Modello suggerito da CNF: Documento Programmatico della sicurezza

DOCUMENTO PROGRAMMATICO SULLA SICUREZZA

ex Art. 34 lett. (g), e n.19.01-08 allegato B.

D.Lgs 30 giugno 2003, n. 196 Codice della protezione dei dati personali

 

 

 

 

 

1) Il sottoscritto ...........…………………….....................Nato a……......………………………………. residente in ……………………… (C.F……………………………..), iscritto all’Ordine degli Avvocati di ................. sin dal ..........................con il n.................................nella qualità di Titolare / Responsabile del Trattamento dei dati dello Studio Legale…................…………...........................................con sede in ………………………….( ). via………………………....................................n……;

dichiara che:

2) nello Studio Legale vengono trattati i dati personali, sensibili e giudiziari dei

clienti                    

terzi                  

(specificare altri eventuali soggetti)..........

 relativamente a ciò che è strettamente necessario all’espletamento degli incarichi professionali;

collaboratori domiciliatari fornitori (specificare altri eventuali soggetti

 per l’adempimento degli obblighi contrattuali, contabili, tributari e fiscali

dipendenti (specificare altri soggetti)

per ciò che è necessario all’adempimento degli obblighi di legge in materia di lavoro dipendente e quant'altro

riguardi il rapporto di lavoro.

 Il trattamento dei dati dei soggetti sopra indicati riguarda qualunque operazione, o complesso di operazioni,

effettuate anche senza l'ausilio di strumenti elettronici, necessarie agli scopi sopra specificati, concernenti:

la raccolta

la registrazione

l'organizzazione

la conservazione

la consultazione

l'elaborazione

la modificazione

la selezione

l'estrazione

il raffronto

l'utilizzo

l'interconnessione

il blocco

la comunicazione

la cancellazione

la distruzione di dati

(specificare eventuali altri tipi di trattamento) .....................................................................................................................

3) Nello Studio Legale Operano :

a) Avv…………………………………….. – Titolare/Responsabile del Trattamento

Per i dati riguardanti i suoi clienti, i fornitori e il personale collaboratore e di servizio [aggiungere altro se necessario] .... ..............................................................................., tratta i dati per tutte le incombenze e le necessità richieste per l’esercizio della professione nel rispetto del Codice per la protezione dei dati personali, del Codice deontologico e della Legge Professionale ).

b) Dott…………………………………….. - Incaricato del Trattamento

(Nella sua qualità di praticante, è incaricato del trattamento relativamente alle funzioni che derivano per obblighi di legge,di contratto, e deontologici).

c) Sig………………………………………- Incaricata/o Addetta/o al Trattamento .  

(Nella sua qualità di operatore amm.vo, segretario/a collaboratore per l’espletamento delle funzioni che gliene derivano per obbligo di legge e di contratto, compresi gli obblighi ad essa/o estesi in ragione della segretezza e della riservatezza sulle informazioni di cui viene a conoscenza).

d) Specificare altri soggetti:

Commercialista

                                                                                                                                               

Sostituto processuale

                      

Consulente tecnico

                                   

(altro tipo, specificare)......................................

4)I dati sono trattati mediante inserimento in archivio:

Cartaceo Informatico (altro tipo, specificare)....................

a) l'archivio cartaceo è ubicato in ..........................................................

lontano dalla zona dove sostano i clienti e, comunque, inaccessibile a soggetti estranei allo studio;

in particolare all'archivio accedono:

– ..............................................., nella sua qualità di............................

per l'espletamento delle sue funzioni............................................................

 – ..............................................., nella sua qualità di..............................

per l'espletamento delle sue funzioni............................................................

– (specificare eventuali altri soggetti, ruolo e funzioni) .......................................

.........................................................................................................

b) l’archivio informatico è conservato su supporto protetto da credenziali di autenticazione distribuite dal titolare/responsabile del trattamento agli incaricati; a questi ultimi è distribuita anche chiave di accesso al terminale dal quale operano nel rispetto delle disposizioni di cui all’allegato b del T.U.;

(Altro) ...............................................................................................................

c) Il sistema informatico è così composto:

N°.........computer singoli 

N°. .........computer in rete LAN                                                                

Rete collegata ad internet

N°........computer singoli collegati ad internet

Dispositivo wireless

Firewall

Anti-virus

(altro) .....................................................................................................

............................................................................................................

5) Misure di sicurezza adottate:

Oltre alle credenziali di autenticazione per l'accesso agli archivi e alla parola chiave per l'accesso al singolo pc, tutti i computer sono protetti da programmi anti-virus e anti intrusione, periodicamente aggiornati nel rispetto della legge, così come nel rispetto della legge sono periodicamente aggiornati i sistemi operativi;

il portone di ingresso allo Studio è dotato di :

Serratura normale

Serratura di sicurezza

Blindatura

Lo studio è protetto da sistema di allarme.(specificare il tipo).......................................................................

Lo studio è protetto da sistema antincendio ..........................................................................................

Contratto con società privata di sorveglianza ........................................................................................

Impianto elettrico a norma CE ..........................................................................................................

Gruppo di continuità per garantire il sistema informatico e quello antifurto ......................................................

Cassaforte ignifuga per conservazione copie informatiche di sicurezza archivi .................................................

(indicare altri eventuali dispositivi) ....................................................................................................

......................................... ....................................................................................................

6) Esame dei rischi cui sono sottoposti i dati:

Considerato quanto sopra esposto, tenuto conto dei rischi cui vanno incontro i dati trattati nello studio: furto, incendio, distruzione, accesso abusivo, divulgazione involontaria e volontaria, azione di virus, di worms, blocco del sistema informatico, sottrazione credenziali, distrazione, errori materiali;

(altri eventuali rischi)...................................................................................

possiamo ragionevolmente dichiarare che tali rischi, sono tutti bilanciati e contrastati dalle misure di sicurezza sopra indicate e adottate in conformità alla normativa in vigore.

