Accordo per il trattamento dei dati personali tra responsabile e sub-responsabile
Ai sensi del Regolamento Generale sulla Protezione dei Dati UE 679/2016
IL PRESENTE ACCORDO È CONCLUSO TRA:
- Sindar S.r.l. con sede in Corso Ettore Archinti, 35. 26900 Lodi (LO), P.IVA/C.F. 12608410150 (di seguito, “Il Responsabile”)
e
- _______________________________________ con sede legale in ____________________________________________ Iva e Codice Fiscale _________________ – n. REA ___________________, (di seguito, il “Fornitore” o il “Sub-Responsabile del trattamento”)
di seguito, individualmente la “Parte” e congiuntamente le “Parti”.
Prendendo atto che:
- Sindar S.r.l. sottoscrive con i propri Clienti, Titolari del trattamento, contratti aventi ad oggetto servizi di consulenza, per i quali tratta dati personali come Responsabile del trattamento per conto del Titolare. Riferimenti puntuali del Titolare del trattamento e dei servizi che dovranno essere erogati dal Sub-responsabile sono contenuti negli incarichi che Vi verranno di volta in volta affidati; le finalità del trattamento, dei dati personali trattati, degli interessati coinvolti e delle misure di sicurezza da adottare sono definiti nell’ Allegato B – ACCORDO INTEGRATIVO PER IL TRATTAMENTO DEI DATI PERSONALI; ulteriori eventuali misure di sicurezza richieste dal cliente saranno riportate nel documento di incarico;
- L’art. 4 comma 8 del Regolamento Generale sulla Protezione dei Dati UE 679/2016 definisce il Responsabile come: “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.
- L’art. 28 del suddetto Regolamento definisce che:
- comma 1) “Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”.
- comma 3) “I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento”.
1. DEFINIZIONI
Nel presente Accordo:
- “Autorità di Controllo”: ogni autorità competente a vigilare ed assicurare l’applicazione delle Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali con riferimento al Trattamento dei Dati Personali del Cliente svolti per mezzo del Servizio;
- “Categorie Particolari di Dati Personali”: i Dati Personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché il Trattamento di dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona, o i dati relativi a condanne penali e a reati o alle relative misure di sicurezza;
- “Clausole Contrattuali Tipo”: Clausole Contrattuali Tipo adottate dalla Commissione Europea per il trasferimento dei Dati Personali da un Titolare stabilito nell’UE verso un’Entità extra SEE che agisca come Responsabile;
- “Dati Personali del Cliente”: i Dati Personali, relativi agli Interessati, trattati in relazione al Servizio fornito dal Responsabile nei confronti del Titolare;
- “Dati Personali”: qualsiasi informazione riguardante una persona fisica identificata o identificabile; si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale; al fine di evitare contrasti interpretativi, “Dati Personali” ha il significato previsto dal Regolamento e dalle Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali;
- “Decisione di Adeguatezza”: decisione vincolante emessa dalla Commissione Europea che permette il trasferimento dei Dati Personali dallo Spazio Economico Europeo verso un paese terzo il cui ordinamento interno fornisca un adeguato livello di tutela in materia di protezione dei Dati Personali;
- “Diritti dell’Interessato”: diritti riconosciuti all’Interessato dalle Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali. Nei limiti di applicabilità del Regolamento, “Diritti dell’Interessato” significa, ad esempio, il diritto di chiedere al Titolare l’accesso, la rettifica o la cancellazione dei Dati Personali, il diritto alla limitazione del Trattamento dei dati dell’Interessato o il diritto di opposizione al Trattamento, nonché il diritto alla portabilità dei dati;
- “Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali“: il Regolamento Generale sulla Protezione dei Dati UE e le complementari legislazioni nazionali in materia di protezione dei Dati Personali, comprensivi di ogni orientamento e/o code of practice emessi dalla competente Autorità di controllo all’interno dell’Unione Europea; e/o, negli Stati extra UE, ogni vigente legislazione in materia di protezione dei Dati Personali relativa alla tutela ed al legittimo Trattamento di Dati Personali;
- “Interessato/i”: la persona fisica a cui i dati personali si riferiscono;
- “Regolamento”: il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al Trattamento dei Dati Personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE;
- “Responsabile”: la persona fisica o giuridica, la pubblica autorità, l’organismo o altro ente che Tratti Dati Personali per conto del Titolare.
- “Sub-Responsabile”: un organismo individuato dal Responsabile per assisterlo nel (o che intraprenda direttamente qualsivoglia) trattamento dei Dati Personali del Cliente nel rispetto delle obbligazioni previste dal Responsabile e di cui al presente Contratto, individuabile nell’elenco dei Sub-Responsabili, che sia stato autorizzato dal Titolare ai sensi dell’art. 5 del presente Contratto;
- “Titolare”: la persona fisica o giuridica, la pubblica autorità, l’organismo o altro ente che, da solo o congiuntamente con altri soggetti, determini le finalità e le modalità del Trattamento dei Dati Personali. Ai fini del presente Contratto, il Titolare è il Cliente;
- “Trattare” o “Trattamento”: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a Dati Personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;
- “Violazione dei Dati Personali”: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai Dati Personali trasmessi, conservati o comunque trattati.
2. DOVERI DEL SUB-RESPONSABILE NEL RISPETTO DELLE ISTRUZIONI DEL RESPONSABILE
2.1 In relazione alle operazioni di trattamento dei dati effettuati per conto del Responsabile, di cui in allegato B, il Fornitore, in qualità di Sub-Responsabile del Trattamento:
2.1.1 tratterà tali Dati Personali solo ai fini dell’erogazione del/i Servizio/i oggetto del contratto tra le parti e, successivamente, solo nel rispetto di quanto eventualmente concordato dalle Parti per iscritto, agendo pertanto, esclusivamente sulla base delle istruzioni documentate e fornite dal Responsabile e/o Titolare;
2.1.2 non tratterrà Dati Personali per proprie finalità ovvero scopi diversi da quelli necessari a fornire il Servizio di cui al contratto tra le Parti;
2.1.3 conserverà i dati personali, per conto del Responsabile, utilizzando strumenti elettronici e/o su supporti cartacei. Qualora utilizzati dei supporti cartacei, il Sub-Responsabile conformandosi al principio di “limitazione della conservazione” di cui all’art. 5 lett. E) del GDPR), e altresì in ragione del rapporto di fornitura di servizi, provvederà ad attivare un idoneo processo di distruzione, dandone successiva comunicazione al Responsabile del Trattamento.
