DOCUMENTO SULLA SICUREZZA DATI D.lgs. 196/2003 e … · Allegato 7 - Documento sulla sicurezza dati...
Transcript of DOCUMENTO SULLA SICUREZZA DATI D.lgs. 196/2003 e … · Allegato 7 - Documento sulla sicurezza dati...
MOG Capitale Lavoro S.p.A. – Parte Speciale Pag. 1 a 29
Allegato 7 - Documento sulla sicurezza dati
Capitale Lavoro S.p.A. Società Unipersonale della Città metropolitana di Roma Capitale
Sede Legale: Viale Giorgio Ribotta, 41– 00144 Roma Tel. +39 06 45.49.98.1 P.I./C.F. 07170551001 www.capitalelavoro.it
CAPITALE LAVORO SPA
DOCUMENTO SULLA SICUREZZA DATI
D.lgs. 196/2003 e ss.mm.ii.
MOG Capitale Lavoro S.p.A. – Parte Speciale Pag. 2 a 29
Allegato 7 - Documento sulla sicurezza dati
2 Capitale Lavoro S.p.A.
Società Unipersonale della Città metropolitana di Roma Capitale Sede Legale: Viale Giorgio Ribotta, 41– 00144 Roma
Tel. +39 06 45.49.98.1 P.I./C.F. 07170551001 www.capitalelavoro.it
INDICE
SEZIONE DESCRITTIVA 3
1 ELENCAZIONI TRATTAMENTI DEI DATI PERSONALI 5
1.1. Tipologia del trattamento dati 5 Finalità del trattamento o attività svolta 5 Struttura organizzativa 5 Categoria di persone a cui si riferiscono i dati 5 Elencazione banche dati 5 Natura dei dati 6 Modalità di trattamento 7
1.2. Altre strutture che concorrono al trattamento 8 1.3. Descrizione degli strumenti elettronici 8 1.4. Analisi dei rischi 10
Accesso non autorizzato 10 Perdita e distribuzione dei dati Trattamento dei dati non conforme alla finalità della raccolta dei dati stessi 11
2 DISTRIBUZIONE DEI COMPITI E RESPONSABILITA 11 2.1. Soggetti interessati 11 2.2. Criteri tecnici ed organizzativi – criteri e procedure per la integrità dei dati 13 2.3. Procedure di accesso ai locali 15 2.4. Criteri e procedure per la trasmissione dati 16
3 PIANIFICAZIONE INTERVENTI FORMATIVI 17
3.1. Informazione degli incaricati 17
4 TRATTAMENTI ESTERNALIZZATI 18 5 PIANO OPERATIVO AZIENDALE
SEZIONE TABELLARE 19
Elenco dei trattamenti 20 Competenze e responsabilità della struttura centrale preposta al trattamento 21 Classi omogenee di incarico e profili di autorizzazione 22 Analisi dei rischi 23 Misure di sicurezza 24 Criteri e procedure per il salvataggio dei dati 25 Interventi informativi 26 Trattamenti affidati all’esterno 27
SEZIONE DI AUTENTICAZIONE 28
MOG Capitale Lavoro S.p.A. – Parte Speciale Pag. 3 a 29
Allegato 7 - Documento sulla sicurezza dati
3 Capitale Lavoro S.p.A.
Società Unipersonale della Città metropolitana di Roma Capitale Sede Legale: Viale Giorgio Ribotta, 41– 00144 Roma
Tel. +39 06 45.49.98.1 P.I./C.F. 07170551001 www.capitalelavoro.it
SEZIONE DESCRITTIVA
MOG Capitale Lavoro S.p.A. – Parte Speciale Pag. 4 a 29
Allegato 7 - Documento sulla sicurezza dati
4 Capitale Lavoro S.p.A.
Società Unipersonale della Città metropolitana di Roma Capitale Sede Legale: Viale Giorgio Ribotta, 41– 00144 Roma
Tel. +39 06 45.49.98.1 P.I./C.F. 07170551001 www.capitalelavoro.it
1. ELENCAZIONI TRATTAMENTI DEI DATI PERSONALI
1.1. Tipologia del trattamento dati
Finalità del trattamento o attività svolta
Nell’esecuzione delle commesse da parte del personale di Capitale Lavoro S.p.A., si possono
riscontrare implicazioni in termini di acquisizione e trattamento di dati personali, sensibili e
giudiziari rilevanti ai sensi del D.Lgs. 196/2003 e successive modifiche ed integrazioni.
Struttura organizzativa
La sede legale ed amministrativa è in Viale Giorgio Ribotta, 41– 00144 Roma. I locali sono ubicati
al piano sesto.
La sede della società è all’interno dello stesso edificio occupato dalla Città Metropolitana di Roma
Capitale in via Ribotta, 41, 43. Essa è costituita da una struttura con sviluppo verticale destinata
ad uffici. La struttura di recentissima costruzione è servita al suo interno da tre corpi scala interni
a prova di fumo e ascensori per l’uso ordinario, nonché sono presenti un ascensore antincendio e
un ascensore di soccorso direttamente comunicanti con l’esterno e a servizio di tutti i piani.
L’autorimessa occupa due livelli interrati ed è comunicante con l’edificio attraverso appositi filtri a
prova di fumo presenti in entrambi i livelli.
Ai livelli -1 e -2 nel corpo della torre sono presenti locali con destinazione d’uso archivi (mobili,
materiale informatico, etc.), spogliatoi per gli usceri (U/D) e personale ex Guardie provinciali
(U/D).
Sono presenti, nel corpo della torre, sempre al livello -1 e al livello -2, 30 locali tecnici quali: uta,
locali macchinari ascensori.
All’esterno, fuori dalla sagoma della torre, nelle immediate vicinanze, con ingresso da apposita
scala o da percorso pedonale, si trovano, al livello -1, il locale UPS ed il quadro elettrico generale,
ed, al livello -2, la Cabina di Trasformazione elettrica ed il locale gruppo elettrogeno con
sottostante interrato serbatoio di gasolio.
Il personale ha accesso all’edificio dai piani interrati o dal piano terra attraverso l’utilizzo di un
proprio badge aziendale per l’apertura dei varchi elettronici (tornelli). L’accesso del pubblico o dei
visitatori avviene a livello terra mentre al 1°piano ballatoio ha sede l’Ufficio Relazioni con il
Pubblico (URP) della Città metropolitana di Roma Capitale.
Al piano terra oltre alla reception, si trovano: uffici, posta, locali autisti dell’Ente, locali di servizio
per presenza/accesso al pubblico.
Al piano terzo è situata la bouvette (deposito e lavaggio stoviglie), oltre ad uffici, autoparco,
stanze adibite utilizzo usceri, posta, sale riunioni.
Al piano sesto è collocata la sede di Capitale Lavoro S.p.A.. Gli uffici sono articolati in stanze e
oltre agli spazi di lavoro sono presenti, sale riunioni, archivi di piano, locali tecnici di piano.
