Modello: Documento Programmatico della sicurezza

Modello di Documento Programmatico della Sicurezza

DOCUMENTO PROGRAMMATICO SULLA SICUREZZA

PER L’ANNO _______

Il presente documento delinea il quadro delle misure di sicurezza, organizzative, fisiche e logiche, che lo Studio Legale dell’avv. ***** adotta per il trattamento dei dati personali effettuato, in conformità ed Ai sensi e per gli effetti dell’art. 34, comma 1, lettera g) del decreto legislativo n.196 del 20 giugno 2003, e del disciplinare tecnico allegato al medesimo decreto

Indice

Organigramma.

Elenco dati trattati.

Distribuzione dei compiti e delle responsabilità tra i soggetti che hanno accesso ai dati.

Analisi dei rischi.

  •  Descrizione della struttura 
  •  Descrizione degli archivi cartacei.
  •  Descrizione degli strumenti elettronici
  • Stima del grado di rischio

Misure adottate per prevenire i rischi analizzati.

  • Protezione dello studio e della struttura.
  • Protezione degli strumenti informatici.
  • Protezione dei dati cartacei.
  • Personale addetto all’uso degli strumenti informatici e dei documenti cartacei.

Contingency planning e disaster recovery;

Formazione degli incaricati.

Dati personali e sensibili affidati a terzi.

Altre misure adottate.

Attestazione.

Allegato:

  • modello di informativa inviato al cliente
  • modello di autorizzazione del cliente al trattamento dei dati

    • ORGANIGRAMMA

      TITOLARE DEL TRATTAMENTO ( Art. 28 d. l.vo 196/03)

      Titolare del trattamento dei dati personali, sensibili, identificativi e giudiziari è l’avv. ******

      RESPONSABILE DEL TRATTAMENTO  ( Art. 29 d. l.vo 196/03)

      Responsabile del trattamento dei dati personali, sensibili, identificativi e giudiziari è l’avv. ******

      INCARICATI DEL TRATTAMENTO  ( Art. 30 d. l.vo 196/03)

      Incaricati del trattamento sono:

      Avv………..( collaboratore o socio dello studio)

      Dr. ……… (collaboratore o  praticante di studio)  

      Dr. ……… (collaboratore o praticante  di studio)

      …………….. (dipendente)

      …………….. (dipendente)

      Amministratore del Sistema è…………………………………..

      Custode delle Password è …………………………………………….

      Tecnico incaricato dell’assistenza e manutenzione degli strumenti elettronici è …………….

       

      ELENCO DATI TRATTATI ( punto 19.1 Allegato B al  d. l.vo 196/03)

      Lo Studio Legale tratta i seguenti dati personali anche attraverso soggetti terzi appositamente incaricati per specifiche attività quali investigatori privati; avvocati, operanti in altri sedi, associati alla difesa del cliente; soggetti esercenti attività di gestione di pratiche immobiliari o auto ecc. divisi per tipologia di interessato:

      Cliente

      dati identificativi, comuni, sensibili e giudiziari ivi compresi quelli ricavati da albi, elenchi e registri pubblici, visure camerali; visure e certificazioni ipo-catastali, nonché i dati sul patrimonio e sulla situazione economica, o necessari per fini fiscali o afferenti alla reperibilità ed alla corrispondenza con gli stessi; quelli forniti dagli stessi per lo svolgimento dell’attività di difesa; quelli sensibili idonei a rivelare l’origine razziale ed etnica, le convinzioni o l’adesione ad organizzazioni a carattere religioso, politico, sindacale o filosofico; quelli sensibili idonei a rivelare lo stato di salute e la vita sessuale; quelli giudiziari e quelli idonei a rivelare i provvedimenti di cui all'art. 3 DPR nr. 313/2002, ovvero idonei a rivelare al qualità di imputato o indagato

