La policy per la privacy nel sito www.anfia.it
Informativa per il trattamento dei dati personali raccolti presso l’interessato (Art. 13 del Regolamento Generale UE sulla protezione dei dati personali n. 2016 /679)
Fonte dei dati personali e Titolare del trattamento
ANFIA Associazione Nazionale Filiera Industria Automobilistica (di seguito, per brevità, “ANFIA”), con sede legale in Torino – Corso Galileo Ferraris 61, C.F. 8008590019, titolare del trattamento dei dati personali ai sensi degli articoli 4, n. 7) e 24 del Regolamento UE 2016/679 del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali (di seguito “Regolamento” ovvero “GDPR”), La informa ai sensi degli artt. 13 del Regolamento che procederà al trattamento dei dati personali riferiti alla Società ed alle persone fisiche che ne hanno la rappresentanza legale per le finalità e con le modalità più oltre indicate
1. DEFINIZIONI
Per trattamento di dati personali si intende qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, anche se non registrati in una banca di dati, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'elaborazione, la selezione, il blocco, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, la diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.
2. OGGETTO DEL TRATTAMENTO
Il Titolare tratta i dati personali, identificativi e non sensibili (in particolare, nome, cognome, codice fiscale, p. iva, ragione sociale, email, numero telefonico, riferimenti bancari e di pagamento, – in seguito, “dati personali” o anche “dati”) da Lei comunicati.
3. FINALITÀ DEL TRATTAMENTO
I Suoi dati personali sono trattati:
A) senza il Suo consenso espresso ex art. 6 lett. b) ed e) del GDPR, per le seguenti Finalità di Servizio:
- concludere i contratti per i servizi del Titolare;
- adempiere agli obblighi precontrattuali, contrattuali e fiscali derivanti da rapporti con Lei in essere;
- adempiere agli obblighi previsti dalla legge, da un regolamento, dalla normativa comunitaria o da un ordine dell’Autorità (come ad esempio in materia di antiriciclaggio);
- esercitare i diritti del Titolare, ad esempio il diritto di difesa in giudizio;
- permetterLe l’iscrizione al servizio di newsletter fornito dal Titolare e degli ulteriori Servizi eventualmente da Lei richiesti.
B) Solo previo Suo specifico e distinto consenso (art. 7 GDPR), per le seguenti Finalità di Marketing:
- inviarLe via e-mail e/o posta newsletter, materiale pubblicitario e promozionale relativo alle nostre pubblicazioni, ai nostri seminari, corsi di formazione, convegni ecc.;
- inviarLe via e-mail e/o posta comunicazioni commerciali e/o promozionali di soggetti terzi (ad esempio: business partner).
4. MODALITÀ DI TRATTAMENTO E TEMPI DI CONSERVAZIONE
Il trattamento dei Suoi dati personali è realizzato per mezzo delle operazioni indicate all’art. 4 n. 2) GDPR e precisamente: raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, raffronto, utilizzo, interconnessione, blocco, comunicazione, cancellazione e distruzione dei dati.
I Suoi dati personali sono sottoposti a trattamento sia cartaceo che elettronico e/o automatizzato secondo i principi e le procedure descritte nella “Policy in materia di tutela della privacy” del 25 maggio 2018, disponibile al seguente link: https://www.anfia.it/privacy-policy
Il Titolare tratterà i dati personali per il tempo necessario per adempiere alle finalità di cui sopra e, salvo che per l’adempimento ad obblighi di legge, comunque per non oltre 5 anni dalla cessazione del rapporto per le Finalità di Servizio e per non oltre 10 anni dalla raccolta dei dati per le Finalità di Marketing.
5. ACCESSO AI DATI
I Suoi dati potranno essere resi accessibili per le finalità di cui all’art. 3.A) e 3.B):
- a dipendenti e collaboratori del Titolare in Italia e all’estero, nella loro qualità di incaricati e/o responsabili interni del trattamento;
- a società terze o altri soggetti (a titolo indicativo, istituti di credito, studi professionali, consulenti, società di assicurazione per la prestazione di servizi assicurativi, etc.) che svolgono attività in outsourcing per conto del Titolare, nella loro qualità di responsabili esterni del trattamento.