2.2 Il Sub-Responsabile è dotato di opportune procedure e di ogni altra misura tecnica idonea ad attuare le istruzioni fornite dal Responsabile, le quali comprendono, almeno:
- procedure idonee a garantire il necessario supporto al Titolare per rispettare i diritti degli interessati le richieste da essi formulate al Titolare relativamente ai loro Dati personali;
- interfacce e/o sistemi al fine di supportare il Titolare nel garantire e fornire informazioni agli interessati così come previsto dalla Legge Applicabile;
- procedure atte a presidiare l’aggiornamento, la modifica e la correzione, su richiesta del Titolare, dei Dati Personali di ogni interessato;
- procedure atte a garantire la cancellazione o il blocco dell’accesso ai Dati Personali a richiesta del Titolare;
- procedure atte a garantire il diritto degli Interessati alla portabilità dei dati e di limitazione di trattamento, su richiesta del Titolare, qualora possibile.
2.3 Il Sub-Responsabile rispetta la Legge Applicabile e adempie agli obblighi previsti dal presente Accordo in modo da evitare che il Titolare incorra nella violazione di un qualunque obbligo previsto dalla Legge Applicabile.
2.4 Il Sub-Responsabile garantisce e fornisce al Responsabile cooperazione, assistenza e le informazioni affinché possa ottemperare agli obblighi di cui agli artt. 33- 34- 35- 36 del Regolamento UE 2016/679. Il Responsabile rispetta le indicazioni o le decisioni provenienti dall’ Autorità di Controllo entro un tempo utile che consenta al Titolare di rispettare il termine imposto dalla stessa Autorità.
2.5 Il Sub-Responsabile nel rispetto di quanto previsto all’art. 30 del Regolamento, realizza, mantiene e rende disponibile, a richiesta del Responsabile, un registro delle attività di trattamento sui dati personali di cui al presente accordo.
2.6 Il Sub-Responsabile, al fine di consentire al Titolare di effettuare una valutazione di impatto sulla protezione dei dati personali, che si rende necessaria ogni qual volta un determinato trattamento potrebbe rivelare un rischio elevato per i diritti e le libertà delle persone fisiche, nonché di rispettare quanto previsto all’art. 35 del Regolamento, garantisce supporto e massima collaborazione, a richiesta del Responsabile o del Titolare, al fine di esperire tale tipo di attività.
2.7 Il Sub-Responsabile conserva i Dati Personali in modo da garantire la separazione di tipo logico dai dati Personali trattati per conto di terze parti o per proprio conto.
2.8 Il Sub-Responsabile adotta e mantiene idonee misure di sicurezza, tecniche, organizzative e fisiche per proteggere i Dati Personali da eventuali distruzioni o perdite di natura illecita o accidentale, danni, alterazioni, divulgazioni o accessi non autorizzati, ed in particolare, laddove il trattamento comporta trasmissioni di dati su una rete, da qualsiasi altra forma illecita di trattamento. A tal fine il Sub-Responsabile garantisce l’applicazione dei Requisiti di Sicurezza determinati dal Responsabile, di cui al successivo Allegato C.
2.9 Il Sub-Responsabile garantisce, ove applicabile, il rispetto del Provvedimento del 27 novembre 2008 in materia di amministratori di sistema, fatti salvi gli adeguamenti che potranno essere necessari a seguito dell’applicazione del Regolamento e di suoi eventuali provvedimenti attuativi.
2.10 Il Sub-Responsabile adotta misure tecniche, organizzative e fisiche adeguate alla salvaguardia della sicurezza di qualsiasi rete di comunicazione elettronica o dei servizi forniti al Responsabile o utilizzati per trasferire o trasmettere i Dati Personali (incluse, ad esempio, le misure intese a garantire la segretezza delle comunicazioni così da prevenire l’intercettazione di comunicazioni o l’accesso non autorizzato a qualsiasi computer o sistema), garantendo, in tal modo, la sicurezza delle comunicazioni.
3. AUTORIZZATI AL TRATTAMENTO DEI DATI
3.1 Il Sub-Responsabile garantisce l’affidabilità di qualsiasi dipendente e/o collaboratore che accede ai Dati Personali del Titolare ed assicura che gli stessi:
- abbiano ricevuto adeguata formazione con riferimento alla protezione dei dati;
- siano stati istruiti in merito alla corretta gestione dei Dati Personali;
- siano vincolati a mantenere la riservatezza, ovvero siano soggetti ad obblighi legali di riservatezza.
3.2. In ogni caso il Sub-Responsabile ha la diretta responsabilità in merito a qualsiasi divulgazione dei Dati Personali dovesse realizzarsi ad opera di tali soggetti.
4. TRATTAMENTO EFFETTUATO DA PARTE DI SUB-RESPONSABILI
4.1 Il Fornitore potrà, ai sensi del presente Accordo, sub-appaltare o esternalizzare un qualsiasi Trattamento dei Dati Personali ad altri soggetti, ivi incluse eventuali altre Società collegate al Fornitore (di seguito, il “Sub-Fornitore”), solo nel caso in cui:
- abbia comunicato per iscritto al Responsabile il nome completo, la sede legale o la sede principale degli affari, del Sub-Fornitore mediante la compilazione dell’Allegato A del presente accordo;
- abbia imposto al Sub-Fornitore condizioni vincolanti in materia di trattamento dei Dati Personali non meno onerose di quelle contenute nel presente Accordo;
- Il Titolare non si sia opposto all’esternalizzazione e alla sub-fornitura entro i successivi 7 sette giorni lavorativi dalla ricezione della notifica scritta del Fornitore prevista dalla clausola a);
- abbia integrato il contratto di sub-fornitura con le Clausole contrattuali tipo, se, e nella misura in cui, l’ambito di sub-fornitura comporta il Trattamento dei Dati Personali del Titolare presso paesi extra UE;
4.2 Il Fornitore concorda che tutte le modifiche alle informazioni presenti nell’Allegato A dovranno essere notificate al Responsabile in conformità a quanto previsto nel presente articolo 4.