      Terzi

      dati identificativi comuni, sensibili e giudiziari di terzi intendendosi per tali le controparti, i fornitori, i corrispondenti forniti dai clienti o reperiti attraverso indagini difensive o pubblici uffici; ivi compresi quelli necessari per l’esercizio dell’attività di difesa ed in ossequio al mandato ricevuto, compresi i dati sul patrimonio e sulla situazione economica, o necessari a fini fiscali  o afferenti alla reperibilità ed alla corrispondenza con gli stessi, o per atti giudiziari; quelli idonei a rivelare i provvedimenti di cui all'art. 3 DPR nr. 313/2002, ovvero idonei a rivelare al qualità di imputato o indagato; quelli sensibili idonei a rivelare l’origine razziale ed etnica, le convinzioni o l’adesione ad organizzazioni a carattere religioso, politico, sindacale o filosofico; quelli sensibili idonei a rivelare lo stato di salute e la vita sessuale; quelli concernenti la reperibilità e la corrispondenza con gli stessi, nonché inerenti ai fini fiscali o dati di natura bancaria

      Personale dipendente, collaboratori, praticanti,professionisti associati.

      dati identificativi, personali e sensibili necessari per lo svolgimento del rapporto di lavoro, reperibilità e necessità di corrispondenza a fini fiscali e previdenziali ovvero di natura bancaria e quelli sensibili idonei a rivelare lo stato di salute e quelli idonei a rivelare l’appartenenza ad organizzazioni sindacali, ove necessario

      Modalità in cui avviene il trattamento.

      Il trattamento dei dati effettuato dallo studio che, per quelli non pubblici vengono acquisiti previa l’informativa che si allega al presente D.P.S., avverrà per il tempo necessario all’espletamento dell’incarico ricevuto ovvero per il tempo necessario per l’assolvimento di obblighi di legge ed in funzione degli scopi di raccolta ovvero per ragioni di natura statistica e/o storico.

      Il trattamento si sostanzia nelle seguenti operazioni:

      • Raccolta consistente nell’acquisizione e reperimento dei dati direttamente dall’interessato ovvero su sua indicazione ovvero attraverso indagini presso terzi ovvero indirettamente;
      • registrazione, organizzazione ed elaborazione dei dati attraverso il loro inserimento in supporti informatici o cartacei;
      • consultazione, selezione, estrazione ed utilizzo dei dati a seconda dell’uso necessario per lo svolgimento del mandato e per le esigenze difensive;
      • raffronto e modificazione dei dati attraverso il loro aggiornamento;
      • interconnessione, comunicazione e diffusione dei dati a seconda dell’uso necessario per lo svolgimento del mandato e per le esigenze difensive
      • conservazione ed archiviazione dei dati nei supporti informatici posizionati in modo da garantire la riservatezza e la sicurezza dei dati, collegati tra loro in rete locale  e con accesso ad internet ovvero in supporti cartacei consistenti fascicoli riposti in schedari dotati di chiusura;
      • blocco dei dati nell’ipotesi in cui possa pregiudicarsi il diritto dell’interessato;
      • cancellazione dei dati dai supporti informatici ovvero la loro distruzione dai supporti cartacei una volta terminato il loro trattamento.

      DISTRIBUZIONE DEI COMPITI E DELLE RESPONSABILITA’ TRA I SOGGETTI CHE HANNO ACCESSO AI DATI
      ( punto 19.2 Allegato B d. l.vo 196/03).

      Premesso che tutti i dati trattati in modo cartaceo dallo Studio sono conservati in apposite cartelle, in archivi ubicati in ambienti rigorosamente separati dal luogo di ricevimento della clientela e che i dati trattati con strumenti informatici sono conservati in supporti accedibili con appositi profili di autorizzazione specificatamente ed individualmente determinati, la distribuzione dei compiti e delle responsabilità avviene nel modo che segue.

       

      Titolare

      Respon-sabile

      Ammini-stratore di sistema

      Incaricato addetto alla Segreteria

      Incaricato addetto alla contabilità

      Praticanti

      Terzi

      (commer-cialista; corrispon-denti; collabora-tori ecc.)

