa
Comportamenti sleali o
fraudolenti SI
Bassa
Errore materiale SI Medio
B) EVENTI RELATIVI AGLI STRUMENTI:
RISCHI SI/NO DESCRIZIONE DELL’IMPATTO SULLA SICUREZZA
(GRAVITÀ: ALTA/MEDIA/BASSA)
Azione di Virus informatici o di
programmi suscettibili di recare
danno.
SI
Media. Nonostante la presenza di antivirus (NOD32)
rinnovato annualmente, questo può sempre
accadere.
Spamming o tecniche di
sabotaggio. SI
Bassa
Malfunzionamento
indisponibilità o degrado degli
strumenti.
SI
Media
Accessi esterni non autorizzati. SI Bassa
15
C) DANNI DOVUTI AD EVENTI FISICI:
MISURE DI PREVENZIONE VIOLAZIONE ARCHIVIO CARTACEO
Documento revisionato in data 02/05/2018
MISURE
DESCRIZIONE DEI
RISCHI
CONTRASTATI
TRATTAMENTI
INTERESSATI
MISURE GIÀ IN
ESSERE
STRUTTURA O
PERSONE
ADDETTE
ALL’ADOZIONE
Chiusura a
chiave archivi
cartacei
Accesso non
autorizzato
Tutti i dati oggetto
del trattamento
Conservazione
chiavi degli
archivi in
cassaforte
Ogni sera la
Segreteria
RISCHI SI/NO DESCRIZIONE DELL’IMPATTO SULLA SICUREZZA
(GRAVITÀ: ALTA/MEDIA/BASSA)
Accessi non autorizzati a
locali/reparti ad accesso
ristretto.
SI
Media. Un ordine di servizio del Presidente del
25/03/2016 vieta l’accesso ai locali della Segreteria,
Archivio e della stanza del Funzionario a tutti coloro
che non dispongano di specifica autorizzazione del
Presidente o del Segretario
Sottrazioni di strumenti
contenenti dati. SI
Media
Eventi distruttivi naturali o
artificiali (movimenti tellurici,
scariche atmosferiche,
incendi, allagamenti,
condizioni ambientali),
nonché dolosi, accidentali o
dovuti ad incuria.
SI
Medio impatto per eventi naturali.
Medio per danneggiamenti di tipo doloso.
Medio per eventi dovuti ad incuria.
Guasto ai sistemi
complementari (impianto
elettrico, impianto di
climatizzazione).
SI
Medio poiché nonostante la manutenzione
possono comunque verificarsi.
Errori umani nella gestione
della sicurezza fisica SI
Media
16
MISURE DI PREVENZIONE VIOLAZIONE ARCHIVIO INFORMATICO
PROCEDURA DI SALVATAGGIO DATI SENSIBILI E GESTIONE STRUMENTI INFORMATICI
Documento revisionato in data 02/05/2018
La struttura di rete prevede che tutti i dati di sistema (sistema operativo e db active directory) ed i
dati applicativi (posta, dati contabilità e dati applicativo “collgeometri” e documenti) siano salvati
nel NAS che è composto da due HARD DISK in RAID 1. Il primo è quello dove vengono salvati tutti i
dati ed è possibile accedervi da Windows. Il secondo è la copia backup del primo, serve in caso il
primo abbia problemi.
Successivamente viene eseguito un backup automatico sul Cloud di Google Drive.
Esiste inoltre il cestino di rete all’interno del NAS (dove si trovano le cartelle Pubblica Fondazione e
Pubblica Collegio) che contiene tutto quello che vi viene inserito, per 180 giorni (utile in caso di
cancellazione involontaria).
In caso di problematiche tecniche riguardanti i dati archiviati l’incaricato dovrà contattare il
responsabile dell’assistenza individuato nella persona dell’ing. Mattia Cattelan della 3 Click di Mestre
per il ripristino della funzionalità del sistema.
GESTIONE USER ID E PASSWORD
Ad ogni operatore è richiesto l’aggiornamento della propria PASSWORD con cadenza semestrale.
Essa dovrà contenere almeno 8 caratteri alfanumerici e dovrà essere comprensiva di maiuscole,
minuscole e numeri.
Non dovrà contenere il proprio nome o cognome.
Le password saranno archiviate in busta chiusa e tenute sotto chiave. Nel caso di utilizzo delle
credenziali di accesso da parte di un operatore diverso dal titolare del pc, motivato dall’assenza di
quest’ultimo, comporterà, al suo rientro, il rinnovo immediato della password di accesso.
