Accordo sul trattamento dei dati personali

Il presente Accordo sul Trattamento dei Dati Personali (Data Processing Agreement - "DPA") viene stipulato tra:

(i) Viene stipulato con l’utilizzatore (il “Committente” o “Titolare”);

e

(ii) GB Software Spa con sede legale Via B. Oriani, 153 00197 Roma (00197) RM, REA: 1065349 P.IVA 07946271009 (il “Fornitore” o “Responsabile”),

(il Titolare e il Responsabile di seguito denominati singolarmente “Parte” e congiuntamente “Parti”).

PREMESSO CHE

  1. in virtù di separati accordi tra le Parti, il Fornitore esegue determinate prestazioni (i “Servizi”) a favore del Committente;
  2. l’esecuzione dei Servizi comporta il trattamento, da parte del Fornitore, di Dati Personali (come di seguito definiti) di cui il Committente è il titolare ai sensi della Normativa sulla Protezione dei Dati (come di seguito definita);
  3. più precisamente, il trattamento dei Dati Personali da parte del Fornitore rientra nell'ambito di applicazione dell’articolo 28 del Regolamento (UE) 2016/679 del Consiglio e del Parlamento Europeo del 27 aprile 2016 sulla protezione e la libertà di circolazione dei dati personali delle persone fisiche (“GDPR”), pertanto, il Fornitore si qualifica quale responsabile del trattamento ai sensi del GDPR;
  4. alla luce di quanto precede, è intenzione delle Parti disciplinare il trattamento dei Dati Personali da parte del Responsabile in accordo con la Normativa sulla Protezione dei Dati

CIO' PREMESSO, al fine di prestare garanzie sufficienti per la tutela della vita privata, delle libertà e dei diritti fondamentali delle persone fisiche circa il trasferimento dal Titolare al Responsabile dei Dati Personali, le Parti convengono quanto segue:

1. Definizioni

In aggiunta ai termini e alle definizioni utilizzate nel GDPR, nonché alle definizioni contenute in altre parti del DPA, ai fini del DPA stesso valgono le seguenti definizioni:

“Dati Personali” si intendono tutte le informazioni riguardanti una persona fisica identificata o identificabile, come previsto dalla Normativa sulla Protezione dei Dati, che il Responsabile tratta nel corso dell’esecuzione dei Servizi per il Titolare. Le tipologie di Dati Personali sono specificati nell’Allegato 1.
“Normativa sulla Protezione dei Dati” si intende l’insieme delle leggi e dei regolamenti relativi al trattamento e alla protezione dei dati personali, incluso a titolo esemplificativo e non esaustivo il GDPR e la relativa legislazione di attuazione emanata dagli Stati Membri.
“Soggetti Interessati” si intendono le persone fisiche a cui si riferiscono i Dati Personali. Le categorie di Soggetti Interessati sono specificate nell’Allegato 1.
“Stato Membro” si intende uno stato membro dell'Unione Europea ("UE") o dello Spazio Economico Europeo ("SEE").
“Violazione della Sicurezza” si intende la violazione dei Dati Personali che possa comprometterne la riservatezza (divulgazione o accesso non autorizzato o accidentale ai dati personali) e/o la disponibilità (perdita accidentale o non autorizzata di accesso o distruzione di dati personali) e/o l'integrità (alterazione non autorizzata o accidentale dei dati personali).
“Servizi” Si intendono i servizi previsti dal contratto di licenza sottoscritto:
- Assistenza (nelle differenti modalità di evasione)
- Cloud (Versione SaaS)

2. Obblighi delle Parti

2.1 Obblighi del Titolare

2.1.1 Il Titolare garantisce che le attività di trattamento dei Dati Personali connesse all’esecuzione dei Servizi siano e rimangano lecite, pertinenti e trasparenti in relazione alle finalità e ai Soggetti Interessati. Si impegna, altresì: - A fornire al Responsabile del trattamento dei dati personali di cui all’Allegato 1 del presente accordo; - Assicurare, sin d’ora e per tutta la durata del trattamento, il rispetto degli obblighi previsti dal Regolamento europeo sulla protezione dei dati personali da parte del Responsabile; - Supervisionare il trattamento, compresa la realizzazione degli audit e le ispezioni col contributo del Responsabile.