      CLIENTE

      Dati comuni

       

       

       

       

       

       

       

      Dati sensibili

       

       

       

       

       

       

       

      Dati giudiziari

       

       

       

       

       

       

       

      Dati idonei a rivelare stato di salute e vita sessuale

       

       

       

       

       

       

       

      TERZO

      Dati comuni

       

       

       

       

       

       

       

      Dati sensibili

       

       

       

       

       

       

       

      Dati giudiziari

       

       

       

       

       

       

       

      Dati idonei a rivelare stato di salute e vita sessuale

       

       

       

       

       

       

       

      DIPENDENTI,

      PRATICANTI,

      CORRISPONDENTI,

      COLLABORATORI

      Dati comuni

       

       

       

       

       

       

       

      Dati sensibili

       

       

       

       

       

       

       

      Dati giudiziari

       

       

       

       

       

       

       

      Dati idonei a rivelare stato di salute o appartenenza a organismi sindacali

       

       

       

       

       

       

       

      Il custode delle password non ha un autonomo accesso e diritto al trattamento dei dati salvo le diverse mansioni cui è designato.

      Il tecnico incaricato dell’assistenza e manutenzione degli strumenti elettronici accede e tratta i dati solo stretta sorveglianza del Titolare o del Responsabile e limitatamente per la verifica della integrità degli stessi e per la piena funzionalità dei programmi (software) di trattamento.

      Il trattamento dei dati giudiziari comprende anche quelli idonei a rivelare i provvedimenti di cui all'art. 3 DPR nr. 313/2002, ovvero idonei a rivelare al qualità di imputato o indagato.

      Il trattamento dei dati effettuato dagli incaricati ( addetti alla Segreteria, corrispondenti, commercialista esterno) anche allorquando relativo a quelli sensibili o giudiziari, ovvero quelli afferenti i pagamenti a favore di terzi fornitori e conseguenti rapporti bancari, avviene su disposizione del titolare in via generale ovvero su espressa autorizzazione del titolare di volta in volta in funzione delle mansioni all’uopo assegnategli e per il tempo strettamente necessario all’incarico affidato.

      Tutti coloro che sono autorizzati al trattamento dei dati sono stati resi edotti circa le responsabilità di natura patrimoniale, sanzionatoria amministrativa e penale circa il trattamento effettuato in disprezzo delle istruzioni ricevute, circa la divulgazione non autorizzata dei dati e circa il trattamento illecito degli stessi. All’uopo a tutti gli incaricati si è rilasciato apposita comunicazione allegata al presente D.P.S. sotto la lettera ******

      ANALISI DEI RISCHI ( punto 19.3 Allegato B al  d. l.vo 196/03).

      Prima di procedere all’analisi dei rischi, si è proceduto ad una ricognizione della struttura, delle attrezzature e degli strumenti informatici

      Descrizione della struttura

      L’immobile ove è ubicato lo Studio Legale ( per comodità denominato studio), è al primo piano di un condominio in zona centrale, dotato di portone di ingresso a chiusura automatica e con videocitofono, con sorveglianza notturna, e porte blindate.

      La segreteria è ubicata in un locale più ampio, dove in una zona separata e ben distanziata dalle postazioni di lavoro delle segretarie, è ricavata una sala di attesa per i clienti.

      All’interno dell’immobile vi sono stanze costituenti singoli studi, ove operano i singoli componenti dello Studio siano essi avvocati, praticanti e/o collaboratori fissi; ognuna di queste stanze è dotata di porta con chiusura a chiave.

      Descrizione degli archivi cartacei

      Le singole pratiche sono racchiuse in cartelle contenenti tutti i dati e i documenti relativi all’incarico ricevuto e conservati in schedari dotati di chiusura a chiave posti nell’archivio ubicato in stanza separata dotata di porta con chiusura a chiave

      Lo studio è munito di cassaforte con chiusura a chiave in zona riservata.

      Descrizione degli strumenti elettronici

      Lo Studio è dotato di un computer marca …….. modello ……… che funge da server ubicato nella stanza ove sono ubicati gli archivi cartacei.

      Ogni stanza dello Studio è attrezzata di computer terminali di tipo intelligente collegati al server ed agli altri computer terminali di tipo intelligente in rete locale, connessi ad internet con ADSL, eccezione fatta per la sala biblioteca dove sono ubicati due computer terminali di tipo intelligente in rete locale e con connessione ADSL ad internet; nel più ampio locale, destinata a segreteria si trovano due postazioni di lavoro con computer terminali di tipo intelligente in rete locale e con connessione ADSL ad internet.

