Privacy Policy - Rigel academy

RNA srl
Sede Legale VIA NAZARIO SAURO,200 – 80040 STRIANO (NA)
Sede Operativa VIA FRANCESCO BONADUCE 34/36/38 – 84018 SCAFATI (SA)

REGOLAMENTO UE 2016/679
GDPR “GENERAL DATA PROTECTION REGULATION”
RELATIVO ALLA PROTEZIONE DELLE PERSONE FISICHE
CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI

1.0 OGGETTO
Il presente Regolamento ha per oggetto misure procedimentali e regole di dettaglio ai fini della migliore funzionalità ed efficacia dell’attuazione del Regolamento europeo (General Data Protection Regulation noto come GDPR del 27 aprile 2016 n. 679, di seguito indicato con “RGPD”, Regolamento Generale Protezione Dati), relativo alla protezione delle persone fisiche con riguardo ai trattamenti dei dati personali, nonché alla libera circolazione di tali dati, della società RNA srl con Sede Legale VIA NAZARIO SAURO,200 -80040 STRIANO (NA) e Sede Operativa VIA FRANCESCO BONADUCE 34/36/38 -84018 SCAFATI (SA) – P. IVA 10103531215, di seguito indicata semplicemente la società.

2.0 TITOLARE DEL TRATTAMENTO
1. La società RNA srl è il Titolare del trattamento dei dati personali raccolti o meno in banche dati, automatizzate o cartacee (di seguito indicati con “Titolare”). Esso può delegare le relative funzioni ad uno o più dipendenti (Responsabile) in possesso di adeguate competenze. Il rappresentante legale della società è il sig. Nunziata APUZZO nata a SAN GIUSEPPE VESUVIANO il 20/03/1984.

2. Il Titolare è responsabile del rispetto dei principi applicabili al trattamento di dati personali stabiliti dall’art. 5 RGPD: liceità, correttezza e trasparenza; limitazione della finalità; minimizzazione dei dati; esattezza; limitazione della conservazione; integrità e riservatezza.

3. Il Titolare mette in atto misure tecniche ed organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento di dati personali è effettuato in modo conforme al RGPD. Le misure sono definite fin dalla fase di progettazione e messe in atto per applicare in modo efficace i principi di protezione dei dati e per agevolare l’esercizio dei diritti dell’interessato stabiliti dagli articoli 15-22 RGPD, nonché le comunicazioni e le informazioni occorrenti per il loro esercizio. Gli interventi necessari per l’attuazione delle misure sono considerati nell’ambito della programmazione operativa, previa apposita analisi preventiva della situazione in essere, tenuto conto dei costi di attuazione, della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi dallo stesso derivanti, aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche. Sono necessarie fasi di audit periodico per verificare se le misure adottate siano idonee.

4. Il Titolare adotta misure appropriate per fornire all’interessato:

a) le informazioni indicate dall’art. 13 RGPD, qualora i dati personali siano raccolti presso lo stesso interessato;
b) le informazioni indicate dall’art. 14 RGPD, qualora i dati personali non stati ottenuti presso lo RNA srl GDPR
“GENERAL DATA PROTECTION REGULATION” rev. 01 del 23/04/2024 stesso interessato.

5. Nel caso in cui un tipo di trattamento, specie se prevede in particolare l’uso di nuove tecnologie, possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare deve effettuare una valutazione dell’impatto del trattamento sulla protezione dei dati personali (di seguito indicata con “DPIA”) ai sensi dell’art. 35, RGDP, considerati la natura, l’oggetto, il contesto e le finalità del medesimo trattamento, tenuto conto di quanto indicato dal successivo art. 9. 6. Il Titolare, inoltre, provvede a:
a) designare i Responsabili del trattamento nelle persone dei suoi impiegati in cui si articola l’organizzazione, che sono preposti al trattamento dei dati contenuti nelle banche dati esistenti nelle articolazioni organizzative di loro competenza. Per il trattamento di dati il Titolare può avvalersi anche di soggetti pubblici o privati;
b) nominare il Responsabile della protezione dei dati (RPD noto anche come DPO Data Protection Officer) tale figura non è obbligatoria per la tipologia di impresa, pertanto il Titolare può valutare di nominarlo oppure no;
c) nominare quale Responsabile del trattamento i soggetti pubblici o privati affidatari di attività e servizi per conto della società, relativamente alle banche dati gestite da soggetti esterni in virtù di convenzioni, di contratti, o di incarichi professionali o altri strumenti giuridici consentiti dalla legge, per la realizzazione di attività connesse alle attività professionali;
d) predisporre l’elenco dei Responsabili del trattamento, pubblicandolo in apposita sezione del sito istituzionale ed aggiornandolo periodicamente;

7. Nel caso di esercizio associato di funzioni e servizi, nonché per i compiti la cui gestione è affidata alla società da due o più titolari determinano congiuntamente, mediante accordo, le finalità ed i mezzi del trattamento, si realizza la contitolarità di cui all’art. 26 RGPD. L’accordo definisce le responsabilità di ciascuno in merito all’osservanza degli obblighi in tema di privacy, con particolare riferimento all’esercizio dei diritti dell’interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli artt. 13 e 14 del RGPD, fermo restando eventualmente quanto stabilito dalla normativa specificatamente applicabile; l’accordo può individuare un punto di contatto comune per gli interessati.

8. La società favorisce l’adesione ai codici di condotta elaborati dalle associazioni e dagli organismi di categoria rappresentativi, ovvero a meccanismi di certificazione della protezione dei dati approvati, per contribuire alla corretta applicazione del RGPD e per dimostrarne il concreto rispetto da parte del Titolare e dei Responsabili del trattamento. RNA srl GDPR “GENERAL DATA PROTECTION REGULATION” rev. 01 del 23/04/2024

3.0 FINALITÀ DEL TRATTAMENTO
I trattamenti dei dati sono effettuati dalla società per le seguenti finalità:
 Gestione risorse umane;
 Gestione fornitori;
 Gestione clienti;
 Gestione consulenza esterni;
 Gestione sito internet;
 Gestione newsletter;
 Gestione sistema video-registrazione interna;

4.0 RESPONSABILE DEL TRATTAMENTO
Un Responsabile è nominato Responsabile del trattamento di tutte le banche dati personali esistenti nell’articolazione organizzativa di rispettiva competenza. Il Responsabile deve essere in grado di offrire garanzie sufficienti in termini di conoscenza specialistica, esperienza, capacità ed affidabilità, per mettere in atto le misure tecniche e organizzative di cui all’art. 6 rivolte a garantire che i trattamenti siano effettuati in conformità al RGPD.

1. I Responsabili del trattamento, sono designati, di norma, mediante incarico formale e in forma scritta dal Titolare del trattamento, nel quale sono tassativamente disciplinati:
– la materia trattata, la durata, la natura e la finalità del trattamento o dei trattamenti assegnati;
– il tipo di dati personali oggetto di trattamento e le categorie di interessati;
– gli obblighi ed i diritti del Titolare del trattamento.
Tale disciplina può essere contenuta anche in apposita convenzione o contratto da stipularsi fra il Titolare e ciascun responsabile designato.

2. Il Titolare può avvalersi, per il trattamento di dati, anche sensibili, di soggetti pubblici o privati che, in qualità di responsabili del trattamento, forniscano le garanzie di cui al comma 1, stipulando atti giuridici in forma scritta, che specificano la finalità perseguita, la tipologia dei dati, la durata del trattamento, gli obblighi e i diritti del responsabile del trattamento e le modalità di trattamento.

3. Gli atti che disciplinano il rapporto tra il Titolare ed il Responsabile del trattamento devono in particolare contenere quanto previsto dall’art. 28, p. 3, RGPD; tali atti possono anche basarsi su clausole contrattuali tipo adottate dal Garante per la protezione dei dati personali oppure dalla Commissione europea.

4. E’ consentita la nomina di sub-responsabili del trattamento da parte di ciascun Responsabile del trattamento per specifiche attività di trattamento, nel rispetto degli stessi obblighi contrattuali che legano il Titolare ed il Responsabile primario; le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del Responsabile attenendosi alle istruzioni loro impartite per iscritto che individuano specificatamente l’ambito del trattamento consentito. Il Responsabile risponde, anche dinanzi al Titolare, dell’operato del sub-responsabile anche ai fini del risarcimento di eventuali danni causati dal trattamento, salvo dimostri che l’evento dannoso non gli è in alcun modo imputabile e che ha vigilato in modo adeguato sull’operato del subRNA srl GDPR “GENERAL DATA PROTECTION REGULATION” rev. 01 del 23/04/2024 responsabile.