2.1.2 Il Titolare dichiara che le misure minime, tecniche e organizzative, di cui all'Allegato 2 sono finalizzate a proteggere i diritti dei Soggetto Interessato in relazione alle attività di trattamento delegate al Responsabile.

2.2 Obblighi del Responsabile

2.2.1 Il Responsabile dichiara e garantisce che tratterà i Dati Personali esclusivamente per conto del Titolare e secondo le istruzioni contenute nel DPA o altrimenti impartite dal Titolare. Qualora non sia in grado, per qualunque ragione, di ottemperare a tali disposizioni, il Responsabile si impegna ad informare prontamente il Titolare, il quale avrà il diritto di sospendere il trasferimento dei Dati Personali e/o di risolvere il DPA.

2.2.2 Il Responsabile è tenuto ad implementare le misure di sicurezza tecniche ed organizzative conformi a quanto previsto nell’art. 32 del GDPR e comunque di cui all'Allegato 2 prima di procedere al trattamento dei Dati Personali per conto del Titolare.

Nel caso in cui il Responsabile non sia in grado di garantire la presenza delle suddette misure, lo stesso è tenuto a darne pronta comunicazione al Titolare affinché questi possa svolgere le opportune valutazioni in merito all’instaurazione/prosecuzione del rapporto. Il Responsabile può applicare misure tecniche ed organizzative diverse rispetto a quelle prescritte a condizione che le misure individuate dal Responsabile costituiscano un presidio per la sicurezza dei Dati Personali almeno equivalente rispetto a quanto specificato nell'Allegato 2.

2.2.3 In conformità con l’articolo 30, par. 2 del GDPR, il Responsabile si impegna, ove rientri tra i soggetti obbligati, a tenere un registro, separato e continuamente aggiornato, di tutte le attività di trattamento dei Dati Personali svolte per conto del Titolare, contenente le informazioni previste dalle lettere da a) a d) del medesimo par. 2. Ove rientri tra i soggetti obbligati, il Responsabile si impegna a fornire prontamente copia del suddetto registro su richiesta del Titolare o delle autorità competenti. Il Responsabile si impegna altresì a fornire al Titolare, su sua richiesta, tutte le informazioni relative ai trattamenti dei Dati Personali necessarie affinché il Titolare possa predisporre il proprio registro delle attività di trattamento.

2.2.4. Ove occorrer possa e per quanto concerna i trattamenti effettuati per fornire il servizio dalle persone autorizzate al trattamento con mansioni di “Amministratore di Sistema”, il Responsabile è tenuto altresì al rispetto delle previsioni pro tempore applicabili relative alla disciplina sugli amministratori di sistema contenute nel provvedimento del Garante per la protezione dei dati personali del 27 novembre 2008 modificato in base al provvedimento del 25 giugno 2009. Il Responsabile, in particolare, si impegna ad attribuire le funzioni di amministratore di sistema solo previa valutazione delle caratteristiche di esperienza, capacità e affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. Il Responsabile si impegna a predisporre l'elenco completo degli amministratori di sistema, contenente gli estremi identificativi delle persone fisiche designate, dandone – qualora espressamente richiesto - comunicazione al Titolare, e si impegna altresì a mantenerlo regolarmente aggiornato. Il Responsabile, infine, si obbliga a verificare le attività svolte dagli amministratori di sistema, in modo da assicurarne la conformità con le misure di sicurezza tecniche ed organizzative richieste dalla Normativa sulla Protezione dei Dati Personali;

2.2.5 Il Responsabile risponderà prontamente e adeguatamente alle richieste del Titolare relative ai trattamenti dei Dati Personali ove compiuti per suo conto e fornirà al Titolare le informazioni necessarie affinché quest’ultimo possa dimostrare all’autorità di controllo competente, l’adempimento della Normativa sulla Protezione dei Dati.