4.3 In tutti i casi, il Fornitore resta responsabile nei confronti del Responsabile per qualsiasi atto od omissione realizzati da un Sub-fornitore o da altri terzi soggetti incaricati dallo stesso, indipendentemente dal fatto che il Fornitore abbia o meno rispettato i propri obblighi.
4.4 In caso di violazione del presente Accordo causata dalla condotta o da azioni di un Sub-fornitore, il Fornitore – se richiesto dal Titolare – riconosce e attribuisce al Titolare il diritto di agire sostituendosi allo stesso nel contratto con il Responsabile, così da poter esercitare tutte le azioni che riterrà necessarie al fine di salvaguardare i Dati Personali.
5. TRATTAMENTO DEI DATI PERSONALI FUORI DALL’AREA ECONOMICA EUROPEA
5.1 Laddove i Dati Personali originari dell’Area Economica Europea vengano trattati dal Fornitore o – salvo quanto previsto dall’art. 4 da altri Sub-Fornitori, al di fuori dello spazio economico europeo, o in un territorio che non garantisce un adeguato livello di protezione dei dati riconosciuto dalla Commissione europea, il trasferimento sarà regolato dalle Clausole contrattuali tipo, che disciplineranno ogni trattamento effettuato.
5.2 Qualsiasi trattamento effettuato fuori dal territorio dell’Unione Europea, da uno dei soggetti indicati al precedente art. 4.1., dovrà essere preventivamente notificato al Responsabile.
6. VIOLAZIONE DEI DATI PERSONALI E OBBLIGHI DI NOTIFICA
Il Fornitore, in virtù di quanto previsto dall’art. 33 del Regolamento dovrà notificare al Responsabile nel minor tempo possibile, e comunque non oltre 24 (ventiquattro) ore da quando sia venuto a conoscenza di qualsiasi evento che causi distruzione, perdita, alterazione, divulgazione o accesso non autorizzato ai Dati personali (“Violazione della sicurezza”) ivi incluse quelle che abbiano riguardato i propri sub-Fornitori.
Tale notifica deve contenere: (i) una descrizione dettagliata della Violazione della sicurezza, (ii) il tipo di dati oggetto di Violazione della sicurezza e (iii) le categorie di interessati coinvolti ed il numero approssimativo delle persone.
Il Fornitore deve poi comunicare al Responsabile: (i) il nome e i contatti del proprio Responsabile della protezione dei dati, o i recapiti di un altro punto di contatto attraverso cui è possibile ottenere ulteriori informazioni; (ii) una descrizione delle probabili conseguenze della Violazione della sicurezza; (iii) una descrizione delle misure adottate o che si intende adottare per affrontare la Violazione della sicurezza, compreso, ove opportuno, misure per mitigare i suoi possibili effetti negativi; e (iv) non appena possibile, ogni altra informazione raccolta o resa disponibile, nonché ogni altra informazione che possa essere ragionevolmente richiesta dal Titolare relativamente alla Violazione della sicurezza. Qualora il Fornitore non possa fornire con la notifica le informazioni di cui sopra, per ragioni che sfuggono alla sua sfera di controllo, le informazioni devono essere trasmesse non appena possibile.
Il Fornitore deve attivarsi immediatamente per indagare sulla Violazione della sicurezza e per individuare, prevenire e limitare gli effetti negativi di tale violazione, conformemente ai suoi obblighi ai sensi del presente articolo e, previo accordo del Responsabile, per svolgere qualsiasi azione che si renda necessaria per porre rimedio alla violazione stessa.
7. VALUTAZIONE D’IMPATTO, PRIVACY BY DESIGN E PRIVACY BY DEFAULT
7.1 Il Fornitore deve rendere disponibili al Responsabile tutte le informazioni necessarie per dimostrare la conformità del Responsabile alla Legge Applicabile e deve assisterla, quando applicabile, nelle attività di realizzazione della valutazione di impatto sugli interessati delle attività di trattamento dei dati personali nonché collaborare al fine di adottare le opportune azioni di mitigazione previste e concordate per affrontare eventuali rischi identificati.
7.2 Il Fornitore prestare la propria collaborazione al fine di consentire al Responsabile di rispettare le previsioni di cui all’art. 25 del Regolamento relativamente alla protezione dei dati fin dalla progettazione (c.d. privacy by design) nonché alla protezione per impostazione predefinita (c.d. privacy by default).
7.3 In particolare, in linea con i principi di privacy by design, ogni nuovo trattamento dovrà essere progettato in modo da garantire una sicurezza adeguata alla luce dei rischi relativi allo specifico trattamento. Inoltre, il Fornitore dovrà consentire al Responsabile, tenuto conto dello stato della tecnica, dei costi, della natura, dell’ambito e della finalità del relativo trattamento, di adottare, sia nella fase iniziale di determinazione dei mezzi di trattamento, che durante il trattamento stesso, di adottare ogni misura tecnica ed organizzativa che si riterrà opportuna per garantire ed attuare i principi previsti in materia di protezione dati e a tutelare i diritti degli interessati.
7.4 In linea con i principi di privacy by default, dovranno essere trattati, per impostazione predefinita, esclusivamente quei dati personali necessari per ogni specifica finalità del trattamento.
8. AUDIT
8.1 Il Fornitore offre piena collaborazione e mette a disposizione del Responsabile tutte le informazioni necessarie per dimostrare il rispetto dei propri obblighi di cui al presente accordo e al Regolamento UE.
8.2 Limitatamente alle attività di trattamento operate dal Fornitore relativamente ai dati personali del Titolare e in quanto compatibili a non violare la riservatezza di dati ed informazioni estranei a tale contesto, il Responsabile o eventualmente il Titolare potrà effettuare verifiche, su base annuale, informative e documentali, accedere alla sede e locali del Sub-Responsabile presso cui vengono eseguite le operazioni di trattamento summenzionate, al fine di effettuare controlli sull’operato del Fornitore, sul rispetto delle istruzioni impartite, eventualmente anche attraverso opportune interviste agli Autorizzati al trattamento dei dati personali.
8.3 Le attività di audit verranno fissate tramite appuntamento pre-concordato tra le parti, e in orario di lavoro, sempre a condizione che tali verifiche non comportino l’analisi di tutti i dati di terze parti e che queste verifiche non collidano con obblighi di riservatezza del Fornitore o del Sub-fornitore. Infatti, può essere necessario rispettare la riservatezza degli interessi commerciali, dei dati di terze parti e delle informazioni dei Fornitori o dei Sub-fornitori, la cui conoscenza potrebbe realizzarsi nel corso delle verifiche stesse.
