Protezione dei Dati Personali e Rispetto del GDPR

In questa sezione sono riportate le principali informazioni inerenti le azioni e le misure poste in essere da ARCEA a presidio della Protezione dei Dati Personali, in ossequio al Regolamento Generale per la Protezione dei Dati (GDPR). 

 

Protezione dei Dati Personali e Rispetto del GDPR

La protezione del patrimonio informativo aziendale, che s'inserisce nell'ambito più generale delle esigenze di tutela complessiva dell’Agenzia, si articola nelle seguenti componenti:

  • Protezione delle persone;
  • Protezione delle informazioni.
  • Protezione dei beni materiali e immateriali;

Per ARCEA il patrimonio informativo è un bene aziendale che assume un rilevante valore strategico; è fondamentale garantire la sicurezza delle informazioni al fine di assicurare:

  • La protezione dei dati personali ed rispetto delle leggi in materia della privacy
  • La tutela e la continuità del business;
  • La salvaguardia dell'immagine aziendale;
  • La tutela del know-how acquisito;
  • La salvaguardia dei diritti degli stakeholder (dipendenti, utenti, fornitori, istituti di credito, istituti finanziari ecc.)

ARCEA, nell'ambito della sicurezza delle informazioni e della protezione dei dati personali, intende assicurare che le protezioni previste ed attuate siano graduate in funzione dell'importanza/criticità delle informazioni protette al fine di ottimizzarne l'aspetto economico di gestione e la velocità/flessibilità di accesso e di scambio di dati e notizie.

In particolare, ARCEA intende garantire che le informazioni siano create, conservate e diffuse secondo requisiti adatti alla loro natura facendo in modo che siano sempre rispettate:

  • La riservatezza, ovvero la garanzia che l'informazione sia accessibile solo alle persone autorizzate;
  • L’integrità, ovvero la garanzia che l'informazione sia protetta da alterazioni indebite;
  • La disponibilità, ovvero la garanzia che l'informazione sia fruibile dalle persone autorizzate.

Le informazioni, qui di seguito definite, sono trattate da ARCEA in funzione della loro natura e degli obiettivi di sicurezza che si intende raggiungere:

  • Informazioni di natura aziendale: sono tutte le informazioni di esclusiva proprietà di ARCEA o di suo legittimo utilizzo, riferite direttamente e/o indirettamente alla natura ed alle attività della Agenzia (dati, notizie, trattati, elaborati, ecc.). Per tali informazioni l'obiettivo è quello garantirne la riservatezza, l'integrità e la disponibilità in funzione dell'importanza/criticità che l'informazione stessa riveste;
  • Informazioni di natura personale: sono tutti i dati personali e/o particolari relativi ai dipendenti, agli utenti, ai fornitori nonché a tutte le persone fisiche e giuridiche con cui la Agenzia viene a contatto. Per tali informazioni l'obiettivo è quello di tutelare la privacy degli interessati anche attraverso l'adempimento degli obblighi previsti dal Regolamento per la Protezione dei Dati Personali (GDPR) e, nelle parti che con confligono con la normativa comunitaria e che non sono abrogate dal legislatore italiano, dalla legge n. 196/2003.

 

L’ARCEA, ai sensi della normativa comunitaria, adegua il proprio sistema di sicurezza delle informazioni allo standard ISO 27002.

Visite: 3777

Protezione dei Dati Personali e Rispetto del GDPR

Estratto dei Requisiti in materia di sicurezza delle informazioni e protezione dei dati Personali cui gli "Enti delegati", nominato quali Responsabili del Trattamento ai sensi dell’art. 28 del GDPR, devono far riferimento durante lo svolgimento delle attività oggetto di convenzione con Arcea.

 

  1. Dati trattati

I dati trattati dall'Ente delegato in nome e per conto dell'Agenzia, quali ad esempio quelli relativi alle domande di aiuto/pagamento, i dati per costituire ed aggiornare il fascicolo aziendale ovvero i documenti presentati dal produttore nell'ambito dei compiti assegnati all'Ente, devono essere trattati nel rispetto della normative vigente in tema di sicurezza e privacy e nel rispetto delle prescrizioni emanate da ARCEA.