6. COMUNICAZIONE DEI DATI
Senza il Suo espresso consenso (ex art. 6 lett. b) e c) GDPR), il Titolare potrà comunicare i Suoi dati per le finalità di cui all’art. 3.A) a Organismi di vigilanza, Autorità giudiziarie nonché a tutti gli altri soggetti ai quali la comunicazione sia obbligatoria per legge per l’espletamento delle finalità dette. I Suoi dati non saranno diffusi.
7. TRASFERIMENTO DATI
La gestione e la conservazione dei dati personali avverrà su server ubicati all’interno dell’Unione Europea del Titolare e/o di società terze incaricate. Ove si rendesse necessario, il Titolare avrà facoltà di spostare l’ubicazione dei server in Paesi extra-UE. In tal caso, il Titolare assicura sin d’ora che il trasferimento dei dati extra-UE avverrà in conformità alle disposizioni di legge applicabili stipulando, se necessario, accordi che garantiscano un livello di protezione adeguato e/o adottando le clausole contrattuali standard previste dalla Commissione Europea.
8. NATURA DEL CONFERIMENTO DEI DATI E CONSEGUENZE DEL RIFIUTO DI RISPONDERE
Il conferimento dei dati per le finalità di cui all’art. 3.A) è obbligatorio. In loro assenza, non potremo garantirLe i Servizi dell’art. 3.A). Il conferimento dei dati per le finalità di cui all’art. 3.B) è invece facoltativo. Può quindi decidere di non conferire alcun dato o di negare successivamente la possibilità di trattare dati già forniti: in tal caso, non potrà ricevere newsletter, comunicazioni commerciali e materiale pubblicitario inerenti ai Servizi offerti dal Titolare. In ogni caso continuerà ad avere diritto ai Servizi di cui all’art. 3.A).
La base giuridica del trattamento dei Suoi dati personali si fonda sul contratto che viene perfezionato con il Titolare.
9. DIRITTI DELL’INTERESSATO
Nella Sua qualità di interessato, ha i diritti di cui all’art. 15 GDPR e precisamente quelli di:
i. ottenere la conferma dell'esistenza o meno di dati personali che La riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile;
ii. ottenere l’indicazione: a) dell’origine dei dati personali; b) delle finalità e modalità del trattamento; c) della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici; d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell'art. 5, comma 2 Codice Privacy e art. 3, comma 1, GDPR; e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati;
iii. ottenere: a) l’aggiornamento, la rettificazione ovvero, quando vi hai interesse, l'integrazione dei dati; b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati; c) l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato;
iv. opporsi, in tutto o in parte: a) per motivi legittimi al trattamento dei dati personali che La riguardano, ancorché pertinenti allo scopo della raccolta; b) al trattamento di dati personali che La riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale, mediante l’uso di sistemi automatizzati di chiamata senza l’intervento di un operatore mediante email e/o mediante modalità di marketing tradizionali mediante telefono e/o posta cartacea. Si fa presente che il diritto di opposizione dell’interessato, esposto al precedente punto b), per finalità di marketing diretto mediante modalità automatizzate si estende a quelle tradizionali e che comunque resta salva la possibilità per l’interessato di esercitare il diritto di opposizione anche solo in parte. Pertanto, l’interessato può decidere di ricevere solo comunicazioni mediante modalità tradizionali ovvero solo comunicazioni automatizzate oppure nessuna delle due tipologie di comunicazione.
Ove applicabili, ha altresì i diritti di cui agli artt. 16-21 GDPR (Diritto di rettifica, diritto all’oblio, diritto di limitazione di trattamento, diritto alla portabilità dei dati, diritto di opposizione), nonché il diritto di reclamo all’Autorità Garante.
