Protezione dei Dati Personali e Rispetto del GDPR

Estratto dei Requisiti in materia di sicurezza delle informazioni e protezione dei dati Personali cui gli "Enti delegati", nominato quali Responsabili del Trattamento ai sensi dell’art. 28 del GDPR, devono far riferimento durante lo svolgimento delle attività oggetto di convenzione con Arcea.

 

  1. Dati trattati

I dati trattati dall'Ente delegato in nome e per conto dell'Agenzia, quali ad esempio quelli relativi alle domande di aiuto/pagamento, i dati per costituire ed aggiornare il fascicolo aziendale ovvero i documenti presentati dal produttore nell'ambito dei compiti assegnati all'Ente, devono essere trattati nel rispetto della normative vigente in tema di sicurezza e privacy e nel rispetto delle prescrizioni emanate da ARCEA.

Ai suddetti dati è stato assegnato un livello di classificazione MEDIO (ad eccezione di eventuali dati giudiziari a cui è attributo un livello di classificazione alto) ovvero:

  • dati che, se divulgati, possono comportare responsabilità di tipo amministrativo o danneggiare terze parti (riservatezza);
  • dati che, se alterati o diffusi con valori diversi da quelli reali, possono comportare disguidi o errori nello svolgimento di pratiche amministrative/istituzionali (integrità);
  • dati che, in caso di indisponibilità prolungata, possono comportare ripercussioni significative nello svolgimento dei procedimenti amministrativi/istituzionali di Arcea (disponibilità);
  • dati personali relativi al Codice in materia di protezione dei dati personali (Dlgs. 196/03) di tipo identificativo e comune (riservatezza e integrità).

I documenti cartacei che contengono i suddetti dati, inclusi quelli giudiziari, sono classificati come “Confidenziali”.

 

  1. Misure di sicurezza per proteggere i dati su supporto informatico

I dati trattati con strumenti informatici, dato il suddetto livello di classificazione massimo attribuito in sede di classificazione delle informazioni pari a MEDIO, devono essere protetti con le seguenti misure di sicurezza minime:

  • le informazioni devono essere protette da accessi non autorizzati;
  • devono essere applicate le misure previste dal "Disciplinare tecnico in materia di misure minime di sicurezza “allegato B” del D.lgs. 196/03;
  • devono essere applicate le misure previste dal Garante della Privacy con il Provvedimento "Rifiuti di apparecchiature elettriche ed elettroniche (Raae) e misure di sicurezza dei dati personali - 13 ottobre 2008" sulla corretta dismissione degli apparati elettronici contenenti dati personali.

 

  1. Misure di sicurezza per proteggere i dati su supporto cartaceo

I documenti cartacei, dato il livello di classificazione più stringente loro assegnato pari a CONFIDENZIALE, devono rispettare le seguenti misure di sicurezza minime.

  • devono essere conservati in appositi armadi o cassettiere protetti;
  • in assenza di una specifica autorizzazione di ARCEA, possono essere trasmessi o riprodotti, su specifica richiesta formale, esclusivamente alle autorità di polizia e/o all'autorità giudiziaria. In tutti gli altri casi è vietata la trasmissione o la riproduzione a soggetti diversi dal titolare del fascicolo;
  • la loro distruzione deve avvenire per sminuzzamento tramite appositi strumenti.

 

Il personale autorizzato ad accedere a tali documenti deve osservare nella gestione della documentazione cartacea le seguenti norme comportamentali:

  • I documenti cartacei presenti presso i locali degli uffici devono essere conservati in maniera che ad essi non accedano persone prive di autorizzazione.
  • Qualora il personale abbandoni temporaneamente la postazione di lavoro deve preoccuparsi di non lasciare incustodito e visibile, a chi non è autorizzato, alcun documento cartaceo, che non sia classificato pubblico, e deve attivare le opportune precauzioni a tutela della riservatezza dei documenti.
  • Al termine della giornata lavorativa la documentazione deve essere riposta nei luoghi di conservazione previsti in base alla classificazione di sicurezza assegnata (armadi e cassetti con o senza serratura, cassaforte, ecc).
  • La documentazione cartacea non deve essere riprodotta o divulgata per fini diversi da quelli per cui è stata prodotta.
  • Il personale in possesso di documentazione cartacea deve rispettare la riservatezza ed il segreto d’ufficio, secondo le norme previste dal Contratto Collettivo Nazionale applicabile e dal D. Lgs. 196/2003.
  • La documentazione cartacea spedita via posta, interna o esterna, deve essere chiusa in un involucro. L’involucro deve riportare l’indirizzo del mittente e del destinatario e non deve permettere l’accesso visivo alle informazioni in esso contenute.
  • I documenti cartacei prodotti classificati come “diffusione limitata” devono essere conservati in armadi o in cassetti e non tenuti sulle scrivanie delle singole persone, nel rispetto della politica della scrivania pulita.
  • I documenti cartacei prodotti classificati come “confidenziali” devono essere conservati in armadi protetti, cioè tenuti chiusi a chiave, conservata dall’utilizzatore della documentazione o dal suo responsabile.
  • In assenza di una specifica autorizzazione di ARCEA, i documenti classificati come “confidenziali” possono essere trasmessi o riprodotti, su specifica richiesta formale, esclusivamente alle autorità di polizia e/o all'autorità giudiziaria. In tutti gli altri casi è vietata la trasmissione o la riproduzione a soggetti diversi dal titolare del fascicolo.
  • Per ulteriori dettagli si rimanda all’allegata procedura di Classificazione delle Informazioni, la cui ultima versione è stata approvata dall’ARCEA con Decreto num.
  1. Misure di sicurezza per proteggere i dati su supporto digitale

Gestione formale delle utenze per l’accesso al SIAN

È necessario definire ed adottare un processo di gestione formale per l’assegnazione di informazioni segrete di autenticazione (codice utente, password, PIN, ecc.).