      Le linee telefoniche sono due ISDN, oltre la linea ADSL, per la connessione ad internet gestita da un router marca ……...

      Inoltre in questo locale si trovano le seguenti stampanti marca……….;

      il fax marca………………;

      la fotocopiatrice marca……….

      lo scanner marca ………...;

      Il computer della segreteria utlizzato da………. è dotato di separato modem marca ……. per l’utilizzo di Winfax.

      In particolare:

      nr. 1 computer connesso in rete ed a internet nella segreteria marca …….. modello …… è utilizzato da …….

      nr. 1 computer connesso in rete ed a internet nella segreteria marca …….. modello …… è utilizzato da …….

      nr. 1 computer connesso in rete ed a internet nella segreteria marca …….. modello …… è utilizzato da …….

      nr. 1 computer connesso in rete ed a internet marca …….. modello ……nello studio dell’avv. …… è utilizzato da …….

      nr. 1 computer connesso in rete ed a internet marca …….. modello ……nello studio dell’avv. …… è utilizzato da …….

      nr. 1 computer connesso in rete ed a internet nella biblioteca marca ……. modello ……..

      nr. 1 computer connesso in rete ed a internet nella biblioteca utilizzato da ……………….. marca ……. modello ……..

      Il sistema operativo del server è ……..

      Il sistema operativo dei computer è………

      Lo studio adopera Internet Explorer versione …..

      Lo studio adopera per la messaggistica di posta elettronica Outlook Express versione ……..

      Lo studio per la gestione informatica delle pratiche e delle incombenze connesse con l’esercizio della professione utilizza il seguente programma ………..

      Antivirus adoperato ……..

      Firewall adoperato …….

      Infine lo Studio è dotato di un impianto di videosorveglianza marca……. modello ……. Le immagini sono /non sono registrate e salvate in videocassette / supporti magnetici e conservati per giorni …… decorsi i quali vengono cancellate.

      Dopo avere effettuato la ricognizione della struttura e delle apparecchiature in possesso dello studio, si è proceduto alla concreta analisi dei rischi ed alla loro quantizzazione.

      Nell’analisi si attribuita uguale importanza ai dati senza operare distinzione tra i dati comuni ed i dati sensibili. Tale scelta è stata giustificata dalla volontà di attribuire un eguale grado di sicurezza a tutti i dati trattati dallo Studio e per evitare distingui, forieri di errori.

      Si è così pervenuti alla seguente stima del grado di rischio senza distinzione tra trattamento dei dati con l’ausilio o senza l’ausilio di strumenti informatici, essendo gli stessi tra loro assimilabili.

      Tipo di rischio

      Grado di rischio

      Molto alto

      Alto

      Medio

      Basso

      Rischi di distruzione o perdita, anche accidentale dei dati;

       

       

       

       

      Rischi furto e/o accesso non autorizzato ai dati;

       

       

       

       

      Rischi di trattamento non consentito o non conforme alla finalità della raccolta, ivi compresi i comportamenti fraudolenti diretti alla diffusione, trasmissione, asporto e sabotaggio dei dati

       

       

       

       

      Rischi connessi alla violazione e manipolazione dei dati, ivi comprese le violazioni, il furto e le intercettazioni delle credenziali di autenticazione

       

       

       

       

      Rischi connessi alla connessione in rete degli strumenti elettronici intesi sia quelli di connessione alla rete locale che ad internet ivi compresi i rischi derivanti dalla violazione del sistema informatico da malware e spamming e l’intercettazione dei dati contenuti nei supporti informatici

       

       

       

       

      Rischi connessi all’uso improprio degli strumenti informatici.

