ALL D. Protezione dati

G E N O V A -- P A R C H E G G I
Documento di sintesi sulla protezione dei dati personali
TITOLARE DEL TRATTAMENTO:
Dott. Giovan Battista Seccacini
Scopo di questo documento è di mostrare in forma sintetizzata il quadro delle misure di sicurezza,
organizzative, fisiche e logiche che all’interno dell’azienda Genova Parcheggi sono adottate per il
trattamento dei dati personali, la struttura di questo documento segue il modello proposto dal Garante
della Privacy per la compilazione del DPS.
La Genova Parcheggi per il suo stesso oggetto sociale gestisce sistemi di parcheggi e attività inerenti alla
mobilità urbana, in prevalenza si occupa, tramite concessione dell’amministrazione comunale, della
gestione di diverse aree cittadine destinate alla sosta a pagamento di autoveicoli, sia tramite il comune
sistema di parcheggio a pagamento, cosiddetto a “rotazione”, oppure con rilascio di abbonamenti
“residenti” essendo validi solamente nella zona in cui si risiede (sistema “Blu Area”). Altre attività svolte
dalla società Genova Parcheggi riguardano il servizio di “sharing” sia di automobili e sia di biciclette.
Parte dell’acquisizione dei dati avviene direttamente su strada attraverso la struttura operativa costituita
da operatori della sosta e ausiliari del traffico. Un’altra parte è invece raccolta presso gli uffici della sede
della Genova Parcheggi, dove sono poi conservati per i differenti processi lavorativi di analisi, eventuale
trattamento ed eliminazione. Infine un’ultima parte è raccolta tramite web o altri servizi online. Il tipo di
dati trattati all’interno dell’azienda è per circa la metà costituito da dati anonimi mentre il restante è di tipo
personale di cui solo una minima parte rientra tra quelli definiti “sensibili”.
Ciascun dipendente, all’atto dell’assunzione o nel caso di cambiamento della propria mansione, è assegnato
stabilmente presso una o più strutture organizzative presso cui esiste un trattamento dei dati e per
ciascuna delle quali sono individuate le categorie di dati cui si può avere accesso e gli ambiti del
trattamento, dal momento che gli viene dato l’incarico per il trattamento dei dati il dipendente è istruito su
come agire oltre a ricevere una formazione sulla privacy e il trattamento dei dati personali con la
partecipazione a specifici corsi di che si svolgono periodicamente all’interno dell’azienda.
Gestione flusso dati
raccolta
operatori / strada-f.o.
eliminazione
archiviazione
impiegati - uffici
impiegati - uffici
trattamento
analisi
impiegati - uffici
impiegati - uffici
- 2014 : - Genova Parcheggi spa protezione dati personali (redatto da ermanno persico) -
RESPONSABILE DEL TRATTAMENTO:
Sig. Persico Ermanno
Gestioni particolari
- dati sensibili –
Nel caso di trattamento di dati sensibili, l’accesso agli stessi è consentito solo a determinate persone a cui è
affidato con la massima attenzione e discrezione il compito di seguire l’iter completo di lavorazione degli
stessi dati che sono trattati con l’attivazione di particolari procedure di sicurezza del più alto livello sia in
ambito fisico che elettronico.
- videosorveglianza –
Sono attive all’interno della Genova Parcheggi due strutture di videosorveglianza gestite, una dal centro
operativo TVCC e una seconda dall’ufficio ZTL, entrambi situati presso la sede dell’azienda. I due uffici
hanno ognuno un locale a disposizione per la loro attività che sono svolte da operatori specificamente
formati per il controllo e la gestione delle immagini, nel caso del centro operativo TVCC la finalità è la
prevenzione rispetto a eventuali tentativi di furto o gesti di vandalismo ai danni di strutture e macchinari
della Genova Parcheggi, l’ufficio ZTL effettua invece un controllo sull’accesso alle zone a traffico limitato
attraverso le immagini di targhe raccolte dai varchi d’entrata alle suddette zone. Anche in questo caso sono
adottate le misure di più alto livello per il trattamento delle immagini e la loro conservazione è limitata al
periodo massimo indicato dal Garante della Privacy.
SCHEMA ORGANIZZATIVO
titolare trattamento
responsabile trattamento
incaricati trattamento
consulenti esterni
- 2014 : - Genova Parcheggi spa protezione dati personali (redatto da ermanno persico) -
- procedura di recupero crediti –
Rispetto alle procedure di recupero crediti la Genova Parcheggi, attraverso l’ufficio incaricato, tratta i dati
personali unicamente con lo scopo di portare a termine le operazioni in misura strettamente necessaria alle
pratiche di esazione con comunicazioni indirizzate esclusivamente ai diretti interessati. Al riguardo non si
procede alla creazione di archivi personali e lo “storico” che supporta l'iter delle pratiche legali è
continuamente aggiornato con l'eliminazione di quei dati non più utili e necessari alle varie procedure
amministrative. Come per tutte le strutture lavorative a contatto con dati non sensibili ma comunque di
una certa rilevanza per questo tipo di attività lavorativa, a livello di accesso ai dati, sono attive tutte le
misure di sicurezza sia quelle di tipo generale sia quelle di tipo preventivo.
