D.P.S.

Studio Legale Cozzari

Consulenza e Assistenza Legale in Materia di Diritto Civile e Tributario

Casella di testo: Premessa al Documento Programmatico sulla Sicurezza L’Avv. Maurizio Cozzari, titolare del trattamento, ha provveduto alla redazione del Documento Programmatico sulla Sicurezza (D.P.S.) – di seguito riportato – in cui vengono date tutte le informazioni richieste dall’art. 34 e dalla regola n° 19 dell’allegato B del D. Lgs. 196/2003. La redazione del presente documento è stata effettuata sulla base delle specifiche indicazioni offerte dal Garante per la Protezione dei Dati Personali. D.P.S. Elenco dei trattamenti di dati personali (regola 19.1) In questa sezione sono riportate descrizioni analitiche di tutti i trattamenti effettuati nello svolgimento dell’attività professionale. Trattamento concernente i dati relativi al personale dipendente e ai soggetti che svolgono attività di collaborazione. Informazioni essenziali Identificativo del trattamento: T1. Descrizione sintetica: tale trattamento riguarda esclusivamente i dati concernenti i collaboratori di studio (compresi i praticanti) e i dipendenti. Natura dei dati trattati: i dati trattati sono prevalentemente comuni, i dati sensibili eventualmente raccolti sono sottoposti agli specifici limiti di trattamento stabiliti dal “Codice in materia di protezione dei dati personali”. Struttura di riferimento: il trattamento avviene presso la sede dello studio in via Annibale Vecchi 113 (PG). Altre strutture che concorrono al trattamento: nessuna. Banca dati: sono utilizzati esclusivamente i pc presenti nello studio (per le modalità di raccolta si vedano i successivi punti). Ubicazione fisica dei supporti di memorizzazione: gli strumenti elettronici utilizzati per il trattamento (singoli pc) sono situati presso lo studio in cui si svolge l’attività professionale e lo stesso dicasi per parte delle copie di sicurezza (secondo le specifiche modalità di conservazione di cui si dirà). Tipologia dei dispositivi di accesso: il trattamento viene effettuato dagli incaricati e dal titolare mediante pc e supporti e strumenti non elettronici. Tipologia di interconnessione: gli strumenti informatici utilizzati hanno possibilità di connessione ad internet. Trattamento concernete i dati relativi ai clienti. Informazioni essenziali Identificativo del trattamento: T2. Descrizione sintetica: tale trattamento si riferisce alla raccolta dei dati che risultano necessari per la conclusione, esecuzione e attuazione di tutti i rapporti professionali. Natura dei dati trattati: i dati sottoposti a questo trattamento sono essenzialmente comuni; vi possono ricadere dati sensibili e giudiziari in particolare. Struttura di riferimento: il trattamento avviene nelle stesse sedi previste per il trattamento T1. Altre strutture che concorrono al trattamento: nessuna. Banca dati: pc presenti all’interno dello studio (vedi T1). Ubicazione fisica dei supporti di memorizzazione: anche per questo trattamento l’ubicazione degli strumenti elettronici, dei mezzi di raccolta non informatizzati e delle copie di sicurezza, è la stessa di quella prevista per il trattamento T1. Tipologia dei dispositivi di accesso: anche per gli strumenti utilizzati nel trattamento, si faccia riferimento a quanto indicato al corrispondente punto per il trattamento T1. Tipologia di interconnessione: l’interconnessione utilizzata è la stessa prevista per il trattamento T1. Distribuzione dei compiti e delle responsabilità (regola 19.2) In questa sezione viene data un’indicazione della struttura e dell’organizzazione in cui viene svolto il trattamento da parte della titolare, nonché una descrizione del personale utilizzato e delle relative responsabilità interne. Informazioni essenziali Struttura interna: il trattamento si svolge esclusivamente presso lo studio dell’Avv. Maurizio Cozzari in via Annibale Vecchi 113 (PG). Responsabile della struttura: responsabile dello studio è l’Avv. Maurizio Cozzari. Trattamenti operati dalla struttura: i trattamenti operati presso il suddetto studio sono quelli precedentemente indicati con l’identificativo T1 e T2. Compiti della struttura: entrambi i trattamenti avvengono interamente presso lo studio dell’Avv. Maurizio Cozzari (acquisizione e caricamento dei dati, consultazione, comunicazione a terzi, manutenzione tecnica dei programmi utilizzati nel trattamento, gestione tecnica operativa della base dati mediante salvataggi, ripristini, custodia delle copie di sicurezza, etc.). Analisi dei rischi che incombono sui dati (regola 19.3) In questa sezione viene riportata un’elencazione e un’analisi dei principali eventi dannosi per la sicurezza