L’Ente Delegato deve individuare e nominare con atto formale il “Responsabile delle utenze” quale soggetto responsabile dell’assegnazione delle utenze per l’accesso al sistema SIAN ai funzionari incaricati dello svolgimento delle attività delegate all’Ente delegato.

L’attribuzione delle utenze su sistema SIAN deve essere effettuata nel rispetto del principio della separazione delle funzioni e in ottemperanza alle norme previste in merito a tale principio dai regolamenti UE n. 1306/2013 e n. 1305/2012 e dai rispettivi regolamenti delegati e di esecuzione e s.m.i.

Il processo deve includere almeno i seguenti requisiti di sicurezza:

  • Gli utenti devono essere tenuti a firmare una dichiarazione che li impegni a mantenere riservate le informazioni segrete di autenticazione.
  • Le informazioni segrete di autenticazione consegnate agli utenti devono avere validità temporanea e devono essere cambiate al primo utilizzo.
  • Deve essere verificata l’identità di un utente prima di fornire, rimpiazzare o sostituire nuove informazioni segrete di autenticazione.
  • Le informazioni segrete di autenticazione temporanee devono essere consegnate agli utenti in modo sicuro.
  • Gli utenti devono confermare la ricezione delle informazioni segrete di autenticazione.
  • Le informazioni segrete di autenticazione di default dei produttori devono, se possibile, essere modificate a seguito dell’installazione di sistemi o software.

Per il dettaglio operativo si può fare riferimento alla procedura definita nel documento di AGEA “ZGA-X-K6-001 Procedura Gestione Utenze SIAN”.

  1. Norme comportamentali per il personale a cui sono assegnate le utenze per l'accesso al SIAN.
  2. Mantenere riservate le informazioni segrete di autenticazione, assicurandosi che non vengano divulgate a nessun'altra terza parte, incluso personale con autorità.
  3. Evitare di tenere una registrazione (ad esempio su carta, documenti software o dispositivi portatili) delle informazioni segrete di autenticazione, a meno che questa possa essere memorizzata in modo sicuro.
  4. Modificare le informazioni segrete di autenticazione ogni qualvolta vi sia un1indicazione della loro possibile compromissione.
  5. Le password devono presentare le seguenti caratteristiche:
    1. lunghezza minima di 8 caratteri
    2. non basate su qualcosa che qualcun altro possa facilmente indovinare od ottenere utilizzando informazioni relative alla persona, per esempio nomi, numeri di telefono e date di nascita, ecc.;
    3. non vulnerabili ad attacchi a dizionario (es. non composte da parole incluse nei dizionari);
    4. prive di caratteri consecutivi identici;
    5. non formate da soli caratteri alfanumerici o numerici ma usando una combinazione di entrambi;
    6. formate anche da caratteri speciali (es. ( ] @ #);
    7. se temporanee, cambiate al primo log-on;
    8. quando vengono cambiate non siano uguali ad altre password precedentemente utilizzate.
  6. Non condividere informazioni segrete di autenticazione di utenti individuali.
  7. Assicurare un'adeguata protezione delle password quando sono memorizzate in procedure automatiche di log-on.
  8. Non usare le stesse informazioni segrete di autenticazione per scopi aziendali e non.
  9. Gestione degli incidenti

Nel caso si verificassero incidenti di sicurezza relativamente ai dati oggetto di trattamento da parte dell'Ente delegato (furto di identità, accesso non autorizzato al SIAN, furto di documenti, perdita di documenti, accesso non autorizzato a documenti, utenza non disabilitata se l'utente a cui è stata assegnata non è più autorizzato ad accedere al SIAN, etc.), l'Ente delegato deve immediatamente segnalare l'incidente al Responsabile sicurezza delle informazioni di Arcea (ing. Giuseppe Arcidiacono – Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.).

 

  1. Ulteriori Prescrizioni in materia di sicurezza delle informazioni

Considerato che l’ARCEA, ai sensi del’art. 3 punto ii e iii dell’allegato A del Reg. (UE) 907/2014 ha adottato la ISO – 27002 quale standard internazionale sul quale basare la sicurezza del proprio sistema informativo, L’Ente delegato si impegna a rispettare le ulteriori prescrizioni in materia di Sicurezza delle Informazioni che l’ARCEA provvederà a comunicare, per il tramite dei canali informativi correntemente utilizzati (ad esempio PEC, portale dedicato, email etc), al fine di fornire dettagli implementativi, declinati in una versione applicabile al contesto di riferimento e derivanti dalle attività di risk assessment condotte periodicamente dai Servizi dell’ARCEA, della predetta norma di sicurezza.

Visite: 4744

Procedimenti Amministrativi

torna all'inizio del contenuto