Le scritture contabili, i documenti amministrativi e fiscali sono detenuti negli archivi di piano.
Si riportano di seguito le planimetrie delle strutture sopra descritte, in particolare quelle dei livelli
interrati -1 e -2, del piano terra, del terzo piano e del piano tipo.
MOG Capitale Lavoro S.p.A. – Parte Speciale Pag. 5 a 29
Allegato 7 - Documento sulla sicurezza dati
Capitale Lavoro S.p.A. Società Unipersonale della Città metropolitana di Roma Capitale
Sede Legale: Viale Giorgio Ribotta, 41– 00144 Roma Tel. +39 06 45.49.98.1 P.I./C.F. 07170551001 www.capitalelavoro.it
Planimetrie citta
MOG Capitale Lavoro S.p.A. – Parte Speciale Pag. 6 a 29
Allegato 7 - Documento sulla sicurezza dati
6 Capitale Lavoro S.p.A.
Società Unipersonale della Città metropolitana di Roma Capitale Sede Legale: Viale Giorgio Ribotta, 41– 00144 Roma
Tel. +39 06 45.49.98.1 P.I./C.F. 07170551001 www.capitalelavoro.it
MOG Capitale Lavoro S.p.A. – Parte Speciale Pag. 7 a 29
Allegato 7 - Documento sulla sicurezza dati
7 Capitale Lavoro S.p.A.
Società Unipersonale della Città metropolitana di Roma Capitale Sede Legale: Viale Giorgio Ribotta, 41– 00144 Roma
Tel. +39 06 45.49.98.1 P.I./C.F. 07170551001 www.capitalelavoro.it
MOG Capitale Lavoro S.p.A. – Parte Speciale Pag. 8 a 29
Allegato 7 - Documento sulla sicurezza dati
8 Capitale Lavoro S.p.A.
Società Unipersonale della Città metropolitana di Roma Capitale Sede Legale: Viale Giorgio Ribotta, 41– 00144 Roma
Tel. +39 06 45.49.98.1 P.I./C.F. 07170551001 www.capitalelavoro.it
MOG Capitale Lavoro S.p.A. – Parte Speciale Pag. 9 a 29
Allegato 7 - Documento sulla sicurezza dati
9 Capitale Lavoro S.p.A.
Società Unipersonale della Città metropolitana di Roma Capitale Sede Legale: Viale Giorgio Ribotta, 41– 00144 Roma
Tel. +39 06 45.49.98.1 P.I./C.F. 07170551001 www.capitalelavoro.it
MOG Capitale Lavoro S.p.A. – Parte Speciale Pag. 10 a 29
Allegato 7 - Documento sulla sicurezza dati
Capitale Lavoro S.p.A. Società Unipersonale della Città metropolitana di Roma Capitale
Sede Legale: Viale Giorgio Ribotta, 41– 00144 Roma Tel. +39 06 45.49.98.1 P.I./C.F. 07170551001 www.capitalelavoro.it
Categoria di persone a cui si riferiscono i dati
I dati raccolti da Capitale Lavoro S.p.A. riguardano:
• cittadini ed enti utenti dei servizi offerti a supporto della Città metropolitana di Roma
Capitale;
• dipendenti;
• collaboratori;
• fornitori;
• candidati per selezioni per formatori e docenti di corsi erogati nelle scuole tematiche;
Elencazione banche dati
Al fine di garantire che il trattamento dei dati personali avvenga nel rispetto dei principi di
correttezza e liceità, Capitale Lavoro S.p.A. ha attivato un processo di classificazione e rilevazione
delle banche dati, per le quali assume la qualifica di “Titolare” ai sensi del D.Lgs. 196/2003.
Sono state censite, inoltre, le modalità previste per il trattamento dei dati personali, con
particolare riguardo a quelli effettuati con strumenti elettronici e comunque automatizzati ed a
quelli concernenti dati sensibili, giudiziari o dati che presentano rischi specifici (art.17 del D.Lgs.
196/2003).
Non sono menzionate, nel presente documento, le banche dati che non contengano dati personali
o sensibili, come definiti ai sensi dell’art. 4 del D.Lgs. 196/2003.
I dati oggetto dei trattamenti sono riconducibili alle seguenti categorie:
• Banche dati relative agli utenti dei vari servizi svolti in convenzione con la Città
metropolitana di Roma Capitale;
• Banche dati relative ai dipendenti;
• Banche dati relative ai collaboratori;
• Banche dati relative ai fornitori;
• Banche dati relative al contenzioso.
Natura dei dati
Capitale Lavoro S.p.A. effettua trattamenti di dati personali nell’esercizio della propria attività
istituzionale a supporto della Città metropolitana di Roma Capitale relativamente a:
• soggetti terzi;
• fornitori;
• personale dipendente,
• collaboratori.
I dati personali sono generalmente forniti direttamente dagli utenti dei servizi e dai soggetti
interessati o raccolti mediante acquisizione di informazioni gestite da Enti quali Città
MOG Capitale Lavoro S.p.A. – Parte Speciale Pag. 11 a 29
Allegato 7 - Documento sulla sicurezza dati
11 Capitale Lavoro S.p.A.
Società Unipersonale della Città metropolitana di Roma Capitale Sede Legale: Viale Giorgio Ribotta, 41– 00144 Roma
Tel. +39 06 45.49.98.1 P.I./C.F. 07170551001 www.capitalelavoro.it
metropolitana, Comune, Municipio, ASL, Questura, Prefettura, Tribunali ed istituzioni pubbliche e
private.
Codice dati Tipologie di dati trattati
01 Dati personali degli utenti dei servizi svolti in convenzione con la Città metropolitana di Roma Capitale
02 Dati personali dei lavoratori dipendenti, quali quelli necessari al rapporto di lavoro, alla reperibilità ed alla corrispondenza con gli stessi o richiesti ai fini fiscali e previdenziali o dati di natura bancaria
03 Dati personali dei collaboratori, quali quelli necessari al rapporto di collaborazione, alla reperibilità ed alla corrispondenza con gli stessi o richiesti ai fini fiscali e previdenziali o dati di natura bancaria
04 Dati personali dei fornitori di beni o servizi concernenti la reperibilità e la corrispondenza con gli stessi, nonché inerenti ai fini fiscali o dati di natura bancaria
05 Dati personali di professionisti e consulenti cui Capitale Lavoro S.p.A. affida incarichi, quali quelli concernenti la reperibilità e la corrispondenza con gli stessi, nonché inerenti a finalità fiscali o dati di natura bancaria
06 Dati sensibili del personale dipendente, conseguenti al rapporto di lavoro, ovvero inerenti ai rapporti con gli enti previdenziali ed assistenziali, o dati giudiziari del personale dipendente, o l’adesione ad organizzazioni sindacali
Modalità di trattamento
Le tipologie di dati precedentemente elencate sono sottoposte alle seguenti modalità di
trattamento previste dal Codice, art.4 lettera a):