5. Il Responsabile del trattamento garantisce che chiunque agisca sotto la sua autorità ed abbia accesso a dati personali sia in possesso di apposita formazione ed istruzione e si sia impegnato alla riservatezza od abbia un adeguato obbligo legale di riservatezza.

6. Il Responsabile del trattamento dei dati provvede, per il proprio ambito di competenza, a tutte le attività previste dalla legge e a tutti i compiti affidatigli dal Titolare, analiticamente specificati per iscritto nell’atto di designazione, ed in particolare provvede:
– alla tenuta del registro delle categorie di attività di trattamento svolte per conto del Titolare;
– all’adozione di idonee misure tecniche e organizzative adeguate per garantire la sicurezza dei trattamenti;
– alla sensibilizzazione ed alla formazione del personale che partecipa al trattamento ed alle connesse attività di controllo;
– alla designazione del Responsabile per la Protezione dei Dati (RPD), se a ciò demandato dal Titolare;
– ad assistere il Titolare nella conduzione della valutazione dell’impatto sulla protezione dei dati (di seguito indicata con “DPIA”) fornendo allo stesso ogni informazione di cui è in possesso;
– ad informare il Titolare, senza ingiustificato ritardo, della conoscenza di casi di violazione dei dati personali (cd. “data breach”), per la successiva notifica della violazione al Garante Privacy, nel caso che il Titolare stesso ritenga probabile che dalla violazione dei dati possano derivare rischi per i diritti e le libertà degli interessati.

5.0 RESPONSABILE DELLA PROTEZIONE DATI – NOTO ANCHE COME DPO
1. Il Responsabile della protezione dei dati (in seguito indicato con “RPD” noto anche come DPO quindi Data Protection Officer) NON è stato individuato in quanto la società non ricade in nessuna delle condizioni indicate dall’art. 37 paragrafo 1 del Regolamento Europeo. Inoltre il Titolare non intende avvalersi delle facoltà di nomina disciplinato dal paragrafo 4 del su richiamato art. 37. Qualora fosse nominato, il RPD è incaricato dei seguenti compiti:
a) informare e fornire consulenza al Titolare ed al Responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal RGPD e dalle altre normative relative alla protezione dei dati. In tal senso il RPD può indicare al Titolare e/o al Responsabile del trattamento i settori funzionali ai quali riservare un audit interno o esterno in tema di protezione dei dati, le attività di formazione interna per il personale che tratta dati personali, e a quali trattamenti dedicare maggiori risorse e tempo in relazione al rischio riscontrato;
b) sorvegliare l’osservanza del RGPD e delle altre normative relative alla protezione dei dati, fermo restando le responsabilità del Titolare e del Responsabile del trattamento. Fanno parte di RNA srl GDPR “GENERAL DATA PROTECTION REGULATION” rev. 01 del 23/04/2024 questi compiti la raccolta di informazioni per individuare i trattamenti svolti, l’analisi e la verifica dei trattamenti in termini di loro conformità, l’attività di informazione, consulenza e indirizzo nei confronti del Titolare e del Responsabile del trattamento;
c) sorvegliare sulle attribuzioni delle responsabilità, sulle attività di sensibilizzazione, formazione e controllo poste in essere dal Titolare e dal Responsabile del trattamento;
d) fornire, se richiesto, un parere in merito alla valutazione di impatto sulla protezione dei dati (DPIA) e sorvegliarne lo svolgimento. Il Titolare, in particolare, si consulta con il RPD in merito a: se condurre o meno una DPIA; quale metodologia adottare nel condurre una DPIA; se condurre la DPIA con le risorse interne ovvero esternalizzandola; quali salvaguardie applicare, comprese misure tecniche e organizzative, per attenuare i rischi delle persone interessate; se la DPIA sia stata condotta correttamente o meno e se le conclusioni raggiunte (procedere o meno con il trattamento, e quali salvaguardie applicare) siano conformi al RGPD;
e) cooperare con il Garante per la protezione dei dati personali e fungere da punto di contatto per detta Autorità per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’art. 36 RGPD, ed effettuare, se del caso, consultazioni relativamente a ogni altra questione. A tali fini il nominativo del RPD è comunicato dal Titolare e/o dal Responsabile del trattamento al Garante;
f) (eventuale) la tenuta dei registri di cui ai successivi artt. 7 e 8;
g) altri compiti e funzioni a condizione che il Titolare o il Responsabile del trattamento si assicurino che tali compiti e funzioni non diano adito a un conflitto di interessi. L’assenza di conflitti di interessi è strettamente connessa agli obblighi di indipendenza del RPD.
2. Il Titolare ed il Responsabile del trattamento assicurano che il RPD sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali. A tal fine:
– il RPD è invitato a partecipare alle riunioni di coordinamento dei Responsabili che abbiano per oggetto questioni inerenti la protezione dei dati personali;
– il RPD deve disporre tempestivamente di tutte le informazioni pertinenti sulle decisioni che impattano sulla protezione dei dati, in modo da poter rendere una consulenza idonea, scritta-orale;
– il parere del RPD sulle decisioni che impattano sulla protezione dei dati è obbligatorio ma non vincolante. Nel caso in cui la decisione assunta determina condotte difformi da quelle raccomandate dal RPD, è necessario motivare specificamente tale decisione;
– il RPD deve essere consultato tempestivamente qualora si verifichi una violazione dei dati o un altro incidente.
3. Nello svolgimento dei compiti affidatigli il RPD deve debitamente considerare i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo. In tal senso il RPD:
a) procede ad una mappatura delle aree di attività valutandone il grado di rischio in termini di protezione dei dati;
b) definisce un ordine di priorità nell’attività da svolgere – ovvero un piano annuale di attività – incentrandola sulle aree di attività che presentano maggiori rischi in termini di protezione dei dati, da comunicare al Titolare ed al Responsabile del trattamento.
4. Il RPD dispone di autonomia e risorse sufficienti a svolgere in modo efficace i compiti attribuiti, tenuto conto delle dimensioni organizzative e delle capacità di bilancio dell’Ente.
5. La figura di RPD è incompatibile con chi determina le finalità od i mezzi del trattamento; in particolare, risultano con la stessa incompatibili:
– il Responsabile per la prevenzione della corruzione e per la trasparenza;
– il Responsabile del trattamento;
– qualunque incarico o funzione che comporta la determinazione di finalità o mezzi del trattamento.
6. Il Titolare ed il Responsabile del trattamento forniscono al RPD le risorse necessarie per assolvere i compiti attribuiti e per accedere ai dati personali ed ai trattamenti. In particolare è assicurato al RPD:
– supporto attivo per lo svolgimento dei compiti da parte dei Responsabili, anche considerando l’attuazione delle attività necessarie per la protezione dati nell’ambito della programmazione operativa;
– tempo sufficiente per l’espletamento dei compiti affidati al RPD;
– supporto adeguato in termini di risorse finanziarie, infrastrutture (sede, attrezzature,
strumentazione) e, ove opportuno, personale, ovvero tramite la costituzione di una U.O., ufficio o
gruppo di lavoro RPD (formato dal RPD stesso e dal rispettivo personale);
– comunicazione ufficiale della nomina a tutto il personale, in modo da garantire che la sua
presenza e le sue funzioni siano note all’interno dell’Ente;
– accesso garantito ai settori funzionali dell’Ente così da fornirgli supporto, informazioni e input
essenziali.
7. Il RPD opera in posizione di autonomia nello svolgimento dei compiti allo stesso attribuiti; in
particolare, non deve ricevere istruzioni in merito al loro svolgimento né sull’interpretazione da
dare a una specifica questione attinente alla normativa in materia di protezione dei dati. Il RPD non
può essere rimosso o penalizzato dal Titolare e dal Responsabile del trattamento per l’adempimento
dei propri compiti. Ferma restando l’indipendenza nello svolgimento di detti compiti, il RPD
riferisce direttamente al Titolare o al Responsabile del trattamento. Nel caso in cui siano rilevate
dal RPD o sottoposte alla sua attenzione decisioni incompatibili con il RGPD e con le indicazioni
fornite dallo stesso RPD, quest’ultimo è tenuto a manifestare il proprio dissenso, comunicandolo al
Titolare ed al Responsabile del trattamento.