8.4 I controlli potranno essere condotti direttamente dal Responsabile o dal Titolare anche in collaborazione con professionisti di propria fiducia, oppure svolti da professionisti designati dal Responsabile e/o dal Titolare ad eseguirli per suo conto. Il Responsabile e/o il Titolare riconosce al Fornitore il diritto di opporsi alla scelta di un determinato soggetto esterno (“auditor”, in quanto ad es. appartenente ovvero operante con categoria di soggetti “competitor”).
9. CANCELLAZIONE DEI DATI PERSONALI
9.1 Il Fornitore provvede alla cancellazione dei Dati Personali trattati per l’esecuzione dei Servizi al termine del periodo di conservazione previsto nell’Appendice sul Trattamento dei Dati e in qualsiasi circostanza in cui sia richiesto dal Responsabile e/o dal Titolare, compresa l’ipotesi in cui la stessa debba avvenire su esercizio del relativo diritto dell’Interessato.
9.2 Alla cessazione del presente Accordo, per qualsiasi causa essa avvenga, i Dati Personali dovranno, a discrezione del Titolare, essere distrutti o restituiti alla stessa.
10. RESPONABILITA’ E MANLEVE
Il Fornitore manleva il Responsabile da ogni perdita, costo, spesa, multa e/o sanzione, danno e da ogni responsabilità di qualsiasi natura (sia essa prevedibile, contingente o meno) derivante o in connessione con una qualsiasi violazione da parte del Fornitore delle disposizioni contenute nel presente Accordo. In particolare, il Fornitore tiene indenne il Responsabile da qualsiasi perdita derivante: (a) da qualsiasi violazione (i) dei termini del presente Accordo o (ii) della Legge Applicabile, anche da parte di ogni Sub-fornitore di cui si avvale; o (b) dalla subfornitura o all’esternalizzazione di qualsiasi Trattamento affidato a terzi soggetti.
11. DURATA
11.1 Il presente Accordo decorre dalla data della sua sottoscrizione (la “Data d’inizio”) e rimarrà in vigore ed effetto fino alla successiva (i) risoluzione o scadenza dell’Accordo; o (ii) cessazione dell’ultimo dei Servizi da eseguirsi ai sensi del contratto di servizi stipulato tra le parti. In seguito all’entrata in vigore dell’Accordo, le sue disposizioni si applicano anche a qualsiasi Trattamento dei Dati Personali iniziato prima della sua sottoscrizione.
11.2 Le Parti possono concordare di interrompere o porre fine ai Servizi oggetto di una o più Appendici sul Trattamento dei Dati; in tale caso la cessazione dei trattamenti di dato oggetto di tale Appendice/i di Trattamento avrà effetto
12. LEGGE APPLICABILE
Il presente Accordo sarà regolato e interpretato in conformità con la legge italiana e sarà soggetto alla giurisdizione esclusiva del Tribunale di Lodi.
| Il Responsabile del Trattamento
Sindar S.r.l.
Firma: ………………………
Data: 28/10/2021
|
Il Sub-Responsabile del Trattamento
[Ragione sociale del Fornitore]
………………………………………………………………………
Firma:………………………
Data:…………………………
|
ALLEGATO A – LISTA DEI SUB-FORNITORI APPROVATI (da compilare, nel caso di ricorso a personale non vincolato da rapporto di lavoro dipendente con il fornitore)
Compilazione della tabella da parte del Sub-Responsabile
| NOME DEL SUB FORNITORE | RIFERIMENTI | ATTIVITA’ SVOLTA | TIPOLOGIA DI DATI TRATTATI E DI TRATTAMENTO SVOLTO |
ALLEGATO B – ACCORDO INTEGRATIVO PER IL TRATTAMENTO DEI DATI PERSONALI
IL PRESENTE ACCORDO È CONCLUSO TRA:
- Sindar S.r.l. (di seguito, “Il Fornitore”), in qualità di Responsabile del trattamento,
e
- …………………………………………………………………… (di seguito, il “Sub-Fornitore”), in qualità di Sub-responsabile del trattamento,
di seguito, individualmente la “Parte” e congiuntamente le “Parti”.
Prendendo atto che:
- Il presente documento integra l’”Accordo per il trattamento dei dati personali”, precedentemente siglato tra le parti;
- Il presente Accordo descrive i servizi erogati da parte del Sub-Fornitore, le tipologie di dati personali trattati, le categorie di interessati coinvolti nelle operazioni di trattamento effettuati da parte del Sub-Fornitore e le eventuali misure di sicurezza e ulteriori istruzioni da adottare nell’ambito del contratto tra le Parti e con riferimento al contratto di servizi in essere tra il Cliente e il Fornitore.
| Titolare del trattamento | Sono Titolari del trattamento i clienti per i quali è richiesta l’attività del Sub-Fornitore con la stipula di formale incarico. |
| Servizi erogati/finalità di trattamento | Consulenza in materia di rischi industriali, sicurezza del lavoro, ambiente, formazione |
| Tipologia di dati trattati | Dati personali:
· Dati anagrafici e di contatto · Dati relativi all’attività lavorativa/ruolo dell’interessato Categorie di dati particolari (possibili casistiche): · Dati relativi allo stato di salute Categorie di dati giudiziari (possibili casistiche): · Dati giudiziari |
| Interessati coinvolti nelle operazioni di trattamento | · Dipendenti
· Collaboratori · Fornitori · Stagisti e tirocinanti del Titolare del trattamento |
| Livello di sicurezza da adottare (v. all. c del dpa) | · Requisiti di sicurezza minimi (per dati personali)
· Requisiti di sicurezza media (per dati personali e particolari) · Requisiti di sicurezza alta (per dati giudiziari) |
| Ulteriori misure di sicurezza adottate a tutela della riservatezza, integrità e disponibilità dei dati | Come indicate nell’incarico formale di riferimento |
| Eventuali ulteriori sub-responsabili coinvolti | Solo se formalmente autorizzati da Sindar |
| Ulteriori specifiche richieste dal titolare | Come indicate nell’incarico formale di riferimento |
| Periodo di conservazione | Per la durata dell’accordo contrattuale tra le parti |
ALLEGATO C – MISURE DI SICUREZZA
PREMESSA
Il presente Allegato descrive le misure di sicurezza che devono essere adottate ai fini della protezione delle informazioni e dei dati personali col fine principale di soddisfare i requisiti di protezione dei dati.