10. MODALITÀ DI ESERCIZIO DEI DIRITTI
Potrà in qualsiasi momento esercitare i diritti di cui sopra inviando:
- una raccomandata a.r. indirizzata a ANFIA – Corso G. Ferraris 61 – 10128 TORINO
- una e-mail all’indirizzo: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
- una PEC all’indirizzo: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
11. TITOLARE, RESPONSABILE DEL TRATTAMENTO E DELLA PROTEZIONE DEI DATI
Il Titolare del trattamento è ANFIA con sede legale in Torino, Corso Galileo Ferraris 61 nella persona del Legale rappresentante pro-tempore.
Il Titolare ha altresì nominato un Responsabile per la Protezione dei Dati, contattabile all’indirizzo: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo..
L’elenco aggiornato degli eventuali responsabili del trattamento è custodito presso la sede legale del Titolare del trattamento.
PRIVACY POLICY
1. INTRODUZIONE
Scopo
Il presente documento riassume le procedure ed i principi adottati da ANFIA (Associazione Nazionale Filiera Industria Automobilistica) e ANFIA SERVICE srl (di seguito “ANFIA”) in materia di tutela della Privacy ed in particolare in relazione al trattamento dei dati personali (“Dati”) comunicati od acquisiti da ANFIA nell’esecuzione delle proprie attività aziendali.
I Dati saranno sempre trattati in modo lecito, corretto e trasparente nei confronti dell’interessato.
Sulla base dell'analisi dei rischi effettuata da tecnici e consulenti esterni, nel presente documento sono riassunti:
• i criteri e le procedure per garantire la sicurezza nel trattamento dei dati personali;
• la distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati stessi:
• i criteri tecnici e organizzativi per la protezione delle aree e dei locali interessati dalle misure di sicurezza nonché le procedure per controllare l’accesso delle persone autorizzate ai locali medesimi;
• i criteri e le procedure per assicurare l’integrità e la disponibilità dei dati;
• i criteri e le procedure per la sicurezza delle trasmissioni dei dati, ivi compresi quelli per le restrizioni di accesso per via telematica;
• i criteri e le procedure per il ripristino dell’accesso ai dati;
• l’elaborazione di un piano di formazione per rendere edotti i responsabili del trattamento dei rischi individuati e dei modi per prevenire gli eventuali danni.
L’efficacia di tali misure di sicurezza saranno oggetto di controlli continuativi e audit periodici, da eseguirsi almeno con cadenza annuale.
Ambito e applicabilità
La presente Policy riguarda tutti i Dati personali raccolti, elaborati, condivisi o usati da ANFIA. Si applica a tutti i dipendenti, collaboratori e consulenti. La presente Policy entra in vigore il 25/05/2018.
In caso il trasferimento dei dati extra-UE tale operazione avverrà in conformità alle disposizioni di legge stipulando, se necessario, accordi che garantiscano un livello di protezione adeguato e/o adottando le clausole contrattuali standard previste dalla Commissione Europea.
Copia della presente Policy viene pubblicata sul sito internet di ANFIA nella sezione “Privacy Policy” e consegnata a ciascun dipendente, collaboratore e consulente in forma cartacea o digitale.
Le prescrizioni descritte nel presente documento si applicano a tutti i trattamenti eseguiti nell’ambito dell’intera struttura organizzativa di ANFIA, dagli eventuali Responsabili e da tutti gli incaricati, e sono da considerarsi vincolanti nei rapporti contrattuali relativi a trattamenti eseguiti da altri soggetti esterni cui sia conferito un incarico di Responsabile del trattamento di dati di cui ANFIA sia Titolare.