       

       

       

       

      Rischi connessi da disattenzioni, incuria ed errori nel trattamento dei dati

       

       

       

       

      Rischi connessi all’integrità dei supporti di  archiviazione e di registrazione dei dati sull’hard disk

       

       

       

       

      Rischi connessi alla violazione dei fascicoli di studio e dei documenti ivi contenuti

       

       

       

       

      Rischi connessi all’accesso non autorizzato ed all’utilizzo improprio delle cartelle contenute nell’archivio

       

       

       

       

      Rischi connessi da errori umani nella gestione della sicurezza

       

       

       

       

      Rischi di accesso non autorizzato nella struttura

       

       

       

       

      Rischi connessi con incendi, furti ed eventi accidentali che possano danneggiare la struttura, gli impianti tecnologici (impianto elettrico, condutture del gas, climatizzatore, ecc.), gli strumenti informatici e gli archivi cartacei

       

       

       

       

      MISURE ADOTTATE PER PREVENIRE I RISCHI ANALIZZATI
      ( art. 19.4 Allegato B al  d. l.vo 196/03)

      Per ridurre i rischi sono state adottate le seguenti misure:

      Protezione dello Studio e della struttura

      L’accesso allo studio è controllato; lo studio è dotato di videocitofono e chiusura con porta blindata.

      Lo studio ha un contratto di assistenza e telesorveglianza con la ditta …………………….

      L’accesso alle singole stanze è garantito da porte con chiusura e l’eventuale ingresso di terzi estranei avviene solo previa accettazione e controllo.

      L’accesso ai singoli strumenti da parte di persone non autorizzate è impedito poiché gli stessi sono controllati dagli utenti autorizzati; la zona di attesa dei clienti è distanziata dagli strumenti essendo gli stessi clienti controllati dagli addetti alla Segreteria.

      Il locale destinato all’archivio cartaceo è chiuso a chiave.

      L’accesso all’archivi cartaceo è controllato dal Titolare ed in sua assenza dall’incaricato all’uopo nominato.

      Fuori dall’orario di lavoro l’accesso all’archivio è consentito previa registrazione.

      Per prevenire eventi naturali accidentali quali incendi, allagamenti e corto circuiti si è proceduto ad adottare tutte le cautele previste dalla normativa in tema di sicurezza degli impianti tecnologici e l’impianto elettrico è dotato di dispositivi salvavita.

      Si è provveduto a dotare lo Studio di un dispositivo tritadocumenti nel quale vengono trinciati i documenti; tutti gli appunti e le fotocopie mal riuscite vengono distrutte con l’apposito dispositivo tritadocumenti.

      I fascicoli d’ufficio vengono utilizzati per il tempo strettamente necessario allo svolgimento dell’incarico affidato e nell’ipotesi di ricevimento della clientela, gli stessi vengono chiusi per evitare letture indesiderate dei dati contenuti ovvero la lettura a contrario dei documenti.

      Protezione degli strumenti informatici.

      Autenticazione informatica. Tale misura è stata adottata dotando ciascun incaricato di una password di almeno 8 caratteri ( o minore per le caratteristiche del sistema). Detta password non contiene, né conterrà, elementi facilmente ricollegabili all’organizzazione o alla persona del suo utilizzatore, né allo studio legale. La password viene autonomamente scelta dall’incaricato e dallo stesso custodita in una busta chiusa che viene consegnata al custode delle password ovvero al titolare del trattamento, il quale provvede a metterla nella cassaforte dello studio in un plico sigillato. Ogni tre mesi ciascun incaricato provvede a sostituire la propria password. Si è altresì disposto che le password vengano automaticamente disattivate dopo tre mesi di non utilizzo.

      Si è prevista la immediata disattivazione delle credenziali di autenticazione nell’ipotesi di l’incaricato perda la sua qualità

      Inoltre si è disposto che a tutti gli incaricati utilizzatori di strumenti elettronici non lascino incustodito, o accessibile, lo strumento elettronico stesso.

      A tale riguardo, per evitare errori e dimenticanze, è stato disposto l’inserimento di uno screensaver automatico dopo 1 minuto di non utilizzo, con ulteriore password segreta per la prosecuzione del lavoro.

      Si è inoltre disposto che gli incaricati verifichino la provenienza delle e-mail e non effettuino operazioni di file sharing.

      Si è vietata la navigazione in internet se non in siti istituzionali e specifici di oggetto giuridico; si è vietata l’apertura di e-mail sospette e si è data istruzione per la verifica della provenienza della posta elettronica.