Modalità di trattamento
Raccolta
Registrazione
Organizzazione
Conservazione
Consultazione
Elaborazione
Modificazione
Selezione
Estrazione
Raffronto
Utilizzo
Interconnesione
Blocco
Comunicazione
Diffusione
Cancellazione
Distruzione
MOG Capitale Lavoro S.p.A. – Parte Speciale Pag. 12 a 29
Allegato 7 - Documento sulla sicurezza dati
12 Capitale Lavoro S.p.A.
Società Unipersonale della Città metropolitana di Roma Capitale Sede Legale: Viale Giorgio Ribotta, 41– 00144 Roma
Tel. +39 06 45.49.98.1 P.I./C.F. 07170551001 www.capitalelavoro.it
1.2. Altre strutture che concorrono al trattamento
Capitale Lavoro S.p.A. si avvale della consulenza dello STUDIO FUSCO Associazione Professionale
per gli adempimenti contabili, fiscali e di contabilità del personale.
Capitale Lavoro S.p.A. si avvale delle prestazioni professionali della Dott.ssa Elisa Romeo per
l’effettuazione delle visite mediche pre-assuntive ed in corso di rapporto di lavoro, in conformità
al T.U. 81/2008.
1.3. Descrizione degli strumenti informatici
La cura di tutti i servizi informatici è affidata all’Area Sistemi Informativi, che ha il compito della
gestione di tutte le problematiche relative all’infrastruttura tecnologica e agli applicativi software
di tutto il portfolio facente capo a Capitale Lavoro S.p.A.
Per quanto riguarda i trattamenti che rientrano nella privacy, le funzionalità gestite sono:
✓ gestione account;
✓ gestione delle banche dati;
✓ impostazione dei parametri di sicurezza della rete (impostazioni condivise con
l’amministratore dei sistemi della Città Metropolitana di Roma Capitale)
✓ backup dei dati.
Nella attuale configurazione dei Sistemi Informativi di Capitale Lavoro S.p.A. i server fisici utilizzati
sono n. 3.
Tali server solo allocati in apposito armadio rack nel locale adibito a Centro Elaborazione Dati
(CED) della Città metropolitana di Roma Capitale, sito in Via Giorgio Ribotta, 41 - 00144 Roma. Per
garantire che all’interno del CED i server lavorino alla corretta temperatura di esercizio
(tipicamente individuabile nel range 10 – 28 oC), all’interno del locale è presente un impianto di
condizionamento. È presente altresì un gruppo statico di continuità (detto anche UPS -
Uninterruptible Power Supply) per garantire costantemente l’alimentazione in corrente alternata
delle apparecchiature e di un impianto antincendio idoneo ad un CED per la salvaguardia delle
apparecchiature in caso di attivazione dello stesso. Il libero accesso al CED è inibito grazie alla
presenza di una porta costantemente chiusa con elettro-serratura con lettore di badge. La
custodia del badge di accesso è a carico del Responsabile di Città metropolitana di Roma Capitale.
Il personale di Capitale Lavoro S.p.A. è dotato di postazioni di lavoro con telefono hardware e
software idonei allo svolgimento delle mansioni aziendali assegnate.
Dal punto di vista del software, i sistemi informativi sono dotati di diversi applicativi gestionali
dedicati allo svolgimento delle attività istituzionali della società.
I server che gestiscono le banche dati sono protetti anche con un antivirus denominato BIT
Defender, mentre i client utilizzano Windows Defender Security Center entrambi con
aggiornamenti costanti.
L’autenticazione alle risorse di rete nell’ambito del domino aziendale Capitalelavoro.local è basata
su standard Windows 2012.
Ogni dipendente ha a disposizione una cartella di rete riservata e, se necessario, condivisa con
altri colleghi sulla quale effettuare il salvataggio dei dati di interesse.
MOG Capitale Lavoro S.p.A. – Parte Speciale Pag. 13 a 29
Allegato 7 - Documento sulla sicurezza dati
13 Capitale Lavoro S.p.A.
Società Unipersonale della Città metropolitana di Roma Capitale Sede Legale: Viale Giorgio Ribotta, 41– 00144 Roma
Tel. +39 06 45.49.98.1 P.I./C.F. 07170551001 www.capitalelavoro.it
La lunghezza delle password è stata portata ad un minimo di 8 caratteri nel rispetto di complessità
delle “default domain policy”. Per le parole chiave stesse è stata impostata una periodicità di
cambiamento trimestrale.
La rete locale viene gestita attraverso la piattaforma Windows 2012 Server. In tale ambito le
credenziali di autenticazione vengono gestite attraverso le componenti di Windows a ciò
destinate. All’atto della creazione delle credenziali di autenticazione di un utente, viene generato
uno “user account” nel Dominio denominato “capitalelavoro.local”.
Il sistema implementato è caratterizzato dai seguenti punti di controllo chiave oltre ai criteri
generali precedentemente esposti:
✓ ciascun utente viene univocamente definito al Dominio, attraverso l’attribuzione di un
codice identificativo (user-id) personale a cui è associata una parola chiave (password) standard;
al primo log-on al sistema da parte dell’utente il sistema operativo obbliga la modifica della
password iniziale;
✓ la password di rete possono essere resettate dall’Amministratore di Sistema essendo stato
previsto nei PC un account di administrator local proprio per permettere l’accesso in caso di
smarrimento delle credenziali;
✓ le password di rete attualmente sono sottoposte a scadenza periodica;
✓ le password degli utenti hanno una lunghezza minima di 8 caratteri, controllata dal sistema,
e possono essere modificate autonomamente dall’utente.
L’accesso ad internet della rete aziendale è garantito da una connessione fornita da Città
metropolitana di Roma Capitale che garantisce il servizio e la banda concordata. Il servizio di
posta elettronica ci è fornito da FASTWEB completo di antispam.
Il sito internet istituzionale è www.capitalelavoro.it. Il sito è installato sui server forniti in housing
a Capitale Lavoro S.p.A. da una società fornitrice del servizio.
1.4. Analisi dei rischi
Accesso non autorizzato
Gli Uffici di Capitale Lavoro S.p.A. sono ubicati, come descritto al piano sesto dello stabile di Viale
Giorgio Ribotta, 41– 00144 Roma. L’accesso agli uffici è dotato di un sistema centralizzato di
sicurezza ed è sorvegliato da addetti alla ricezione.
La sede è dotata di un sistema di allarme.
Quanto agli archivi elettronici, considerata l’informatizzazione del sistema di gestione ed il
collegamento in rete con i vari uffici dislocati sul territorio, la condivisione o comunque l’accesso a
banche dati detenute presso le varie Istituzioni pubbliche con cui Capitale Lavoro S.p.A. collabora,
il rischio di indebito acceso è di dispersione dei dati non è irrilevante. Al fine pertanto di ridurre al
minimo detto rischio, ad ogni operatore è stato assegnato un PC, dotato di propria password e
USER ID. La password è autonomamente sostituibile ad ogni incaricato. Sono state inoltre previste
procedure di disattivazione del codice identificativo consistenti nella scadenza della password, sia
per le ipotesi di perdita della qualità che di mancato utilizzo per protratti periodi di tempo.