6.0 SICUREZZA DEL TRATTAMENTO
1. La società e ciascun Responsabile del trattamento mettono in atto misure tecniche ed
organizzative adeguate per garantire un livello di sicurezza adeguato al rischio tenendo conto dello
stato dell’arte e dei costi di attuazione, nonché della natura, del campo di applicazione, del contesto
e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le
libertà delle persone fisiche.
2. Le misure tecniche ed organizzative di sicurezza da mettere in atto per ridurre i rischi del
trattamento ricomprendono: la pseudo-minizzazione; la minimizzazione; la cifratura dei dati
personali; la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei
sistemi e dei servizi che trattano i dati personali; la capacità di ripristinare tempestivamente la
disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico; una procedura per provare,
verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di
garantire la sicurezza del trattamento.
3. Costituiscono misure tecniche ed organizzative che possono essere adottate dal Servizio cui è
preposto ciascun Responsabile del trattamento:
– sistemi di autenticazione; sistemi di autorizzazione; sistemi di protezione (antivirus; firewall;
antintrusione; altro);
– misure antincendio; sistemi di rilevazione di intrusione; sistemi di sorveglianza; sistemi di
protezione con videosorveglianza; registrazione accessi; porte, armadi e contenitori dotati di
serrature e ignifughi; sistemi di copiatura e conservazione di archivi elettronici; altre misure per
ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o
tecnico.
4. La conformità del trattamento dei dati al RGDP in materia di protezione dei dati
personali è dimostrata attraverso l’adozione delle misure di sicurezza o l’adesione a codici di
condotta approvati o ad un meccanismo di certificazione approvato.
5. La società e ciascun Responsabile del trattamento si obbligano ad impartire adeguate
istruzioni sul rispetto delle predette misure a chiunque agisca per loro conto ed abbia accesso a
dati personali.
6. I nominativi ed i dati di contatto del Titolare, del o dei Responsabili del trattamento e del
Responsabile della protezione dati sono pubblicati sul sito istituzionale della società, nella sezione
“privacy”.
7. Restano in vigore le misure di sicurezza attualmente previste per i trattamenti di dati sensibili
per finalità di rilevante interesse pubblico nel rispetto degli specifici regolamenti attuativi (ex artt.
20 e 22, D.Lgs. n. 193/2006).

7.0 REGISTRO DELLE ATTIVITÀ DI TRATTAMENTO
1. Il Registro delle attività di trattamento svolte dal Titolare del trattamento reca almeno le seguenti
informazioni:
a) il nome ed i dati di contatto della società, del Titolare e/o del suo Delegato ai sensi del
precedente art.2, eventualmente del Contitolare del trattamento, del RPD;
b) le finalità del trattamento;
c) la sintetica descrizione delle categorie di interessati, nonché le categorie di dati personali;
d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati;
e) l’eventuale trasferimento di dati personali verso un paese terzo od una organizzazione
internazionale;
f) ove stabiliti, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
g) il richiamo alle misure di sicurezza tecniche ed organizzative del trattamento adottate, come da
precedente art. 6.
2. Il Registro è tenuto dal Titolare ovvero dal soggetto dallo stesso delegato ai sensi del precedente
art. 2, presso gli uffici della società in forma digitale e cartacea, secondo lo schema allegato A al
presente Regolamento; nello stesso possono essere inserite ulteriori informazioni tenuto conto delle
dimensioni organizzative dell’Ente.
3. Il Titolare del trattamento può decidere di affidare al RPD il compito di tenere il Registro, sotto
la responsabilità del medesimo Titolare.
4. Il Titolare può decidere di tenere un Registro unico dei trattamenti che contiene le informazioni
di cui ai commi precedenti e quelle di cui al successivo art. 8, sostituendo entrambe le tipologie di
registro dagli stessi disciplinati, secondo lo schema allegato C al presente Regolamento. In tal caso,
il Titolare delega la sua tenuta al Responsabile unico del trattamento di cui al precedente art. 4 o,
comunque, ad un solo Responsabile del trattamento, ovvero può decidere di affidare tale compito al
RPD, sotto la responsabilità del medesimo Titolare. Ciascun Responsabile del trattamento ha
comunque la responsabilità di fornire prontamente e correttamente al soggetto preposto ogni
elemento necessario alla regolare tenuta ed aggiornamento del Registro unico.

8.0 REGISTRO DELLE CATEGORIE DI ATTIVITÀ TRATTATE
1. Il Registro delle categorie di attività trattate da ciascun Responsabile di cui al precedente art. 4,
reca le seguenti informazioni:
a) il nome ed i dati di contatto del Responsabile del trattamento e del RPD;
b) le categorie di trattamenti effettuati da ciascun Responsabile: raccolta, registrazione,
organizzazione, strutturazione, conservazione, adattamento o modifica, estrazione, consultazione,
uso, comunicazione, raffronto, interconnessione, limitazione, cancellazione, distruzione,
profilazione, pseudo-minimizzazione, ogni altra operazione applicata a dati personali;
c) l’eventuale trasferimento di dati personali verso un paese terzo od una organizzazione
internazionale;
d) il richiamo alle misure di sicurezza tecniche ed organizzative del trattamento adottate, come da
precedente art. 6.
2. Il registro è tenuto dal Responsabile del trattamento presso gli uffici della propria struttura
organizzativa in forma digitale e cartacea, secondo lo schema allegato B al presente regolamento.
3. Il Responsabile del trattamento può decidere di affidare al RPD il compito di tenere il Registro,
sotto la responsabilità del medesimo Responsabile.

