Vers. 1.0
Il presente Accordo sul Trattamento dei Dati Personali (Data Processing Agreement - "DPA") viene stipulato tra:
(i) L’utilizzatore (il “Committente” o “Titolare”);
e
(ii) GB Software Spa con sede legale Via B. Oriani, 153 00197 Roma (00197) RM, REA: 1065349 P.IVA 07946271009 (il “Fornitore” o “Responsabile”),
il Titolare e il Responsabile di seguito denominati singolarmente “Parte” e congiuntamente “Parti”).
PREMESSO CHE
Tutto ciò premesso, le parti stipulano:
Il Fornitore è nominato quale Responsabile del trattamento dei dati personali ai sensi dell’art. 28 GDPR, con riferimento al trattamento dei dati personali di cui in premessa.
In aggiunta ai termini e alle definizioni utilizzate nel GDPR, nonché alle definizioni contenute in altre parti del DPA, ai fini del DPA stesso valgono le seguenti definizioni:
“Dati Personali” | si intendono tutte le informazioni riguardanti una persona fisica identificata o identificabile, come previsto dalla Normativa sulla Protezione dei Dati, che il Responsabile tratta nel corso dell’esecuzione dei Servizi per il Titolare. Le tipologie di Dati Personali sono specificati nell’Allegato 1 |
“Normativa sulla Protezione dei Dati” | si intende l’insieme delle leggi e dei regolamenti relativi al trattamento e alla protezione dei dati personali, incluso a titolo esemplificativo e non esaustivo il GDPR e la relativa legislazione di attuazione emanata dagli Stati Membri. |
“Soggetti Interessati” | si intendono le persone fisiche a cui si riferiscono i Dati Personali. Le categorie di Soggetti Interessati sono specificate nell’Allegato 1. |
“Stato Membro” | si intende uno stato membro dell'Unione Europea ("UE") o dello Spazio Economico Europeo ("SEE"). |
“Violazione della Sicurezza” | si intende la violazione dei Dati Personali che possa comprometterne la riservatezza (divulgazione o accesso non autorizzato o accidentale ai dati personali) e/o la disponibilità (perdita accidentale o non autorizzata di accesso o distruzione di dati personali) e/o l'integrità (alterazione non autorizzata o accidentale dei dati personali). |
“Servizi” | Si intendono i servizi previsti dal contratto di licenza sottoscritto |
La natura dei dati trattati dal Responsabile del trattamento varia in funzione del contratto in essere e comprende essenzialmente i dati personali di clienti e fornitori, nonché dipendenti dei propri clienti. Il trattamento potrebbe estendersi anche ai dati particolari di cui all’Art. 9 del GDPR per i quali il Titolare del trattamento e il Responsabile del trattamento rilasceranno ai propri Addetti l’autorizzazione.
4.1.1 Il Titolare garantisce che le attività di trattamento dei Dati Personali connesse all’esecuzione dei Servizi siano e rimangano lecite, pertinenti e trasparenti in relazione alle finalità e ai Soggetti Interessati. Si impegna, altresì:
- A fornire al Responsabile del trattamento i dati personali di cui all’Allegato 1 del presente accordo;
- Ad assicurare, sin d’ora e per tutta la durata del trattamento, il rispetto degli obblighi previsti dal Regolamento europeo sulla protezione dei dati personali da parte del Responsabile;
- A supervisionare il trattamento, compresa la realizzazione degli audit e le ispezioni col contributo del Responsabile;
4.1.2 Il Titolare dichiara che le misure minime, tecniche e organizzative, di cui all'Allegato 2 sono finalizzate a proteggere i diritti dei Soggetto Interessato in relazione alle attività di trattamento delegate al Responsabile.