ELENCO TRATTAMENTI DATI PERSONALI (tab. 01)
paghe contributi
dipendenti
S
G
paghe
gestione personale
legge 626
fatturazione
dipendenti
dipendenti
clienti
S
S
personale
direzione
contabilità
acquisti e fornitori
fornitori
G
G
P
A
medicina lavoro
ciclo produttivo
dipendenti
S
- acquisizione dati
clienti
- trattamento dati
clienti
S
S
progettazione
adempimenti società
gestione qualità
clienti/dipendenti
clienti/fornitori
dipendenti/enti
dip/clienti/forn
S
P
A
strumenti utilizzati
consulenti lavoro
software house
consulenti lavoro
RSPP esterno
lan aziendale, wan
acquisti
segreteria
P
P
ufficio esterno
lan aziendale, wan
wan, pc stand alone
lan aziendale, wan
lan aziendale, wan
medico competente
lan, pc stand alone
lan aziendale, wan
pers. esterno / uffici
palmari, lan aziendale
amministrazione
lan aziendale
tecnico/IT
lan aziendale, wan
progetti/tecnico/IT
amm./segreteria
qualità
consulenti legali
consulenti qualità
lan aziendale, wan
lan aziendale, wan
lan aziendale
attività svolta – indicazione delle attività svolte nell’ambito del trattamento dei dati
interessati – indicazione delle categorie di persone cui i dati si riferiscono
tipo dati – indicazione del tipo di dati (S:sensibile; G:giudiziario; P:personale; A:anonimo)
ufficio riferimento – indicazione dell’ufficio all’interno del quale è compiuto il trattamento
ufficio esterno – indicazione di eventuali strutture lavorative esterne che concorrono al trattamento dei dati in questione
strumenti utilizzati– indicazione della tipologia di strumenti elettronici impiegati
COMPITI E RESPONSABILITA’ (tab. 02)
ufficio
trattamenti effettuati
responsabilità e compiti ufficio
paghe
paghe e contributi
personale
gestione personale
direzione
legge 626 e sicurezza del personale
contabilità
fatturazione attiva/gestione economica
personale esterno
gestione aree parcheggio e altre attività
acquisizione dati, consultazione
comunicazione a terzi
acquisizione dati, consultazione
comunicazione a terzi
acquisizione dati, consultazione
comunicazione a terzi
acquisizione dati, consultazione
comunicazione a terzi
acquisizione dati, consultazione
front office
vendita/rinnovo abbonamenti - vendita titoli di sosta
acquisizione dati, consultazione
amministrazione
gestione amministrativa soste/penali
tecnico IT
gestione manutenzione hardware/software
progetti/IT
prototipi e nuovi progetti
direzione/amministrazione
gestione qualità
direzione/amministrazione
adempimenti societari
acquisizione dati, consultazione
trattamento
acquisizione dati, consultazione
trattamento
acquisizione dati, consultazione
trattamento
acquisizione dati, consultazione
comunicazione a terzi
acquisizione dati, consultazione
comunicazione a terzi
ufficio – indicazione dell’ufficio all’interno del quale è compiuto il trattamento (come sopra tab.01)
trattamenti effettuati – indicazione dei trattamenti di competenza di ciascun ufficio indicato
responsabilità e compiti ufficio – indicazione sintetica delle responsabilità e compiti dell’ufficio competente rispetto ai
trattamenti effettuati
- 2014 : - Genova Parcheggi spa protezione dati personali (redatto da ermanno persico) -
interessati
- gestione manutenzione
tipo dati
ufficio
riferimento
attività svolta
ANALISI DEI RISCHI CHE INCOMBONO SUI DATI (tab. 03)
rischi
si/no
valore impatto sulla sicurezza (alta/media/bassa)
si
si
si
si
alta
media
alta
bassa
si
si
si
si
si
alta
alta
media
media
media
si
si
si
si
si
media
alta
alta
media
media
comportamento dipendenti
- sottrazione di credenziali
- disattenzione incuria
- comportamento sleale o fraudolento
- errore materiale o altro
eventi relativi strumenti
- azione virus informatici e malware
- spamming
- malfunzionamento / degrado
- accessi esterni non autorizzati
- intercettazione informazione in rete
eventi relativi contesto ambientale
- sottrazione strumenti contenenti dati
- eventi distruttivi naturali
- eventi dolosi, accidentali o dovuti a incuria
- errori umani gestione sicurezza fisica
- guasto sistemi complementari
rischi – elenco degli eventi che possono generare danni e che comportano rischi anche per la sicurezza dei dati personali –
valore impatto sulla sicurezza – principali conseguenze individuate per la sicurezza dei dati, in relazione a ciascun evento e
MISURE IN ESSERE PER CONTRASTARE I RISCHI (tab. 04)