2.2.6 Il Responsabile si impegna a non trasferire al fuori dall’Italia i Dati Personali che tratta nell’esecuzione dei Servizi, senza il preventivo consenso scritto del Titolare e/o con le garanzie di cui agli artt 44 e ss. del GDPR. Se il Responsabile è tenuto a procedere a un trasferimento di dati verso un paese terzo o un’organizzazione internazionale in virtù del diritto dell’Unione o del diritto di uno Stato membro al quale è sottoposto, egli deve informare il Titolare del trattamento di tale obbligo giuridico prima del trattamento a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico.

2.2.7 Il Responsabile garantisce che i soggetti che trattano i Dati Personali sotto la sua autorità o quella del Sub-responsabile rispetteranno le istruzioni impartite dal Titolare al Responsabile e nel rispetto degli obblighi di riservatezza cui questi è tenuto e ai quali ha impegnato i suddetti soggetti.

2.2.8 Su richiesta del Titolare, il Responsabile è tenuto, allorchè di sua competenza e pertinenza, a supportarlo nelle attività necessarie affinché lo stesso possa compiutamente dar seguito agli eventuali obblighi di valutazione d’impatto sulla protezione dei dati nonché di consultazione preventiva delle autorità di controllo, tenuto conto della natura del trattamento e dei Dati Personali a disposizione del Responsabile.

2.2.9 Il Responsabile è tenuto a comunicare nel più breve tempo possibile al Titolare qualsiasi richiesta ricevuta da autorità competenti relativamente al trattamento dei Dati Personali, salvo che tale comunicazione sia vietata da norme di legge.

2.2.10 Il Responsabile del trattamento non effettua trattamenti su larga scala per i quali è obbligatoria la nomina del Responsabile per la protezione dei dati ai sensi degli artt. 37 e ss. del GDPR. Qualora venisse nominato un Responsabile per la protezione dei dati su base volontaria o per altre ragioni la nomina si rendesse necessaria (ad esempio: modifica dell’attività principale, acquisizioni di rami d’azienda, incorporazioni, fusioni o acquisizioni da parte di imprese che svolgono attività per cui la nomina è obbligatoria) il Responsabile del trattamento si impegna a darne pronta comunicazione, unitamente ai dati di contatto.

2.2.11 Al momento della cessazione della prestazione dei Servizi, per qualunque motivo, il Responsabile è obbligato per disposizione normativa ad interrompere ogni attività di trattamento e a cancellare senza ingiustificato ritardo e irreversibilmente tutti i Dati Personali, senza trattenerne alcuna copia, salvo che norme di legge ne impongano al Responsabile la conservazione o il Titolare ne richieda la restituzione. In tale ultimo caso: (i) la restituzione dovrà avvenire secondo le modalità e i tempi con questi concordati; (ii) i dati elettronici dovranno essere restituiti al Titolare in un formato di uso comune o in uso da parte del Titolare; (iii) non dovranno essere conservate copie, anche parziali, dei Dati Personali, su alcun genere di supporto, salvo che norme di legge ne impongano la conservazione. Il Responsabile dovrà fornire al Titolare comunicazione scritta che dia atto dell’avvenuto compimento delle attività sopra descritte sia da parte propria sia da parte di eventuali Sub-responsabili.

3. Istruzioni per il Responsabile

3.1 Il Responsabile si obbliga a trattare i Dati Personali esclusivamente per conto del Titolare e in conformità alle istruzioni impartite dal Titolare nel DPA e/o nei separati accordi tra le Parti per la fornitura dei Servizi. Qualora l’osservanza di una disposizione della Normativa sulla Protezione dei Dati, applicabile al Responsabile, non consenta il rispetto delle istruzioni impartite dal Titolare, il Responsabile sarà tenuto a comunicarlo al Titolare. In tale circostanza, le informazioni da comunicare al Titolare saranno limitate a quanto consentito dalla disposizione in questione.