Sono in uso programmi antivirus con aggiornamento automatico. Sono state attuate le misure di sicurezza relative alla identificazione per iscritto degli incaricati e alle autorizzazioni.
MOG Capitale Lavoro S.p.A. – Parte Speciale Pag. 14 a 29
Allegato 7 - Documento sulla sicurezza dati
14 Capitale Lavoro S.p.A.
Società Unipersonale della Città metropolitana di Roma Capitale Sede Legale: Viale Giorgio Ribotta, 41– 00144 Roma
Tel. +39 06 45.49.98.1 P.I./C.F. 07170551001 www.capitalelavoro.it
Perdita e distruzione dei dati I documenti cartacei vengono tenuti sulla scrivania di ciascun operatore per il tempo strettamente necessario all’espletamento della pratica; vengono trasferiti altrove solo per brevi momenti (ad es. per firme o approvazioni), non rimangono mai incustoditi e sono archiviati al termine dell’utilizzo o, in ogni caso, al termine dell’attività lavorativa. I predetti documenti cartacei, unitamente ai libri sociali e tutti i documenti societari, sono
conservati in armadi chiusi a chiave all’interno degli uffici amministrativi, muniti di serratura, a
cui accede il solo personale addetto.
Sono state adottate inoltre misure specifiche al fine di evitare la possibilità di distruzione sia
degli archivi cartacei che di quelli elettronici in connessione ad eventi esterni ed imprevedibili,
consistenti in idonei sistemi di antincendio.
Quanto agli archivi elettronici, sono stati previsti sistemi antivirus con aggiornamento automatico. Trattamento dei dati non conforme alla finalità della raccolta dei dati stessi Attualmente sono stati predisposti atti scritti di individuazione degli incaricati con relativa autorizzazione al trattamento ed istruzioni comportamentali, ed è stata prevista una procedura di revisione in relazione alle modifiche nell’organico del personale e al mutamento di mansioni.
2. DISTRIBUZIONE DI COMPITI E RESPONSABILITA’
2 Soggetti interessati
Sono state individuate le varie figure organizzative previste dal D.Lgs. 196/2003 All.B.
In particolare:
Il Titolare del Trattamento
E’ il “Titolare del trattamento” la persona fisica, la persona giuridica, la Pubblica Amministrazione e qualsiasi altro Ente, associazione ad organismo cui competono le decisioni in ordine alle finalità ed alle modalità del trattamento di dati personali, ivi compreso il profilo della sicurezza.
In particolare il Titolare del Trattamento effettua: ✓ la nomina del responsabile del trattamento; ✓ l’affidamento degli incarichi al Responsabile; ✓ la vigilanza sull’attività del Responsabile; ✓ l’osservanza delle diposizioni del Garante; ✓ l’adozione delle misure minime di sicurezza; ✓ l’informativa ed il consenso degli utenti al trattamento dei dati sensibili.
Nella specie il Titolare del trattamento è Capitale Lavoro S.p.A., con sede legale in Roma, Viale Giorgio Ribotta 41, in persona del legale rappresentante: Claudio Panella.
Il Responsabile del Trattamento
E’ la persona fisica, la persona giuridica, la Pubblica Amministrazione e qualsiasi altro Ente,
MOG Capitale Lavoro S.p.A. – Parte Speciale Pag. 15 a 29
Allegato 7 - Documento sulla sicurezza dati
15 Capitale Lavoro S.p.A.
Società Unipersonale della Città metropolitana di Roma Capitale Sede Legale: Viale Giorgio Ribotta, 41– 00144 Roma
Tel. +39 06 45.49.98.1 P.I./C.F. 07170551001 www.capitalelavoro.it
associazione o organismo, dotati di particolare esperienza, capacità ed affidabilità, preposti dal titolare al trattamento dei dati personali. La nomina deve avvenire per atto scritto e deve contenere l’indicazione dei compiti assegnati a ciascun responsabile.
Il Responsabile del Trattamento è tenuto a: ✓ attenersi alle istruzioni impartite dal Titolare; ✓ vigilare sulla puntuale osservanza delle proprie istruzioni circa le concrete modalità di
trattamento dei dati e sull’osservanza delle disposizioni in materia di sicurezza.
Nella caso di Capitale Lavoro S.p.A. Responsabile del Trattamento è Franco Leccese.
Gli Incarichi del Trattamento
Tutti gli operatori di Capitale lavoro S.p.A. che trattano dati personali, e/o sensibili e/o giudiziari vengono designati con atto scritto, quali “Incaricati del trattamento”. È stata inoltre consegnata a ciascuno copia del regolamento contenente le istruzioni comportamentali.
Gli Incaricati del Trattamento devono: ✓ compiere le operazioni di trattamento per le quali sono stati incaricati per iscritto
dal Titolare o dal Responsabile; ✓ elaborare i dati personali a cui hanno acceso attendendosi alle istruzioni del Titolare
o del Responsabile; ✓ rispettare l’obbligo del segreto d’ufficio.
Preposto alla custodia delle parole chiave
Il Preposto deve custodire con cura le parole-chiave e coordinare le modifiche.
È designato quale Preposto alle parole – chiave di Capitale Lavoro S.p.A. Maurizio Apicella
Amministratore di Sistema
Capitale lavoro S.p.A. è dotata di un Ufficio Sistemi Informativi.
È designato quale Amministratore di Sistema di Capitale Lavoro S.p.A. Maurizio Apicella
Saranno adottate tutte le misure tecniche ed organizzative che riguardano tale figura, come prescritto, ai sensi dell’Art. 154 co. 1 lett. h) D.Lgs. n. 196/2003, nel parere del Garante per la privacy del 27/11/2008 (come modificato in base al provvedimento del 25/6/2009). L’attribuzione delle funzioni di Amministratore di Sistema avviene previa valutazione delle caratteristiche di esperienza, capacità e affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. La designazione quale Amministratore di Sistema è individuale e reca l’elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato. Gli estremi identificativi delle persone fisiche Amministratori di Sistema, con l’elenco delle funzioni ad essi attribuite, sono stati riportati nel presente DPS. Poiché gli Amministratori di Sistema intervengono anche su servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale dei lavoratori, il Titolare del Trattamento ha reso nota l’identità degli Amministratori di Sistema. Nell’ambito della propria organizzazione, mediante informativa resa agli interessati ai sensi dell’Art. 13 del Codice nell’ambito del rapporto di lavoro o in alternativa ordine di servizio a circolazione
MOG Capitale Lavoro S.p.A. – Parte Speciale Pag. 16 a 29
Allegato 7 - Documento sulla sicurezza dati
16 Capitale Lavoro S.p.A.
Società Unipersonale della Città metropolitana di Roma Capitale Sede Legale: Viale Giorgio Ribotta, 41– 00144 Roma
Tel. +39 06 45.49.98.1 P.I./C.F. 07170551001 www.capitalelavoro.it
interna. L’operato degli Amministratori di Sistema sarà oggetto, con cadenza almeno annuale di un’attività di verifica da parte del Titolare del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti. Saranno adottati sistemi idonei di registrazione degli accessi logici (autenticazione informata) ai sistemi di elaborazione e agli archivi elettronici da parte degli Amministratori di Sistema. Le registrazione (access log) devono essere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate e devono essere conservate per un periodo non inferiore a sei mesi.