2. DEFINIZIONI
Nel presente documento:
• con il termine “trattamento” (art. 4, n. 2, del Regolamento UE 2016/679) ci si riferisce ad una qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;
• con il termine “dato personale” (art. 4, n. 1, del Regolamento UE 2016/679) si fa riferimento a qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
• con il termine “profilazione” (art. 4, n. 4, del Regolamento UE 2016/679) si fa riferimento a qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica;
• con il termine “pseudonimizzazione” (art. 4, n. 5, del Regolamento UE 2016/679) si fa riferimento al trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile;
• con il termine “titolare del trattamento” (art. 4, n. 7, del Regolamento UE 2016/679) si fa riferimento alla persona fisica o giuridica, all’autorità pubblica, al servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali;
• con il termine “responsabile del trattamento” (art. 4, n. 8, del Regolamento UE 2016/679) si fa riferimento alla persona fisica o giuridica, all’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.
3. FUNZIONI ORGANIZZATIVE RELATIVE ALLA PROTEZIONE DEI DATI PERSONALI
Titolare del trattamento
Il Titolare del trattamento, nella figura del legale rappresentante di ANFIA, avvalendosi ove necessario dei Responsabili del trattamento (art. 28 del Regolamento UE 2016/679), ove nominati:
• individua e prende decisioni in ordine alle finalità ed alle modalità di trattamento dei dati, ivi compreso il profilo della sicurezza;
• effettua il censimento ed aggiorna il registro delle attività di trattamento dei dati e garantisce all’interessato tutti i diritti di cui agli artt.15-21 del Regolamento UE 2016/679;
• individua, predispone, verifica, documenta e rende note le misure di sicurezza (minime e più ampie) necessarie per la protezione dei dati personali.
Responsabili del trattamento
Ove nominati, i Responsabili del trattamento gestiscono i trattamenti sulla base dei compiti affidati e analiticamente specificati per iscritto dal Titolare. I Responsabili si attengono alle istruzioni impartite dal Titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni in materia di trattamento previste dal Regolamento, ivi compreso il profilo relativo alla sicurezza. I Responsabili per il trattamento vigilano sul rispetto delle istruzioni impartite agli incaricati al trattamento.
Trattamento sotto l’autorità del Titolare o del Responsabile
A ciascun dipendente assegnato, all’atto dell’assunzione o nel caso di cambiamento di mansione, presso un’unità organizzativa ove sono trattati i dati, sono state fornite istruzioni per operare, nell’ambito dei trattamenti assegnati, con la massima diligenza ed attenzione e rispettando le misure di sicurezza predisposte ANFIA.
Responsabile della Protezione dei Dati (RPD)
ANFIA si è dotata di un Responsabile della Protezione dei Dati ai sensi dell’art. 37 del Regolamento (UE) 2016/679 chiamato ad assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all'applicazione del Regolamento medesimo.
4. LINEE GUIDA PER DIPENDENTI, COLLABORATORI E CONSULENTI
Di seguito vengono descritte le norme alle quali i dipendenti, collaboratori e/o i consulenti devono attenersi nell’esecuzione dei compiti che implicano un trattamento di Dati personali.
Preliminarmente va evidenziato che, al fine di evitare che soggetti estranei possano venire a conoscenza dei Dati personali oggetto del trattamento, i dipendenti, i collaboratori e/o i consulenti devono osservare le seguenti regole di ordinaria diligenza, nonché tutte le altre ulteriori misure ritenute necessarie per garantire il rispetto di quanto disposto dalla normativa in ambito privacy:
• tutte le operazioni di trattamento devono essere effettuate in modo tale da garantire il rispetto delle misure di sicurezza, la massima riservatezza delle informazioni di cui si viene in possesso considerando tutti i dati confidenziali e, di norma, soggetti al segreto d’ufficio;
• le singole fasi di lavoro e la condotta da osservare devono consentire di evitare che i dati siano soggetti a rischi di perdita o distruzione, che vi possano accedere persone non autorizzate, che vengano svolte operazioni di trattamento non consentite o non conformi ai fini per i quali i dati stessi sono stati raccolti;
• nell’ipotesi in cui un soggetto interessato revochi il proprio consenso al trattamento dei dati ex art. 7, comma 3, del Regolamento, il dipendente e/o consulente è tenuto a darne tempestiva comunicazione al Titolare o, se presente, al Responsabile per l’adozione di ogni necessario provvedimento del caso;
• in caso di allontanamento, anche temporaneo, dalla propria postazione di lavoro si devono porre in essere tutte le misure necessarie (es. blocco del pc) affinché soggetti terzi, anche se dipendenti, non possano accedere ai dati personali per i quali era in corso un qualunque tipo di trattamento;
• devono essere svolte le sole operazioni di trattamento necessarie per il raggiungimento dei fini per i quali i dati sono stati raccolti;
• deve essere costantemente verificata l’esattezza dei dati trattati e la pertinenza rispetto alle finalità perseguite nei singoli casi.