Le informazioni tecniche in materia di sicurezza e le minacce alla sicurezza sono in continua evoluzione. La sicurezza deve essere continuamente oggetto di valutazione alla luce delle circostanze specifiche per determinare il livello di protezione appropriato.
Tali requisiti devono essere rispettati da tutti i soggetti che Trattano Dati Personali per conto del Responsabile, che sono definiti, nel presente allegato, “Sub-Responsabili del trattamento”.
Livelli di Sicurezza
I requisiti di sicurezza di seguito riportati sono suddivisi in tre categorie, che corrispondono alla criticità delle diverse tipologie di dati personali: Requisiti Minimi, Sicurezza Media e Sicurezza Alta. I tipi di dati a cui si applicano queste tre tipologie di misure sicurezza sono descritti di seguito.
Requisiti minimi
I Requisiti Minimi di Sicurezza si applicano a tutte le attività di trattamento di Dati Personali.
Sicurezza Media
I requisiti di Sicurezza Media devono essere adottati per le attività di trattamento di Dati Particolari
Sicurezza Alta
I requisiti di Sicurezza Alta si applicano al trattamento di Dati Giudiziari ed alle attività di trattamento “critiche”, come quelle che consentono una valutazione della personalità dell’individuo.
Ordine di precedenza
Nel caso in cui i requisiti di sicurezza dovessero porsi in conflitto, lo standard più elevato avrà la precedenza.
Di seguito vengono individuate le misure di sicurezza che il Fornitore deve assicurare in funzione della tipologia di dati personali trattati come da Allegato B.
Per conseguire la scalabilità, si presume che tutte le misure descritte tra i Requisiti Minimi siano applicati a tutti i livelli. Allo stesso modo, le misure presentate nel livello MEDIO sono applicabili anche ad ALTO livello di rischio.
Requisiti Minimi di Sicurezza
| Categoria | Misure di sicurezza |
| Politica di sicurezza e procedure per la protezione dei dati personali | La Politica di sicurezza delle informazioni dell’organizzazione deve comprendere riferimenti al trattamento dei dati personali. |
| Politica di sicurezza e procedure per la protezione dei dati personali | La Politica di sicurezza deve essere rivalutata e revisionata, se necessario, su base annuale. |
| Ruoli e responsabilità | Ruoli e responsabilità relativi al trattamento dei dati personali devono essere chiaramente definiti ed assegnati in funzione di quanto previsto della politica di sicurezza. |
| Ruoli e responsabilità | Durante le fasi di riorganizzazione interna o di conclusione del rapporto o cambio di dipendenti, devono essere definite opportune procedure per la gestione della revoca dei diritti e delle responsabilità. |
| Politica di controllo degli accessi | In base alle necessità di acceso ai dati a ciascuna funzione aziendale devono essere assegnati specifici diritti di accesso ai dati personali. |
| Gestione risorse/asset | L’organizzazione deve avere un registro delle risorse IT utilizzate per il trattamento dei dati personali (hardware, software e network). Il registro deve includere almeno: individuazione dell’asset, descrizione della tipologia (server, workstation, etc), localizzazione. Ad una specifica persona deve essere assegnato il mantenimento e l’aggiornamento del registro. Il registro deve essere aggiornato regolarmente. |
| Gestione delle modifiche apportate alle risorse, agli apparati ed ai sistemi IT | L’organizzazione deve assicurarsi che tutti i cambiamenti ai sistemi IT vengano registrati e monitorati da una specifica persona. Il processo di cambiamento deve essere controllato regolarmente. |
| Gestione delle modifiche apportate alle risorse, agli apparati ed ai sistemi IT | Il processo di sviluppo software deve essere realizzato in ambiente dedicato, non connesso ai sistemi IT utilizzati per il trattamento dei dati personali. In fase di test dovrebbero essere utilizzati dati fittizzi, qualora questo non sia possibile, devono esistere procedure idonee a proteggere i dati personali utilizzati nel processo di test. |
| Responsabili del trattamento | Devono essere definite e documentate linee guida e procedure volte a stabilire il livello di sicurezza dei dati che i fornitori del Titolare devono garantire nell’ambito delle attività di trattamento dei dati personali; tale livello di sicurezza deve essere obbligatoriamente il medesimo che risulta dalla Politica di Sicurezza dell’organizzazione. Tali livelli di garanzia devono essere oggetto di accordo tra il Titolare e il Responsabile del trattamento anteriormente rispetto l’inizio delle attività di trattamento. |
| Responsabili del trattamento | Una volta scoperta una violazione dei dati personali, il Responsabile deve notificare l’accaduto al Titolare senza indebito ritardo. |
| Responsabili del trattamento | Requisiti e doveri devono essere oggetto di accordo formale tra il Titolare dei dati e il Responsabile del trattamento dei dati. Il Responsabile deve produrre sufficiente documentazione che attesti il rispetto di tali requisiti e doveri. |
| Gestione degli incidenti / Violazione dei dati personali (Personal data breaches) | Un piano di incident management deve essere definito con procedure dettagliate al fine di assicurare una effettiva e ordinata risposta a incidenti che riguardano i dati personali. |
| Gestione degli incidenti / Violazione dei dati personali (Personal data breaches) | Le violazioni dei dati personali devono essere riportate immediatamente al management. Le procedure di notifica alle autorità competenti e ai soggetti interessati delle violazioni dei dati personali devono essere realizzate secondo gli artt. 33 e 34 GDPR. |
| Business continuity | L’organizzazione deve stabilire procedure e controlli allo scopo di assicurare l’idoneo livello di continuità e disponibilità richiesto dal sistema IT per il trattamento dei dati personali (in caso di incidente / violazione dei dati personali). |
| Obblighi di confidenzialità imposti al personale | L’organizzazione deve assicurare che tutti i dipendenti comprendano i loro doveri e le loro responsabilità connessi al trattamento dei dati personali. I ruoli e le responsabilità devono essere comunicati chiaramente durante la fase di pre-impiego e/o processo di assunzione. |
| Formazione | L’organizzazione deve assicurarsi che tutti i dipendenti siano adeguatamente informati circa i controlli di sicurezza adottati nell’ambito dell’utilizzo quotidiano degli strumenti di lavoro. I dipendenti che trattano dati personali devono anche essere informati in modo appropriato circa i rilevanti requisiti di protezione dei dati e gli obblighi legali attraverso regolari campagne di informazione. |