3 Criteri tecnici ed organizzativi – criteri e procedure per le integrità dei dati
Negli archivi informatici di Capitale Lavoro S.p.A. vengono conservati dati personali sia “comuni”
che “sensibili” e “giudiziari”.
In applicazione del D.Lgs. 196/2003 Capitale Lavoro S.p.A. in considerazione dei rischi come
dinnanzi evidenziati, di distruzione o perdita dei dati, di accesso non autorizzati e trattamento non
conforme alla finalità, provvede a fornire ad ogni Incaricato uno specifico codice identificativo ed
una parola chiave (o “password”) di default per l’accesso dei dati personali, che l’incaricato ha
l’obbligo di cambiare.
Ad ogni codice Identificativo – password corrisponde un profilo che consentirà a ciascun
incaricato di accedere ai soli dati strettamente necessari allo svolgimento dei propri compirti.
Ogni Incaricato del trattamento mediante elaboratori elettronici è stato informato delle seguenti
regole:
✓ Divieto di accesso e trattamento dei dati, specie se sensibili e giudiziari, che non siano
strettamente necessari per il proprio lavoro;
✓ Sostituzione trimestrale della password (8 caratteri) da parte di ciascun incaricato;
✓ Divieto di utilizzo di uno stesso codice identificativo, anche in tempi diversi da parte di
persone diverse;
✓ Assegnazione e modifica dei codici identificativi personali in modo tale da consentirne la
disattivazione in caso di perdita della qualifica o delle funzioni che consentivano l’accesso
all’elaboratore o di mancato utilizzo dei medesimi per un periodo superiori a sei mesi. A tal
fine il Responsabile dell’amministrazione è tenuto a segnalare al Preposto alla custodia
delle parole – chiave, ogni cambiamento nella Capitale Lavoro S.p.A., al fine di eliminare il
relativo codice identificativo del sistema;
✓ Divieto di utilizzo di uno stesso codice identificativo per accedere contemporaneamente
alla stessa applicazione da diverse stazioni di lavoro. È obbligatorio disconnettersi dalla
stazione di lavoro precedenti e solo dopo riconnettersi da quella successivamente prescelta
✓ Necessità di disconnettersi dalla rete in tutti i casi di significativo allontanamento dalla
postazione di lavoro, e di svuotare quotidianamente il “cestino” di Windows (o analoghi);
✓ Divieto di utilizzo di software non autorizzato da Capitale Lavoro S.p.A.;
MOG Capitale Lavoro S.p.A. – Parte Speciale Pag. 17 a 29
Allegato 7 - Documento sulla sicurezza dati
17 Capitale Lavoro S.p.A.
Società Unipersonale della Città metropolitana di Roma Capitale Sede Legale: Viale Giorgio Ribotta, 41– 00144 Roma
Tel. +39 06 45.49.98.1 P.I./C.F. 07170551001 www.capitalelavoro.it
✓ Necessità di segnalazione al Responsabile di ogni eventuale disfunzione del sistema
informatico;
✓ Backup settimanale automatico
✓ Divieto di navigazione Internet su siti aventi contenuti estranei all’attività lavorativa e/o alle
mansioni assegnate;
✓ Divieto di download di software prelevati on line e/o pervenuti a mezzo posta elettronica se
non previa specifica autorizzazione del Responsabile dell’Ufficio Servizi Informativi e/o di un
suo incaricato.
✓ Divieto di iscrizione e/o registrazione ai siti, mailing list, forum list, chat line, guest book, i
cui contenuti non siano legati all’attività lavorativa ed in assenza di previa specifica
autorizzazione del proprio superiore diretto;
✓ Divieto di utilizzazione (in entrata e in uscita) della posta elettronica per motivi personali
estranei all’espletamento dell’attività lavorativa e segnatamente di apertura di allegati
posta elettronica provenienti da mittenti sconosciuti e/o inerenti all’espletamento della
propria attività lavorativa;
✓ Divieto di invio a mezzo posta elettronica di allegati particolarmente pesanti soprattutto
ove indirizzati a più destinatari;
✓ Divieto di conservazione sulla memoria del Server di dati non necessari per l’espletamento
della propria attività. A tale fine ogni incaricato deve provvedere alla cancellazione di tali
dati, previa la verifica tecnica del responsabile dell’Ufficio Servizi Informativo e/o un suo
incaricato;
✓ Divieto di connessione alla rete di stazioni di lavori non aziendali (ad es: PC, Portatili
immessi in azienda da consulenti), se non previa autorizzazione del Responsabile ITC e/o di
un suo incaricato.
Ogni Incaricato è stato informato delle seguenti regole:
✓ Obbligo di conservazione dei dati solo nei predetti archivi, con divieto pertanto di collocare
i documenti in luoghi diversi, o di lasciarli fuori dagli archivi stessi;
✓ Divieto di lasciare le pratiche contenenti dati personali, specie se sensibili, sulla scrivania o
comunque a portata di mano se non il tempo necessario all’effettivo utilizzo, al termine del
quale i documenti devono essere riposti;
✓ Obbligo di riporre i documenti contenenti i dati personali negli archivi, al termine delle
operazioni affidate;
✓ Obbligo, nel corso della giornata, di riporre la documentazione o negli armadi o nei cassetti,
purché chiusi, in ogni caso di allontanamento dal proprio posto di lavoro;
✓ Registrazione dei soggetti ammessi agli archivi cartacei/non automatizzati contenenti dati
sensibili dopo l’orario di chiusura degli archivi stessi.
Saranno adottate misure concrete per assicurare l’integrità fisica dei dati e per ridurre il rischio di
accesso non autorizzato.
In particolare verranno realizzati ulteriori interventi di adeguamento della struttura logistica e la
previsione di procedure di identificazione dei soggetti terzi che per l’esercizio delle loro funzioni
debbono accedere ai locali ove sono detenuti gli archivi.