4.2.1 Il Responsabile dichiara e garantisce che tratterà i Dati Personali esclusivamente per conto del Titolare e secondo le istruzioni contenute nel DPA o altrimenti impartite dal Titolare, curando che il trattamento avvenga nel pieno rispetto delle disposizioni del GDPR per il quali il Titolare del Trattamento e il Responsabile del Trattamento rilasceranno ai propri Addetti l’autorizzazione. Qualora non sia in grado, per qualunque ragione, di ottemperare a tali disposizioni, il Responsabile si impegna ad informare prontamente il Titolare, il quale avrà il diritto di sospendere il trasferimento dei Dati Personali e/o di risolvere il DPA.
4.2.2 Il Fornitore, in quanto Responsabile, tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, mette in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, valutando i rischi che possono derivare in particolar modo dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione o dall'accesso non autorizzati, in modo accidentale o illegale e provvede a che i dati siano custoditi e controllati in modo da garantirne l’adeguata protezione. Tra tutte: la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali; la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico; una procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento; Distribuzione dei compiti e delle responsabilità; Procedura di gestione dei Sistemi di autenticazione; Amministratori di Sistema; gestione Log AdS, Individuazione degli attacchi, Procedure di Back up, Procedure interne volte alla gestione delle utenze/profili di autorizzazione ai sistemi; antivirus; Gestione, custodia e aggiornamento delle Password (regole per la password; Sistema di assegnazione e controllo dei profili in base al ruolo; Misure di prevenzione da programmi dannosi; Sicurezza delle reti (firewall, DMZ); Protezione Archivi cartacei; Sicurezza dei locali; Gestione sistemi operativi (patch management).
Pertanto, il Fornitore, in qualità di Responsabile del trattamento, è tenuto ad implementare le misure di sicurezza tecniche ed organizzative conformi a quanto previsto nell’art. 32 del GDPR e, comunque, di cui all'Allegato 2 prima di procedere al trattamento dei Dati Personali per conto del Titolare.
Nel caso in cui il Responsabile non sia in grado di garantire la presenza delle suddette misure, lo stesso è tenuto a darne pronta comunicazione al Titolare affinché questi possa svolgere le opportune valutazioni in merito all’instaurazione/prosecuzione del rapporto. Il Responsabile può applicare misure tecniche ed organizzative diverse rispetto a quelle prescritte a condizione che le misure individuate dal Responsabile costituiscano un presidio per la sicurezza dei Dati Personali almeno equivalente rispetto a quanto specificato nell'Allegato 2.
4.2.3 In conformità con l’articolo 30, par. 2 del GDPR, il Responsabile si impegna, ove rientri tra i soggetti obbligati, a tenere un registro, separato e continuamente aggiornato, di tutte le attività di trattamento dei Dati Personali svolte per conto del Titolare, contenente le informazioni previste dalle lettere da a) a d) del medesimo par. 2. Ove rientri tra i soggetti obbligati, il Responsabile si impegna a fornire prontamente copia del suddetto registro su richiesta del Titolare o delle autorità competenti. Il Responsabile si impegna, altresì, a fornire al Titolare, su sua richiesta, tutte le informazioni relative ai trattamenti dei Dati Personali necessarie affinché il Titolare possa predisporre il proprio registro delle attività di trattamento.