ISTITUZIONE REGISTRO DEGLI ACCESSI AI PC
E’ istituito il Registro in cui si traccia il nome e cognome, la data e la motivazione dell’accesso ad un
PC diverso da quello assegnato.
MANUTENZIONE STRUMENTI INFORMATICI
Controlli funzionali per la manutenzione degli strumenti
1. Controllo presenza virus informatici per ogni supporto esterno rimovibile
2. Controllo presenza virus informatici per ogni file scaricato via internet
3. Update via internet del software antivirus installato
4. Controllo collegamenti di alimentazione (prese di corrente) ogni 60 giorni
5. Costante disponibilità di circolazione dell’aria attorno alla macchina
N.B. I punti 2 e 3 vengono eseguiti in automatico dal server
Controlli di processo per l’ottimizzazione delle prestazioni degli strumenti (riduzione del rapporto:
minuti di stand-by della macchina/minuti attività totali)
1. Mantenere sempre libero 1/10 dello spazio totale disponibile su disco fisso (condizione
minima)
2. Installazione di software compatibili con la configurazione della macchina
3. Installazione degli aggiornamenti dei software installati ogni volta siano disponibili
4. Disinstallazione dei software inutilizzati
17
5. Controllo di conflitti fra software
6. Controllo ed eliminazione di file inutilizzati presenti su disco fisso
7. Evitare azioni non compatibili con le attività dei software utilizzati
INSTALLAZIONE E MANUTENZIONE ANTIVIRUS
L’antivirus installato è il NOD32. L’installazione ha una validità annuale.
Il software prima della scadenza avvisa il termine di funzionamento entro il quale effettuare la nuova
installazione.
Il responsabile interno contatterà immediatamente la NEW TRONIC per effettuare l’ordine
dell’antivirus. La NEW TRONIC è incaricata in quanto responsabile esterno degli aggiornamenti
software, ad eseguire l’installazione nei PC degli incaricati.
Gli aggiornamenti vengono eseguiti in automatico dal sw antivirus.
18
TRATTAMENTI DEI DATI AFFIDATI ALL’ESTERNO
Documento revisionata in data 02/05/2018
DESCRIZIONE SINTETICA
DELL’ATTIVITÀ ESTERNALIZZATA
TRATTAMENTI DI DATI
INTERESSATI SOGGETTO ESTERNO
DESCRIZIONE DEI
CRITERI E DEGLI
IMPEGNI ASSUNTI
PER LE ADOZIONI
DELLE MISURE
Assistenza e Gestione archivi
informatici e accesso dati
Albo Registro Tirocinanti e
Formazione
Dati anagrafici iscritti
Albo e Tirocinanti,
formazione continua
ISI Sviluppo
Informatico SRL
Nomina
contrattuale di
responsabile
esterno
Fatturazione
Dati commerciali e
contabili.
Studio
Commercialista
dott. Favaretto
Nomina di
responsabile
esterno
Tutela Legale Dati inerenti alla tutela
legale.
Studio Legale
avv. Andrich
Nomina di
responsabile
esterno.
Tutela Legale Dati inerenti alla tutela
legale e recupero
morosità
Studio Legale
Salvalaio e Associati
Nomina di
responsabile
esterno.
Consulente del Lavoro
Dati inerenti alla
gestione dei dipendenti
Consulente del
Lavoro
Studio Bonet
Lepschy & Associati
Nomina di
responsabile
esterno.
Revisione dei conti Dati inerenti ai bilanci
finanziari Revisore dei conti
dott. Luca Corrò
Nomina di
responsabile
esterno.
Consulente informatico Dati inerenti a gestione
Albo 3Click
Ing.Cattelan
Mattina
Nomina di
responsabile
esterno
Consulente informatico Dati inerenti a
dipendenti, fornitori e
iscritti albo
New TRONIC
tramite dipendente
incaricato:
Giacomo Favetta
Nomina di
responsabile
esterno.
Riscossione Quote Albo Dati identificativi degli
iscritti Albo Equitalia Servizi di
riscossione
Nomina di
responsabile
esterno.
19
LA FORMAZIONE
DESCRIZIONE SINTETICA DEGLI
INTERVENTI FORMATIVI
CLASSI DI INCARICO O
TIPOLOGIE DI INCARICATI
INTERESSATI
TEMPI
Intervento di Brenta System per
verifica procedura salvataggio
Corso di aggiornamento Legge
196/2003
Segreteria, relazioni con il
pubblico, amministrazione.