3.2 Le istruzioni vengono fornite al Responsabile per iscritto, a meno che l'urgenza o altre circostanze del caso richiedano una forma diversa. Le istruzioni comunicate in forma diversa da quella scritta saranno documentate per iscritto o in altra una forma adeguata non appena possibile.

3.4 Il Responsabile è tenuto a segnalare immediatamente al Titolare eventuali istruzioni che ritiene essere in violazione della Normativa sulla Protezione dei Dati.

4. Verifiche del Titolare

4.1 Il Responsabile si impegna a monitorare sistematicamente, tramite strumenti adeguati, la conformità dei Sub-responsabili agli obblighi previsti dal DPA e dalla Normativa sulla Protezione dei Dati. Il Responsabile dovrà mettere a disposizione del Titolare qualsiasi informazione utile a dimostrare l'osservanza di tali obblighi e di quelli che lo riguardano direttamente, ed è tenuto a fornire ove possibile dietro richiesta del Titolare le risultanze delle verifiche svolte presso i Sub-responsabili, anche a mezzo di relazioni riepilogative.

4.2 Previo un congruo preavviso, il Titolare può svolgere direttamente o tramite terzi incaricati verifiche e/o ispezioni, anche per mezzo di audit, presso le strutture del Responsabile o del Sub-responsabile. Tali attività devono:

  1. riguardare solamente il personale e le strutture coinvolte nelle attività di trattamento dei Dati Personali;
  2. essere svolte, per quanto possibile, durante il normale orario di lavoro e senza pregiudizio della continuità operativa delle attività del Responsabile o del Sub-responsabile;
  3. rispettare le politiche sulla sicurezza del Responsabile o del Sub-responsabile;
  4. salvo urgenza per il verificarsi di una Violazione di Sicurezza, essere svolte non più di una volta all’anno o secondo quanto previsto dalla Normativa sulla Protezione dei Dati o dall'autorità di controllo competente;
  5. comportare spese di esecuzione ad esclusivo carico del Titolare, a meno che le attività di ispezione e verifica rivelino una grave violazione di quanto previsto nel DPA da parte del Responsabile. Il Titolare potrà predisporre una relazione riepilogativa delle risultanze delle verifiche e/o ispezioni attuate. Qualora tali relazioni contenessero informazioni riservate del Responsabile, il Titolare si impegna a non divulgarle, senza il consenso del Responsabile, a terzi diversi dai propri consulenti, compresi i consulenti legali, dal proprio DPO (se nominato) e dagli altri soggetti che intervengono nel trattamento sotto l’autorità del Titolare, fatto salvo il caso in cui il Titolare sia tenuto a divulgarne il contenuto ai sensi della Normativa sulla Protezione dei Dati o su richiesta dell’autorità di controllo competente.

5. Riservatezza dei Dati

5.1 Il Responsabile si impegna a mantenere la massima riservatezza circa i Dati Personali e le altre informazioni eventualmente ricevute dal Titolare per l’esecuzione dei Servizi, utilizzando un adeguato livello di protezione.

5.2 Il Responsabile si impegna a non rivelare, distribuire, riprodurre o trasferire i Dati Personali e le altre informazioni eventualmente ricevute dal Titolare, a nessun terzo oltre che ai propri dipendenti e collaboratori, ai Sub-responsabili e ai loro dipendenti e collaboratori, solo nella misura in cui tali soggetti abbiano necessità di accedere ai suddetti Dati Personali e informazioni ai fini dell’esecuzione dei Servizi.

5.3 Il Responsabile si impegna a non rilevare, distribuire, riprodurre o trasferire i Dati Personali e le altre informazioni eventualmente ricevute dal Titolare, solo previa autorizzazione da parte del titolare, il responsabile potrà pubblicare alcuni dati personali sul portale https://gbsoftware.cloud, visibili solamente da chi ne è stato autorizzato da parte del titolare, tramite apposita procedura di generazione ambienti, o tramite collegato GUID a seguito di invito, il tutto al solo fine di esecuzione dei servizi.