9.0 VALUTAZIONI D’IMPATTO SULLA PROTEZIONE DEI DATI
1. Nel caso in cui un tipo di trattamento, specie se prevede in particolare l’uso di nuove tecnologie,
possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare, prima di
effettuare il trattamento, deve attuare una valutazione dell’impatto del medesimo trattamento
(DPIA) ai sensi dell’art. 35 RGDP, considerati la natura, l’oggetto, il contesto e le finalità dello
stesso trattamento. La DPIA è una procedura che permette di realizzare e dimostrare la
conformità alle norme del trattamento di cui trattasi.
2. Ai fini della decisione di effettuare o meno la DPIA si tiene conto degli elenchi delle tipologie di
trattamento soggetti o non soggetti a valutazione come redatti e pubblicati dal Garante Privacy ai
sensi dell’art. 35, pp. 4-6, RGDP.
3. La DPIA è effettuata in presenza di un rischio elevato per i diritti e le libertà delle persone
fisiche. Fermo restando quanto indicato dall’art. 35, p. 3, RGDP, i criteri in base ai quali sono
evidenziati i trattamenti determinanti un rischio intrinsecamente elevato, sono i seguenti:
a) trattamenti valutativi o di scoring, compresa la profilazione e attività predittive, concernenti
aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o
gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti
dell’interessato;
b) decisioni automatizzate che producono significativi effetti giuridici o di analoga natura, ossia
trattamenti finalizzati ad assumere decisioni su interessati che producano effetti giuridici sulla
persona fisica ovvero che incidono in modo analogo significativamente su dette persone fisiche;
c) monitoraggio sistematico, ossia trattamenti utilizzati per osservare, monitorare o controllare gli
interessati, compresa la raccolta di dati attraverso reti o la sorveglianza sistematica di un’area
accessibile al pubblico;
d) trattamenti di dati sensibili o dati di natura estremamente personale, ossia le categorie particolari
di dati personali di cui all’art. 9, RGDP;
e) trattamenti di dati su larga scala, tenendo conto: del numero di numero di soggetti interessati dal
trattamento, in termini numerici o di percentuale rispetto alla popolazione di riferimento; volume
dei dati e/o ambito delle diverse tipologie di dati oggetto di trattamento; durata o persistenza
dell’attività di trattamento; ambito geografico dell’attività di trattamento;
f) combinazione o raffronto di insiemi di dati, secondo modalità che esulano dalle ragionevoli
aspettative dell’interessato;
g) dati relativi a interessati vulnerabili, ossia ogni interessato particolarmente vulnerabile e
meritevole di specifica tutela per il quale si possa identificare una situazione di disequilibrio nel
rapporto con il Titolare del trattamento, come i dipendenti dell’Ente, soggetti con patologie
psichiatriche, richiedenti asilo, pazienti, anziani e minori;
h) utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative;
i) tutti quei trattamenti che, di per sé, impediscono agli interessati di esercitare un diritto
o di avvalersi di un servizio o di un contratto.
Nel caso in cui un trattamento soddisfi almeno due dei criteri sopra indicati occorre, in via
generale, condurre una DPIA, salvo che il Titolare ritenga motivatamente che non può presentare
un rischio elevato; il Titolare può motivatamente ritenere che per un trattamento che soddisfa solo
uno dei criteri di cui sopra occorra comunque la conduzione di una DPIA.
4. Il Titolare garantisce l’effettuazione della DPIA ed è responsabile della stessa. Il Titolare può
affidare la conduzione materiale della DPIA ad un altro soggetto, interno o esterno. Il Titolare deve
consultarsi con il RPD anche per assumere la decisione di effettuare o meno la DPIA; tale
consultazione e le conseguenti decisioni assunte dal Titolare devono essere documentate
nell’ambito della DPIA. Il RPD monitora lo svolgimento della DPIA. Il RPD deve assistere il
Titolare nella conduzione della DPIA fornendo ogni informazione necessaria.
Il responsabile della sicurezza dei sistemi informativi, se nominato, e/o l’ufficio competente
per detti sistemi, forniscono supporto al Titolare per lo svolgimento della DPIA.
5. Il RPD può proporre lo svolgimento di una DPIA in rapporto a uno specifico trattamento,
collaborando al fine di mettere a punto la relativa metodologia, definire la qualità del processo di
valutazione del rischio e l’accettabilità o meno del livello di rischio residuale.
Il responsabile della sicurezza dei sistemi informativi, se nominato, e/o l’ufficio competente per
detti sistemi, possono proporre di condurre una DPIA in relazione a uno specifico trattamento, con
riguardo alle esigenze di sicurezza od operative.
6. La DPIA non è necessaria nei casi seguenti:
o se il trattamento non può comportare un rischio elevato per i diritti e le libertà di persone
fisiche ai sensi dell’art. 35, p. 1, RGDP;
o se la natura, l’ambito, il contesto e le finalità del trattamento sono simili a quelli di un
trattamento per il quale è già stata condotta una DPIA. In questo caso si possono utilizzare i
risultati della DPIA svolta per l’analogo trattamento;
o se il trattamento è stato sottoposto a verifica da parte del Garante Privacy prima del maggio
2018 in condizioni specifiche che non hanno subito modifiche;
o se un trattamento trova la propria base legale nella vigente legislazione che disciplina lo
specifico trattamento, ed è già stata condotta una DPIA all’atto della definizione della base
giuridica suddetta.
Non è necessario condurre una DPIA per quei trattamenti che siano già stati oggetto di verifica
preliminare da parte del Garante della Privacy o da un RDP e che proseguano con le stesse
modalità oggetto di tale verifica. Inoltre, occorre tener conto che le autorizzazioni del Garante
Privacy basate sulla direttiva 95/46/CE rimangono in vigore fino a quando non vengono
modificate, sostituite od abrogate.
7. La DPIA è condotta prima di dar luogo al trattamento, attraverso i seguenti processi:
a) descrizione sistematica del contesto, dei trattamenti previsti, delle finalità del trattamento e
tenendo conto dell’osservanza di codici di condotta approvati. Sono altresì indicati: i dati personali
oggetto del trattamento, i destinatari e il periodo previsto di conservazione dei dati stessi; una
descrizione funzionale del trattamento; gli strumenti coinvolti nel trattamento dei dati personali
(hardware, software, reti, persone, supporti cartacei o canali di trasmissione cartacei);
b) valutazione della necessità e proporzionalità dei trattamenti, sulla base:
^ delle finalità specifiche, esplicite e legittime;
^ della liceità del trattamento;
^ dei dati adeguati, pertinenti e limitati a quanto necessario;
^ del periodo limitato di conservazione;
^ delle informazioni fornite agli interessati;
^ del diritto di accesso e portabilità dei dati;
^ del diritto di rettifica e cancellazione, di opposizione e limitazione del trattamento;
^ dei rapporti con i responsabili del trattamento;
^ delle garanzie per i trasferimenti internazionali di dati e consultazione preventiva del Garante
privacy;
c) valutazione dei rischi per i diritti e le libertà degli interessati, valutando la particolare probabilità
e gravità dei rischi rilevati. Sono determinati l’origine, la natura, la particolarità e la gravità dei
rischi o, in modo più specifico, di ogni singolo rischio (accesso illegittimo, modifiche indesiderate,
indisponibilità dei dati) dal punto di vista degli interessati;
d) individuazione delle misure previste per affrontare ed attenuare i rischi, assicurare la protezione
dei dati personali e dimostrare la conformità del trattamento con il RGPD, tenuto conto dei diritti e
degli interessi legittimi degli interessati e delle altre persone in questione.
8. Il Titolare può raccogliere le opinioni degli interessati o dei loro rappresentanti, se gli stessi
possono essere preventivamente individuati. La mancata consultazione è specificatamente
motivata, così come la decisione assunta in senso difforme dall’opinione degli interessati.
9. Il Titolare deve consultare il Garante Privacy prima di procedere al trattamento se le risultanze
della DPIA condotta indicano l’esistenza di un rischio residuale elevato. Il Titolare consulta il
Garante Privacy anche nei casi in cui la vigente legislazione stabilisce l’obbligo di consultare e/o
ottenere la previa autorizzazione della medesima autorità, per trattamenti svolti per l’esecuzione di
compiti di interesse pubblico, fra cui i trattamenti connessi alla protezione sociale ed alla sanità
pubblica.
10. La DPIA deve essere effettuata – con eventuale riesame delle valutazioni condotte – anche per i
trattamenti in corso che possano presentare un rischio elevato per i diritti e le libertà delle persone
fisiche, nel caso in cui siano intervenute variazioni dei rischi originari tenuto conto della natura,
dell’ambito, del contesto e delle finalità del medesimo trattamento.
(eventuale) 11. E’ pubblicata sul sito istituzionale dell’azienda, in apposita sezione, una sintesi
delle principali risultanze del processo di valutazione ovvero una semplice dichiarazione relativa
all’effettuazione della DPIA.

10.0 VIOLAZIONE DEI DATI PERSONALI
1. Per violazione dei dati personali (in seguito “data breach”) si intende la violazione di sicurezza
che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la
divulgazione non autorizzata o l’accesso non autorizzato ai dati personali trasmessi, conservati o
comunque trattati dalla società.
2. Il Titolare, ove ritenga probabile che dalla violazione dei dati possano derivare rischi per i diritti
e le libertà degli interessati, provvede alla notifica della violazione al Garante Privacy. La
notifica dovrà avvenire entro 72 ore e comunque senza ingiustificato ritardo. Il Responsabile
del trattamento è obbligato ad informare il Titolare, senza ingiustificato ritardo, dopo essere
venuto a conoscenza della violazione.
3. I principali rischi per i diritti e le libertà degli interessati conseguenti ad una violazione, in
conformità al considerando 75 del RGPD, sono i seguenti:
– danni fisici, materiali o immateriali alle persone fisiche;
– perdita del controllo dei dati personali;
– limitazione dei diritti, discriminazione;
– furto o usurpazione d’identità;
– perdite finanziarie, danno economico o sociale.
– decifratura non autorizzata della pseudo-minimizzazione;
– pregiudizio alla reputazione;
– perdita di riservatezza dei dati pers.li protetti da segreto professionale (sanitari, giudiziari).
4. Se il Titolare ritiene che il rischio per i diritti e le libertà degli interessati conseguente alla
violazione rilevata è elevato, allora deve informare questi ultimi, senza ingiustificato ritardo, con
un linguaggio semplice e chiaro al fine di fare comprendere loro la natura della violazione dei
dati personali verificatesi. I rischi per i diritti e le libertà degli interessati possono essere
considerati “elevati” quando la violazione può, a titolo di esempio:
– coinvolgere un rilevante quantitativo di dati personali e/o di soggetti interessati;
– riguardare categorie particolari di dati personali;
– comprendere dati che possono accrescere ulteriormente i potenziali rischi (ad esempio dati
di localizzazione, finanziari, relativi alle abitudini e preferenze);
– comportare rischi imminenti e con un’elevata probabilità di accadimento (ad esempio
rischio di perdita finanziaria in caso di furto di dati relativi a carte di credito);
– impattare su soggetti che possono essere considerati vulnerabili per le loro condizioni (ad
esempio utenti deboli, minori, soggetti indagati).
5. La notifica deve avere il contenuto minimo previsto dall’art. 33 RGPD, ed anche la
comunicazione all’interessato deve contenere almeno le informazioni e le misure di cui al citato
art. 33.
6. Il Titolare deve opportunamente documentare le violazioni di dati personali subite, anche se non
comunicate alle autorità di controllo, nonché le circostanze ad esse relative, le conseguenze e i
provvedimenti adottati o che intende adottare per porvi rimedio. Tale documentazione deve
essere conservata con la massima cura e diligenza in quanto può essere richiesta dal Garante
Privacy al fine di verificare il rispetto delle disposizioni del RGPD.