dei dati, una valutazione delle possibili conseguenze e una individuazione dell’eventuale entità e gravità del pregiudizio. Il tutto posto in correlazione con le misure di sicurezza preventive in essere e da adottare. Informazioni essenziali Elenco degli eventi, impatto sulla sicurezza dei dati e misure d’azione: gli eventi dannosi che possono interessare i dati oggetto del presente trattamento non esulano da quelli che normalmente incombono su uno studio professionale. Gli eventi sotto elencati non presentano un complessivo impatto sulla sicurezza particolarmente rilevante, né, tra gli stessi eventi, risultano esservene di significativamente rischiosi per il buon e corretto andamento del trattamento. Ecco l’elenco dei principali ipotetici eventi e la relativa analisi dei rischi correlati: Furto di credenziali di autenticazione: tale evento comporta un rischio piuttosto basso data la modalità di conservazione e custodia delle credenziali di autenticazione degli incaricati (in busta chiusa, in un contenitore chiuso a chiave, in un luogo ad accesso selezionato mediante apposita autorizzazione del titolare del trattamento). Carenza di consapevolezza, disattenzione o incuria: tale evento comporta un rischio medio-basso sia per il livello di preparazione del personale, sia per i sistemi informatici usati, nonché per le misure di ripristino dei dati e di sicurezza in generale predisposte dal titolare del trattamento. Comportamenti sleali o fraudolenti: tali comportamenti si riferiscono ad un rischio medio in quanto sono comunque costanti le procedure di controllo interne allo studio sullo svolgimento dell’attività. Il rischio viene ulteriormente abbassato dai sistemi di controllo connessi al sistema informatico. Errore materiale: l’errore di per sé comporta dei rischi bassi sia per le procedure di correzione e ripristino previste (immediate e di rapida attuazione), sia per le procedure di salvataggio e conservazione delle copie di sicurezza, nonché per il livello tecnologico del sistema informatico utilizzato. Azione di virus informatici: il rischio di danno prodotti da virus informatici è di entità medio-bassa grazie al sistema antivirus utilizzato per tutti i mezzi informatici dello studio e dalla frequenza (settimanale) con cui viene aggiornato. Spamming o altre tecniche di sabotaggio (aker o craker): i rischi dovuti a comportamenti fraudolenti, dannosi o comunque illegittimi provenienti dall’esterno, sono ridotti al minimo dal sistema Firewall software utilizzato. Questo viene controllato e monitorato costantemente per il suo corretto funzionamento. Malfunzionamento, indisponibilità o degrado degli strumenti: i rischi connessi alle macchine informatiche utilizzate sono bassi sia per il numero degli strumenti utilizzati, sia per il costante controllo funzionale degli stessi e per la costante manutenzione, nonché per l’aggiornamento dei sistemi software utilizzati. Accessi esterni non autorizzati: i rischi dovuti a comportamenti fraudolenti, dannosi o comunque finalizzati ad accessi provenienti dall’esterno, sono ridotti al minimo dal sistema Firewall software utilizzato nello studio. Questo viene controllato e monitorato costantemente per il suo corretto funzionamento. Intercettazioni di informazioni in rete: i rischi dovuti a comportamenti fraudolenti, dannosi o comunque tendenti ad intercettazioni illecite provenienti dall’esterno, sono ridotti al minimo dal sistema Firewall software utilizzato. Questo viene controllato e monitorato costantemente per il suo corretto funzionamento. Accessi non autorizzati a reparti o locali ad accesso ristretto: il rischio è medio-basso per eventi dannosi provocati da accessi fisici non autorizzati visto che i locali ad accesso selezionato vengono controllati dal personale autorizzato e possono essere visitati solo dal personale predisposto dal titolare del trattamento a cui è affidata anche la gestione delle chiavi di accesso. Lo stesso rischio è reso ancora più basso per documenti contenenti dati rilevanti (sensibili) con la restrizione al minimo indispensabile del personale autorizzato e con la predisposizione di misure di sicurezza migliori (cassetti e armadietti con chiusura di sicurezza in locali chiusi a chiave e con sistema strutturale di sicurezza). Asportazione e furto di strumenti contenenti dati: anche per questi eventi il rischio è basso per le ragioni di cui al punto precedente. Eventi distruttivi, naturali o artificiosi, dolosi, accidentali o dovuti ad incuria: il rischio di tali eventi è portato al minimo dalla predisposizione di tutte le misure di sicurezza richieste dalla legge vigente per l’attività svolta e i locali