      Si è data istruzione di non fornire alcun dato a chiunque telefoni quandanche si qualificasse come soggetto agente per ordine del giudice ovvero come incaricato del gestore telefonico per prevenire attacchi di social engineering.

      Non si è provveduto alla creazione di credenziali di autenticazione separate per ogni incaricato, preferendo creare separate credenziali di autorizzazione separate per computer. La ragione di questa scelta è stata determinata dalla limitata dimensione dello Studio nel quale tutti gli incaricati, nella generalità hanno accesso e trattano tutti i dati in funzione delle funzioni e mansioni assegnate e per la stabilità dell’apparecchiatura concessa in uso ad ogni singolo operatore.

      Per evitare i rischi derivanti da attacchi informatici ogni singolo computer è dotato di dispositivo antivirus di marca ………………………., che viene aggiornato con funzione automatica e con scansione di aggiornamento settimanale; inoltre sul server e sui computer terminali intelligenti  è stato installato firewall di marca ……………….

      Per ogni singolo computer è prevista la funzione di aggiornamento automatico del sistema fornito dalla Microsoft mediante lo strumento windows – update.

      Analogo sistema di aggiornamento automatico è previsto per l’antivirus. E’ stata data istruzione che, qualora nessun aggiornamento del sistema fosse segnalato automaticamente per un periodo di mesi 6, si provveda comunque ad attivare la funzione di controllo per verificare l’esistenza o meno di detti aggiornamenti automatici.

      Si è data istruzione di non consentire la visione del video a terzi estranei allo staff dello Studio e nell’ipotesi in cui vengano effettuate le pulizie dello Studio i computer siano spenti.

      Per evitare i rischi connessi con la perdita di dati contenuti negli strumenti informatici durante la registrazione o il trattamento, per interruzione dell’energia elettrica, lo Studio è stato dotato di un gruppo di continuità del tipo 0 waite state marca ………

      Per prevenire i rischi da errori umani, si è provveduto ad istruire tutti gli incaricati circa il comportamento da tenere per prevenire pericoli ed errori; quanto ai pericoli per uso infedele delle apparecchiature e comportamento doloso si è provveduto alla scelta di incaricati scrupolosi, fedeli e professionalmente preparati.

      Protezione dei dati cartacei

      Si è disposto che qualsiasi documento che i Sig.ri Clienti consegnino allo Studio vada inserito in apposite cartelline non trasparenti; che qualsiasi documento che lo Studio consegni ai Sig.ri Clienti vada inserito in apposite buste o cartelline non trasparenti.

      Si è disposto che le  rubriche telefoniche in utilizzo su supporto cartaceo siano richiuse dopo la consultazione ed il primo foglio delle rubriche stesse, leggibile dall’esterno, non contenga alcun dato (praticamente il primo foglio funge da copertina).

      Si è disposto che non siano lasciati incustoditi sulle scrivanie, o su altri ripiani, atti, documenti e fascicoli delle pratiche.

      Si è disposto che i fascicoli vadano conservati negli appositi schedari e prelevati per il tempo necessario al trattamento per esservi poi riposti.

      Si è data istruzione di interrompere la sessione di lavoro e di chiudere i fascicoli quando vengano ricevuti i clienti durante una sessione di lavoro, questo sia interrotto ed il fascicolo sia chiuso per evitare la lettura di dati e documenti dello stesso anche attraverso una lettura a rovescio da parte del terzo o altro cliente.

      Si è disposto che i telefax inviati su carta chimica siano riprodotti su carta normale per evitarne il deterioramento.

      Si è disposto che le comunicazioni a mezzo posta, o a mezzo telefax, siano tempestivamente smistate e consegnate ai destinatari. Quando è dato un ordine di stampa, il documento stampato dovrà essere prontamente prelevato e consegnato all’interessato.

      Si è data istruzione che il materiale cartaceo asportato e destinato allo smaltimento dei rifiuti sia distrutto con l’apposito tritadocumenti e riposto in appositi sacchi di plastica e che detti sacchi siano chiusi in modo che comunque atti e documenti negli stessi contenuti non possano accidentalmente fuoriuscire, e che detto materiale sia giornalmente asportato ovvero asportato secondo la normativa locale per la raccolta di rifiuti.