(indicare eventuali situazioni diverse da quelle descritte ).....................................
.......................................................................................................

Ogni settimana vengono effettuata copia di backup dei dati informatici per l'accesso alle quali vengono utilizzate credenziali di autenticazione conosciute dal Titolare del trattamento. Le copie di backup sono conservate in luogo sicuro e protetto, diverso da quello in cui vengono abitualmente tenuti i dati; luogo la cui accessibilità è riservata al solo Titolare / Responsabile del trattamento. In caso di perdita totale o parziale dei dati degli archivi, gli stessi possono essere comunque agevolmente ricostruiti e resi disponibili ricorrendo alla copia di back-up.

(altro ).......................................................................................................
................................................................................................................

7) Il Titolare/Responsabile provvede a fornire agli incaricati e agli altri soggetti dello studio, la necessaria formazione sul corretto comportamento necessario al rispetto della legge sulla tutela dei dati personali; oltre a controllare e vigilare sul rispetto delle misure di sicurezza.

8) Nello Studio non si affidano dati all’esterno; qualora però questo sia necessario, per le ragioni del proprio ufficio e professionali, saranno prese le seguenti precauzioni: trasmissione mediante plichi assicurati raccomandati, oppure mediante corriere di fiducia; trasporto in contenitori protetti e sotto il controllo, fino a destinazione, di un incaricato ad acta, in ogni caso per tutti i documenti che usciranno a tali fini dallo studio, saranno predisposte copie cartacee o informatiche così da poterli ricostruire nei termini previsti dalla norma in caso di sinistro.

(altro ).........................................................................................................
..............................................................................................................

9) Il DPS così redatto integra e sostituisce il precedente. Si dichiara che il precedente DPS viene distrutto per ragioni di sicurezza contestualmente alla firma del presente documento (dichiarazione volontaria non obbligatoria per legge).

Data…………………………........... Avv………………………………………

Il presente Dps è da considerare un modello base da integrare e modificare in ragione delle diverse esigenze e realtà che caratterizzano ogni studio legale. Si consiglia di visitare il sito www.garanteprivacy.it

 Note di ausilio alla compilazione del documento Programmatico sulla Sicurezza

Punto 1) inserire i dati richiesti corrispondenti all'avvocato che è il dominus dello studio e che è anche il titolare ed eventualmente responsabile del trattamento dei dati . (quest'ultima ipotesi ricorre nel caso in cui non vi siano altri soggetti nominati responsabili del trattamento)

Punto 2) Spuntare le voci relative ai soggetti i cui dati vengono trattati nello studio legale. Qualora venissero trattati dati di soggetti non presenti nell'elenco, specificare gli stessi nella apposita area tratteggiata.  

Spuntare i tipi di trattamento effettuati, in genere lo studio legale effettua tutti i trattamenti indicati. 

Punto 3) Indicare :

a) Titolare del trattamento (di solito l'avvocato indicato al punto 1).

b) Incaricato del trattamento (generalmente il collaboratore o il praticante).

c) Segretaria/o ed altri soggetti che per ragione del proprio ruolo e funzione all'interno dello studio, accedono ai dati e li trattano.

d) Altri soggetti interni o esterni alla struttura. (Specificare il loro ruolo, i dati da loro trattati e i motivi e le modalità del trattamento, ad esempio il commercialista per i dati da lui trattati ai fini dell'espletamento del mandato professionale, contabili, fiscali, tributari, realtivi al rapporto di lavoro dipendenti e sanitari dei dipendenti stessi; l'eventuale sostituto processuale, il consulente tecnico o di altra natura...ecc...)

Punto 4) Specificare la natura dell'archivio in cui vengono inseriti i dati spuntando la casella relativa;

a) indicare l'ubicazione dell'archivio cartaceo nell'ambito dello dello studio ( es : stanza dell'avvocato Tizio o stanza della segretaria ecc...)

indicare poi nome e cognome, qualità (responsabile/incaricato) e funzioni(collaboratore, praticante, segretaria/o).

b) Indicare altri eventuali soggetti indicando sempre la qualità e le funzioni, volendo si può anche indicare dove si trovano materialmente i dati informatici, ad esempio P.C. dell' avvocato, della segreteria, del collaboratore/i nel server della rete Lan...ecc......

c) Spuntare le caselle interessate indicando anche il numero dei computer presenti ed eventuali altri dispositivi non indicati (ad es: agende elettroniche o telefonini con agenda ed altri strumenti nei quali vengono inseriti i dati).

Per rete LAN si intende una rete composta da computer collegati tra di loro ma non ad internet.

Punto 5)

indicare negli spazi tratteggiati eventuali altri dispositivi di sicurezza non indicati;

spuntare i dispositivi di sicurezza indicati presenti nello studio.

Punto 6) L'esame dei rischi consiste in una ricognizione e successiva valutazione comparata della realtà dello studio legale vista dal punto di vista dei dati trattai, dei rischi cui i dati sono soggetti e delle misure adottate per contrastare adeguatamente questi rischi. Qualora vi siano rischi che non sono adeguatamente contrastati, indicare il modo in cui si intende intervenire per porre rimedio alla situazione di pericolo ed i tempi di intervento.

Punto 7-8) Sono dichiarazioni necessarie e richieste dalla legge, se comunque la realtà dello studio è diversa, sbarrare lo stampato e descriverla.

Punto 9) La dichiarazione è facoltativa, viene resa a seconda le policy sulla sicurezza adottate in precedenza.