Accesso ai dati dalla postazione/strumento di lavoro
La postazione e gli strumenti di lavoro deve essere:
• utilizzati solo per scopi legati alla propria attività lavorativa;
• utilizzati in modo esclusivo da un solo utente;
• protetti, evitando che terzi possano accedere ai dati che si stanno trattando.
Occorre, inoltre, precisare che è dovere di ciascun dipendente, collaboratore e/o consulente:
• non installare alcun software e/o applicazioni mobile non preventivamente autorizzato;
• non lasciare sulla scrivania informazioni riservate su qualunque supporto esse siano archiviate (carta, CD, periferiche, ecc.);
• richiamare le funzioni di sicurezza del sistema operativo (sequenza dei tasti CTRL+ALT+CANC per i sistemi Windows e attivazione della funzione Lock Workstation per i sistemi Windows e sequenza ⌘-control-Q per i sistemi Mac) in caso di abbandono momentaneo del proprio PC o, in alternativa, impostare lo screen saver con password in modo che si attivi dopo massimo 5 minuti di inattività;
• non lasciare il computer portatile incustodito sul posto di lavoro (al termine dell’orario lavorativo, durante le pause di lavoro, o durante riunioni lontane dalla propria postazione);
• non lasciare incustoditi smartphone;
• non utilizzare fax e/o telefono per trasmettere informazioni riservate e personali se non si è assolutamente certi dell’identità dell’interlocutore o del destinatario e se esso non è legittimato a riceverle.
Il dipendente o collaboratore che ha in dotazione un apparto aziendale è responsabile dell’attivazione di tutte le misure di sicurezza necessarie a garantirne la protezione. La società curerà periodicamente l’attivazione dei necessari codici di blocco.
Gestione delle password
Per una corretta gestione delle password, ciascun dipendente, collaboratore e/o consulente deve aver cura di:
• modificare, alla prima connessione, quella che l’Area IT ha attribuito di default;
• cambiarla almeno ogni 90 giorni, o immediatamente nei casi in cui sia compromessa;
• comporla utilizzando almeno 8 caratteri o, nel caso in cui lo strumento elettronico non lo consenta, con un numero di caratteri pari al massimo consentito;
• usare sia lettere che numeri e almeno un carattere maiuscolo;
• non basare la scelta su informazioni facilmente deducibili quali, ad esempio, il proprio nome, il nome dei propri familiari, le date di nascita, i codici fiscali, ecc.,
• mantenerla riservata e non divulgarla a terzi;
• non permettere ad altri utenti (es. colleghi) di operare con il proprio identificativo utente;
• non trascriverla su supporti (es. fogli, post-it) facilmente accessibili a terzi, né lasciarla memorizzata sul proprio PC;
• non comunicarla mai per telefono salvo gravi necessità.
Antivirus
Le attrezzature hardware in dotazione ai dipendenti, collaboratori e consulenti (personal computer desktop o laptop, tablet e smartphone) pur protetti contro gli attacchi dei virus informatici mediante appositi programmi, rimangono potenzialmente esposti ad aggressioni di virus non conosciuti.