      Per quanto riguarda la documentazione cartacea, si è disposto che l’archivio sia chiuso a chiave, gli schedari chiusi, e siano adottate le altre misure indicate.

      Si è data istruzione di procedere alla restituzione dei documenti originali al cliente e di eliminare fisicamente il fascicolo cartaceo salva la conservazione di quanto ivi ancora contenuto per motivi storici, statistici e purchè segretamente conservato ed i dati non siano oggetto di trattamento ad eccezion fatta per ragioni di carattere fiscale ovvero per altri adempimenti di legge.

      Si è data istruzione di non portare fuori dallo Studio i documenti cartacei e nell’ipotesi in cui fosse strettamente necessario che i fascicoli siano tenuti sotto controllo per evitare smarrimenti.

      Si è disposto di non utilizzare le fotocopie dei documenti ivi comprese quelle mal riuscite contenente qualsiasi dato di clienti o terzi quale carta per appunti e che dopo l’utilizzo delle stesse vengano distrutte nel tritadocumenti.

      Si è data istruzione di non dare divulgazione nemmeno a titolo di esempio delle pratiche trattate nello Studio

      Personale addetto all’uso degli strumenti informatici ed all’uso dei documenti cartacei

      Si attesta che gli incaricati al trattamento dei dati sono qualificati ed affidabili e dimostrano riservatezza ed attenzione nella gestione dei dati stessi,

      Inoltre i dati, quanto comuni che sensibili, per gli affari trattati dallo Studio ed il tipo  di clientela dello Studio non paiono essere di particolare interesse per terzi.

      CONTINGENCY PLANNING E DISASTER RECOVERY
      ( punto 19.5 Allegato B al  d. l.vo 196/03)

      Si sono impartite le seguenti istruzioni:

      • avvertire il titolare del trattamento dei dati e l’incaricato che ha in custodia il c.d. di back up, nonché i c.d. contenenti i vari software dello studio installati sugli strumenti elettronici;
      •  rivolgersi immediatamente e chiedere l’intervento del tecnico manutentore della ditta ……………………. sollecitandone al più presto l’assistenza;
      • provvedere a ripristinare tutti i dati contenuti nei supporti di back up una volta che si sono reinstallati i programmi danneggiati o distrutti, sempre che non sia necessario sostituire l’intero hardware,;
      •  provvedere all’aggiornamento dei sistemi operativi una volta reinstallati;
      • eseguire tutti le misure ed i  suggerimenti ricevuti dal tecnico manutentore;
      •  effettuare il ripristino dei dati e dei sistemi entro e non oltre 7 giorni;
      •  predisporre almeno due volte l’anno un intervento di manutenzione de tecnico incaricato per verificare l’integrità degli strumenti informatici usati e l’integrità del software.

      FORMAZIONE DEGLI INCARICATI
      ( punto 19.6 Allegato B al  d. l.vo 196/03)

      La formazione degli incaricati viene effettuata all’ingresso in servizio, all’installazione di nuovi strumenti per il trattamento dei dati, e comunque con frequenza annuale. Essa tende a sensibilizzare gli incaricati sulle tematiche di sicurezza, facendo comprendere i rischi e le responsabilità (con specificazione delle sanzioni connesse penali e disciplinari) che riguardano il trattamento dei dati personali.

      Inoltre, essa tende alla compiuta spiegazione del concetto di quale sia la natura ed il contenuto dei dati sensibili e giudiziari, con l’invito a segnalare eventuali disfunzioni dei sistemi operativi e, nel dubbio, di richiedere al titolare se un dato possa avere o meno natura sensibile o giudiziaria.

      La formazione comprende la spiegazione di tutte le istruzioni dirette alla tutela della riservatezza ed alla tutela dei dati per evitare che gli stessi possano essere involontariamente resi disponibili a terzi.

      La formazione è fatta dal titolare dello studio.