| Controllo degli accessi e autenticazione | Deve essere implementato un sistema di controllo degli accessi applicabile a tutti gli utenti che accedono ai sistemi IT. Il sistema deve consentire la creazione, approvazione, revisione e cancellazione degli account degli utenti. |
| Controllo degli accessi e autenticazione | Deve essere evitato l’utilizzo di account comuni. Nei casi in cui ciò fosse necessario deve essere assicurato che tutti gli utenti che utilizzano l’account comune abbiano i medesimi ruoli e le medesime responsabilità. |
| Controllo degli accessi e autenticazione | Deve essere posto in essere un meccanismo di autenticazione, che consenta l’accesso ai sistemi IT. Come minimo deve essere utilizzata una combinazione di username/password. Le password devono rispettare principi di complessità. |
| Controllo degli accessi e autenticazione | Il sistema di controllo agli accessi deve essere in grado di individuare e non consentire l’utilizzo di password che non rispettino un determinato livello di complessità. |
| Generazione di file di log e monitoraggio | Log di accesso devono essere attivati per ogni sistema/applicazione utilizzata per la gestione dei dati personali. Essi devono includere tutti i tipi di accesso ai dati (visualizzazione, modifica, cancellazione). |
| Generazione di file di log e monitoraggio | I log di accesso devono essere marcati temporalmente e adeguatamente protetti contro manomissioni e accessi non autorizzati. |
| Sicurezza di Server e Database | Database e server applicativi devono essere configurati per funzionare utilizzando account separati, con privilegi minimi sui sistemi operativi per un loro corretto funzionamento. |
| Sicurezza di Server e Database | I sistemi ICT devono gestire soltanto i dati personali effettivamente necessari per ottenere gli scopi che l’organizzazione si prefigge. |
| Sicurezza delle Postazioni di lavoro | Gli utenti non devono essere abilitati a disattivare o bypassare le impostazioni di sicurezza. |
| Sicurezza delle Postazioni di lavoro | Le applicazioni anti-virus e i sistemi di detection signatures devono essere aggiornati regolarmente. |
| Sicurezza delle Postazioni di lavoro | Gli utenti non devono avere i privilegi per installare software non autorizzati. |
| Sicurezza delle Postazioni di lavoro | Dopo un predefinito periodo di inattività degli utenti le sessioni dei sistemi devono scadere. |
| Sicurezza delle Postazioni di lavoro | I sistemi devono essere aggiornati regolarmente per quanto concerne patch di sicurezza. |
| Sicurezza Rete e Infrastrutture comunicazione Elettronica | Ogni volta che l’accesso ai sistemi avviene tramite internet la comunicazione deve essere crittografata attraverso protocolli di crittografia (TLS/SSL). |
| Back-ups | Le procedure di backup e di restore dei dati devono essere definite, documentate ed individuare chiaramente a ruoli e responsabilità. |
| Back-ups | Ai backup deve essere dato un livello appropriato di protezione fisica e ambientale in linea con gli standards applicati sui dati originari. |
| Back-ups | L’esecuzione dei backup deve essere monitorata per assicurarne la completezza. |
| Back-ups | Backup completi devono essere realizzati con regolarità. |
| Dispositivi mobili / portatili | Devono essere definite e formalizzate procedure il corretto utilizzo di dispositivi mobili e portatili. |
| Dispositivi mobili / portatili | I dispositivi portatili e mobile autorizzati ad accedere al sistema informatico devono essere pre- registrati e pre-autorizzati. |
| Dispositivi mobili / portatili | Lo stesso livello di controllo degli accessi delle workstation deve essere applicato ai dispositivi portatili e mobile. |
| Sicurezza del ciclo di vita delle applicazioni | Lo sviluppo software deve essere realizzato seguendo best practises, framework e standard di sicurezza. |
| Sicurezza del ciclo di vita delle applicazioni | Durante le prime fasi del ciclo di sviluppo del software devono essere definiti specifici requisiti di sicurezza. |
| Sicurezza del ciclo di vita delle applicazioni | Devono essere adottate, in analogia ai requisiti di sicurezza, specifiche tecnologie e tecniche per la protezione dei dati (note come Privacy Enhancing Technologies (PETs)) |
| Sicurezza del ciclo di vita delle applicazioni | Devono essere seguiti specifici standard per lo sviluppo del software sicuro. |
| Sicurezza del ciclo di vita delle applicazioni | Durante lo sviluppo devono essere testati e validati i requisiti di sicurezza definiti in fase di progettazione. |
| Cancellazione / eliminazione dei dati | Programmi di sovrascrittura devono essere utilizzati su tutti i dispositivi di archiviazione prima della loro dismissione. Nei casi in cui ciò non sia possibile (CD,DVD, ecc.) deve essere realizzata la distruzione fisica dei supporti stessi. |
| Cancellazione / eliminazione dei dati | Supporti cartacei e dispositivi di memorizzazione devono essere distrutti una volta terminato l’utilizzo. |
| Sicurezza fisica | Il perimetro fisico dell’infrastruttura del sistema IT non deve essere accessibile al personale non autorizzato. |
Livello di sicurezza MEDIO
| Categoria | Misure di sicurezza |
| Politica sicurezza e procedure protezione dati personali | L’ Organizzazione dovrebbe documentare una Politica della Sicurezza specifica in merito al trattamento dei dati personali. La politica deve essere approvata dalla Direzione e comunicata a tutti i dipendenti e alle terze parti rilevanti. |
| Politica di sicurezza e procedure per la protezione dei dati personali | La politica di sicurezza deve almeno prendere in considerazione: i ruoli e le responsabilità del personale, le misure tecniche e organizzative di base adottate per la sicurezza dei dati personali, i responsabili del trattamento e le terze parti coinvolte nel trattamento dei dati personali. |
| Politica di sicurezza e procedure per la protezione dei dati personali | Deve essere realizzato e mantenuto aggiornato un inventario di politiche e procedure relative alla sicurezza dei dati personali, basato sui principi della politica di sicurezza. |
| Ruoli e responsabilità | Devono essere realizzate chiare nomine di incarico per attività relative alla sicurezza delle informazioni. |
