Sgoglia la BrochureChi siamo
L’indirizzo del nostro sito web è: https://www.prosestocalende.it
Vi informiamo che i dati personali che ci fornirete saranno trattati sia con strumenti automatizzati che non e comunque in conformità a quanto previsto, anche in termini di sicurezza dei dati, dal Regolamento Europeo 679/2016 ai fini dell’assolvimento dei compiti affidatici, così come esplicitato nel contratto attualmente vigente o/e ai fini di fornirvi le informazioni da Voi richieste e/o per adempiere a specifici obblighi di legge in capo al Titolare del trattamento. Il conferimento dei dati è facoltativo ma un Vostro rifiuto ci impedirà di proseguire nell’esecuzione del contratto in corso o di adempiere a Vostre specifiche richieste.
Nello specifico i Vostri dati sono legati alla nostra attività di “Promozione turistica e culturale locale, protezione e tutela del patrimonio artistico” e sono riguardanti la normale attività di rapporto con i clienti/fornitori o potenziali tali; non è prevista, salvo apposito e specifico consenso, alcuna attività di marketing massivo.
La conservazione dei dati (che comunque e in nessun caso potrà essere superiore ai 10 anni dall’ultimo trattamento/aggiornamento) è legata all’esistenza di una fornitura di beni/servizi, agli obblighi di legge o a esigenze di specifici trattamenti di cui siete parte, è Vostro diritto richiedere la cancellazione dei dati quando lo stesso diritto non sia in contrapposizione con obblighi di legge.
I Vostri dati verranno comunicati agli incaricati della scrivente necessari allo svolgimento dei compiti affidatici, a banche o istituti di credito per il trattamento e l’incasso delle competenze, a istituti o organismi pubblici in relazione ai compiti affidatici e a normative/obblighi di legge, a organismi di controllo e pubblica sicurezza se richiesti, a eventuali terze parti solo in conseguenza di utilizzo delle stesse per l’assolvimento dei compiti affidatici.
Avete il diritto di ottenere dal Titolare la cancellazione, la limitazione, l’aggiornamento, la portabilità, l’opposizione al trattamento dei dati personali che la riguardano nonché in generale o diritti previsti dagli articoli 15, 16, 17, 18, 19, 20, 21 e 22 del Regolamento Europeo 679/2016.
Non è previsto il trasferimento di Vostri dati all’estero da parte della scrivente ma eventuali terzi coinvolti nel trattamento potrebbero avvalersi di tale possibilità.
Titolare del trattamento:
Associazione Pro Sesto Calende
Viale Italia 3 – Sesto Calende (VA)
Referente per la protezione dei dati: privacy@prosestocalende.com
Il consenso affinché i Vostri dati vengano trattati dalla scrivente ai fini dell’esecuzione di un contratto in essere o da svilupparsi secondo i modi indicati nell’informativa su esposta o per adempiere a Vostre specifiche richieste NON è PREVISTO in quanto, ai sensi dell’Art.6 comma 1 lettera b, il trattamento si intende lecito. Una revoca o una non concessione del consenso implica un’impossibilità a proseguire il rapporto.
Regolamento Europeo 679/2016
Adempimenti
Verifica dei Rischi
Identificazione del soggetto:
| Denominazione | Associazione Pro Sesto Calende |
| Indirizzo | Viale Italia 3 |
| Città | Sesto Calende (VA) |
| Telefono | 347 9516989 (Andrea Scandola) |
| prosestocalende@libero.it | |
| Rappresentante Legale | Presidente – Ivana Boffo |
Attività svolta:
Promozione turistica e culturale locale, protezione e tutela del patrimonio artistico.
Flusso logico dei dati:
Ingresso / Raccolta:
I dati personali vengono forniti dai diretti interessati in seguito a specifiche richieste effettuate dagli stessi; in questo caso l’informativa e gli eventuali consensi specifici sono forniti nei modi e tempi previsti dall’Art.13.
Inoltre i dati vengono raccolti dal Titolare tramite proprio sito web previo completamento di un form e sottoscrizione di idonea informativa.
Quale prassi consolidata nelle comunicazioni (via e-mail) in uscita viene prevista la comunicazione di come ricevere (se smarrita) l’informativa riguardo il trattamento dei dati personali.
Trattamenti interni:
All’interno della struttura del Titolare i dati vengono trattati sia con che senza l’ausilio di strumenti elettronici.