4.2.4. Ove occorrer possa e per quanto concerna i trattamenti effettuati per fornire il servizio dalle persone autorizzate al trattamento con mansioni di “Amministratore di Sistema”, il Fornitore, in qualità di Responsabile del trattamento, è tenuto altresì al rispetto delle previsioni pro tempore applicabili relative alla disciplina sugli amministratori di sistema contenute nel provvedimento del Garante per la protezione dei dati personali del 27 novembre 2008 modificato in base al provvedimento del 25 giugno 2009. Il Responsabile, in particolare, si impegna ad attribuire le funzioni di amministratore di sistema solo previa valutazione delle caratteristiche di esperienza, capacità e affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. Il Fornitore, in qualità di Responsabile del trattamento, si impegna a predisporre l'elenco completo degli amministratori di sistema, contenente gli estremi identificativi delle persone fisiche designate, dandone – qualora espressamente richiesto - comunicazione al Titolare, e si impegna altresì a mantenerlo regolarmente aggiornato. Il Fornitore, in qualità di Responsabile del trattamento, infine, si obbliga a verificare le attività svolte dagli amministratori di sistema, in modo da assicurarne la conformità con le misure di sicurezza tecniche ed organizzative richieste dalla Normativa sulla Protezione dei Dati Personali;
4.2.5 Il Responsabile risponderà prontamente e adeguatamente alle richieste del Titolare relative ai trattamenti dei Dati Personali ove compiuti per suo conto e fornirà al Titolare le informazioni necessarie affinché quest’ultimo possa dimostrare all’autorità di controllo competente, l’adempimento della Normativa sulla Protezione dei Dati.
4.2.6 Il Responsabile si impegna a non trasferire al fuori dall’Italia i Dati Personali che tratta nell’esecuzione dei Servizi, senza il preventivo consenso scritto del Titolare e/o con le garanzie di cui agli artt 44 e ss. del GDPR. Se il Responsabile è tenuto a procedere a un trasferimento di dati verso un paese terzo o un’organizzazione internazionale in virtù del diritto dell’Unione o del diritto di uno Stato membro al quale è sottoposto, egli deve informare il Titolare del trattamento di tale obbligo giuridico prima del trattamento a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico.
4.2.7 Il Fornitore, in quanto Responsabile, garantisce che individuerà gli Autorizzati al trattamento, impartirà loro le necessarie istruzioni, ivi incluse quelle relative all’adozione delle misure di sicurezza, e che consentirà loro l’accesso ai soli dati la cui conoscenza sia strettamente necessaria per l’erogazione dei servizi, previa loro identificazione. Inoltre, fornirà loro adeguati piani di formazione per renderli edotti, in particolare, dei rischi individuati e dei modi per prevenire i danni, verificandone la fruizione; Il Fornitore si impegna inoltre a vincolarli alla riservatezza su tutte le informazioni acquisite nello svolgimento della loro attività, anche per il periodo successivo alla cessazione del rapporto di lavoro, e a comunicare al Titolare, su specifica richiesta, l’elenco aggiornato degli stessi. Il Fornitore, inoltre, garantisce che i soggetti che trattano i Dati Personali sotto la sua autorità o quella del Sub-responsabile rispetteranno le istruzioni impartite dal Titolare al Responsabile.
4.2.8 Su richiesta del Titolare, il Responsabile è tenuto, allorché, di sua competenza e pertinenza, a supportarlo nelle attività necessarie affinché lo stesso possa compiutamente dar seguito agli eventuali obblighi di valutazione d’impatto sulla protezione dei dati nonché di consultazione preventiva delle autorità di controllo, tenuto conto della natura del trattamento e dei Dati Personali a disposizione del Responsabile.
4.2.9 Il Responsabile è tenuto a comunicare nel più breve tempo possibile al Titolare qualsiasi richiesta ricevuta da autorità competenti relativamente al trattamento dei Dati Personali, salvo che tale comunicazione sia vietata da norme di legge.
4.2.10 Al momento della cessazione della prestazione dei Servizi, per qualunque motivo, il Fornitore, in qualità di Responsabile del trattamento, è obbligato per disposizione normativa ad interrompere ogni attività di trattamento e a cancellare senza ingiustificato ritardo e irreversibilmente tutti i Dati Personali, senza trattenerne alcuna copia, salvo che norme di legge ne impongano al Responsabile la conservazione o il Titolare ne richieda la restituzione. In tale ultimo caso: (i) la restituzione dovrà avvenire secondo le modalità e i tempi con questi concordati; (ii) i dati elettronici dovranno essere restituiti al Titolare in un formato di uso comune o in uso da parte del Titolare; (iii) non dovranno essere conservate copie, anche parziali, dei Dati Personali, su alcun genere di supporto, salvo che norme di legge ne impongano la conservazione. Il Responsabile dovrà fornire al Titolare comunicazione scritta che dia atto dell’avvenuto compimento delle attività sopra descritte sia da parte propria sia da parte di eventuali Sub-responsabili.
