Trattamento dati

Per ridurre e contenere i rischi di danneggiamento o dispersione dei dati trattati, a causa di un uso non corretto o illecito dei sistemi informatici e degli archivi cartacei da parte del personale addetto al trattamento, iI dati personali devono essere trattati:

  • in osservanza dei criteri di riservatezza;
  • in modo lecito e secondo correttezza;
  • per un periodo di tempo non superiore a quello necessario agli scopi per i quali sono stati raccolti o successivamente trattati;
  • nel pieno rispetto delle misure minime di sicurezza, custodendo e controllando i datioggetto di trattamento in modo da evitare i rischi, anche accidentali, di distruzione o perdita, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
  • I dati particolari e relativi a rati amministrativi e penali trattati sono esclusivamente quelli relativi alle autorizzazioni generali del garante.

Istruzioni agli incaricati/preposti al trattamento dei dati personali
Ai sensi del Codice in materia di protezione dei dati personali (D.lgs. 196/03) e del nuovo Regolamento Europeo della Privacy (GDPR 679/2016), avuto riguardo alle attività svolte, l’incaricato/preposto al trattamento dovrà effettuare trattamenti di dati personali di competenza attenendosi scrupolosamente alle seguenti istruzioni e ad ogni ulteriore indicazione, anche verbale, che potrà essere fornita dal titolare del trattamento.
Le istruzioni vengono suddivise in funzione della modalità del trattamento che può essere con e senza l’ausilio di strumenti elettronici.

Trattamenti senza l’ausilio di strumenti elettronici

  1. I documenti contenenti dati personali, devono essere custoditi in modo da non essere accessibili a persone non incaricate/preposte del trattamento (es. armadi o cassetti chiusi a chiave).
  2. I documenti contenenti dati personali prelevati dagli archivi per l’attività quotidiana, devono esservi riposti a fine giornata.
  3. I documenti contenenti dati personali non devono rimanere incustoditi su scrivanie o tavoli di lavoro.
  4. I documenti contenenti dati personali non devono essere condivisi, comunicati o inviati a persone che non ne necessitano per lo svolgimento delle proprie mansioni lavorative
  5. Qualora sia necessario distruggere i documenti contenti dati personali, questi devono essere distrutti utilizzando gli appositi apparecchi “distruggi documenti” o, in assenza, devono essere sminuzzati in modo da non essere più ricomponibili.
  6. I documenti che contengono dati sensibili e/o giudiziari devono essere controllati e custoditi dagli incaricati/preposti al trattamento, i quali devono impedire l’accesso a persone prive di autorizzazione.
  7. L’archiviazione dei documenti cartacei contenenti dati sensibili e/o giudiziari deve avvenire in locali ad accesso controllato, utilizzando armadi o cassetti chiusi a chiave.
  8. La spedizione di documenti contenenti dati personali dati sensibili o giudiziari deve essere trasferita a mezzo posta anche all’interno dell’ azienda, in busta chiusa, in modo da assicurare la protezione della riservatezza sia del documento che dei dati contenuti. Per dare garanzia della non apertura della busta e della integrità del contenuto sarebbe opportuno che i lembi della busta fossero sigillati e firmati. In alternativa è comunque opportuno piegare il documento spillandone i lati.

Trattamenti con strumenti elettronici

  1. Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati/preposti al trattamento dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o ad un insieme di trattamenti.
  2. Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente associato a un codice identificativo o a una parola chiave.
  3. Non comunicare a nessuno le proprie password.
  4. Non scrivere le proprie password su supporti facilmente rintracciabili e soprattutto in prossimità della postazione di lavoro utilizzata.
  5. Non scegliere password corrispondenti a parole presenti in un dizionario, sia della lingua italiana che di lingue straniere.
  6. Non usare come password parole che possano essere facilmente riconducibili all’identità dell’utente.
  7. La password deve essere modificata almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi.
  8. La password deve essere composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito.
  9. Nel digitare la password accertarsi che non ci sia nessuno che osservi e sia in grado di vedere od intuire i caratteri digitati sulla tastiera.
  10. Non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento.
  11. Accertarsi che sul proprio computer sia sempre operativo un programma antivirus, aggiornato e con la funzione di monitoraggio attiva.
  12. Sottoporre a controllo con il programma antivirus installato sul proprio PC, tutti i supporti di provenienza esterna prima di eseguire files in essi contenuti.
  13. Accertarsi sempre della provenienza dei messaggi di posta elettronica contenenti allegati; nel caso che il mittente dia origine a dubbi, cancellare direttamente il messaggio senza aprire gli allegati.
  14. Non diffondere messaggi di posta elettronica di provenienza dubbia.
  15. Non utilizzare servizi di comunicazione e condivisione di dati.