11.0 RINVIO
1. Per tutto quanto non espressamente disciplinato con le presenti disposizioni, si applicano le
disposizioni del RGPD e tutte le sue norme attuative vigenti.

12.0 GLOSSARIO
Ai fini della proposta di Regolamento, si intende per:
1. Titolare del trattamento
L’azienda che singolarmente o insieme ad altri determina finalità e mezzi del trattamento di dati
personali.
2. Responsabile del trattamento
Il Responsabile che tratta i dati personali per conto del Titolare del trattamento.
3. Incaricato del trattamento
il dipendente della struttura organizzativa, nominato dal Responsabile del trattamento, per
l’esecuzione di specifiche attività di trattamento per conto del Titolare del trattamento (elabora o
utilizza materialmente i dati personali).
4. Responsabile per la protezione dati – RPD
il dipendente della struttura organizzativa oppure il professionista privato o impresa esterna,
incaricati dal Titolare o dal Responsabile del trattamento.
5. Registri delle attività di trattamento
elenchi dei trattamenti in forma cartacea o telematica tenuti dal Titolare e dal Responsabile del
trattamento secondo le rispettive competenze.
6. DPIA – “Data Protection Impact Assesment” – “Valutazione d’impatto sulla protezione dei
dati
è una procedura finalizzata a descrivere il trattamento, valutarne necessità e proporzionalità, e
facilitare la gestione dei rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento
dei loro dati personali.
7. Garante Privacy
il Garante per la protezione dei dati personali istituito dalla Legge 31 dicembre 1996 n. 765, quale
autorità amministrativa pubblica di controllo indipendente.
Ai fini delle proposte dei registri, si intende per:
8. Categorie di trattamento
Raccolta; registrazione; organizzazione; strutturazione; conservazione; adattamento o modifica;
estrazione; consultazione; uso; comunicazione mediante trasmissione; diffusione o qualsiasi altra
forma di messa a disposizione; raffronto od interconnessione; limitazione; cancellazione o
distruzione; profilazione; pseudo-minimizzazione; ogni altra operazione applicata a dati personali.
9. Categorie di dati personali
Dati identificativi: cognome e nome, residenza, domicilio, nascita, identificativo online (username,
password, customer ID, altro), situazione familiare, immagini, elementi caratteristici della identità
fisica, fisiologica, genetica, psichica, economica, culturale, sociale, Dati inerenti lo stile di vita.
Situazione economica, finanziaria, patrimoniale, fiscale, Dati di connessione: indirizzo IP, login,
altro, Dati di localizzazione: ubicazione, GPS, GSM, altro.
10. Finalità del trattamento
Esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri.
11. Misure tecniche ed organizzative
Pseudo-minimizzazione; minimizzazione; cifratura; misure specifiche per assicurare la continua
riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali;
procedure specifiche per provare, verificare e valutare regolarmente l’efficacia delle misure
tecniche e organizzative al fine di garantire la sicurezza del trattamento; altre misure specifiche
adottate per il trattamento di cui trattasi.
Sistemi di autenticazione; sistemi di autorizzazione; sistemi di protezione (antivirus; firewall;
antintrusione; altro) – adottati per il trattamento di cui trattasi ovvero dal Servizio nel suo
complesso.
Misure antincendio; sistemi di rilevazione di intrusione; sistemi di sorveglianza; sistemi di
protezione con videosorveglianza; registrazione accessi; porte, armadi e contenitori dotati di
serrature; sistemi di copiatura e conservazione archivi elettronici; altre misure per ripristinare
tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico – adottati
per il trattamento di cui trattasi ovvero dal Servizio nel suo complesso.
Procedure per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e
organizzative al fine di garantire la sicurezza del trattamento.
12. Dati sensibili
Dati inerenti l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche,
l’appartenenza sindacale, la salute, la vita o l’orientamento sessuale, dati genetici e biometrici, dati
relativi a condanne penali.
13. Categorie interessati
Cittadini; minori di anni 16; utenti; partecipanti al procedimento; dipendenti; amministratori;
fornitori; clienti; altro.
14. Categorie destinatari
Persone fisiche; autorità pubbliche ed altre PA; persone giuridiche private; altri soggetti.

13.0 ANALISI DEI RISCHI
L’analisi dei rischi consente di acquisire consapevolezza e visibilità sul livello di esposizione al
rischio del proprio patrimonio informativo e avere una mappa preliminare dell’insieme delle
possibili contromisure di sicurezza da realizzare. L’analisi dei rischi consiste nella:
 individuazione di tutte le risorse del patrimonio informativo;
 identificazione delle minacce a cui tali risorse sono sottoposte;
 identificazione delle vulnerabilità;
 definizione delle relative contromisure.
La classificazione dei dati in funzione dell’analisi dei rischi risulta la seguente:
 DATI ANONIMI, ovvero la classe di dati a minore rischio, per la quale non sono previste
particolari misure di sicurezza;
 DATI PERSONALI:
 DATI PERSONALI SEMPLICI, ovvero la classe di dati a rischio intermedio;
 DATI PERSONALI SENSIBILI/GIUDIZIARI, ovvero la classe di dati ad alto rischio.
 DATI PERSONALI SANITARI, ovvero la classe di dati a rischio altissimo.
14.0 INDIVIDUAZIONE DELLE RISORSE DA PROTEGGERE
Le risorse da proteggere sono:
 Personale;
 Dati / informazioni;
 Documenti cartacei;
 Hardware / software.

15.0 VALUTAZIONE DEI RISCHI
La valutazione dei rischi esamina in maniera sistematica tutti gli aspetti caratteristici dell’attività
lavorativa, per individuare le possibili od eventuali cause di minacce.
Essa è stata, quindi, così strutturata:
– identificazione dell’attività;
– identificazione dei pericoli e delle fonti potenziali di rischio;
– individuazione degli asset esposti;
– valutazione quantitativa dei rischi anche in funzione della adeguatezza e affidabilità delle
misure di tutela eventualmente già in atto;
– definizione delle misure di prevenzione e protezione ritenute necessarie ad eliminare/ridurre i
rischi e dettate, in ordine di priorità, da:
 gravità dei danni eventuali;
 probabilità di accadimento;
 complessità delle misure di intervento (prevenzione, protezione, ecc.) da adottare.
– identificazione di un meccanismo di verifica della validità delle soluzioni (misure di
prevenzione e protezione) adottate.
Metodologia adottata
La quantificazione e relativa classificazione dei rischi deriva dalla stima dell’entità dell’esposizione
e dalla gravità degli effetti; infatti, il Rischio “R” può essere visto come prodotto della Probabilità
“P” di accadimento per la Gravità del Danno “D”:
R = P x D

Per quanto riguarda la probabilità di accadimento si definisce una Scala delle Probabilità tenendo
conto anche della frequenza delle possibili esposizioni al pericolo. Di seguito è riportata la Scala
delle Probabilità:

Per quanto concerne l’Entità dei Danni, si fa riferimento alla reversibilità o meno del danno
prodotto in un ipotetico evento conseguente al verificarsi della situazione di pericolo.
Di seguito è riportata la Scala dell’Entità del Danno:

Combinando le due scale in una matrice si ottiene la Matrice dei Rischi, nella quale ad ogni casella
corrisponde una determinata combinazione di probabilità/entità dei danni.
Di seguito è riportata la matrice che scaturisce dalla combinazione delle suddette scale:

Per ulteriori dettagli delle minacce relative all’aspetto informatico vedere il paragrafo successivo.