MOG Capitale Lavoro S.p.A. – Parte Speciale Pag. 18 a 29
Allegato 7 - Documento sulla sicurezza dati
18 Capitale Lavoro S.p.A.
Società Unipersonale della Città metropolitana di Roma Capitale Sede Legale: Viale Giorgio Ribotta, 41– 00144 Roma
Tel. +39 06 45.49.98.1 P.I./C.F. 07170551001 www.capitalelavoro.it
4 Procedure di accesso ai locali
Le stanze dei locali ove sono detenuti gli archivi, in assenza dei titolari, vengono chiuse a chiave.
La sede operativa della Società si avvale dell’impianto di sicurezza centralizzato dell’edificio.
Vengono predisposti appositi atti di identificazione, registrazione ed autorizzazione all’accesso
fuori dal normale orario di lavoro sia dal personale che di soggetti terzi (ad esempio. Addetto
pulizie, tecnico addetto alla manutenzione dei sistemi informatici).
È altresì predisposto atto di autorizzazione del tecnico informatico per gli interventi di
manutenzione sia ordinaria che straordinaria.
5 Criteri e procedure per la trasmissione dei dati
Sono state stabilite delle procedure nei flussi verso entità esterne dei dati personali al fine di
evitare, o quanto meno di ridurre, il rischio che il trasferimento di dati possa consentire indebiti
accessi alle informazioni o perdita dei dati (es: identificazione dato, identificazione destinatario,
trasferimento, controllo).
3. PIANIFICAZIONE INTERVENTI FORMATIVI 3.1. Informazione degli incaricati
Allo stato si sta provvedendo a fornire agli incaricati istruzioni scritte circa le modalità di
trattamento dei dati. È previsto un piano di formazione mediante la partecipazione dei singoli
incaricati ad appositi corsi aziendali di formazione.
È prevista la verifica annuale della sussistenza delle condizioni per l’autorizzazione al trattamento
di dati personali e/o sensibili, oltre che l’aggiornamento delle modalità di gestione tramite
sistema informatico in relazione alle modifiche e alle novità tecnologiche.
In relazione a quanto sopra ogni anno entro il 31/03 il presente documento verrà aggiornato.
4. TRATTAMENTI ESTERNALIZZATI Capitale Lavoro S.p.A. si avvale della consulenza in outsourcing di professionisti incaricati per gli
adempimenti contabili, fiscali e di contabilità del personale come indicato al precedente punto
1.2.
Nell’effettuare il trasferimento dei dati, comuni e sensibili, ai soggetti terzi la Capitale Lavoro
S.p.A. adotta strategie utili al fine di ridurre al minimo il rischio di perdita dei dati o indebito
accessi.
Il servizio posta elettronica è esternalizzato presso la società Fastweb.
5. PIANO OPERATIVO AZIENDALE
In questo paragrafo si riporta in allegato il POA approvato per l’anno 2016.
MOG Capitale Lavoro S.p.A. – Parte Speciale Pag. 19 a 29
Allegato 7 - Documento sulla sicurezza dati
19 Capitale Lavoro S.p.A.
Società Unipersonale della Città metropolitana di Roma Capitale Sede Legale: Viale Giorgio Ribotta, 41– 00144 Roma
Tel. +39 06 45.49.98.1 P.I./C.F. 07170551001 www.capitalelavoro.it
SEZIONE TABELLARE
MOG Capitale Lavoro S.p.A. – Parte Speciale Pag. 20 a 29
Allegato 7 - Documento sulla sicurezza dati
20 Capitale Lavoro S.p.A.
Società Unipersonale della Città metropolitana di Roma Capitale Sede Legale: Viale Giorgio Ribotta, 41– 00144 Roma
Tel. +39 06 45.49.98.1 P.I./C.F. 07170551001 www.capitalelavoro.it
Elenco dei trattamenti
Inoltre è riportato in allegato apposito prospetto contenente l’elenco delle commesse affidate a Capitale
Lavoro S.p.A. dalla Città metropolitana di Roma Capitale con indicazione della finalità del trattamento, della
tipologia dei dati trattati, della sede, dei destinatari del trattamento.
MOG Capitale Lavoro S.p.A. – Parte Speciale Pag. 21 a 29
Allegato 7 - Documento sulla sicurezza dati
Capitale Lavoro S.p.A. Società Unipersonale della Città metropolitana di Roma Capitale
Sede Legale: Viale Giorgio Ribotta, 41– 00144 Roma Tel. +39 06 45.49.98.1 P.I./C.F. 07170551001 www.capitalelavoro.it
Competenze e responsabilità della struttura centrale preposta al trattamento
Struttura Trattamenti effettuati dalla struttura Descrizione dei compiti e delle responsabilità della struttura
Amministratore unico Elaborazione, modifica, consultazione, utilizzo, raffronto, comunicazione, diffusione, blocco dati
Attività di amministrazione ordinaria e straordinaria della Società
Segreteria generale e societaria Raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, interconnessione,
comunicazione, diffusione, cancellazione, distruzione Supporto operativo agli organi sociali
Archivio e protocollo informatizzati Raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, interconnessione,
comunicazione, diffusione, cancellazione, distruzione
Gestione operativa dell'archivio
Ufficio Anticorruzione e Trasparenza Raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, interconnessione,
comunicazione, diffusione, cancellazione, distruzione
Sviluppo e implementazione delle normative vigenti in materia
Staff di Area Sistemi informativi Raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, interconnessione,
comunicazione, diffusione, cancellazione, distruzione
Pianificazione e sviluppo dei sistemi informativi aziendali
Ufficio servizio Prevenzione e Protezione
Raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, interconnessione,
comunicazione, diffusione, cancellazione, distruzione
Valutazione dei rischi ed elaborazione delle misure di sicurezza e prevenzione
Ufficio Gare e Contratti Raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, interconnessione,
comunicazione, diffusione, cancellazione, distruzione
Gestione operativa delle procedure di affidamento contratti pubblici e attività di
approvvigionamento funzionale alle esigenze produttive
Politiche attive del lavoro e della formazione
Raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, interconnessione,
comunicazione, diffusione, cancellazione, distruzione
Ideazione, supervisione, controllo e coordinamento attività progettuali
Produzione: progettazione, organizzazione e gestione delle
commesse
Raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, interconnessione,
comunicazione, diffusione, cancellazione, distruzione
Gestione operativa delle commesse
Produzione: supporto tecnico specialistico all'Ufficio Gare
Raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, interconnessione,
comunicazione, diffusione, cancellazione, distruzione
Amministrazione dati commesse
Supporto per lo sviluppo e la selezione delle risorse umane
Raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, interconnessione,
comunicazione, diffusione, cancellazione, distruzione Sviluppo e selezione delle risorse umane