Per ridurre le probabilità del verificarsi di tali attacchi è necessario che vengano osservate le seguenti regole:
• controllare che il programma antivirus installato sia aggiornato periodicamente e sia attivo non è cura del dipendente, ma di ANFIA
• chiudere correttamente i programmi in uso;
• non aprire, se si lavora in rete, files sospetti e di dubbia provenienza;
• non scaricare o installare applicazioni/software che non siano state preventivamente approvate e autorizzate;
• non sottoscrivere abbonamenti sia gratuiti che a pagamento con servizi in Cloud che non siano state preventivamente approvate e autorizzate;
• verificare con l’ausilio del programma antivirus in dotazione ogni supporto magnetico contenente dati (CD-Rom o USB), prima dell’'esecuzione dei file in esso contenuti;
• non utilizzare CD-Rom, USB o altri supporti elettronici di provenienza incerta;
• porre la necessaria attenzione sui risultati delle elaborazioni effettuate e sulle eventuali segnalazioni anomale inviate dal PC, dandone comunicazione all’Area IT;
• usare correttamente e solo per esigenze di lavoro i servizi di posta elettronica e di Internet;
• non modificare le configurazioni impostate sul proprio PC;
• spegnere il PC al termine della giornata di lavoro.
Alla verifica di un malfunzionamento del PC o dello smartphone, che può far sospettare la presenza di un virus, è bene che il dipendente, collaboratore e/o consulente:
a) sospenda ogni operazione sul PC/smartphone evitando di lavorare con il sistema infetto;
b) contatti immediatamente l’Area IT;
c) chiuda il sistema e le relative applicazioni.
Protezione di pc portatili, smartphone e tablet
Fatte salve tutte le disposizioni dei paragrafi precedenti, di seguito vengono illustrate le ulteriori precauzioni da adottare nell’uso dei dispositivi portatili (pc portatili, tablet e smartphone) utilizzati per l’attività lavorativa:
• conservare lo strumento in un luogo sicuro alla fine della giornata lavorativa;
• non lasciare mai incustodito il pc o il smartphone in caso di utilizzo in ambito esterno all’azienda;
• avvertire tempestivamente l’Area IT, che darà le opportune indicazioni, in caso di furto di un PC portatile o di uno smartphone;
• essere sempre ben consapevole delle informazioni archiviate sul portatile o sul smartphone che sono maggiormente soggetti a furto e smarrimento rispetto alla postazione fissa;
• operare sempre nella massima riservatezza quando si utilizza il PC portatile o il smartphone in pubblico: i dati, ed in particolare le password, potrebbero essere intercettati da osservatori indiscreti.
Internet e posta elettronica
Gli strumenti di comunicazione telematica (Internet e posta elettronica) devono essere utilizzati solo ed esclusivamente per finalità lavorative. Sono vietati comportamenti che possano arrecare danno a terzi.
In particolare, l’utente dovrà osservare le seguenti regole:
• è consentita la navigazione internet solo in siti attinenti e necessari per lo svolgimento delle mansioni assegnate;
• non è consentito scaricare software gratuiti (freeware o shareware) prelevati da siti Internet;
• non è consentita la registrazione a siti internet o partecipare a forum di discussione se questo non è strettamente necessario per lo svolgimento della propria attività lavorativa;
• le uniche funzioni di Instant Messaging consentite sono quelle comunicate dall’Area IT;
• è assolutamente vietato accedere alla posta elettronica da sorgenti diverse da quelle aziendali;
• è vietato aprire e-mail e file allegati di origine sconosciuta o che presentino degli aspetti anomali (quali ad esempio, un soggetto non chiaro);
• non è consentito rispondere a messaggi provenienti da un mittente sconosciuto o di dubbio contenuto in quanto tale atto assicura al mittente l’esistenza del destinatario;
• è vietato l’utilizzo della posta elettronica per comunicare informazioni riservate, dati personali o dati critici, senza garantirne l’opportuna protezione;