      DATI PERSONALI E SENSIBILI AFFIDATI A TERZI 
      ( art. 19.7 Allegato B al  d. l.vo 196/03)

      Si è data istruzione e ci si è accertati che i terzi, cui sono affidati i dati dei clienti dello Studio, ivi compreso il commercialista ovvero lo Studio commerciale che gestisce la contabilità dello Studio e gli avvocati corrispondenti associati alla difesa, nel caso in cui il trattamento dei dati sensibili e/o giudiziari siano trattati con strumenti elettronici, abbiano garantito di avere adottato le misure minime di sicurezza, attraverso il rilascio di apposita dichiarazione attestante l’adozione delle predette misure minime di sicurezza previste dal disciplinare.

      Alle ditte che provvedano ad effettuare prestazioni che comportano accesso di estranei allo studio, viene dato incarico scritto con richiesta di specificazione dei nominativi delle persone che accedono ed espresso invito a limitarsi alle sole attività pertinenti alla prestazione per cui accedono.

      In ogni caso si è data istruzione agli incaricati di vigilare sulla presenza di terzi nello Studio.

      Nell’ipotesi di affidamenti di incarichi a terzi per lo svolgimento di attività difensiva ovvero nell’ipotesi di attività di collaborazione con soggetti estranei allo Studio, si provvederà a richiedere a costoro di trattare i dati loro affidati ovvero da loro reperiti in conformità a quanto prescritto dal d. l.vo  n.196/03 con divieto assoluto di uso improprio dei dati da loro trattati e relativa distruzione dei dati una volta terminato l’incarico affidato.

      ALTRE MISURE ADOTTATE

      E’ stato disposto l’obbligo di provvedere ad un backup settimanale dei dati e dei sistemi installati sul server su cd rom, i quali vengono conservati e chiusi in un cassetto dotato di una chiave, e si è data disposizione di verificare, effettuato il backup, la leggibilità del supporto e che una volta a settimana si proceda a verifica a campione della leggibilità dei dati; custode di detti backup è stato nominato l’incaricato ……………………

      Si è data disposizione che, effettuato un backup, venga distrutto fisicamente il c.d. precedente.

      Si è data disposizione che nell’ipotesi di  backup o di archiviazione su floppy o supporti riscrivibili si proceda alla formattazione dei supporti prima di procedere ad una riscrittura dei dati.

      Si è data disposizione che, terminata la trattazione di una pratica, ogni relativo file, o dato, esistente sui computer, sia cancellato. Per tutti i dati che devono essere conservati per motivi fiscali ovvero, su autorizzazione del cliente per motivi storici e statistici, è stata data disposizione che i dati siano trasferiti su supporti custoditi in un cassetto chiuso a chiave.

      Per gli strumenti elettronici,sono state adottate dallo studio le misure di sicurezza, tendenti a ridurre il rischio gravante sui dati e derivante dalla gestione di detti strumenti.

      Si è prevista la conservazione in un cassetto chiuso a chiave dei dischi di installazione dei programmi software adottati.

      Quanto all’integrità hardware degli strumenti elettronici si è provveduto a stipulare contratto di assistenza con la ditta………che ha rilasciato attestato di conformità del sistema informatico dello Studio alle norme costituenti misure minime ai sensi dell’art. 34 d. l.vo 196/03

      Si è data istruzione di cancellazione dei dati una volta esaurito l’incarico ricevuto dal cliente, eccezion fatta per quelli necessari in adempimento di un obbligo di legge ( fiscale ed altro)

      Sarà adottata ogni altra misura che dal tecnico della manutenzione e dagli sviluppi tecnologici venisse ritenuta utile e necessaria per migliorare la sicurezza degli strumenti elettronici per garantire una maggiore sicurezza dei supporti cartacei.

      ATTESTAZIONE

      Si attesta che il presente documento è stato redatto in data ……… ed è stato sottoscritto in qualità di titolare del trattamento ed è custodito nella cassaforte dello Studio e verrà periodicamente aggiornato al variare delle condizioni ivi contenute.

      Il presente documento verrà esibito in caso di controllo.

      Il presente documento è stato consegnato in copia a tutti gli incaricati dello Studio dopo esauriente spiegazione.

      Luogo, lì

      Il titolare