Ai suddetti dati è stato assegnato un livello di classificazione MEDIO (ad eccezione di eventuali dati giudiziari a cui è attributo un livello di classificazione alto) ovvero:

  • dati che, se divulgati, possono comportare responsabilità di tipo amministrativo o danneggiare terze parti (riservatezza);
  • dati che, se alterati o diffusi con valori diversi da quelli reali, possono comportare disguidi o errori nello svolgimento di pratiche amministrative/istituzionali (integrità);
  • dati che, in caso di indisponibilità prolungata, possono comportare ripercussioni significative nello svolgimento dei procedimenti amministrativi/istituzionali di Arcea (disponibilità);
  • dati personali relativi al Codice in materia di protezione dei dati personali (Dlgs. 196/03) di tipo identificativo e comune (riservatezza e integrità).

I documenti cartacei che contengono i suddetti dati, inclusi quelli giudiziari, sono classificati come “Confidenziali”.

 

  1. Misure di sicurezza per proteggere i dati su supporto informatico

I dati trattati con strumenti informatici, dato il suddetto livello di classificazione massimo attribuito in sede di classificazione delle informazioni pari a MEDIO, devono essere protetti con le seguenti misure di sicurezza minime:

  • le informazioni devono essere protette da accessi non autorizzati;
  • devono essere applicate le misure previste dal "Disciplinare tecnico in materia di misure minime di sicurezza “allegato B” del D.lgs. 196/03;
  • devono essere applicate le misure previste dal Garante della Privacy con il Provvedimento "Rifiuti di apparecchiature elettriche ed elettroniche (Raae) e misure di sicurezza dei dati personali - 13 ottobre 2008" sulla corretta dismissione degli apparati elettronici contenenti dati personali.

 

  1. Misure di sicurezza per proteggere i dati su supporto cartaceo

I documenti cartacei, dato il livello di classificazione più stringente loro assegnato pari a CONFIDENZIALE, devono rispettare le seguenti misure di sicurezza minime.

  • devono essere conservati in appositi armadi o cassettiere protetti;
  • in assenza di una specifica autorizzazione di ARCEA, possono essere trasmessi o riprodotti, su specifica richiesta formale, esclusivamente alle autorità di polizia e/o all'autorità giudiziaria. In tutti gli altri casi è vietata la trasmissione o la riproduzione a soggetti diversi dal titolare del fascicolo;
  • la loro distruzione deve avvenire per sminuzzamento tramite appositi strumenti.

 

Il personale autorizzato ad accedere a tali documenti deve osservare nella gestione della documentazione cartacea le seguenti norme comportamentali:

  • I documenti cartacei presenti presso i locali degli uffici devono essere conservati in maniera che ad essi non accedano persone prive di autorizzazione.
  • Qualora il personale abbandoni temporaneamente la postazione di lavoro deve preoccuparsi di non lasciare incustodito e visibile, a chi non è autorizzato, alcun documento cartaceo, che non sia classificato pubblico, e deve attivare le opportune precauzioni a tutela della riservatezza dei documenti.
  • Al termine della giornata lavorativa la documentazione deve essere riposta nei luoghi di conservazione previsti in base alla classificazione di sicurezza assegnata (armadi e cassetti con o senza serratura, cassaforte, ecc).
  • La documentazione cartacea non deve essere riprodotta o divulgata per fini diversi da quelli per cui è stata prodotta.
  • Il personale in possesso di documentazione cartacea deve rispettare la riservatezza ed il segreto d’ufficio, secondo le norme previste dal Contratto Collettivo Nazionale applicabile e dal D. Lgs. 196/2003.
  • La documentazione cartacea spedita via posta, interna o esterna, deve essere chiusa in un involucro. L’involucro deve riportare l’indirizzo del mittente e del destinatario e non deve permettere l’accesso visivo alle informazioni in esso contenute.
  • I documenti cartacei prodotti classificati come “diffusione limitata” devono essere conservati in armadi o in cassetti e non tenuti sulle scrivanie delle singole persone, nel rispetto della politica della scrivania pulita.
  • I documenti cartacei prodotti classificati come “confidenziali” devono essere conservati in armadi protetti, cioè tenuti chiusi a chiave, conservata dall’utilizzatore della documentazione o dal suo responsabile.
  • In assenza di una specifica autorizzazione di ARCEA, i documenti classificati come “confidenziali” possono essere trasmessi o riprodotti, su specifica richiesta formale, esclusivamente alle autorità di polizia e/o all'autorità giudiziaria. In tutti gli altri casi è vietata la trasmissione o la riproduzione a soggetti diversi dal titolare del fascicolo.
  • Per ulteriori dettagli si rimanda all’allegata procedura di Classificazione delle Informazioni, la cui ultima versione è stata approvata dall’ARCEA con Decreto num.
  1. Misure di sicurezza per proteggere i dati su supporto digitale