Il trattamento vede coinvolti tutti gli incaricati del Titolare che operano sotto la sua diretta autorità, utilizzandone gli strumenti e seguendone le istruzioni in maniera paritetica, non essendo giustificabile né gestibile in una struttura di queste dimensioni, una differenziazione nella tipologia di dati a cui è possibile accedere.
L’accesso ai dati conservati in forma elettronica è possibile solo attraverso una autenticazione comprendente USER e PASSWORD assegnata in forma esclusiva ai singoli incaricati.
I dati trattati sono di natura personale e, solo per le elaborazioni inerenti paghe e contributi, interessano dati di cui all’Art.9.
I soggetti incaricati al trattamento elettronico dei dati sono stati identificati (vedi elenco allegato) e a tutti sono state fornite istruzioni riguardo tutela e riservatezza attraverso una lettera di incarico scritta in cui vengono riportante le credenziali di accesso personali.
A completamento di formazione e istruzione è stato fornito a tutti i soggetti autorizzati all’utilizzo di strumenti elettronici, un regolamento relativo alle modalità di utilizzo e ai vincoli connessi.
Trattamenti esterni al Titolare:
È prevista la comunicazione di dati esternamente alla struttura del Titolare ai seguenti soggetti autonomi in considerazione della stipula di contratti specifici aventi per oggetto:
- Paghe, contributi, consulenza del lavoro e tenuta contabilità:
Studio Cherubini – Sesto Calende (Va)
- Domiciliazione dati in Cloud:
Dropbox
Tutti i soggetti hanno contrattualizzato il proprio onere di adeguamento alla normativa in materia di sicurezza e tutela dei dati.
Registro dei trattamenti (Art.30) in qualità di Titolare del trattamento:
Esaminato l’Art.30 al comma 5 la scrivente ritiene di NON essere soggetta alla tenuta di un registro dei trattamenti ma di optare per la sintetica descrizione dei flussi presenti in azienda riportata di seguito, al fine di monitorare con puntualità le misure da adottare.
Adempimenti Amministrativo/Contabili
| Finalità del trattamento | Gestione contabilità, adempimenti fiscali |
| Soggetti interessati | Clienti/fornitori dipendenti |
| Tipologia dati | Personali |
| Soggetti ai quali i dati verranno comunicati | Banche, pubblica amministrazione, enti previdenziali, responsabili esterni |
| Periodo di conservazione | Nei termini degli obblighi di conservazione previsti dalla norma in materia fiscale/tributaria/civilistica |
| Misure Particolari | Trattamento manuale in outsourcing presso il Responsabile Esterno |
| Finalità del trattamento | Gestione rapporti di lavoro con i propri dipendenti |
| Soggetti interessati | Dipendenti e familiari |
| Tipologia dati | Personali e sensibili |
| Soggetti ai quali i dati verranno comunicati | Banche, Pubblica Amministrazione, Enti Previdenziali e Responsabili esterni |
| Periodo di conservazione | Nei termini degli obblighi di conservazione previsti dalla norma in materia fiscale/tributaria/civilistica |
| Misure Particolari | Trattamento solo manuale |
Gestione associati
| Finalità del trattamento | Gestione associati |
| Soggetti interessati | Associati e possibili tali |
| Tipologia dati | Personali |
| Soggetti ai quali i dati verranno comunicati | Nessuno |
| Periodo di conservazione | 3 anni dall’ultimo trattamento autorizzato |
| Misure Particolari |
Comunicazioni a simpatizzanti (*)
| Finalità del trattamento | Invio comunicazioni a simpatizzanti |
| Soggetti interessati | (*) Chiunque abbia espresso interesse a ricevere informazioni sull’attività della proloco |
| Tipologia dati | Personali |
| Soggetti ai quali i dati verranno comunicati | Nessuno |
| Periodo di conservazione | Fino alla revoca del consenso al trattamento |
| Misure Particolari |
Registro dei trattamenti (Art.30) in qualità di Responsabile del trattamento:
La scrivente, esaminata la definizione di responsabile di cui all’Art.4 comma 8, attesta di assumere la figura di Responsabile del trattamento.
Il registro dei trattamenti in qualità di Responsabile non è redatto in quanto i dati trattati non sono rientranti nella casistica dell’Art.30 paragrafo 5.