5.1 Il Responsabile si obbliga a trattare i Dati Personali esclusivamente per conto del Titolare e in conformità alle istruzioni impartite dal Titolare nel DPA e/o nei separati accordi tra le Parti per la fornitura dei Servizi. Qualora l’osservanza di una disposizione della Normativa sulla Protezione dei Dati, applicabile al Responsabile, non consenta il rispetto delle istruzioni impartite dal Titolare, il Responsabile sarà tenuto a comunicarlo al Titolare. In tale circostanza, le informazioni da comunicare al Titolare saranno limitate a quanto consentito dalla disposizione in questione.
5.2 Le istruzioni vengono fornite al Responsabile per iscritto, a meno che l'urgenza o altre circostanze del caso richiedano una forma diversa. Le istruzioni comunicate in forma diversa da quella scritta saranno documentate per iscritto o in altra una forma adeguata non appena possibile.
5.3 Il Responsabile è tenuto a segnalare immediatamente al Titolare eventuali istruzioni che ritiene essere in violazione della Normativa sulla Protezione dei Dati.
6.1 Il Responsabile si impegna a monitorare sistematicamente, tramite strumenti adeguati, la conformità dei Sub-responsabili agli obblighi previsti dal DPA e dalla Normativa sulla Protezione dei Dati. Il Responsabile dovrà mettere a disposizione del Titolare qualsiasi informazione utile a dimostrare l'osservanza di tali obblighi e di quelli che lo riguardano direttamente, ed è tenuto a fornire ove possibile dietro richiesta del Titolare le risultanze delle verifiche svolte presso i Sub-responsabili, anche a mezzo di relazioni riepilogative.
6.2 Previo un congruo preavviso, il Titolare può svolgere direttamente o tramite terzi incaricati verifiche e/o ispezioni, anche per mezzo di audit, presso le strutture del Responsabile o del Sub-responsabile. Tali attività devono:
7.1 Il Responsabile si impegna a mantenere la massima riservatezza circa i Dati Personali e le altre informazioni eventualmente ricevute dal Titolare per l’esecuzione dei Servizi, utilizzando un adeguato livello di protezione..
7.2 Il Responsabile si impegna a non rivelare, distribuire, riprodurre o trasferire i Dati Personali e le altre informazioni eventualmente ricevute dal Titolare, a nessun terzo oltre che ai propri dipendenti e collaboratori, ai Sub-responsabili e ai loro dipendenti e collaboratori, solo nella misura in cui tali soggetti abbiano necessità di accedere ai suddetti Dati Personali e informazioni ai fini dell’esecuzione dei Servizi.
7.3 Il Responsabile si impegna a non rilevare, distribuire, riprodurre o trasferire i Dati Personali e le altre informazioni eventualmente ricevute dal Titolare, solo previa autorizzazione da parte del titolare, il responsabile potrà pubblicare alcuni dati personali sul portale https://gbsoftware.cloud, visibili solamente da chi ne è stato autorizzato da parte del titolare, tramite apposita procedura di generazione ambienti, o tramite collegamento GUID a seguito di invito, il tutto al solo fine di esecuzione dei servizi.
A titolo esemplificativo e non esaustivo:
7.4 Il Responsabile garantisce che i soggetti sotto il suo diretto controllo e che avranno accesso ai Dati Personali e alle altre informazioni riservate del Titolare, sono vincolati per contratto a rispettarne la riservatezza o sono soggetti ad un obbligo legale di riservatezza. Su richiesta, il Responsabile è tenuto a dimostrare la conformità agli obblighi previsti dal presente articolo.