16.0 MINACCE HARDWARE, RETE, DATI TRATTATI E SUPPORTI
Minacce a cui sono sottoposte le risorse hardware
Le principali minacce alle risorse hardware sono:
 malfunzionamenti dovuti a guasti;
 malfunzionamenti dovuti a eventi naturali quali terremoti, allagamenti, incendi;
 malfunzionamenti dovuti a blackout ripetuti ed in genere a sbalzi eccessivi delle linee di
alimentazione elettrica;
 malfunzionamenti dovuti a sabotaggi, furti, intercettazioni (apparati di comunicazione).
Minacce a cui sono sottoposte le risorse connesse in rete
Le principali minacce alle risorse connesse in rete possono provenire dall’interno dell’istituto,
dall’esterno o da una combinazione interno/esterno e sono relative:
 all’utilizzo della LAN/Intranet (interne);
 ai punti di contatto con il mondo esterno attraverso Internet (esterne);
 allo scaricamento di virus e/o trojan per mezzo di posta elettronica e/o alle operazioni di
download eseguite tramite il browser (interne/esterne).
In dettaglio si evidenziano le seguenti tecniche:
IP SPOOFING
L’autore dell’attacco sostituisce la propria identità a quella di un utente legittimo del sistema. Viene
fatto non per generare intrusione in senso stretto, ma per effettuare altri attacchi. Lo spoofing si
manifesta come attività di “falsificazione” di alcuni dati telematici, come ad esempio di un indirizzo
IP o dell’indirizzo di partenza dei messaggi di posta elettronica.
PACKET SNIFFING
Apprendimento di informazioni e dati presenti sulla Rete o su un sistema, tramite appositi
programmi. Consiste in un’operazione di intercettazione passiva delle comunicazioni di dati ed
informazioni che transitano tra sistemi informatici. In particolare, un aggressore (attacker) può
essere in grado di intercettare transazioni di varia natura (password, messaggi di posta elettronica
etc.). L’intercettazione illecita avviene con l’ausilio degli sniffer, strumenti che catturano le
informazioni in transito per il punto in cui sono installati. Gli sniffer possono anche essere installati
su di un computer di un soggetto inconsapevole, in questo caso é possibile che prima
dell’installazione dello sniffer, la macchina “obiettivo” sia stata oggetto di un precedente attacco sia di fatto controllata dall’hacker.
PORT SCANNING
Serie programmata di tentativi di accesso diretti a evidenziare, in base alle “risposte” fornite dallo
stesso sistema attaccato, le caratteristiche tecniche del medesimo (e le eventuali vulnerabilità), al
fine di acquisire gli elementi per una “intrusione”. Trattasi di un vero e proprio studio delle
vulnerabilità di un sistema; gli amministratori dei sistemi eseguono spesso questa funzione allo
scopo di verificare la funzionalità del medesimo.
HIGHJACKING
Intrusione in una connessione di Rete in corso. In questo modo si colpiscono principalmente i flussi
di dati che transitano nelle connessioni point to point. In sostanza l’hacker, simulando di essere
un’altra macchina al fine di ottenere un accesso, si inserisce materialmente nella transazione, dopo
averne osservato attentamente il flusso. L’operazione é complessa e richiede elevate capacità e
rapidità d’azione.
SOCIAL ENGINEERING
Apprendimento fraudolento da parte degli utenti di sistemi di informazioni riservate sulle modalità
di accesso a quest’ultimo.
BUFFER OVERFLOW
Azioni che tendono a sfruttare eventuali anomalie e difetti di applicazioni che installate in alcuni
sistemi operativi, forniscono le funzionalità di “amministratore del sistema”, consentendo il
controllo totale della macchina. L’hacker, dunque, con tale azione va a sconvolgere la funzionalità
di tali programmi, prendendo il controllo della macchina vittima;
SPAMMING
Saturazione di risorse informatiche a seguito dell’invio di un elevato numero di comunicazioni tali
da determinare l’interruzione del servizio. Ad esempio l’invio di molti messaggi di posta elettronica
con allegati provoca, come minimo, la saturazione della casella e la conseguente non disponibilità a
ricevere ulteriori (veri) messaggi.
PASSWORD CRACKING
Sono programmi che servono per decodificare le password, una volta entrati in possesso del/dei file
delle parole d’ordine.
TROJAN
Appartengono alla categoria dei virus, di solito sono nascosti in file apparentemente innocui che
vengono inconsciamente attivati dall’utente. Permettono, una volta attivati, di accedere
incondizionatamente al sistema.
RNA srl GDPR
“GENERAL DATA PROTECTION REGULATION” rev. 01 del 23/04/2024
WORM
Appartengono alla categoria dei virus e sono programmi che si replicano attraverso i computer
connessi alla rete. In genere consumano una gran quantità di risorse di rete (banda) e di
conseguenza possono essere utilizzati per gli attacchi DOS (denial of service) in cui si saturano le
risorse di un server o di una rete producendo una condizione di non disponibilità (non
funzionamento).
LOGIC BOMB
Appartengono alla categoria dei virus e sono programmi che contengono al proprio interno una
funzione diretta a danneggiare o impedire il funzionamento del sistema, in grado di attivarsi
autonomamente a distanza di tempo dall’attivazione.
MALWARE E MMC (MALICIOUS MOBILE CODE)
Costituiscono la macrocategoria di codici avente come effetto il danneggiamento e l’alterazione del
funzionamento di un sistema informativo e/o telematico. In tale categoria sono incluse anche alcune
forme di codice ad alta diffusione, quali i virus, i worms ed i trojan horses.
DOS (DENIAL OF SERVICE)
Attacco che mira a saturare le risorse di un servizio, di un server o di una rete.
DDOS (DISTRIBUTED DENIAL OF SERVICE)
Attacco ripetuto e distribuito che mira a saturare le risorse di un servizio, di un server o di una rete
L’utilizzo di programmi di sniffing e port scanning é riservato esclusivamente all’amministratore di
sistema per la misura/diagnostica delle prestazioni della rete della RNA srl; tali programmi non
sono in nessun caso utilizzati su reti esterne a quella della RNA srl. La lettura in chiaro dei
pacchetti in transito può solo essere autorizzata dalla Autorità Giudiziaria.
Minacce a cui sono sottoposti i dati trattati
Le principali minacce ai dati trattati sono:
 accesso non autorizzato agli archivi contenenti le informazioni riservate (visione, modifica,
cancellazione, esportazione) da parte di utenti interni e/o esterni;
 modifiche accidentali (errori, disattenzioni) agli archivi da parte di utenti autorizzati.
Minacce a cui sono sottoposti i supporti di memorizzazione
Le principali minacce ai supporti di memorizzazione sono:
 distruzione e/o alterazione a causa di eventi naturali;
 imperizia degli utilizzatori;
 sabotaggio;
 deterioramento nel tempo (invecchiamento dei supporti);
 difetti di costruzione del supporto di memorizzazione che ne riducono la vita media;
 l’evoluzione tecnologica del mercato che rende in breve tempo obsoleti alcuni tipi di supporti.

17.0 INDIVIDUAZIONE DELLE CONTROMISURE
Le contromisure individuano le azioni che si propongono al fine di annullare o di limitare le
vulnerabilità e di contrastare le minacce, esse sono classificabili nelle seguenti tre categorie:
 contromisure di carattere fisico;
 contromisure di carattere procedurale;
 contromisure di carattere elettronico/informatico.
Contromisure di carattere fisico
 le apparecchiature informatiche critiche (server di rete, computer utilizzati per il trattamento dei
dati personali o sensibili/giudiziari e apparecchiature di telecomunicazione, dispositivi di copia)
e gli archivi cartacei contenenti dati personali o sensibili/giudiziari sono situati in locali ad
accesso controllato;
 i locali ad accesso controllato sono all’interno di aree sotto la responsabilità della
RNA srl;
 i Responsabili dei trattamenti sono anche responsabili dell’area in cui si trovano i trattamenti;
 i locali ad accesso controllato sono chiusi anche se presidiati, le chiavi sono custodite a cura
della RNA srl;
 l’ingresso ai locali ad accesso controllato è possibile solo dall’interno dell’area sotto la
responsabilità della RNA srl;
 i locali sono provvisti di sistema di allarme e di estintori;
 sono disponibili locali ad accesso controllato, armadi, apparecchiature di continuità elettrica.