A titolo esemplificativo e non esaustivo:

5.4 Il Responsabile garantisce che i soggetti sotto il suo diretto controllo e che avranno accesso ai Dati Personali e alle altre informazioni riservate del Titolare, sono vincolati per contratto a rispettarne la riservatezza o sono soggetti ad un obbligo legale di riservatezza. Su richiesta, il Responsabile è tenuto a dimostrare la conformità agli obblighi previsti dal presente articolo.

6. Violazione della Sicurezza e obblighi di comunicazione

6.1 Oltre agli altri obblighi di comunicazione previsti dal DPA, il Responsabile è tenuto a notificare per iscritto al Titolare senza ritardo e comunque non oltre 12 (dodici) ore da quando ne è venuto a conoscenza, il verificarsi di Violazioni della Sicurezza che coinvolgano i Dati Personali.

6.2 Entro le 24 (ventiquattro) ore successive alla notifica di cui all’articolo che precede, il Responsabile si impegna altresì a raccogliere e fornire al Titolare informazioni dettagliate circa il tipo di violazione, i Dati Personali e i Soggetti Interessati coinvolti, le conseguenze della violazione e i rimedi implementati, utilizzando il modulo di cui all’Allegato n. 3 del presente DPA.

6.3 Il Responsabile, ai sensi della Normativa sulla Protezione dei Dati, in caso di Violazione della Sicurezza, dovrà assistere il Titolare nell'obbligo di informare l’autorità di controllo e i Soggetti Interessati, laddove necessario, fornendo tutte le notizie a propria disposizione, tenendo conto della natura del trattamento.

7. Riscontro alle istanze dei Soggetti Interessati

7.1 Il Responsabile è tenuto a comunicare al Titolare eventuali reclami o richieste ricevute da parte dei Soggetti Interessati (ad es. in materia di accesso, rettifica, cancellazione, limitazione di trattamento, portabilità dei Dati Personali, opposizione al trattamento dei Dati Personali, decisioni automatizzate), fermo restando che il Responsabile non potrà rispondere a tali reclami o richieste, salvo il caso in cui sia stato altrimenti autorizzato per iscritto dal Titolare o sia a ciò tenuto in base alla Normativa sulla Protezione dei Dati.

7.2. Il Responsabile si predispone, soprattutto tramite l'attuazione di adeguate misure tecniche ed organizzative, per coadiuvare, per quanto di propria pertinenza, il Titolare nell'adempimento dell'obbligo di rispondere alle richieste di Soggetti Interessati circa l'esercizio dei loro diritti. Spetta esclusivamente al Titolare stabilire se un Soggetto Interessato sia intitolato ad esercitare i suddetti diritti o meno.

8. Sub-trattamento

8.1 Il Responsabile può ricorrere a un altro responsabile del trattamento (d’ora innanzi Sub-responsabile) per l’esecuzione di specifiche attività di trattamento. In questo caso egli informa preventivamente e per iscritto il titolare di tutte le modifiche riguardanti l’aggiunta o la sostituzione dei sub-responsabili. Tali informazioni devono indicare chiaramente le attività di trattamento effettuate dal Sub-responsabile, l’identità e i recapiti del Sub responsabile, e la data del contratto relativo al Sub-trattamento. Il Titolare del trattamento dispone di un periodo di 15 giorni a far data dal ricevimento delle informazioni per presentare le proprie obiezioni. Il sub trattamento non può avere inizio sino a che il termine indicato non sia spirato senza che il titolare abbia presentato obiezioni. Il Sub responsabile è tenuto a rispettare gli obblighi del presente accordo per conto e secondo le istruzioni del Titolare del trattamento. È compito del Responsabile assicurare che il Sub-responsabile presenti le medesime garanzie sufficienti in ordine alla messa in atto delle misure tecniche e organizzative adeguate in modo che il trattamento soddisfi i requisiti del GDPR, ivi compresi quelli di cui agli artt. 44 e ss. ddel GDPR in merito al trasferimento dei dati personali verso Paesi terzi e organizzazioni internazionali Se il Sub-responsabile del trattamento omette di adempiere i suoi obblighi in materia di protezione dei dati, il Responsabile iniziale conserva nei confronti del titolare la piena responsabilità per l’adempimento degli obblighi del Sub-responsabile.