8.1 Il Fornitore, in quanto Responsabile, si impegna ad informare il titolare del trattamento non appena venga a conoscenza di una violazione delle misure (inviando una comunicazione, senza ritardo) che possa comportare accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai Dati Personali del Titolare che siano stati trasmessi, conservati o comunque trattati, ed a prestare ogni collaborazione al Titolare in relazione agli obblighi in merito alla notifica della suddetta violazione all’Autorità ai sensi dell’art. 33 del GDPR e/o di comunicazione della stessa agli interessati ai sensi dell’art. 34 del GDPR.
8.2 Entro le 48 (quarantotto) ore successive alla notifica di cui all’articolo che precede, il Responsabile si impegna altresì a raccogliere e fornire al Titolare informazioni dettagliate circa il tipo di violazione, i Dati Personali e i Soggetti Interessati coinvolti, le conseguenze della violazione e i rimedi implementati, utilizzando il modulo di cui all’Allegato n. 3 del presente DPA.
9.1 Il Fornitore, in quanto Responsabile, si impegna ad assistere il Titolare con misure tecniche ed organizzative adeguate, e per quanto possibile, nell’adempimento degli obblighi gravanti su quest’ultimo di dar seguito ad eventuali istanze degli interessati di cui al capo III del GDPR “Diritti degli Interessati” ed a fornirgli ogni informazione e/o documento utile.
Il Fornitore, in qualità di Responsabile, è tenuto a comunicare al Titolare eventuali reclami o richieste ricevute da parte dei Soggetti Interessati (ad es. in materia di accesso, rettifica, cancellazione, limitazione di trattamento, portabilità dei Dati Personali, opposizione al trattamento dei Dati Personali, decisioni automatizzate), fermo restando che il Responsabile non potrà rispondere a tali reclami o richieste, salvo il caso in cui sia stato altrimenti autorizzato per iscritto dal Titolare o sia a ciò tenuto in base alla Normativa sulla Protezione dei Dati.
9.2. Spetta esclusivamente al Titolare stabilire se un Soggetto Interessato sia titolato ad esercitare i suddetti diritti o meno.
Il Fornitore, in quanto Responsabile, potrà ricorrere ad altri responsabili (di seguito, “Sub-responsabili”) per l'esecuzione di specifiche attività di trattamento oggetto del presente atto, imponendo agli stessi i medesimi obblighi in materia di protezione dei dati cui è soggetto il Responsabile, in particolare in relazione alle misure di sicurezza. E’, quindi, compito del Responsabile assicurare che il Sub-responsabile presenti le medesime garanzie sufficienti in ordine alla messa in atto delle misure tecniche e organizzative adeguate in modo che il trattamento soddisfi i requisiti del GDPR, ivi compresi quelli di cui agli artt. 44 e ss. ddel GDPR in merito al trasferimento dei dati personali verso Paesi terzi e organizzazioni internazionali Se il Sub-responsabile del trattamento omette di adempiere i suoi obblighi in materia di protezione dei dati, il Responsabile iniziale conserva nei confronti del titolare la piena responsabilità per l’adempimento degli obblighi del Sub-responsabile.
Il Responsabile si impegna ad informare il Titolare, laddove richiesto, dei Sub-responsabili nominati. Il Titolare avrà il diritto di opporsi a tali modifiche, comunicando la sua opposizione per iscritto entro 7 giorni dalla notifica da parte del Responsabile. Il sub trattamento non può avere inizio sino a che il termine indicato non sia spirato senza che il Titolare abbia presentato obiezioni. Il Responsabile seguirà le indicazioni del Titolare e non ricorrerà ai Sub-responsabile nei cui confronti il Titolare abbia manifestato la sua opposizione.
In ogni caso il Responsabile rimarrà direttamente responsabile nei confronti della Società in ordine alle azioni e alle omissioni dei propri Sub-responsabili, sui quali il Responsabile potrà agire in manleva.