utilizzati. Guasto ai sistemi complementari (impianto elettrico, di riscaldamento, etc.): tali guasti difficilmente possono incidere su dati personali trattati dallo studio. Sono comunque predisposte tutte le acconce misure di sicurezza richieste dalla legge in materia. Errori umani nella gestione della sicurezza fisica: il rischio dell’errore, oltre che dalle misure come sopra indicate, viene comunque limitato dalla perizia del personale utilizzato e dalla formazione di cui questo è dotato, secondo il livello, le mansioni, le responsabilità, la gerarchia e l’esperienza, sempre nei limiti dello specifico profilo di autorizzazione eventualmente previsto e assegnato. Misure in essere e da adottare (regola 19.4) In questa sezione sono riportate le misure di sicurezza già operative e quelle che dovranno essere attuate a fronte dei rischi a cui sono sottoposti i dati trattati, le stesse sono adottate indistintamente per ogni tipo di dati, per ogni trattamento e fase di trattamento . Informazioni analitiche sulle misure di sicurezza Misure relative agli operatori Conservazione delle credenziali di autenticazione: le credenziali di autenticazione (parole chiave di accesso ai dati contenuti negli strumenti informatici) vengono conservate in busta chiusa, in appositi armadietti chiusi a chiave presenti presso locali ad accesso selezionato e ridotto, sotto il diretto controllo del titolare del trattamento. Con ciò si intende evitare furti od usi illegittimi delle stesse credenziali di autenticazione. Tale misura in parte è già in essere e in parte è in fase di attuazione. Il controllo sull’effettività della misura è costante e attento anche ai cambiamenti periodici delle password dei singoli incaricati. Formazione e controllo del personale addetto: il personale addetto al trattamento dei dati oltre ad una formazione prettamente professionale è sottoposto anche ad un intervento di formazione per la corretta gestione dei dati e per il corretto svolgimento delle funzioni relative al trattamento. Questo, sia con la distribuzione delle direttive del titolare del trattamento a tutti gli incaricati nominati, sia con interventi di formazione da parte del titolare del trattamento che consentano agli incaricati stessi di conoscere e capire le regole fondamentali di svolgimento delle varie fasi di trattamento in ossequio alle disposizioni del D. Lgs. 196/03 e delle specifiche direttive del titolare. I rischi da contrastare con tale misura sono quelli rinvenibili nella mancanza di consapevolezza, perizia, capacità del personale o errore materiale degli stessi incaricati. Tale misura, peraltro consente anche un controllo cosciente dell’operato degli incaricati tendente ad evitare eventuali comportamenti fraudolenti. La formazione sarà comunque aggiornata congruamente con eventuali esigenze nate in itinere sia esse di natura giuridica che materiale. Misure relative agli strumenti Interventi di adeguamento tecnologico dei sistemi informatici: i mezzi informatici utilizzati nel trattamento sono dotati di sistemi operativi costantemente aggiornati (Windows), di sistemi antivirus aggiornati settimanalmente (ad es. Symantec – Norton AntiVirus) e firewall, il tutto per contrastare i rischi provenienti da virus informatici, spamming, accessi esterni non consentiti, malfunzionamento, intercettazioni di informazioni in rete, etc. Tali misure sono in gran parte già in essere e in parte da adottare e vengono costantemente controllate e rinnovate. Salvataggio dei dati, copie di sicurezza, manutenzione strumenti informatici: i dati trattati vengono salvati giornalmente. Settimanalmente, se necessarie, vengono realizzate copie di back up debitamente conservate in armadietti custoditi per tale scopo, con possibilità di consultazione selezionata e solo previa autorizzazione del titolare; mantenuti per altro in locali ad accesso selezionato secondo le direttive e le nomine interne predisposte dal titolare del trattamento. Tutti gli strumenti informatici utilizzati sono sottoposti ad un periodico controllo di manutenzione volto a garantire la funzionalità dell’intero complesso informatico. Tali misure di sicurezza sono finalizzate a coprire i rischi derivanti da errori materiali, indisponibilità, perdita, dispersione, modifica illegittima, dei dati ed ogni altro eventuale danno diretto sui dati trattati. Sono volte, peraltro, a scongiurare malfunzionamenti, indisponibilità, degrado, funzionalità distorta dei mezzi informatici utilizzati, anche con riferimento ai rischi esposti al precedente paragrafo. Misure relative al contesto Sistema di controllo sugli accessi e strutture protette: i luoghi in cui vengono custoditi