• occorre sempre accertarsi che i destinatari della corrispondenza per posta elettronica siano autorizzati ad entrare in possesso dei dati che ci si appresta ad inviare;
• occorre sempre essere consapevoli che posta elettronica e navigazione internet sono veicoli per l’introduzione sulla propria macchina (e quindi in azienda) di virus e altri elementi potenzialmente dannosi;
• è consentito solo l’utilizzo dei programmi installati dall’Area IT;
• è vietato installare autonomamente programmi, sussistendo infatti il grave pericolo di introdurre virus informatici e/o di alterare la funzionalità delle applicazioni software esistenti, di violare la legge sul diritto d’autore non disponendo delle apposite licenze d’uso acquistate ANFIA;
• è vietato modificare le caratteristiche impostate sulle dotazioni od installare dispositivi di memorizzazione, comunicazione o altro (ad esempio masterizzatori, modem, wi-fi o connect card), collegare alla rete aziendale qualsiasi apparecchiatura (ad es. switch, hub, apparati di memorizzazione di rete, ecc), effettuare collegamenti verso l’esterno di qualsiasi tipo (ad es. tramite modem o connect card ecc.) utilizzando un pc che sia contemporaneamente collegato alla rete aziendale (creando così un collegamento tra la rete aziendale interna e la rete esterna);
• al fine di ottimizzare le risorse a disposizione della posta elettronica aziendale e migliorare le prestazioni del sistema si evidenzia che la casella di posta deve essere “tenuta in ordine” cancellando periodicamente o comunque se sono superati i limiti di spazio concessi, documenti inutili o allegati ingombranti;
• va sempre prestata la massima attenzione nell’utilizzo dei supporti di origine esterna (per es. chiavi USB, dischi esterni ecc.).
Reti Wi-Fi / LAN
Gli apparati potranno essere collegati alla rete Wi-Fi aziendale durante la permanenza in ufficio. In situazioni diverse il dipendente, collaboratore e/o consulente potrà decidere di collegarsi a una rete wi-fi diversa se ritenuta sicura e attendibile.
L’accesso alle reti di ANFIA è consentito esclusivamente a dipendenti, collaboratori e consulenti, che hanno ricevuto le relative credenziali di accesso dall’Area IT.
5. CENSIMENTO DEI TRATTAMENTI ED ANALISI DEI RISCHI
Anfia ha effettuato ed effettuerà periodicamente il censimento e l’analisi dei rischi secondo la best practice di settore.
6. MISURE DI SICUREZZA IN ESSERE
Al fine di assicurare l’integrità dei dati trattati e impedirne la comunicazione e/o diffusione non autorizzata, ANFIA ha adottato misure di sicurezza di tipo fisico (relativamente alla conservazione dei dati su supporto cartaceo) ed informatico.
ANFIA si è dotata oltre che delle misure di protezione minime anche di misure di protezione aggiuntive ai fini di rispondere in modo adeguato e tempestivo in caso di data breach.
In particolare sono state implementate le seguenti misure di sicurezza e vengono svolti i seguenti controlli:
• Vulnerability Assessment annuale
I dati trattati sono archiviati in server ubicati presso la sede di ANFIA. L’accesso al Drive è consentito solo tramite autenticazione con email aziendale fornita dall’Area IT. L’accesso alle singole cartelle presenti nel drive aziendale è regolato da una gerarchia di accessi.
Gli armadi e le cassettiere presenti negli uffici e nei quali vengono archiviati i documenti con dati riservati sono chiusi a chiave; la chiave è conservata dal dipendente che gestisce i documenti stessi.
7. FORMAZIONE
Con cadenza almeno annuale sono organizzati incontri o viene reso disponibile materiale formativo per il personale di ANFIA relativamente alle norme in materia di tutela della Privacy.
8. VIOLAZIONE DEI DATI
Ciascun dipendente e/o consulente è tenuto a comunicare tempestivamente, e comunque non oltre 24 ore o 2 ore lavorative dal momento in cui ne è venuto a conoscenza, di ogni violazione della sicurezza dei Dati personali e/o di ogni altro evento che possa comunque comprometterne la sicurezza, così da consentire al Titolare e/o, ove presente, al Responsabile di ottemperare alle previsioni di cui agli artt. 33 e 34 del Regolamento.