Tutto il personale dipendente
Eseguito il 19 dicembre 2016
Intervento formativo sul GDPR
679/2016 e novità introdotte e
sulla necessità di adeguamento
entro il 25/05/2018.
A cura dell’avv. Diego Moras
Presidente - Segreteria Eseguito il 11 aprile 2018
20
TEMPO DI CONSERVAZIONE DELLA DOCUMENTAZIONE DEL COLLEGIO
TIPO DI DOCUMENTO DURATA
CONSERVAZIONE NOTE
Contabilità 10 anni Conservare documentazione
più importante anni precedenti
Ritenute d’acconto 10 anni
Specifiche liquidate 10 anni
Verbali consiglio Tutti gli anni
Verbali elezioni Consiglio Direttivo Tutti gli anni
Verbali assemblee iscritti Tutti gli anni
Esami di abilitazione Tutti gli anni
Corrispondenza CNGeGL. 10 anni Conservare documentazione
più importante anni precedenti
Corrispondenza comuni vari 10 anni Conservare documentazione
più importante anni precedenti
Corrispondenza CIPAG. 10 anni Conservare documentazione
più importante anni precedenti
Commissioni di lavoro 10 anni Conservare documentazione
più importante anni precedenti
Corrispondenza in uscita 10 anni
Pratiche CIPAG Mod.17 10 anni
Comunicazioni Anagrafe Tributaria 10 anni
Corso prevenzione Incendi Tutti gli anni
Corsi di formazione vari Tutti gli anni
Eventi e congressi vari Tutti gli anni
Fascicoli ex iscritti albo Tutti gli anni
Fascicoli ex praticanti Tutti gli anni
Visure catastali 10 anni
Esattoria – ruoli anni vecchi 10 anni
Corrispondenza in ingresso 10 anni
Fascicoli dipendenti-ex dipendenti Tutti gli anni
Contributi INPS – INAIL dipendenti Tutti gli anni
Fascicoli consulente lavoro Tutti gli anni
Fascicoli ex fornitori 10 anni
21
NOTIFICA DELLE VIOLAZIONI
Documento del 02/05/2018
Il GDPR disciplina “la violazione dei dati” prevedendo espressamente un obbligo di notifica
e comunicazione in capo al titolare, in presenza di violazioni di dati personali che possano
compromettere le libertà e i diritti dei soggetti interessati.
L’art. 33 impone al titolare di notificare la violazione all’autorità di controllo entro 72 ore dal
momento in cui ne viene a conoscenza. Il tempo di riferimento da cui iniziano a decorrere
i termini della notifica viene individuato quindi nel momento in cui il titolare acquisisce
consapevolezza dell’avvenuta violazione.
PROCEDURA ORGANIZZATIVA INTERNA
1) Identificazione della violazione: l’incaricato del trattamento che rilevi o venga informato
di una violazione dei dati ne dà immediata comunicazione al responsabile interno del
trattamento che a sua volta immediatamente informa il titolare;
2) Valutazione del Rischio: il titolare ed il responsabile valutano se la violazione del dato può
compromettere la/le libertà e i diritti del/i soggetto/i interessato/i;
3) Comunicazione al Garante e all’interessato: in caso di rischio elevato, senza indugio il
titolare dovrà notificare la garante e all’interessato/i le seguenti informazioni:
- descrizione della natura della violazione dei dati personali compresi, ove possibile, le
categorie e il numero approssimativo di interessati in questione nonché le categorie e il
numero approssimativo di registrazioni dei dati personali in questione;
- comunicazione del nome e i dati di contatto del responsabile della protezione dei dati o
di altro punto di contatto presso cui ottenere più informazioni;
- descrizione delle probabili conseguenze della violazione dei dati personali;
- descrizione le misure adottate o di cui si propone l’adozione da parte del titolare del
trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per
attenuarne i possibili effetti negativi.
La notifica ha la funzione di allertare l’autorità e consentire la predisposizione di misure di
tutela immediate ai soggetti coinvolti. Elemento centrale della procedura di notificazione
è quindi la sua tempestività.
La notifica al Garante avviene a mezzo PEC utilizzando il modulo apposito (di cui si allega
copia ALL A) in attesa di nuove precisazioni del garante.
Il responsabile del trattamento effettuerà la notifica all’interessato salvo che il titolare ed il
responsabile stesso verifichino che non incorrano i casi di esenzione previsti dall’art. 34
comma 3 (si allega l’apposito modulo ALL B).