| Politica di controllo degli accessi | Deve essere adottata e formalizzata una politica di controllo degli accessi. L’organizzazione deve definire in questo documento le opportune regole di controllo accesso, i diritti e le restrizioni di accesso per specifici ruoli in relazione a processi e procedure relativi ai dati personali. |
| Politica di controllo degli accessi | Devono essere chiaramente definite e documentate regole di controllo accesso (ad es. richieste di accesso, autorizzazione di accesso, amministrazione degli accessi). |
| Gestione risorse/asset | Le funzioni aziendali che hanno accesso a risorse critiche devono essere identificate e registrate. |
| Gestione delle modifiche apportate alle risorse, agli apparati ed ai sistemi IT | L’organizzazione deve disporre di una dettagliata e documentata politica dei cambiamenti dei sistemi ICT. La politica deve includere: un processo per introdurre i cambiamenti, i ruoli o gli utenti che hanno diritto a proporre ed attuare le modifiche, una pianificazione delle attività di cambiamento; la politica deve essere aggiornata periodicamente. |
| Responsabili del trattamento | Il Titolare deve verificare con regolarità il rispetto da parte Responsabile dei requisiti e obblighi concordati tra le parti. |
| Gestione degli incidenti / Personal data breaches | Il piano di incident management deve essere documentato, includendo una lista di possibili attività di mitigazione e una chiara attribuzione di ruoli e responsabilità. |
| Business continuity | Un Businnes Continuity Plan (che segua la politica di sicurezza generale) deve essere dettagliato e documentato. Deve includere chiare azioni e attribuzione di ruoli e responsabilità. |
| Business continuity | Deve essere assicurata la continuità dei processi che garantiscono la sicurezza dei dati personali. |
| Business continuity | In relazione all’organizzazione e al periodo di inattività dei sistemi IT accettabile per il Titolare, deve essere considerato un sito secondario a garanzia della continuità operativa dell’Azienda. |
| Obblighi di confidenzialità imposti al personale | Prima che inizino le loro attività ai dipendenti deve essere chiesto di leggere ed accettare la politica di sicurezza dell’organizzazione e di firmare rispettivamente gli accordi di confidenzialità e non divulgazione. |
| Formazione | L’organizzazione deve un programma di formazione relativo alla protezione dei dati per lo staff, che includa specifici programmi per l’inserimento dei nuovi arrivati. |
| Controllo degli accessi e autenticazione | Deve essere documentata e definita una specifica politica sulle password. Tale policy deve includere almeno la lunghezza, la complessità, il periodo di validità delle password così come il numero accettabile di tentativi di login senza successo. |
| Controllo degli accessi e autenticazione | Le password degli utenti devono essere conservate in forma crittografata. |
| Generazione di file di log e monitoraggio | Le attività degli amministratori e degli operatori di sistema, incluse le modifiche dei diritti di accesso degli utenti devono essere registrate. |
| Generazione di file di log e monitoraggio | Non deve esserci nessuna possibilità di cancellare o modificare il contenuto dei file di log. Anche l’accesso a tali file deve essere oggetto di una ulteriore registrazione al fine di monitorare e individuare attività inusuali. |
| Generazione di file di log e monitoraggio | Un sistema di monitoraggio deve raccogliere i file di accesso e produrre report sullo status del sistema, notificando potenziali allarmi. |
| Sicurezza di Server e Database | Soluzioni di criptografia devono essere considerate per alcune tipologie di file |
| Sicurezza di Server e Database | Deve essere considerato uno spazio di storage crittografato. |
| Sicurezza di Server e Database | Tecniche di pseudoanomizzazione devono essere applicate attraverso la separazione dei dati personali dalle informazioni aggiuntive al fine di tutelare i dati degli interessati da particolari attività di trattamento come la profilazione |
| Sicurezza delle Postazioni di lavoro | Le applicazioni anti-virus e i sistemi di detection signatures devono essere aggiornati almeno su base giornaliera. |
| Sicurezza della Rete e delle Infrastrutture di comunicazione Elettronica | L’accesso wireless ai sistemi IT deve essere autorizzato solo per specifici utenti e processi. Deve essere protetto da meccanismi di crittografia. |
| Sicurezza della Rete e delle Infrastrutture di comunicazione Elettronica | L’accesso remoto ai sistemi IT deve in generale essere negato. Nei casi in cui è assolutamente necessario, deve essere compiuto solo sotto il controllo e il monitoraggio di una specifica persona dell’organizzazione (amministratore IT/ security officer) ed attraverso dispositivi definiti. |
| Sicurezza della Rete e delle Infrastrutture di comunicazione Elettronica | Il traffico da e per i sistemi IT deve essere monitorato e controllato attraverso firewalls e sistemi di rilevamento di intrusione (IPS/IDS). |
| Sicurezza della Rete e delle Infrastrutture di comunicazione Elettronica | La rete del sistema informativo deve essere segregata. |
| Sicurezza della Rete e delle Infrastrutture di comunicazione Elettronica | L’accesso ai sistemi IT deve essere compiuto solo da dispositivi pre-autorizzati e da terminali che usino tecniche come MAC filtering o Network Acces Control (NAC). |
| Back-ups | I risultati dei processi di backup devono essere regolarmente testati per assicurare che possano essere affidabili nel caso di emergenza d’uso. |
| Back-ups | Backup incrementali prestabiliti devono essere realizzati almeno su base giornaliera. |
| Back-ups | Le copie del backup devono essere conservate al sicuro in sedi secondarie. |
| Back-ups | Nel caso sia utilizzato un servizio di archiviazione dei supporti di backup fornito da una terza parte, la copia di back up deve essere criptografata prima di essere consegnata al fornitore. |
| Dispositivi mobili / portatili | Devono essere definiti chiaramente specifici ruoli e responsabilità riguardo la gestione dei dispositivi mobile e portatili. |
| Dispositivi mobili / portatili | L’organizzazione deve essere in grado di provvedere alla cancellazione da remoto dei dati personali presenti su dispositivi mobile che sono stati compromessi. |
| Dispositivi mobili / portatili | I dispositivi mobile devono supportare la suddivisione tra uso privato e uso per business del dispositivo stesso, attraverso software di archiviazione sicura. |