11.1 Ciascuna Parte potrà richiedere che qualunque previsione del DPA sia modificata in maniera tale da soddisfare ed adeguarsi a qualsiasi interpretazione, linea guida od ordinanza che venisse emanata in futuro da autorità competenti dell’Unione Europea o dello Stato Membro dove ha sede il Titolare, comprese disposizioni nazionali di attuazione di quanto previsto dal GDPR in relazione alla nomina di responsabili del trattamento o ai requisiti previsti per tale nomina. Le Parti saranno tenute a discutere e concordare le modifiche in buona fede.
12.1 Il DPA è efficace dalla data della sua sottoscrizione e rimarrà in vigore fintanto che il Responsabile fornirà i Servizi al Titolare.
13.1 Qualora vi siano contraddizioni o incompatibilità tra le clausole del DPA e le clausole in materia di trattamento dei Dati Personali eventualmente contenute in altri contratti stipulati tra le Parti, prevarranno le clausole del DPA.
14.1 Il DPA è disciplinato dalla legge italiana.
14.2 Il foro competente in via esclusiva per qualsiasi eventuale controversia relativa al DPA è quello della sede del Titolare.
15.1 La presente designazione non comporta alcun diritto per il Responsabile ad uno specifico compenso o indennità o rimborso per l’attività svolta, né ad un incremento del compenso spettante allo stesso in virtù del Contratto con la Società.
Per tutto quanto non previsto nel presente accordo si rinvia alle disposizioni generali vigenti ed applicabili in materia di protezione dei dati personali.
16.1 L'inapplicabilità o l'invalidità di una o più disposizioni del DPA non pregiudica le restanti parti del DPA stesso.
16.2 Nell’eventualità di modifiche alla Normativa sulla Protezione dei Dati da cui possano derivare modifiche agli obblighi, alle istruzioni o alle misure contemplate nel DPA, le Parti si impegnano a collaborare per apportare gli opportuni correttivi.
17.1. Le premesse e gli allegati fanno parte integrante del presente accordo.
Il Titolare del Trattamento |
Il Responsabile del Trattamento |
Ai sensi e per gli effetti degli artt. 1341 e 1342 c.c. si approvano espressamente le clausole di cui ai punti 1, 4, 5, 6, 7, 12, 14, 15, 16. |
|
Il Titolare del Trattamento |
Il Responsabile del Trattamento |
Il Responsabile del trattamento e può essere contattato per le comunicazioni di cui al presente DPA, nonché per qualsiasi questione inerente, all’indirizzo [email protected]
Il Titolare del trattamento e può essere contattato per le comunicazioni di cui al presente DPA, nonché per qualsiasi questione inerente, all’indirizzo [email protected]
Il Responsabile per la protezione dei dati personali è raggiungibile per ogni questione relativa al trattamento dei dati personali all'indirizzo [email protected] e alla casella di posta elettronica certificata [email protected].
I dati personali trattati riguardano le seguenti categorie di soggetti interessati:
I dati personali trattati riguardano le seguenti categorie di dati:
Dati dei clienti del Titolare, tra cui
I dati personali trattati riguardano le seguenti categorie speciali di dati;
Non è previsto il trattamento di dati sensibili.
Tali dati vengono trattati per il corretto funzionamento dei i sistemi gestionali e documentali in possesso del Titolare e forniti al Responsabile del trattamento dei dati come meglio descritto nel Contratto cui il presente accordo accede. I dati personali sono forniti e sono acquisiti da sistemi informatici e procedure software nel corso del loro normale esercizio.
Tali dati vengono trattati al solo fine di mantenere aggiornati e sicuri i sistemi software forniti, fornire manutenzione e assistenza e risolvere eventuali problematiche degli stessi nonché al fine di gestire le criticità che tali sistemi software potrebbero dare.