Gestione formale delle utenze per l’accesso al SIAN

È necessario definire ed adottare un processo di gestione formale per l’assegnazione di informazioni segrete di autenticazione (codice utente, password, PIN, ecc.).

L’Ente Delegato deve individuare e nominare con atto formale il “Responsabile delle utenze” quale soggetto responsabile dell’assegnazione delle utenze per l’accesso al sistema SIAN ai funzionari incaricati dello svolgimento delle attività delegate all’Ente delegato.

L’attribuzione delle utenze su sistema SIAN deve essere effettuata nel rispetto del principio della separazione delle funzioni e in ottemperanza alle norme previste in merito a tale principio dai regolamenti UE n. 1306/2013 e n. 1305/2012 e dai rispettivi regolamenti delegati e di esecuzione e s.m.i.

Il processo deve includere almeno i seguenti requisiti di sicurezza:

  • Gli utenti devono essere tenuti a firmare una dichiarazione che li impegni a mantenere riservate le informazioni segrete di autenticazione.
  • Le informazioni segrete di autenticazione consegnate agli utenti devono avere validità temporanea e devono essere cambiate al primo utilizzo.
  • Deve essere verificata l’identità di un utente prima di fornire, rimpiazzare o sostituire nuove informazioni segrete di autenticazione.
  • Le informazioni segrete di autenticazione temporanee devono essere consegnate agli utenti in modo sicuro.
  • Gli utenti devono confermare la ricezione delle informazioni segrete di autenticazione.
  • Le informazioni segrete di autenticazione di default dei produttori devono, se possibile, essere modificate a seguito dell’installazione di sistemi o software.

Per il dettaglio operativo si può fare riferimento alla procedura definita nel documento di AGEA “ZGA-X-K6-001 Procedura Gestione Utenze SIAN”.

  1. Norme comportamentali per il personale a cui sono assegnate le utenze per l'accesso al SIAN.
  2. Mantenere riservate le informazioni segrete di autenticazione, assicurandosi che non vengano divulgate a nessun'altra terza parte, incluso personale con autorità.
  3. Evitare di tenere una registrazione (ad esempio su carta, documenti software o dispositivi portatili) delle informazioni segrete di autenticazione, a meno che questa possa essere memorizzata in modo sicuro.
  4. Modificare le informazioni segrete di autenticazione ogni qualvolta vi sia un1indicazione della loro possibile compromissione.
  5. Le password devono presentare le seguenti caratteristiche:
    1. lunghezza minima di 8 caratteri
    2. non basate su qualcosa che qualcun altro possa facilmente indovinare od ottenere utilizzando informazioni relative alla persona, per esempio nomi, numeri di telefono e date di nascita, ecc.;
    3. non vulnerabili ad attacchi a dizionario (es. non composte da parole incluse nei dizionari);
    4. prive di caratteri consecutivi identici;
    5. non formate da soli caratteri alfanumerici o numerici ma usando una combinazione di entrambi;
    6. formate anche da caratteri speciali (es. ( ] @ #);
    7. se temporanee, cambiate al primo log-on;
    8. quando vengono cambiate non siano uguali ad altre password precedentemente utilizzate.
  6. Non condividere informazioni segrete di autenticazione di utenti individuali.
  7. Assicurare un'adeguata protezione delle password quando sono memorizzate in procedure automatiche di log-on.
  8. Non usare le stesse informazioni segrete di autenticazione per scopi aziendali e non.
  9. Gestione degli incidenti