misure
sede
- videosorveglianza accessi
- videosorveglianza perimetrale
- controlli accessi (badge)
- sistema anti-intrusione
- controlli automatici manuali
- formazione
aree esterne
videosorveglianza
sistemi informatici
- backup nastro/nas
- disaster recovery
- antivirus / antimalware
- sistema server cluster
- ssl vpn
- firewall
- firewall HA (backup firewall)
- email security
rischi contrastati
trattamenti interessati
uffici / ditte esterne
ingressi non autorizzati
ingressi non autorizzati - atti delittuosi
ingressi non autorizzati
atti delittuosi
comportamento sleale/fraudolento
errori/inconsapevolezza/slealtà
tutti
tutti
tutti
tutti
tutti
tutti
tvcc / vigilanza privata
tvcc /vigilanza privata
segreteria
tvcc / vigilanza privata
personale
segreteria
ingressi non autorizzati
atti vandalici/delittuosi
eventi naturali/accidentali
tutti
tutti
tutti
tvcc
tvcc
tvcc
eventi distruttivi naturali/artificiali
eventi distruttivi naturali/artificiali
eventi distruttivi naturali/artificiali
eventi distruttivi naturali/artificiali
accessi esterni non autorizzati
accessi esterni non autorizzati
attività su lan/wan non consentite
eventi distruttivi naturali/artificiali
virus/spam/malware -eventi distruttivi
tutti
tutti
tutti
tutti
tutti
tutti
tutti
tutti
tutti
tecnico/IT - ass. esterna
tecnico/IT - ass. esterna
tecnico/IT - ass. esterna
tecnico/IT - ass. esterna
tecnico/IT - ass. esterna
tecnico/IT - ass. esterna
tecnico/IT - ass. esterna
tecnico/IT - ass. esterna
tecnico/IT - ass. esterna
misure – elenco sintetizzato delle misure adottate
rischi contrastati – elenco sintetizzato dei rischi contrastati attraverso le rispettive misure adottate
trattamenti interessati – tipo di trattamento dei dati interessati dalle rispettive misure adottate
uffici / ditte esterne – indica l’ufficio preposto e/o eventuali ditte esterne responsabili misure adottate
- 2014 : - Genova Parcheggi spa protezione dati personali (redatto da ermanno persico) -
valutazione della loro gravità riguardo alla rilevanza e alla probabilità stimata dell’evento
CRITERI E MODALITA DI RIPRISTINO DATI (tab. 05)
archivio dati
criteri e procedure
pianificazione test
dati lan
database area produzione
posta elettronica
attività firewall
dati sistema cluster
backup giornaliero su nastro e nas
backup giornaliero su nastro e nas
backup giornaliero su nastro e nas
backup HA continua h24 (high availability)
backup giornaliero su nastro e nas
periodica (bimestrale/trimestrale)
periodica (bimestrale/trimestrale)
periodica (bimestrale/trimestrale)
continua (h24)
periodica (bimestrale/trimestrale)
archivio dati – indica l’archivio dati, i database o banca dati interessata
criteri e procedure – descrizione sintetica dei criteri e procedure individuati per salvataggio e ripristino dati
pianificazione test – indica i tempi pianificati per effettuare test di efficacia riguardo a criteri e procedure
PIANIFICAZIONE INTERVENTI FORMATIVI
sintesi interventi formativi
interessati
tempi previsti
corso base privacy (formazione)
corso incaricati trattamento (formazione)
dipendenti
dipendenti incaricati trattamento
periodici - 2014/2015
periodici - 2014/2015
- 2014 : - Genova Parcheggi spa protezione dati personali (redatto da ermanno persico) -
sintesi interventi formativi – sintesi delle modalità d’intervento formativo
interessati – individua i gruppi interessati dall’intervento formativo
tempi previsti – indica i tempi previsti per lo svolgimento degli interventi formativi
Informativa al trattamento dei dati personali ai sensi del d.lgs. 196/2003
“Codice in materia di protezione dei dati personali”
Ai sensi dell'art. 13 del d. lgs. 196/2003 “Codice in materia di protezione dei dati personali” e in relazione al
rapporto contrattuale in essere con la nostra azienda, si informa che i Vostri dati personali formeranno
oggetto di trattamento, e più precisamente che:
● le modalità del trattamento possono prevedere l’utilizzo di mezzi cartacei e informatici atti a
memorizzare e gestire i dati stessi, mediante strumenti idonei a garantire la loro sicurezza e la riservatezza;
● i daƟ da voi forniti potranno essere oggetto di comunicazione, nel pieno rispetto delle prescrizioni di
legge, per finalità strettamente correlate all’esecuzione dei nostri obblighi contrattuali.