Descrizione delle misure tecniche e organizzative di sicurezza che devono essere implementate dal Responsabile (e dai suoi Sub-responsabili):
AREA LOGICA | MISURE DI SICUREZZA A PROTEZIONE DEI DATI PERSONALI |
NETWORK E RETE | Firewall e router devono essere configurati al fine di verificare, limitare e convalidare il traffico, in entrata e in uscita, da reti "non attendibili" (incluse reti wireless) |
Qualsiasi servizio o traffico non autorizzato deve essere bloccato e deve essere generato un avviso | |
Per proteggere i dati personali durante la trasmissione su reti aperte, pubbliche o non attendibili, è necessario utilizzare protocolli sicuri | |
Le reti wireless riservate agli ospiti devono essere separate dalla rete aziendale | |
Nel caso in cui la crittografia del canale non sia possibile, i file e gli allegati contenenti dati personali devono essere protetti mediante crittografia ogni volta che vengono trasmessi su reti aperte, pubbliche o non attendibili | |
Dovranno essere installati e mantenuti in costante aggiornamento idonei software di protezione malware e antivirus nel sistema | |
SICUREZZA DEI DATI | Il periodo di conservazione dei dati personali deve essere limitato nella misura necessaria per ogni singola attività di elaborazione, nel rispetto degli obblighi legali e/o regolamentari vigenti |
I programmi utilizzati per compiere attività di trattamento dovranno essere aggiornati con i più recenti rilasci di sicurezza. | |
I dati personali devono essere resi illeggibili (ad esempio sfruttando la crittografia) se archiviati su supporti digitali portatili o di backup | |
I dati personali presenti nello storage devono essere protetti mediante crittografia quando vengono memorizzati dai fornitori di servizi cloud e/o da altri sub-responsabili | |
I supporti (rimovibili e non rimovibili) contenenti dati personali devono essere protetti contro l'accesso non autorizzato attraverso misure di sicurezza fisica (ad es. conservandolo in un luogo sicuro chiuso a chiave) e logica (ad es. crittografia, controllo degli accessi, ecc.) | |
Per la dismissione degli asset ICT devono essere messe in atto procedure di pulizia sicura al fine di rimuovere tutti i dati personali e/o sovrascrivere in modo sicuro prima dello smaltimento o del riutilizzo | |
I documenti cartacei e i supporti magnetici/ottici (ad es. dischi rigidi, DVD, CD, smart card, chiavette USB) devono essere distrutti o resi inutilizzabili per garantire che i dati e le informazioni in essi contenuti non possano essere ricostruiti e/o utilizzati (anche parzialmente) da terze parti non autorizzate. I documenti cartacei devono essere fisicamente distrutti prima di essere cestinati attraverso dispositivi specifici quali distruggi documenti | |
DISPONIBILITA’ E RIPRISTINO | Devono essere messe in atto procedure adeguate per ripristinare la disponibilità dei dati personali in modo tempestivo e la resilienza dei sistemi con cui sono operati i trattamenti. Le procedure di backup devono garantire copie dei dati personali almeno settimanalmente |
Dovranno essere implementati e riveduti regolarmente piani di Disaster Recovery, di Business Continuity che saranno periodicamente testati in modo da garantirne la costante efficacia | |
GESTIONE DEGLI ACCESSI INFORMATICI | I profili di autorizzazione per l’accesso ai sistemi informatici devono essere configurati considerando il principio del “privilegio minimo necessario” e di separazione dei compiti La pertinenza dei profili deve essere oggetto di revisione periodica |
A tutti i soggetti autorizzati a operare nei sistemi informatici aziendali deve essere assegnato un identificativo utente univoco per l’accesso | |
Le password per i sistemi e i dispositivi che gestiscono dati personali devono contenere almeno 8 caratteri non facilmente attribuibili all'utente e devono essere modificate almeno ogni 90 giorni. Eventuali password di default devono essere sostituite dopo il primo utilizzo secondo i criteri sopra descritti | |