Tramite compilazione del modulo allegato al presente DPA (Allegato 4) il Responsabile potrà informare sinteticamente il Titolare circa l’identità del Sub-Responsabile e i servizi da questi resi che abbiano ad oggetto i dati di cui al presente DPA.

9. Conformità alla legge locale

9.1 Ciascuna Parte potrà richiedere che qualunque previsione del DPA sia modificata in maniera tale da soddisfare ed adeguarsi a qualsiasi interpretazione, linea guida od ordinanza che venisse emanata in futuro da autorità competenti dell’Unione Europea o dello Stato Membro dove ha sede il Titolare, comprese disposizioni nazionali di attuazione di quanto previsto dal GDPR in relazione alla nomina di responsabili del trattamento o ai requisiti previsti per tale nomina. Le Parti saranno tenute a discutere e concordare le modifiche in buona fede.

10. Efficacia e durata del DPA

10.1 Il DPA è efficace dalla data della sua sottoscrizione e rimarrà in vigore fintanto che il Responsabile fornirà i Servizi al Titolare.

11. Prevalenza tra contratti

11.1 Qualora vi siano contraddizioni o incompatibilità tra le clausole del DPA e le clausole in materia di trattamento dei Dati Personali eventualmente contenute in altri contratti stipulati tra le Parti, prevarranno le clausole del DPA.

12. Legge applicabile e foro competente

12.1 Il DPA è disciplinato dalla legge italiana.

12.2 Il foro competente in via esclusiva per qualsiasi eventuale controversia relativa al DPA è quello della sede del Titolare.

13. Miscellanea

13.1 L'inapplicabilità o l'invalidità di una o più disposizioni del DPA non pregiudica le restanti parti del DPA stesso.

13.2 Nell’eventualità di modifiche alla Normativa sulla Protezione dei Dati da cui possano derivare modifiche agli obblighi, alle istruzioni o alle misure contemplate nel DPA, le Parti si impegnano a collaborare per apportare gli opportuni correttivi.

14. Clausole finali

14.1. Le premesse e gli allegati fanno parte integrante del presente accordo.



ALLEGATO 1

Titolare

Il Titolare del trattamento e può essere contattato per le comunicazioni di cui al presente DPA, nonché per qualsiasi questione inerente, all’indirizzo info@gbsoftware.it

Il Data Protection Officer o il referente del Responsabile

Non è stato nominato alcun Data Protection Officer dal Responsabile in quanto non sussistono i requisiti per la nomina. Il referente da contattare per le comunicazioni e le questioni inerenti al presente DPA è:

Luca Bagiacchi Responsabile Amministrativo, luca.bagiacchi@gbsoftware.it

Soggetti Interessati

I dati personali trattati riguardano le seguenti categorie di soggetti interessati:

Categorie di dati

I dati personali trattati riguardano le seguenti categorie di dati:

Dati dei clienti del Titolare, tra cui

Categorie speciali di dati

I dati personali trattati riguardano le seguenti categorie speciali di dati;

Non è previsto il trattamento di dati sensibili.

Finalità di trattamento

I dati personali trattati rientrano sono trattati per:

Per esempio

Tali dati vengono trattati per il corretto funzionamento dei i sistemi gestionali e documentali in possesso del Titolare e forniti dal Responsabile del trattamento dei dati come meglio descritto nel Contratto cui il presente accordo accede. I dati personali sono forniti e sono acquisiti da sistemi informatici e procedure software nel corso del loro normale esercizio.