Contromisure di carattere procedurale
 l’ingresso nei locali ad accesso controllato è consentito solo alle persone autorizzate;
 il responsabile dell’area ad accesso controllato deve mantenere un effettivo controllo sull’area di
sua responsabilità;
 nei locali ad accesso controllato è esposta una lista delle persone autorizzate ad accedere, che è
periodicamente controllata dal responsabile del trattamento o da un suo delegato;
 i visitatori occasionali delle aree ad accesso controllato sono accompagnati da un incaricato;
 per l’ingresso ai locali ad accesso controllato è necessaria preventiva autorizzazione da parte del
Responsabile del trattamento;
 è controllata l’attuazione del regolamento verificando periodicamente l’efficacia dei sistemi di
allarmi e sistemi antincendio;
 l’ingresso in locali ad accesso controllato da parte di dipendenti o estranei per operazioni di
pulizia o di manutenzione avviene solo se i contenitori dei dati sono chiusi a chiave e i computer
sono spenti oppure se le operazioni si svolgono alla presenza dell’Incaricato del trattamento di
tali dati;
 inoltre per il trattamento dei soli dati cartacei sono adottate le seguenti disposizioni:
 si accede ai soli dati strettamente necessari allo svolgimento delle proprie mansioni;
 si utilizzano archivi con accesso selezionato;
 atti e documenti devono essere restituiti al termine delle operazioni;
 è fatto divieto di fotocopiare/scannerizzare documenti senza l’autorizzazione del
responsabile del trattamento;
 è fatto divieto di esportare documenti o copie dei medesimi all’esterno senza l’autorizzazione
del responsabile del trattamento, tale divieto si estende anche all’esportazione telematica;
 il materiale cartaceo asportato e destinato allo smaltimento dei rifiuti deve essere ridotto in
minuti frammenti.

Contromisure di carattere elettronico/informatico

REGOLE PER LA GESTIONE DELLE PASSWORD
Tutti gli incaricati del trattamento dei dati personali accedono al sistema informativo per mezzo di
un codice identificativo personale (in seguito indicato user-id) e password personale.
User-id e password iniziali sono assegnati, dal custode delle password.
User-id e password sono strettamente personali e non possono essere riassegnati ad altri utenti.
L’user-id è costituita da 8 caratteri che corrispondono alle prime otto lettere del cognome ed
eventualmente del nome. In caso di omonimia si procede con le successive lettere del nome.
La password è composta da 8 caratteri alfanumerici. Detta password non contiene, né conterrà,
elementi facilmente ricollegabili all’organizzazione o alla persona del suo utilizzatore e deve essere
autonomamente modificata dall’incaricato al primo accesso al sistema e dallo stesso consegnata in
una busta chiusa al custode delle password, il quale provvede a metterla nella cassaforte in un plico
sigillato.
Ogni sei mesi (tre nel caso di trattamento dati sensibili) ciascun incaricato provvede a sostituire la
propria password e a consegnare al custode delle password una busta chiusa sulla quale è indicato il
proprio user-id e al cui interno è contenuta la nuova password; il custode delle password provvederà
a sostituire la precedente busta con quest’ultima.
Le password verranno automaticamente disattivate dopo tre mesi di non utilizzo.
Le password di amministratore di tutti i PC che lo prevedono sono assegnate dall’amministratore di
sistema, qualora sia un Responsabile interno all’azienda, e sono conservate in busta chiusa nella
cassaforte. In caso di necessità l’amministratore di sistema è autorizzato a intervenire sui personal
computer.
Nel caso di un sistema di autenticazione e gestione automatica delle credenziali, (es. dominio
informatico) non è necessario la custodia in busta chiusa delle password, essendo queste gestite in
maniera crittografata dal sistema di autenticazione.
Qualora l’Amministratore di Sistema non fosse nominato, è il Titolare a svolgerne le funzioni.
In caso di manutenzione straordinaria possono essere comunicate, qualora necessario,
dall’amministratore di sistema al tecnico/sistemista addetto alla manutenzione le credenziali di
autenticazione di servizio. Al termine delle operazioni di manutenzione l’amministratore di sistema
deve ripristinare nuove credenziali di autenticazione che devono essere custodite in cassaforte.
Le disposizioni di seguito elencate sono vincolanti per tutti i posti lavoro tramite i quali si può
accedere alla rete e alle banche dati contenenti dati personali e/o sensibili:
 le password assegnate inizialmente e quelle di default dei sistemi operativi, prodotti software,
ecc. devono essere immediatamente cambiate dopo l’installazione e al primo utilizzo;
 per la definizione/gestione della password devono essere rispettate le seguenti regole:
 la password deve essere costituita da una sequenza di minimo otto caratteri alfanumerici e
non deve essere facilmente individuabile;
 deve contenere almeno un carattere alfabetico ed uno numerico;
 non deve contenere più di due caratteri identici consecutivi;

 non deve contenere lo user-id come parte della password;
 al primo accesso la password ottenuta dal custode delle password deve essere cambiata; la
nuova password non deve essere simile alla password precedente;
 la password deve essere cambiata almeno ogni sei mesi, tre nel caso le credenziali
consentano l’accesso ai dati sensibili o giudiziari;
 la password termina dopo sei mesi di inattività;
 la password è segreta e non deve essere comunicata ad altri;
 la password va custodita con diligenza e riservatezza;
 l’utente deve sostituire la password, nel caso ne accertasse la perdita o ne verificasse una
rivelazione surrettizia.
REGOLE PER LA GESTIONE DI STRUMENTI ELETTRONICO/INFORMATICO
Per gli elaboratori che ospitano archivi (o hanno accesso tramite la rete) con dati personali sono
adottate le seguenti misure:
 l’accesso agli incaricati ed agli addetti alla manutenzione è possibile solo in seguito ad
autorizzazione scritta;
 gli hard disk non sono condivisi in rete se non temporaneamente per operazioni di copia;
 tutte le operazioni di manutenzione che sono effettuate on-site avvengono con la supervisione
dell’incaricato del trattamento o di un suo delegato;
 le copie di backup realizzate su CD / HDD sono conservate in armadio chiuso a chiave in
idoneo locale.
 divieto di utilizzare pen drive come mezzo per il backup;
 divieto per gli utilizzatori di strumenti elettronici di lasciare incustodito, o accessibile, lo
strumento elettronico stesso. A tale riguardo, per evitare errori e dimenticanze, è adottato uno
screensaver automatico dopo 10 minuti di inutilizzo, richiedendo la password di accesso.
 divieto di memorizzazione di archivi con dati sensibili di carattere personale dell’utente sulla
propria postazione di lavoro non inerenti alla funzione svolta;
 divieto di installazione di software di qualsiasi tipo sui personal computer che contengono
archivi con dati sensibili senza apposita autorizzazione scritta da parte del responsabile del
trattamento dati;
Il controllo dei documenti stampati è responsabilità degli incaricati al trattamento.
La stampa di documenti contenenti dati sensibili è effettuata su stampanti poste in locali ad accesso
controllato o presidiate dall’incaricato.
Il fax / stampante si trova in locale ad accesso controllato e l’utilizzo è consentito unicamente agli
incaricati del trattamento.
La manutenzione degli elaboratori, che può eventualmente prevedere il trasferimento fisico presso
un laboratorio riparazioni, è autorizzata solo a condizione che il fornitore del servizio dichiari per
iscritto di avere redatto apposita informativa sulla privacy e di aver adottato le misure minime di
sicurezza previste dal regolamento.