| Dispositivi mobili / portatili | I dispositivi mobile devono essere protetti fisicamente contro il furto quando non utilizzati. |
| Sicurezza del ciclo di vita delle applicazioni | Un vulnerability assessment e un penetration test applicativo e dell’infrastruttura deve essere realizzato da una terza parte indipendente antecedentemente alla messa in produzione dell’applicazione. L’applicazione non deve essere adottata a meno che il livello di sicurezza richiesto non sia raggiunto. |
| Sicurezza del ciclo di vita delle applicazioni | Devono essere realizzati periodici penetration test. |
| Sicurezza del ciclo di vita delle applicazioni | Deve essere ottenute le informazioni circa le vulnerabilità tecniche dei sistemi informativi utilizzati. |
| Sicurezza del ciclo di vita delle applicazioni | Le patches devono essere testate e valutate prima che siano installati in un ambiente di produzione. |
| Cancellazione / eliminazione dei dati | Devono essere realizzati passaggi multipli di sovrascrittura sui dispositivi di memorizzazione prima che della loro dismissione. |
| Cancellazione / eliminazione dei dati | Se vengono utilizzati servizi di terza parte per l’eliminazione della documentazione cartacea e per la dismissione dei supporti di archiviazione, devono essere definiti degli accordi con i fornitori al fine di ricevere garanzie ed evidenze in merito all’ eliminazione sicura dei dati. |
| Sicurezza fisica | Tutto il personale ed i visitatori che accedono ai locali dell’organizzazione devono essere appropriatamente identificati, ad esempio attraverso badges identificativi. |
| Sicurezza fisica | Devono essere definite delle zone di sicurezza da proteggere con appropriati controlli all’ingresso. Deve essere adottato e controllato periodicamente un registro degli accessi o un sistema elettronico per il controllo accessi fisici. |
| Sicurezza fisica | Devono essere installati in tutte le zone di sicurezza sistemi di individuazione degli intrusi. |
| Sicurezza fisica | Dove applicabili devono essere costruite delle barriere fisiche per prevenire accessi fisici non autorizzati. |
| Sicurezza fisica | Le aree di sicurezza vuote devono essere fisicamente chiuse e periodicamente controllate. |
| Sicurezza fisica | un sistema di soppressione automatica del fuoco, di controllo chiuso del sistema dell’aria condizionata e un power supply non interrompibile devono essere implementati nella stanza dei server. |
| Sicurezza fisica | Al personale esterno di servizio e supporto deve essere limitato l’accesso alle aree di sicurezza. |
Livello di sicurezza ALTO
| Categoria | Misure di sicurezza |
| Politica di sicurezza e procedure per la protezione dei dati personali | La Politica di sicurezza dovrebbe essere rivalutata e revisionata, se necessario, su base semestrale. |
| Ruoli e responsabilità | Il Responsabile della Sicurezza deve essere nominato formalmente; le attività e le responsabilità del Responsabile della sicurezza devono essere chiaramente e definite e documentate. |
| Politica di controllo degli accessi | Ruoli con elevati diritti di accesso devono essere chiaramente definiti ed assegnati ad un limitato numero di dipendenti. |
| Gestione risorse/asset | Il Registro delle risorse IT deve essere rivisto ed aggiornato annualmente. |
| Responsabili del trattamento | I dipendenti del Responsabile che trattano dati personali del Titolare devono essere soggetti a specifico e documentato accordo di confidenzialità/di non divulgazione. |
| Gestione degli incidenti / Violazione dei dati personali (Personal data breaches) | Gli incidenti e le violazioni dei dati devono essere registrati insieme ai dettagli che riguardano l’evento e le successive attività di mitigazione poste in essere. |
| Obblighi di confidenzialità imposti al personale | I dipendenti che trattato dati personali di natura particolare e giudiziari devono essere legati a specifiche clausole di confidenzialità. |
| Formazione | Il programma di formativo deve essere rivisto annualmente, individuando puntuali obiettivi. |
| Controllo degli accessi e autenticazione | L’autenticazione a due fattori deve essere preferibilmente utilizzata per accedere a sistemi che trattano dati personali. I fattori di autenticazione potrebbero essere passwords, chiavi di sicurezza, penne USB con una chiave di sicurezza, biometria, ecc. |
| Controllo degli accessi e autenticazione | L’autenticazione dei dispositivi deve essere utilizzata per garantire che il trattamento dei dati personali sia realizzato solo attraverso specifiche risorse facenti parte del network dell’Azienda. |
| Sicurezza di Server e Database | Devono essere considerate tecniche per la tutela dei dati a livello database, come queries autorizzate, richieste per preservare la privacy del database, tecniche di di Privacy Preserving Data Base Querying e di Searchable Encryption., ecc. |
| Sicurezza delle Postazioni di lavoro | Non deve essere consentito il trasferimento di dati personali dalle workstation a dispositivi esterni di storage (USB, DVD, hard drives esterni). |
| Sicurezza delle Postazioni di lavoro | Le workstation utilizzate per trattare dati personali preferibilmente non devono essere connesse ad internet a meno che non sia adottate misure di sicurezza volte a prevenire attività di trattamento non autorizzato, copia e trasferimento di dati personali in archivio esterni e non autorizzati. |
| Sicurezza delle Postazioni di lavoro | L’ hard disk delle workstation deve essere crittografato. |
| Back-ups | Le copie dei backup devono essere criptate e conservate al sicuro anche in modalità offline. |
| Dispositivi mobili / portatili | Deve essere considerata l’autenticazione a due fattori per accedere ai dispositivi mobile. |
| Dispositivi mobili / portatili | I dati personali conservati nei dispositivi mobile (come parte dell’operazione di trattamento dei dati dell’organizzazione) devono essere crittografati. |
| Cancellazione / eliminazione dei dati | Successivamente alla cancellazione dei dati attraverso software di cancellazione sicura, devono essere adottare delle misure hardware addizionali, come ad es. la smagnetizzazione. A seconda dei casi deve essere considerata anche la distruzione fisica dei supporti. |
| Cancellazione / eliminazione dei dati | L’ attività di distruzione della documentazione cartacea e di dismissione dei supporti di memorizzazione deve avvenire presso la Sede del Titolare, anche se per tali attività viene utilizzata una terza parte, nominata responsabile del trattamento. |