L'accesso da remoto (da reti esterne) all’ambiente che tratta dati personali deve essere protetto. L’accesso al sistema informatico aziendale deve avvenire tramite VPN o altro sistema altrettanto sicuro e isolato | |
L’accesso alle reti wireless deve essere consentito tramite utilizzo di credenziali di autenticazione | |
Il numero degli archivi di dati personali (database, file, copie, archivi) deve essere ridotto al minimo, evitando inutili duplicazioni | |
Gli access log di coloro che accedano ai sistemi informatici con privilegi amministrativi devono essere registrati per un periodo minimo sufficiente a permettere la ricostruzione di eventi anomali e in modi tali da garantire l’integrità e l’inalterabilità dei log raccolti, e, in ogni caso, nei modi e tempi previsti da obblighi normativi applicabili | |
Eventuali account di amministrazione sui singoli PC locali devono essere disabilitati | |
Sui PC locali non deve essere permessa la costituzione di cartelle condivise | |
VIOLAZIONE DEI DATI PERSONALI | Deve essere mantenuto aggiornato uno specifico registro delle violazioni dei dati personali |
Il Responsabile deve informare prontamente il Titolare della violazione di dati personali utilizzando l’Allegato n. 3 nel caso in cui essa riguardi dati di cui al presente DPA | |
PERSONALE | Il Responsabile sarà tenuto a implementare un programma di consapevolezza in termini di sicurezza per formare il personale in merito ai rispettivi obblighi di sicurezza e sulle corrette regole di condotta da adottare per la protezione dei dati personali, anche col conferimento di specifiche istruzioni scritte |
Le responsabilità e i doveri dei dipendenti relative alla riservatezza dei dati personali devono essere chiaramente esplicitate come valevoli anche dopo la cessazione o il cambio di impiego. | |
I dipendenti autorizzati a compiere attività di trattamento devono essere informati delle conseguenze disciplinari delle violazioni ai loro obblighi di protezione dei dati | |
SICUREZZA FISICA | Il Responsabile deve applicare misure per prevenire accessi fisici non autorizzati ai locali contenenti dati personali o in cui si operano attività di trattamento |
Il Responsabile deve applicare misure per minimizzare i rischi di danneggiamenti accidentali e/o intenzionali ad archivi, banche dati elettroniche e apparecchiature dedicate al trattamento di dati |
Compilare ed inviare nelle tempistiche indicate al § 6.2 del DPA anche in caso di sospetta violazione
1. Soggetto che compila il modulo relativo alla Violazione dei Dati Personali e nome della Società (ivi compresi eventuali Sub-responsabili) che sono stati oggetto della Violazione dei Dati Personali |
2. Data e orario in cui la Violazione dei Dati si è verificata |
3. Natura e descrizione della Violazione dei Dati Personali che si è verificata |
4. Categorie e numero approssimativo di Interessati i cui Dati Personali sono stato oggetto della Violazione dei Dati Personali |
5. Categorie e il numero approssimativo di registrazioni dei dati personali oggetto della Violazione dei Dati Personali |
6. Elenco delle persone interessate dalla violazione di sicurezza (se disponibili), incluse le informazioni di contatto (se disponibili). In caso di elevato numero di interessati, allegare elenco in file separato |
7. Probabili conseguenze della Violazione dei Dati Personali (ad esempio: danni economici, danni fisici, disagio psicologico o danni alla reputazione) a carico degli interessati |
8. Probabili conseguenze della Violazione dei Dati Personali (ad esempio: danni economici, danni fisici, disagio psicologico o danni alla reputazione) a carico del Titolare |
9. Misure a disposizione per porre rimedio alla Violazione dei Dati Personali e per attenuarne i possibili effetti negativi, da adottare con la previa approvazione scritta della Società |
10. Altre informazioni utili |