Nel caso si verificassero incidenti di sicurezza relativamente ai dati oggetto di trattamento da parte dell'Ente delegato (furto di identità, accesso non autorizzato al SIAN, furto di documenti, perdita di documenti, accesso non autorizzato a documenti, utenza non disabilitata se l'utente a cui è stata assegnata non è più autorizzato ad accedere al SIAN, etc.), l'Ente delegato deve immediatamente segnalare l'incidente al Responsabile sicurezza delle informazioni di Arcea (ing. Giuseppe Arcidiacono – Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.).

 

  1. Ulteriori Prescrizioni in materia di sicurezza delle informazioni

Considerato che l’ARCEA, ai sensi del’art. 3 punto ii e iii dell’allegato A del Reg. (UE) 907/2014 ha adottato la ISO – 27002 quale standard internazionale sul quale basare la sicurezza del proprio sistema informativo, L’Ente delegato si impegna a rispettare le ulteriori prescrizioni in materia di Sicurezza delle Informazioni che l’ARCEA provvederà a comunicare, per il tramite dei canali informativi correntemente utilizzati (ad esempio PEC, portale dedicato, email etc), al fine di fornire dettagli implementativi, declinati in una versione applicabile al contesto di riferimento e derivanti dalle attività di risk assessment condotte periodicamente dai Servizi dell’ARCEA, della predetta norma di sicurezza.

Visite: 4546

Protezione dei Dati Personali e Rispetto del GDPR

Ai sensi dell'art. 28 del GDPR, ARCEA ha nominato alcuni Responsabili Esterni del Trattamento dei Dati Personali, cui sono stati assegnati i trattamenti indicati nella tabella seguente: 

Trattamento   Responsabile esterno
 

CAA Convenzionati con ARCEA 

(CAA Convenzionati)

SIN SRL Regione Calabria Whistleblowing Solutions I.S. S.r.l.,
T01. Trattamento dei dati finalizzato a concessioni, autorizzazioni, iscrizioni, agevolazioni, finanziamenti ed altri benefici a soggetti economici   X    
 T01.1: Acquisizione, conservazione custodia e aggiornamento dei “fascicoli aziendali” e delle attività correlate, delegate dall’Agenzia, inclusa le registrazione dei dati nel SIAN. X X    
T01.2: Acquisizione, modifica, conservazione, custodia e aggiornamento delle domande di pagamento, dei verbali dei controlli e di tutte le attività correlate, delegate dall’Agenzia, inclusa la modifica dei dati presenti nel SIAN.   X X  
T02 Trattamento dei dati finalizzato alla certificazione delle spese dei fondi  FESR e FEAGA   X    
T04. Trattamento dei dati finalizzato ad attività sanzionatoria e di tutela amministrativa e giudiziaria   X    
T08 Trattamento dei dati finalizzato alla gestione e amministrazione di profili autorizzativi per l’accesso a banche dati e servizi di rete   X    
T11 Trattamento dei dati finalizzato all’analisi, progettazione, sviluppo e manutenzione software applicativo   X    
T15 Trattameno dei dati finalizzato all'accertamento di eventuali illeciti denunciati nell'interesse dell'integrità dell'ente da soggetti che, in ragione del proprio rapporto di lavoro presso l’Ente, vengano a conoscenza di condotte illecite.       X

A tutti i responsabili sono state fornite apposite istruzioni operative. 