REGOLE DI COMPORTAMENTO PER MINIMIZZARE I RISCHI DA VIRUS
Per minimizzare il rischio da virus informatici, gli utilizzatori dei PC adottano le seguenti regole:
 divieto di lavorare con diritti di amministratore o superutente sui sistemi operativi che
supportano la multiutenza;
 limitare lo scambio fra computer di supporti rimovibili (floppy, cd, zip) contenenti file con
estensione EXE, COM, OVR, OVL, SYS, DOC , XLS;
 controllare (scansionare con un antivirus aggiornato) qualsiasi supporto di provenienza sospetta
prima di operare su uno qualsiasi dei file in esso contenuti;
 evitare l’uso di programmi shareware e di pubblico dominio se non se ne conosce la
provenienza, ovvero divieto di “scaricare” dalla rete internet ogni sorta di file, eseguibile e non.
La decisione di “scaricare” può essere presa solo dal responsabile del trattamento;
 disattivare gli Active-x e il download dei file per gli utenti del browser Internet Explorer;
 disattivare la creazione di nuove finestre ed il loro ridimensionamento e impostare il livello di
protezione su “chiedi conferma” (il browser avvisa quando uno script cerca di eseguire qualche
azione);
 attivare la protezione massima per gli utenti del programma di posta Outlook Express al fine di
proteggersi dal codice html di certi messaggi e-mail (buona norma è visualizzare e trasmettere
messaggi in formato testo poiché alcune pagine web, per il solo fatto di essere visualizzate
possono infettare il computer);
 non aprire gli allegati di posta se non si è certi della loro provenienza, e in ogni caso analizzarli
con un software antivirus. Usare prudenza anche se un messaggio proviene da un indirizzo
conosciuto (alcuni virus prendono gli indirizzi dalle mailing list e della rubrica di un computer
infettato per inviare nuovi messaggi “infetti”);
 non cliccare mai un link presente in un messaggio di posta elettronica da provenienza
sconosciuta, (in quanto potrebbe essere falso e portare a un sito-truffa);
 non utilizzare le chat;
 consultare con periodicità settimanale la sezione sicurezza del fornitore del sistema operativo e
applicare le patch di sicurezza consigliate;
 non attivare le condivisioni dell’HD in scrittura.
 seguire scrupolosamente le istruzioni fornite dal sistema antivirus nel caso in cui tale sistema
antivirus abbia scoperto tempestivamente il virus (in alcuni casi esso è in grado di risolvere il
problema, in altri chiederà di eliminare o cancellare il file infetto);
 avvisare l’Amministratore di sistema nel caso in cui il virus sia stato scoperto solo dopo aver
subito svariati malfunzionamenti della rete o di qualche PC, ovvero in ritardo (in questo caso è
possibile che l’infezione abbia raggiunto parti vitali del sistema);
 conservare i dischi di ripristino del proprio PC (creati con l’installazione del sistema operativo, o
forniti direttamente dal costruttore del PC);
 conservare le copie originali di tutti i programmi applicativi utilizzati e la copia di backup
consentita per legge;
 conservare la copia originale del sistema operativo e la copia di backup consentita per legge;
 conservare i driver delle periferiche (stampanti, schede di rete, monitor ecc. fornite dal
costruttore).

Nel caso di sistemi danneggiati seriamente da virus l’Amministratore procede a reinstallare il
sistema operativo, i programmi applicativi ed i dati; seguendo la procedura indicata:
1. formattare l’Hard Disk, definire le partizioni e reinstallate il Sistema Operativo. (molti
produttori di personal computer forniscono uno o più cd di ripristino che facilitano
l’operazione);
2. installare il software antivirus, verificate e installare immediatamente gli eventuali ultimi
aggiornamenti;
3. reinstallare i programmi applicativi a partire dai supporti originali;
4. effettuare il RESTORE dei soli dati a partire da una copia di backup recente. NESSUN
PROGRAMMA ESEGUIBILE DEVE ESSERE RIPRISTINATO DALLA COPIA DI
BACKUP: potrebbe essere infetto;
5. effettuare una scansione per rilevare la presenza di virus nelle copie dei dati;
6. ricordare all’utente di prestate particolare attenzione al manifestarsi di nuovi
malfunzionamenti nel riprendere il lavoro di routine.
INCIDENT RESPONSE E RIPRISTINO
Tutti gli incaricati del trattamento dei dati devono avvisare tempestivamente il Responsabile della
sicurezza informatica o l’Amministratore di sistema o il Responsabile del trattamento dei dati, nel
caso in cui constatino le seguenti anomalie:
 discrepanze nell’uso degli user-id;
 modifica e sparizione di dati;
 cattive prestazioni del sistema (così come percepite dagli utenti);
 irregolarità nell’andamento del traffico;
 irregolarità nei tempi di utilizzo del sistema;
 quote particolarmente elevate di tentativi di connessione falliti.
In caso di incidente sono considerate le seguenti priorità:
1. evitare danni diretti alle persone;
2. proteggere l’informazione sensibile o proprietaria;
3. evitare danni economici;
4. limitare i danni all’immagine dell’organizzazione.

Garantita l’incolumità fisica alle persone si procedere a:
1. isolare l’area contenente il sistema oggetto dell’incidente;
2. isolare il sistema compromesso dalla rete;
3. spegnere correttamente il sistema oggetto dell’incidente. Una volta spento il sistema oggetto
dell’incidente non deve più essere riacceso;
4. documentare tutte le operazioni.
Se l’incidente è dovuto ad imperizia del personale o ad eventi accidentali, ovvero quando non vi è
frode, danno, abuso e non è configurabile nessun tipo di reato, il ripristino può essere effettuato, a
cura dell’Amministratore di sistema, direttamente sugli hard disk originali a partire dalle ultime
copie di backup ritenute valide.
Altrimenti il Titolare del trattamento, il Responsabile del trattamento e l’Amministratore di sistema
coinvolgeranno esperti e/o autorità competenti. La successiva fase di indagine e di ripristino del
sistema sarà condotta da personale esperto di incident response, tenendo presente quanto sotto
indicato:
1. eseguire una copia bit to bit degli hard disk del sistema compromesso;
2. se l’incidente riguarda i dati il restore dei dati può avvenire sulla copia di cui al precedente
punto 1 a partire dalle ultime copie di backup ritenute valide;
3. se l’incidente riguarda il sistema operativo o esiste la possibilità che sia stato installato
software di tipo MMC il ripristino deve essere effettuato reinstallando il sistema operativo su
nuovo supporto.

18.0 PIANO DI FORMAZIONE
La formazione degli incaricati viene effettuata all’ingresso in servizio, all’installazione di nuovi
strumenti per il trattamento dei dati, e comunque con frequenza periodica (consigliabile semestrale).
Le finalità della formazione sono:
 sensibilizzare gli incaricati sulle tematiche di sicurezza, in particolar modo sui rischi e sulle
responsabilità che riguardano il trattamento dei dati personali;
 proporre buone pratiche di utilizzo sicuro della rete;
 riconoscere eventuali anomalie di funzionamento dei sistemi (hardware e software) correlate a
problemi di sicurezza.
Il piano prevede inoltre la pubblicazione di normativa ed ordini di servizio in apposita bacheca
situata in ufficio.

19.0 DIRITTI DELL’INTERESSATO
In ogni momento potrà esercitare i Suoi diritti nei confronti del Titolare del trattamento di cui
sopra, ai sensi degli artt. 15, 16, 17 e 18 del Regolamento UE 2016/679 “GDPR”, che per Sua
comodità riproduciamo integralmente:
1. L’interessato ha diritto di ottenere la conferma dell’esistenza o meno di dati personali che lo riguardano,
anche se non ancora registrati, e la loro comunicazione in forma intelligibile.
2. L’interessato ha diritto di ottenere l’indicazione:
a. dell’origine dei dati personali;
b. delle finalità e modalità del trattamento;
c. della logica applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronici;
d. degli estremi identificativi del Titolare, dei Responsabili e degli Incaricati designati;
e. dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che
possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di
responsabili o incaricati.
3. L’interessato ha diritto di ottenere:
a. l’aggiornamento, la rettificazione ovvero, quando vi ha interesse, l’integrazione dei dati;
b. la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di
legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i
dati sono stati raccolti o successivamente trattati;
c. l’attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per
quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato
il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente
sproporzionato rispetto al diritto tutelato.
4. L’interessato ha diritto di opporsi, in tutto o in parte:
a. per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo
scopo della raccolta;
b. al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di
vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.
5. Potrà in qualsiasi momento esercitare i diritti inviando una comunicazione ai recapiti sopra riportati.

20.0 AGGIORNAMENTO DEL REGOLAMENTO
Il presente Regolamento è soggetto ad audit periodico per verificare che le misure di sicurezza
siano adottate siano idonee ad eliminare o abbassare la probabilità di rischio e comunque ogni
qualvolta si verificano le seguenti condizioni:
 modifiche all’assetto organizzativo ed in particolare del sistema informativo (sostituzioni di
hardware, software, procedure, connessioni di reti, ecc.) tali da giustificare una revisione del
piano;
 danneggiamento o attacchi al patrimonio informativo tali da dover correggere ed aggiornare i
livelli minimi di sicurezza previa analisi dell’evento e del rischio.