Programmazione e qualificazione del territorio
Raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, interconnessione,
comunicazione, diffusione, cancellazione, distruzione
Ideazione, supervisione, controllo e coordinamento attività progettuali
Produzione: progettazione, organizzazione e gestione delle
commesse
Raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, interconnessione,
comunicazione, diffusione, cancellazione, distruzione
Gestione operativa delle commesse
Produzione: supporto tecnico specialistico all'Ufficio Gare
Raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, interconnessione,
comunicazione, diffusione, cancellazione, distruzione
Amministrazione dati commesse
Supporto per lo sviluppo e la selezione delle risorse umane
Raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, interconnessione,
comunicazione, diffusione, cancellazione, distruzione
Sviluppo e selezione delle risorse umane
Innovazione dei processi tecno-amministrativi
Raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, interconnessione,
comunicazione, diffusione, cancellazione, distruzione
Ideazione, supervisione, controllo e coordinamento attività progettuali
Produzione: progettazione, organizzazione e gestione delle
commesse
Raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, interconnessione,
comunicazione, diffusione, cancellazione, distruzione
Gestione operativa delle commesse
Produzione: supporto tecnico specialistico all'Ufficio Gare
Raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, interconnessione,
comunicazione, diffusione, cancellazione, distruzione
Amministrazione dati commesse
Supporto per lo sviluppo e la selezione delle risorse umane
Raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, interconnessione,
comunicazione, diffusione, cancellazione, distruzione
Sviluppo e selezione delle risorse umane
MOG Capitale Lavoro S.p.A. – Parte Speciale Pag. 22 a 29
Allegato 7 - Documento sulla sicurezza dati
22 Capitale Lavoro S.p.A.
Società Unipersonale della Città metropolitana di Roma Capitale Sede Legale: Viale Giorgio Ribotta, 41– 00144 Roma
Tel. +39 06 45.49.98.1 P.I./C.F. 07170551001 www.capitalelavoro.it
Area gestione e organizzazione del personale
Raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, interconnessione,
comunicazione, diffusione, cancellazione, distruzione
Gestione e amministrazione del personale dipendente
Monitoraggio, amministrazione e reporting nella gestione del
personale
Raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, interconnessione,
comunicazione, diffusione, cancellazione, distruzione
Supporto alla gestione e amministrazione del personale dipendente
Area servizi amministrativi Raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, interconnessione,
comunicazione, diffusione, cancellazione, distruzione
Attività amministrativa, finanziaria e controllo di gestione
Staff di Area monitoraggio finanziario e dei flussi di spesa
Raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, interconnessione,
comunicazione, diffusione, cancellazione, distruzione Verifica e controllo dei flussi finanziari
Area amministrazione: paghe, contributi e contratti
Raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, interconnessione,
comunicazione, diffusione, cancellazione, distruzione
Adempimento obblighi contrattuali, contributivi e fiscali relativi al personale
Area amministrazione: contabilità e finanza, gestione prestazioni
professionali, controllo di gestione
Raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, interconnessione,
comunicazione, diffusione, cancellazione, distruzione
Gestione operativa di accordi finanziari e fluidità di cassa
Area amministrazione: rendicontazione
Raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, interconnessione,
comunicazione, diffusione, cancellazione, distruzione
Controllo su spese e regolarità contabile delle attività finanziate con FSE
Classi omogenee di incarico e profili di autorizzazione
Classi omogenee di incarico Profili di autorizzazione
Tipologie di dati trattabili Modalità di trattamento consentite Amministratore unico TUTTE TUTTE
Segreteria generale e societaria TUTTE nei limiti delle proprie
competenze TUTTE
Anticorruzione e trasparenza TUTTE nei limiti delle proprie
competenze TUTTE
Area Sistemi informativi (ICT) TUTTE nei limiti delle proprie
competenze TUTTE
Ufficio gare e contratti TUTTE nei limiti delle proprie
competenze TUTTE
Area amministrativa TUTTE TUTTE
Amministrazione: paghe, contributi e contratti
TUTTE nei limiti delle proprie competenze
TUTTE
Amministrazione: contabilità, finanza, gestione, prestazioni
professionali, controllo di gestione
TUTTE nei limiti delle proprie competenze
TUTTE
Area amministrazione: rendicontazione
TUTTE nei limiti delle proprie competenze
TUTTE
Responsabile Area gestione e organizzazione del personale
TUTTE nei limiti delle proprie competenze
TUTTE
Area gestione e organizzazione del personale: supporto e organizzazione gestione
TUTTE nei limiti delle proprie competenze
TUTTE
Piattaforma: Politiche attive del lavoro e della formazione
TUTTE nei limiti delle proprie competenze
TUTTE
Piattaforma: Programmazione e qualificazione del territorio
TUTTE nei limiti delle proprie competenze
TUTTE
Piattaforma: Innovazione dei processi tecno-amministrativi
TUTTE nei limiti delle proprie competenze
TUTTE
Supporto tecnico amministrativo alle Piattaforme
TUTTE nei limiti delle proprie competenze
TUTTE
MOG Capitale Lavoro S.p.A. – Parte Speciale Pag. 23 a 29
Allegato 7 - Documento sulla sicurezza dati
Capitale Lavoro S.p.A. Società Unipersonale della Città metropolitana di Roma Capitale
Sede Legale: Viale Giorgio Ribotta, 41– 00144 Roma Tel. +39 06 45.49.98.1 P.I./C.F. 07170551001 www.capitalelavoro.it
Analisi dei rischi
Rischi Si/No
Descrizione dell'impatto sulla sicurezza
(gravità: alta/media/bassa)