i dati sono preventivamente resi accessibili solo da incaricati appositamente autorizzati, ciò consente una possibilità di accesso controllata e ridotta (contro sottrazioni o apprensioni non autorizzate o trattamenti illegittimi). Negli stessi luoghi, la custodia dei supporti in cui sono riportati i dati e/o le copie di sicurezza avviene mediante strutture da ufficio per la sicurezza dei documenti (armadietti, cassetti, etc.) tutti controllati e accessibili solo dagli incaricati autorizzati (con conseguente controllo dei rischi di cui sopra). I luoghi di custodia, peraltro, vengono giornalmente controllati. Tali misure sono già in essere, ma comunque in via di ulteriore sviluppo. Misure di sicurezza ambientali: l’intero studio risponde ai parametri normativi in materia di sicurezza. Sia per quanto riguarda gli ambienti esterni che per quelli interni (materiali, strutture, disposizione ambienti, norme di prevenzione, sistemi di sicurezza in genere). Ciò comporta una riduzione dei rischi relativi a tutto il contesto ambientale in cui si svolge il trattamento (impianti, incendio, furto, calamità naturali, allagamenti, etc.). Le misure sono già in essere e vengono periodicamente sottoposte a controllo e revisione secondo le disposizioni normative in materia. Criteri e modalità di ripristino della disponibilità dei dati (regola 19.5) In questa sezione viene riportata una descrizione dei criteri e delle procedure adottate per il salvataggio dei dati e per il loro ripristino in caso di danneggiamento o inaffidabilità degli strumenti informatici. Informazioni essenziali sul salvataggio Data base: tutti i dati sono contenuti nei pc a disposizione dello studio secondo le apposite determinazioni del titolare del trattamento. Dati sensibili o giudiziari contenuti: la presenza di dati sensibili o giudiziari è solo eventuale e comunque ridotta. Criteri d’individuazione per il salvataggio (procedure operative in essere) e ubicazione di conservazione delle copie: la procedura di salvataggio avviene con frequenza giornaliera. Le copie di back up vengono sistematicamente conservate in un armadietto appositamente predisposto, conservato e custodito secondo le specifiche norme di sicurezza, situato in luogo ad accesso selezionato e inaccessibile al personale non autorizzato, al di fuori dello studio professionale. Struttura operativa e persona incaricata del salvataggio: il salvataggio dei dati viene effettuato dal titolare del trattamento e dagli incaricati appositamente autorizzati a mezzo dei pc di studio e con i supporti a disposizione (floppy, CD, DVD). Informazioni essenziali sul ripristino Data base – archivio: l’archivio informatico in cui vengono conservati i dati sono i pc presenti in studio. Procedure di ripristino: le procedure di ripristino si incardinano essenzialmente nel recupero dei dati, persi o erroneamente modificati, mediante le copie di sicurezza. Pianificazione delle prove di ripristino: il ripristino, anche in relazione alle modalità di conservazione e gestione delle copie di sicurezza e delle procedure di back up, viene ad essere predeterminato dal titolare del trattamento secondo le specifiche esigenze professionali e quindi mediante la nomina: di personale specializzato e istruito, l’indicazione delle specifiche procedure di sicurezza e ripristino, nonché delle modalità di attuazione delle procedure stesse. Pianificazione degli interventi formativi previsti (regola 19.6) Al fine dell’attuazione della normativa vigente in materia di privacy, in questa sezione sono riportate le informazioni relative agli interventi formativi all’interno dello studio disposti dal titolare del trattamento. Informazioni essenziali Tipologia degli interventi formativi: gli interventi formativi si limitano ad interventi diretti di formazione da parte del titolare del trattamento, o da soggetti da questi incaricati, per una corretta individuazione del profilo di autenticazione. Obiettivo degli interventi: il fine ultimo degli interventi operati è quello di garantire un trattamento dei dati in conformità con i parametri dettati dalla specifica normativa e con le prescrizioni che si rendano necessarie nello specifico trattamento. Classi d’incarico interessate: gli interventi indicati riguardano tutti i soggetti nominati come incaricati. Questo Documento Programmatico sulla Sicurezza è stato redatto in conformità con le disposizioni del D. Lgs. 30 giugno 2003, n° 196 e sulla base delle indicazioni del Garante per la Protezione dei Dati Personali. Perugia, 7 marzo 2007 (data di redazione/aggiornamento) Avv. Maurizio Cozzari (titolare del trattamento)

Documento Programmatico sulla Sicurezza