Tali dati vengono trattati al solo fine di mantenere aggiornati e sicuri i sistemi software forniti, fornire manutenzione e assistenza e risolvere eventuali problematiche degli stessi nonché al fine di gestire le criticità che tali sistemi software potrebbero dare.



ALLEGATO 2

Descrizione delle misure tecniche e organizzative di sicurezza che devono essere implementate dal Responsabile (e dai suoi Sub-responsabili):

AREA LOGICA MISURE DI SICUREZZA A PROTEZIONE DEI DATI PERSONALI
NETWORK E RETE Firewall e router devono essere configurati al fine di verificare, limitare e convalidare il traffico, in entrata e in uscita, da reti "non attendibili" (incluse reti wireless)
Qualsiasi servizio o traffico non autorizzato deve essere bloccato e deve essere generato un avviso
Per proteggere i dati personali durante la trasmissione su reti aperte, pubbliche o non attendibili, è necessario utilizzare protocolli sicuri
Le reti wireless riservate agli ospiti devono essere separate dalla rete aziendale
Nel caso in cui la crittografia del canale non sia possibile, i file e gli allegati contenenti dati personali devono essere protetti mediante crittografia ogni volta che vengono trasmessi su reti aperte, pubbliche o non attendibili
Dovranno essere installati e mantenuti in costante aggiornamento idonei software di protezione malware e antivirus nel sistema
SICUREZZA DEI DATI Il periodo di conservazione dei dati personali deve essere limitato nella misura necessaria per ogni singola attività di elaborazione, nel rispetto degli obblighi legali e/o regolamentari vigenti
I programmi utilizzati per compiere attività di trattamento dovranno essere aggiornati con i più recenti rilasci di sicurezza.
I dati personali devono essere resi illeggibili (ad esempio sfruttando la crittografia) se archiviati su supporti digitali portatili o di backup
I dati personali presenti nello storage devono essere protetti mediante crittografia quando vengono memorizzati dai fornitori di servizi cloud e/o da altri sub-responsabili
I supporti (rimovibili e non rimovibili) contenenti dati personali devono essere protetti contro l'accesso non autorizzato attraverso misure di sicurezza fisica (ad es. conservandolo in un luogo sicuro chiuso a chiave) e logica (ad es. crittografia, controllo degli accessi, ecc.)
Per la dismissione degli asset ICT devono essere messe in atto procedure di pulizia sicura al fine di rimuovere tutti i dati personali e/o sovrascrivere in modo sicuro prima dello smaltimento o del riutilizzo
I documenti cartacei e i supporti magnetici/ottici (ad es. dischi rigidi, DVD, CD, smart card, chiavette USB) devono essere distrutti o resi inutilizzabili per garantire che i dati e le informazioni in essi contenuti non possano essere ricostruiti e/o utilizzati (anche parzialmente) da terze parti non autorizzate. I documenti cartacei devono essere fisicamente distrutti prima di essere cestinati attraverso dispositivi specifici quali distruggi documenti
DISPONIBILITA’ E RIPRISTINO Devono essere messe in atto procedure adeguate per ripristinare la disponibilità dei dati personali in modo tempestivo e la resilienza dei sistemi con cui sono operati i trattamenti. Le procedure di backup devono garantire copie dei dati personali almeno settimanalmente
Dovranno essere implementati e riveduti regolarmente piani di Disaster Recovery, di Business Continuity che saranno periodicamente testati in modo da garantirne la costante efficacia
GESTIONE DEGLI ACCESSI INFORMATICI I profili di autorizzazione per l’accesso ai sistemi informatici devono essere configurati considerando il principio del “privilegio minimo necessario” e di separazione dei compiti La pertinenza dei profili deve essere oggetto di revisione periodica
A tutti i soggetti autorizzati a operare nei sistemi informatici aziendali deve essere assegnato un identificativo utente univoco per l’accesso
Le password per i sistemi e i dispositivi che gestiscono dati personali devono contenere almeno 8 caratteri non facilmente attribuibili all'utente e devono essere modificate almeno ogni 90 giorni. Eventuali password di default devono essere sostituite dopo il primo utilizzo secondo i criteri sopra descritti
L'accesso da remoto (da reti esterne) all’ambiente che tratta dati personali deve essere protetto. L’accesso al sistema informatico aziendale deve avvenire tramite VPN o altro sistema altrettanto sicuro e isolato
L’accesso alle reti wireless deve essere consentito tramite utilizzo di credenziali di autenticazione
Il numero degli archivi di dati personali (database, file, copie, archivi) deve essere ridotto al minimo, evitando inutili duplicazioni
Gli access log di coloro che accedano ai sistemi informatici con privilegi amministrativi devono essere registrati per un periodo minimo sufficiente a permettere la ricostruzione di eventi anomali e in modi tali da garantire l’integrità e l’inalterabilità dei log raccolti, e, in ogni caso, nei modi e tempi previsti da obblighi normativi applicabili
Eventuali account di amministrazione sui singoli PC locali devono essere disabilitati
Sui PC locali non deve essere permessa la costituzione di cartelle condivise
VIOLAZIONE DEI DATI PERSONALI Deve essere mantenuto aggiornato uno specifico registro delle violazioni dei dati personali
Il Responsabile deve informare prontamente il Titolare della violazione di dati personali utilizzando l’Allegato n. 3 nel caso in cui essa riguardi dati di cui al presente DPA
PERSONALE Il Responsabile sarà tenuto a implementare un programma di consapevolezza in termini di sicurezza per formare il personale in merito ai rispettivi obblighi di sicurezza e sulle corrette regole di condotta da adottare per la protezione dei dati personali, anche col conferimento di specifiche istruzioni scritte
Le responsabilità e i doveri dei dipendenti relative alla riservatezza dei dati personali devono essere chiaramente esplicitate come valevoli anche dopo la cessazione o il cambio di impiego.
I dipendenti autorizzati a compiere attività di trattamento devono essere informati delle conseguenze disciplinari delle violazioni ai loro obblighi di protezione dei dati
SICUREZZA FISICA Il Responsabile deve applicare misure per prevenire accessi fisici non autorizzati ai locali contenenti dati personali o in cui si operano attività di trattamento
Il Responsabile deve applicare misure per minimizzare i rischi di danneggiamenti accidentali e/o intenzionali ad archivi, banche dati elettroniche e apparecchiature dedicate al trattamento di dati