Comportamenti degli operatori
Sottrazione di credenziali di
autenticazione No
Carenza di consapevolezza, disattenzione
o incuria Si Bassa
Comportamenti sleali o fraudolenti No
Errore materiale Si Bassa
Altro evento No
Eventi relativi agli strumenti Bassa
Virus informatici Si Bassa
Spamming Si Bassa
Malfunzionamento, indisponibilità o
degrado degli strumenti Si
Accessi esterni non autorizzati No
Intercettazione di informazioni in rete No
Altro evento No
Eventi relativi al contesto
Accessi non autorizzati ai locali No
Sottrazione di strumenti contenenti dati No
Eventi distruttivi, naturali o artificiali Si Bassa
Guasto ai sistemi Si Bassa
Errori umani Si Bassa
Altro evento No
MOG Capitale Lavoro S.p.A. – Parte Speciale Pag. 24 a 29
Allegato 7 - Documento sulla sicurezza dati
24 Capitale Lavoro S.p.A.
Società Unipersonale della Città metropolitana di Roma Capitale Sede Legale: Viale Giorgio Ribotta, 41– 00144 Roma
Tel. +39 06 45.49.98.1 P.I./C.F. 07170551001 www.capitalelavoro.it
Misure di sicurezza
MisureDescrizione dei rischi
contrastati
Trattamenti
interessati
Misura già in
essere
Misura da
adottare
Struttura o persone addette
all'adozione
Antifurto Accessi non autorizzati Custodia Sistemi di allarme Staff gare e acquisti
Antincendio Perdita e distribuzione Custodia Sistemi antincendio Staff servizio prevenzione e protezione
Accessi seleziontaiAccessi non autorizzati e
trattamento non conformeCustodia, elaborazione
Informatica e
logisticaArea Gestione e organizzazione personale
Armadi con serraturaAccessi non autorizzati e perdita
e distruzioneCustodia, elaborazione Logistica Staff gare e acquisti
PasswordAccessi non autorizzati e
trattamento non conforme
Elaborazione, modifica,
consultazione,
cancellazione
Si Staff di Area Sistemi informativi
Sostuzione automatica
password
Accessi non autorizzati e
trattamento non conforme
Elaborazione, modifica,
consultazione,
cancellazione
Si Staff di Area Sistemi informativi
Codice identificativoAccessi non autorizzati e
trattamento non conforme
Elaborazione, modifica,
consultazione,
cancellazione
Si Staff di Area Sistemi informativi
Disattivazione
password e ID
Accessi non autorizzati e
trattamento non conforme
Elaborazione, modifica,
consultazione,
cancellazione
Si Staff di Area Sistemi informativi
Tecniche di cifraturaAccessi non autorizzati e
trattamento non conforme
Elaborazione, modifica,
consultazione,
cancellazione
Fase di
realizzazioneStaff di Area Sistemi informativi
Programmi antivirus Perdita e distribuzione Tutti Si Staff di Area Sistemi informativi
Aggiornamento
automatico antivirusPerdita e distribuzione Tutti Si Staff di Area Sistemi informativi
Autorizzazioni incaricati Trattamento non conforme
Elaborazione, modifica,
consultazione,
cancellazione
SiStaff di Area Qualità, privacy,
certificazione etica, formazione
Aggiornamenti
autorizzazioniTrattamento non conforme
Elaborazione, modifica,
consultazione,
cancellazione
SiStaff di Area Qualità, privacy,
certificazione etica, formazione
MOG Capitale Lavoro S.p.A. – Parte Speciale Pag. 25 a 29
Allegato 7 - Documento sulla sicurezza dati
25 Capitale Lavoro S.p.A.
Società Unipersonale della Città metropolitana di Roma Capitale Sede Legale: Viale Giorgio Ribotta, 41– 00144 Roma
Tel. +39 06 45.49.98.1 P.I./C.F. 07170551001 www.capitalelavoro.it
Criteri e procedure per il salvataggio dei dati
Banca DatiCriteri e procedure per il salvataggio
datiLuogo di custodia delle copie Struttura o persona incaricata del salvataggio
Fornitori Back up periodico automaticoArchivi tenuti presso la sede
Legale di Capitale Lavoro S.p.A.Staff di Area Sistemi Informativi
Dipendenti Back up periodico automaticoArchivi tenuti presso la sede
Legale di Capitale Lavoro S.p.A.Staff di Area Sistemi Informativi
Collaboratori Back up periodico automaticoArchivi tenuti presso la sede
Legale di Capitale Lavoro S.p.A.Staff di Area Sistemi Informativi
Utenti Back up periodico automatico
Archivi tenuti presso la sede
Legale di Capitale Lavoro S.p.A.
o presso la Provincia di Roma
Staff di Area Sistemi Informativi
MOG Capitale Lavoro S.p.A. – Parte Speciale Pag. 26 a 29
Allegato 7 - Documento sulla sicurezza dati
26 Capitale Lavoro S.p.A.
Società Unipersonale della Città metropolitana di Roma Capitale Sede Legale: Viale Giorgio Ribotta, 41– 00144 Roma
Tel. +39 06 45.49.98.1 P.I./C.F. 07170551001 www.capitalelavoro.it
Interventi formativi
Descrizione sintetica degli
interventi formativi
Classe di incarico o tipologie
degli incaricati interessatiTempi previsti
Redazione e consegna delle
istruzioni procedimentaliTutti i dipendenti Immediata
Corsi di formazione in fase di realizzazione
MOG Capitale Lavoro S.p.A. – Parte Speciale Pag. 27 a 29
Allegato 7 - Documento sulla sicurezza dati
27 Capitale Lavoro S.p.A.
Società Unipersonale della Città metropolitana di Roma Capitale Sede Legale: Viale Giorgio Ribotta, 41– 00144 Roma
Tel. +39 06 45.49.98.1 P.I./C.F. 07170551001 www.capitalelavoro.it
Trattamenti affidati all’esterno
Descrizione sintetica
dell'attività esternalizzata
Trattamento dei dati
interessatiSoggetto esterno Criteri per l'adozione delle misure
Elaborazione contabilità del
personale
Elaborazione, modifica,
cosultazione, cancellazione,
conservazione
Studio Pappalardo
Sono state predisposte le misure minime di
sicurezza di cui all. BTU 196/03 per il
trattamento dei dati personali e sensibili
provenienti da Capitale Lavoro S.p.A.
Contenzioso e consulenza
legale
Elaborazione, modifica,
cosultazione, cancellazione,
conservazione
Avvocatura Provincia di
Roma, Responsabile Dott.
Avv. Massimiliano Sieni
Sono state predisposte le misure minime di
sicurezza di cui all. BTU 196/03 per il
trattamento dei dati personali e sensibili
provenienti da Capitale Lavoro S.p.A.
Visite mediche preassuntive
e di controllo ex TU 81/2008
Elaborazione, modifica,
cosultazione, cancellazione,
conservazione
Dott.ssa Elisa Romeo
Sono state predisposte le misure minime di
sicurezza di cui all. BTU 196/03 per il
trattamento dei dati personali e sensibili
provenienti da Capitale Lavoro S.p.A.
MOG Capitale Lavoro S.p.A. – Parte Speciale Pag. 28 a 29
Allegato 7 - Documento sulla sicurezza dati
28 Capitale Lavoro S.p.A.
Società Unipersonale della Città metropolitana di Roma Capitale Sede Legale: Viale Giorgio Ribotta, 41– 00144 Roma
Tel. +39 06 45.49.98.1 P.I./C.F. 07170551001 www.capitalelavoro.it
SEZIONE DI AUTENTICAZIONE
MOG Capitale Lavoro S.p.A. – Parte Speciale Pag. 29 a 29
Allegato 7 - Documento sulla sicurezza dati
29 Capitale Lavoro S.p.A.
Società Unipersonale della Città metropolitana di Roma Capitale Sede Legale: Viale Giorgio Ribotta, 41– 00144 Roma
Tel. +39 06 45.49.98.1 P.I./C.F. 07170551001 www.capitalelavoro.it
Il presente documento si compone di 29 pagine, è suddiviso in tre sezioni (Descrittiva, Tabellare e di
autenticazione) ed è stato redatto secondo le previsioni contenute nel D.Lgs 196/03 con particolare
riferimento alle specifiche dell’art. 34 ed al Disciplinare Tecnico (all.B) nonché alle indicazioni fornite
dall’Autorità Garante per la Protezione dei Dati Personali in data 11/06/2004 con la Guida Operativa.