Visite: 3797

Protezione dei Dati Personali e Rispetto del GDPR

Arcea ha nominato e comunicato al Garante per la Protezione dei Dati personali, ai sensi dell’art. 37 del regolamento, un proprio Responsabile della Protezione dei Dati (RPD) nella persona dell’ Ing. Giuseppe Arcidiacono, i cui dati di contatto sono i seguenti:

* Telefono: 0961 750531

* PEC: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. 

* Email: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. 

Visite: 3986

Protezione dei Dati Personali e Rispetto del GDPR

INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI AI SENSI DELL’ART. 13 e 14 DEL Reg UE 679/2016

La presente informativa rappresenta un adempimento previsto dal Regolamento (UE) 2016/679, Regolamento Generale sulla Protezione dei Dati (d’ora in poi, RGPD), che, ai sensi degli art. 13 e 14, prevede l’obbligo di fornire ai soggetti interessati le informazioni necessarie ad assicurare un trattamento dei propri dati personali corretto e trasparente.

Di seguito, pertanto, si illustra sinteticamente come verranno utilizzati i dati dichiarati e quali sono i diritti riconosciuti all’interessato.

Finalità del trattamento

 

 

 

I dati personali che l’Agenzia della Regione Calabria per le erogazioni in agricoltura (ARCEA), richiede o già detiene, per lo svolgimento delle proprie attività istituzionali, previste dalla normativa nazionale e comunitaria, sono trattati per:

a.    finalità connesse e strumentali alla gestione ed elaborazione delle informazioni relative alla Azienda dell’utente, inclusa quindi la raccolta dati e l’inserimento nel Sistema Informativo Agricolo Nazionale (SIAN) o nei sistemi informativi dell'ARCEA per la costituzione o aggiornamento  dell’Anagrafe delle aziende,  la presentazione di istanze per la richiesta di aiuti, erogazioni contributi, premi;

b.    accertamenti amministrativi, accertamenti in loco e gestione del contenzioso;

c.    adempimento di disposizioni comunitarie e nazionali;

d.   obblighi di ogni altra natura comunque connessi alle finalità di cui ai precedenti punti, ivi incluse richieste di dati da parte di altre amministrazioni pubbliche ai sensi nella normativa vigente;

e.    gestione delle credenziali per assicurare l’accesso ai servizi del SIAN ed ai sistemi informativi dell'Agenzia ed invio comunicazioni relative ai servizi istituzionali, anche mediante l’utilizzo di posta elettronica.

 

Modalità del trattamento

 

I dati personali trattati sono raccolti direttamente presso il soggetto interessato oppure presso i soggetti delegati ad acquisire documentazione cartacea ed alla trasmissione dei dati in via telematica al SIAN o ai sistemi informativi dell'Agenzia.

I trattamenti dei dati personali vengono effettuati mediante elaborazioni elettroniche (o comunque automatizzate), ovvero mediante trattamenti manuali in modo tale da garantire la riservatezza e la sicurezza dei dati personali in relazione al procedimento amministrativo gestito.

Gli eventuali dati personali sensibili e/o giudiziari saranno trattati in conformità del RGPD.

L’eventuale trattamento di “categorie particolari di dati”, di cui all’art. 9 del RGPD, è effettuato per il tempo strettamente necessario a conseguire gli scopi per i quali i dati sono stati raccolti (nel rispetto degli adempimenti amministrativi, della normativa fiscale e civilistica e per le relative certificazioni) e con l’impiego di misure di sicurezza idonee ad impedire l’accesso ai dati da parte di personale non autorizzato e a garantire la riservatezza e integrità dei Suoi dati.

 

Ambito di comunicazione e diffusione dei dati personali

Alcuni dati sono resi pubblici ai sensi delle vigenti disposizioni comunitarie e nazionali in materia di trasparenza.

In particolare, i dati dei beneficiari degli stanziamenti dei Fondi europei FEAGA e FEASR con riferimento agli importi percepiti nell’esercizio finanziario dell’anno precedente debbono essere consultabili con semplici strumenti di ricerca sul portale del SIAN a norma dell’art. 111 e ss del Reg. (UE) n. 1306/2013, e possono essere trattati da organismi di audit e di investigazione della Comunità Europea e degli Stati membri ai fini della tutela degli interessi finanziari della Comunità.