ALLEGATO 3

AVVISO DI VIOLAZIONE RELATIVA AI DATI PERSONALI

Compilare ed inviare nelle tempistiche indicate al § 6.2 del DPA anche in caso di sospetta violazione

1. Soggetto che compila il modulo relativo alla Violazione dei Dati Personali e nome della Società (ivi compresi eventuali Sub-responsabili) che sono stati oggetto della Violazione dei Dati Personali
2. Data e orario in cui la Violazione dei Dati si è verificata
3. Natura e descrizione della Violazione dei Dati Personali che si è verificata
4. Categorie e numero approssimativo di Interessati i cui Dati Personali sono stato oggetto della Violazione dei Dati Personali
5. Categorie e il numero approssimativo di registrazioni dei dati personali oggetto della Violazione dei Dati Personali
6. Elenco delle persone interessate dalla violazione di sicurezza (se disponibili), incluse le informazioni di contatto (se disponibili). In caso di elevato numero di interessati, allegare elenco in file separato
7. Probabili conseguenze della Violazione dei Dati Personali (ad esempio: danni economici, danni fisici, disagio psicologico o danni alla reputazione) a carico degli interessati
8. Probabili conseguenze della Violazione dei Dati Personali (ad esempio: danni economici, danni fisici, disagio psicologico o danni alla reputazione) a carico del Titolare
9. Misure a disposizione per porre rimedio alla Violazione dei Dati Personali e per attenuarne i possibili effetti negativi, da adottare con la previa approvazione scritta della Società
10. Altre informazioni utili