Direttive del titolare

Studio Legale Cozzari

Consulenza e Assistenza Legale in Materia di Diritto Civile e Tributario

Casella di testo: Autenticazione informatica Ogni incaricato nominato dovrà munirsi di una parola chiave per accedere ai dati personali trattati nell’ambito dell’attività professionale dell’avv. Maurizio Cozzari. Tale parola chiave dovrà essere conosciuta solamente dall’incaricato cui è riservata per un uso esclusivo e autonomo, nei limiti del trattamento autorizzato. Procedura di gestione delle credenziali di autenticazione Le credenziali di autenticazione (parole chiave – passwords) dovranno essere determinate dagli stessi incaricati personalmente ed individualmente. Ogni incaricato poi dovrà inserire la propria password attivata su supporto cartaceo (sottoscritta) inserita in una busta sigillata e consegnata al titolare del trattamento per la sua conservazione e custodia. La parola chiave non dovrà contenere meno di otto caratteri (o comunque, qualora il sistema operativo non lo consenta, dovrà averne il numero massimo possibile). La stessa parola chiave non dovrà contenere riferimenti facilmente riconducibili all’incaricato cui si riferisce e dovrà essere modificata, oltre al momento del primo utilizzo, ogni sei mesi in caso di trattamento di dati comuni e ogni tre mesi in caso di trattamento di dati sensibili. Le parole chiave utilizzate non possono comunque essere assegnate ad altri incaricati neanche in tempi diversi. Dovranno per questo essere mantenute segrete e mai comunicate a terzi. Sono quindi vietate comunicazioni a terzi da cui si possa anche solo desumere la segreta credenziale di accesso ai dati. Nei limiti delle possibilità tecniche si prevedrà un sistema di disattivazione per cui, in caso di mancato utilizzo della password, protratto per sei mesi, questa risulterà inutilizzabile per l’accesso ai dati. In caso di perdita della qualifica di incaricato, o di modifica del profilo di autorizzazione, la password sarà immediatamente disattivata (ed eventualmente sostituita per il nuovo profilo personale dell’incaricato). Nel caso in cui la password venga dimenticata o sorgano problemi di qualsiasi natura con riferimento all’accesso ai dati del singolo incaricato, si provvederà su indicazione e disposizione del titolare alla sostituzione, ripristino o modifica della parola chiave e della modalità di accesso, con eventuali specifiche disposizioni relative alle modalità ed ai tempi dell’intervento. Si prevedono inoltre sistemi di sicurezza per accessi di emergenza (dovuti ad esempio ad un’impossibilità di accesso dell’incaricato specificamente addetto e autorizzato) su disposizione del titolare che stabilirà i limiti, i modi e i sistemi dell’intervento in base ad un insindacabile giudizio di indispensabilità, urgenza, indifferibilità e necessità per questioni di sicurezza, operatività del sistema e tutela dei dati. Tali interventi saranno anche disposti in caso di prolungata assenza dell’incaricato garantendo non solo la costante sicurezza dei dati, ma anche la tutela effettiva dei diritti dell’interessato (art.7 D.Lgs. 196/2003). Sistema di autorizzazione Ogni incaricato dovrà agire nei limiti previsti dal suo specifico profilo di autorizzazione come risultante dall’atto di nomina predisposto. Ogni profilo di autorizzazione potrà essere modificato dal titolare con apposito atto integrativo o sostitutivo della precedente nomina. Protezione e manutenzione dei dati e degli strumenti elettronici Gli strumenti elettronici utilizzati dovranno essere costantemente protetti da sistemi antivirus (ad es. Symantec Norton Antivirus) aggiornato con cadenza almeno semestrale. Allo stesso modo tutti gli strumenti utilizzati per il trattamento dovranno essere protetti da eventuali intrusioni non autorizzate e da attacchi o interferenze che possano danneggiare gli stessi strumenti e i dati in essi contenuti. A tal fine i sistemi operativi e i programmi di protezione dovranno essere congruamente aggiornati almeno ogni sei mesi. Durante la sessione di lavoro l’incaricato non potrà allontanarsi dallo strumento informatico utilizzato, ma dovrà sempre provvedere al salvataggio dei dati e alla messa in sicurezza dagli accessi non autorizzati prima di perdere la possibilità di vigilanza sullo strumento. Salvataggio dei dati e copie di sicurezza I dati trattati dovranno essere salvati e conservati a mezzo degli strumenti elettronici a disposizione degli incaricati nello studio professionale. Il salvataggio dovrà avvenire con frequenza almeno settimanale a mezzo dei supporti predisposti e secondo le modalità individuate dall’incaricato all’uopo autorizzato dal titolare. Dati sensibili Nel caso in cui siano trattati dati sensibili sono previste specifiche modalità di trattamento al fine di escludere accessi abusivi, di cui all’art. 615 ter c.p.c., attuate a mezzo degli incaricati autorizzati. In particolare tali dati saranno separati (se possibile) dagli altri dati comuni e accessibili a mezzo di parole chiave che