I dati relativi ai pagamenti devono essere altresì pubblicati nella sezione Amministrazione Trasparente dell’ARCEA e nell’Albo Informatizzato dei Pagamenti dell’Agenzia ai sensi dell’ art. 26, c. 3 d.lgs. n. 33/2013 e delle ulteriori disposizioni in materia di Trasparenza e Anticorruzione.

I dati personali trattati nel SIAN e nei sistemi informativi dell'Agenzia possono essere comunicati, per lo svolgimento di funzioni istituzionali, ad altri soggetti pubblici (quali, ad esempio, Agenzia delle Entrate, Organismi pagatori e Organismi di vigilanza, Ministero delle politiche agricole alimentari e forestali ed enti collegati, Regioni, Comuni, I.N.P.S., ecc.), ovvero alle istituzioni competenti dell’Unione Europea ed alle Autorità Giudiziarie e di Pubblica Sicurezza, in adempimento a disposizioni comunitarie e nazionali.

Gli stessi dati possono altresì essere comunicati a privati o enti pubblici economici qualora ciò sia previsto da disposizioni comunitarie o nazionali.

Natura del conferimento dei  dati personali trattati

 

I dati richiesti nella modulistica predisposta per la presentazione di istanze di parte devono essere dichiarati obbligatoriamente e sono sottoposti anche a verifiche ed accertamenti mediante accessi a dati di altre pubbliche amministrazioni. Tra le informazioni personali trattate rientrano dati di natura “sensibile” e “giudiziaria”. Potrebbero rientrare anche “categorie particolari di dati”, di cui all’art. 9 del RGPD.

 

Tempi di conservazione

I dati saranno trattati per tutto il tempo in cui l'interessato richiede servizi o presenta domande di benefici ad ARCEA, anche per il tramite dei Responsabili del trattamento. Al termine del rapporto intercorrente fra interessati e Titolare del trattamento i dati saranno conservati in conformità alle norme sulla conservazione della documentazione amministrativa.

Titolarità del trattamento

Titolare del trattamento è l’Agenzia della Regione Calabria per le Erogazioni in Agricoltura (ARCEA).

La sede di ARCEA è in Viale Europa – Loc. Germaneto – Cittadella Regionale – 88100 CATANZARO, email: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo..

Il sito web istituzionale dell’Agenzia ha come indirizzo il seguente: http://www.arcea.it

 

Responsabili del trattamento

 

I “titolari del trattamento” possono avvalersi di soggetti nominati “responsabili”.

Presso la sede dell’ARCEA è disponibile l’elenco aggiornato dei Responsabili del Trattamento, fra i quali sono presenti, a titolo esemplificativo e non esaustivo la Società SIN S.p.A., la Regione Calabra, i Centri di Assistenza Agricola riconosciuti, ecc.

 

Dati di contatto del Responsabile della protezione

Arcea ha nominato e comunicato al Garante per la Protezione dei Dati personali, ai sensi dell’art. 37 del regolamento, un proprio RPD nella persona dell’Ing. Giuseppe Miceli, i cui dati di contatto sono i seguenti:

·         Telefono: 0961 750557

·         PEC: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

·         Email: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

 

Diritti dell’interessato

 

 

 

 L’interessato ha diritto di:

-       chiedere al Titolare, ai sensi degli artt. 15, 16, 17, 18, 19 e 21 del RGPD, l’accesso ai propri dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento. La cancellazione non è consentita per i dati contenuti negli atti che devono obbligatoriamente essere conservati dall’Agenzia;

-       revocare il consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;

-       proporre reclamo a un’Autorità di controllo.

 

Tali diritti sono esercitabili scrivendo al Titolare del trattamento, al competente Referente il trattamento dei dati o al Responsabile della protezione dei dati.

 

 

Visite: 4196

Procedimenti Amministrativi

torna all'inizio del contenuto