● possono venire a conoscenza dei daƟ, in qualità di incaricati o responsabili, i dipendenti e i collaboratori
esterni, nonché soggetti, interni ed esterni, che svolgono per conto della società compiti tecnici, di
supporto (in particolare, servizi legali, servizi informatici, spedizioni) e di controllo aziendale.
● oƩenere la conferma della esistenza o meno di daƟ personali che Vi riguardano, e che tali dati vi vengano
comunicati in forma intelligibile;
● oƩenere l’indicazione dell’origine dei daƟ, delle ﬁnalità e modalità del trattamento, della logica applicata
nel caso di trattamento con l’ausilio di strumenti elettronici, degli estremi identificativi del titolare e del
responsabile, dei soggetti o delle categorie di soggetti ai quali dati possono essere comunicati o che
possono venirne a conoscenza;
● oƩenere l’aggiornamento, la reƫﬁca o, quando vi avete interesse, l’integrazione dei dati; la
cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge;
l’attestazione che tali operazioni sono state portate a conoscenza di coloro ai quali i dati sono stati
comunicati o diffusi (quando ciò non si riveli impossibile o sproporzionato rispetto al diritto tutelato);
● opporvi in tutto o in parte, per motivi legittimi, al trattamento dei Vostri dati personali ancorché
pertinenti allo scopo della raccolta, o quando siano trattati ai fini di invio di materiale pubblicitario o di
vendita diretta o di ricerche di mercato o di comunicazione commerciale.
Per l’esercizio di tali diritti, potrete rivolgervi al responsabile del trattamento della Genova Parcheggi
domiciliato per le funzioni presso la sede legale della società al quale ci si può rivolgere via email
Istruzioni per il trattamento dei dati personali
Ai sensi dell’art. 30 d. lgs. 196/2003 “Codice in materia di protezione dei dati personali” (il “Codice”) di
seguito Le sono fornite le istruzioni per il trattamento dei dati personali a cui Lei è incaricato.
Nel trattare i dati personali, sia se riferiti a persone fisiche, sia se riferiti a soggetti giuridici
indipendentemente dalla natura ordinaria o particolare dei dati, si deve operare garantendo la massima
riservatezza delle informazioni, considerando tutti i dati personali confidenziali e, di norma, soggetti al
segreto d’ufficio; fatta eccezione per i soli dati anonimi, generalmente trattati per elaborazioni statistiche, e
quelli acquisibili da chiunque perché contenuti in atti, liste ed elenchi pubblici (seguendo comunque le
prescrizioni di legge).
La procedura di lavoro e la condotta tenuta nello svolgimento delle operazioni di trattamento, dovranno
evitare che i dati personali siano soggetti a rischi di distruzione e perdita anche accidentale; che ai dati
possano accedere persone non autorizzate; che vengano svolte operazioni di trattamento non consentite o
non conformi ai fini per i quali i dati sono stati raccolti.
Si deve dunque operare con la massima diligenza e attenzione in tutte le fasi di trattamento, dalla esatta
acquisizione dei dati, all’eventuale loro aggiornamento, così per la conservazione ed eventuale
cancellazione o distruzione.
Non possono essere eseguite operazioni di trattamento per fini non previsti tra i compiti assegnati dal
responsabile diretto, comunque riferiti alle disposizioni e regolamenti vigenti.
I dati personali particolari possono essere trattati esclusivamente dagli incaricati, ivi compresi i diretti
superiori degli incaricati stessi.
- 2014 : - Genova Parcheggi spa protezione dati personali (redatto da ermanno persico) -
Vi ricordiamo che l’art. 7 del D. Lgs. 196 del 2003 Vi riconosce taluni diritti. In particolare voi potrete:
SINTESI SCHEMA ORGANIZZATIVO AZIENDA
direzione
blu area
ZTL
amministrazione
segreteria
rec crediti
sanzioni
ufficio titoli di sosta
paghe
contabilità
ufficio tecnico - IT
RSPP
uff acquisti
personale
TVCC
- 2014 : - Genova Parcheggi spa protezione dati personali (redatto da ermanno persico) -
privacy

Download Report