dovranno essere modificate ogni tre mesi (sul punto vedi sopra). Qualora i dati stessi siano inseriti in appositi supporti removibili questi dovranno essere idoneamente custoditi evitando apprensioni e sottrazioni o manipolazioni non autorizzate. Con ciò si deve quindi evitare qualsiasi diffusione, comunicazione o erronea trasmissione di tali dati e comunque trattamenti non consentiti. Se non utilizzati, i dati dovranno essere distrutti e i supporti resi inutilizzabili (salvi i diritti dell’interessato: art.7 D.Lgs. 196/03). In caso di danneggiamento dei sistemi informatici utilizzati nel trattamento dei dati sensibili dovrà garantirsi un accesso agli stessi entro 7 gg. (nei limiti delle capacità e dei tempi tecnici necessari), congruamente alle esigenze dell’interessato. Misure di tutela e garanzia Nel caso in cui, per ragioni di manutenzione o gestione dei sistemi informatici, sia necessario l’intervento di un soggetto terzo sarà richiesta una attestazione del terzo in cui sia dettagliatamente descritto l’intervento effettuato e la sua conformità alle disposizioni del D.Lgs. 196/03 in materia di sicurezza. Trattamento dei dati senza l’ausilio di strumenti elettronici I trattamenti o le eventuali fasi di trattamento effettuate a mezzo di strumenti non elettronici dovrà avvenire nel massimo rispetto delle misure di sicurezza previste dal D. Lgs. 196/03. In particolare tutti i supporti utilizzati per la raccolta dei dati dovranno essere gestiti esclusivamente dagli incaricati autorizzati i quali eviteranno possibilità di diffusione non consentite ed accessi non autorizzati. Gli stessi incaricati saranno responsabili della custodia di tutti i documenti, atti e registri contenenti i dati e provvederanno a garantirne la segretezza (nei confronti dei terzi non autorizzati) mediante la loro conservazione e gestione in luoghi idonei offerti dal titolare (ad esempio armadietti con serratura, stanza appositamente adibita e ad ingresso selezionato, etc…). Anche nella utilizzazione dei supporti cartacei (soprattutto se ad utilizzo non istantaneo) i singoli incaricati dovranno evitare di allontanarsi dal luogo di lavoro in cui vengono gestiti e dovranno sempre accertarsi che questi non siano utilizzati, consultati, trasportati o comunque appresi da terzi non autorizzati. Gli incaricati a cui sono affidati tali strumenti e tali supporti sono responsabili quindi della custodia e del controllo dei mezzi e dei dati in essi contenuti per l’intero ciclo di trattamento per cui siano sfruttati. La custodia necessaria dovrà rimanere costante per tutto il tempo delle operazioni di trattamento e fino alla eventuale perdita autorizzata della gestione di tali supporti (ad esempio consegna ordinata ad altri incaricati, al titolare, a terzi per gli adempimenti di legge, etc…). L’accesso agli archivi contenenti dati sensibili dovrà essere costantemente controllato e vigilato. Tutti gli accessi dovranno essere preventivamente autorizzati dal titolare e comunque sistematicamente registrati o certificati con l’identificazione del soggetto, le modalità dell’accesso e la sintetica descrizione dell’intervento effettuato. Tale registrazione non dovrà effettuarsi per gli accessi di soggetti specificamente addetti alla gestione degli archivi e autorizzati in via generale ad un accesso quotidiano. Raccolta e gestione dei dati I dati dovranno essere raccolti solo dopo il consenso espresso (scritto in caso di dati sensibili) dell’interessato a seguito della conoscenza dell’informativa a quest’ultimo specificamente sottoposta. In mancanza di tale consenso non dovrà effettuarsi alcun tipo di trattamento. Il rifiuto dovrà per altro essere segnalato al titolare del trattamento che provvederà alla successiva gestione del rapporto con l’interessato. Ogni disfunzione, mal funzionamento, difficoltà o problema di qualsiasi genere dovrà essere immediatamente segnalato al titolare del trattamento o al soggetto da questi designato. Non dovranno essere prese iniziative personali all’insaputa del titolare salvo espressa autorizzazione di questo ultimo. Ogni dubbio interpretativo, applicativo, operativo e gestionale relativo all’attuazione del prospetto informativo e delle direttive in esso contenute, dovrà essere fatto presente al titolare (o a persona da questo incaricato) anche mediante informale richiesta. Soggetti del trattamento L’Avv. Maurizio Cozzari, come titolare del trattamento, provvederà con cadenza almeno annuale alla redazione della lista degli incaricati nominati e autorizzati al trattamento. Provvederà inoltre ad aggiornare tale lista, nei limiti dei tempi necessari, in caso di modifiche in itinere verificatesi con la nomina di altre figure di trattamento (as es. di un responsabile) con cambiamenti nei soggetti incaricati o nel loro profilo di autorizzazione, disponendo, nel caso, le acconce direttive per una adeguata attuazione delle modifiche. Avv. Maurizio Cozzari (titolare del trattamento)

Direttive del titolare

nel trattamento dei dati personali