Trasferimento dati esternamente alla U.E.:
Strumenti utilizzati nel trattamento e loro sicurezza (Art.32):
Strumenti NON elettronici:
Il trattamento di supporti cartacei contenenti dati è previsto solo internamente alla struttura del Titolare, eventuali trattamenti esterni sono di esclusiva competenza degli incaricati che, durante il trattamento, hanno obbligo di custodia e di riservatezza in merito ai dati.
All’interno della struttura del Titolare sono presenti armadi nei quali conservare i dati, con particolare riferimento ai dati di cui all’Art.9.
Non sono previsti accessi ai locali contenenti dati se non alla presenza di un incaricato autorizzato.
Strumenti elettronici:
È presente un unico PC contenente dati in cui è installato un sistema operativo Windows 7. Nella struttura è presente anche un altro PC che non collegato al primo, non contiene dati ove non è prevista la conservazione di alcun dato.
Ogni utente ha in uso user e password personali, a utilizzo esclusivo, che sono fornite al momento dell’ingresso in organico.
Sono presenti due Custodi delle password (IVANA BOFFO e PIER GIORGIO FABIANI) che dispongono delle credenziali di accesso come amministratori ai server e agli strumenti di comunicazione elettronica (router, firewall, access point wireless).
Inoltre il Custode delle password dispone delle credenziali di accesso alle caselle di posta elettronica intestate all’interno del dominio aziendale xxx@prosestocalende.it.
L’utilizzo e la consultazione delle caselle elettroniche di posta, e più in generale degli strumenti elettronici, è regolato dal “Regolamento sull’utilizzo degli strumenti elettronici” emanato in azienda.
Modalità di cifratura dati (Art.32, c1, lettera a)
Non è prevista cifratura dei dati.
Modalità di salvataggio dati (Art.32, c1, lettera b)
È stato designato un responsabile dei salvataggi (PIER GIORGIO FABIANI) che coordina tutte le procedure di salvataggio così strutturate:
Salvataggi locali, cadenza mensile, tramite l’ausilio di 2 hard disk esterni di cui uno sempre collegato e l’altro conservato in luogo diverso a cura del Responsabile designato.
Modalità di protezione dati da attacchi esterni (Art.32, c1, lettera b)
È presente un sistema antivirus denominato NOD32 installato su tutti i PC presenti in rete (server compreso) aggiornato in tempo reale e il cui corretto funzionamento e aggiornamento è verificato dal soggetto designato (PIER GIORGIO FABIANI).
Eventuali tentativi di intrusione esterna in forma telematica sono prevenuti da un sistema firewall software di Microsoft.
Modalità di mantenimento in funzione del trattamento (Art.32, c1, lettera c)
Il PC è di normale modello commerciale e tutti i software utilizzati sono dotati di contratto di assistenza/licenza con il produttore (o con suo concessionario) ed è disponibile personale interno con competenze tecniche sufficienti a gestire il ripristino dell’operatività aziendale di trattamento.
Procedura periodica di Valutazione delle misure di sicurezza (Art.32, c1, lettera d)
Sono previste prove annuali di ripristino simulato di parte del sistema informativo, inoltre il sistema di salvataggi programmati genera report sull’effettivo svolgimento degli stessi.
È preventivata una verifica sull’inviolabilità del perimetro elettronico con cadenza annuale.
Modalità di formazione del personale (Art.32, c4)
Al momento dell’inserimento in organico di nuovo personale è prevista la consegna di una lettera di incarico contenente le credenziali di accesso al sistema informativo e le istruzioni operative relative alla sicurezza e tutela dei dati.
Inoltre viene consegnato il regolamento aziendale sull’utilizzo degli strumenti elettronici contenente le prescrizioni di utilizzo degli stessi.
In caso di variazioni sostanziali nel ciclo di trattamento è prevista una specifica formazione del personale interessato.
Databreach (Artt.33 e 34):
Come previsto dall’Art.33 sarà cura del titolare del trattamento, attraverso il referente designato, il comunicare, entro 72 ore dalla venuta a conoscenza dell’evento di violazione dei dati personali, al Garante della Privacy attraverso una PEC indirizzata a protocollo@pec.gpdp.it.
Inoltre, nel caso la violazione riguardi dati in cui la scrivente ricopra il ruolo di responsabile sarà cura del Referente inoltrare la medesima comunicazione al Titolare del trattamento.
Sarà sempre cura del Referente valutare la necessità di adempiere a quanto previsto dall’Art.34 in merito alla necessità di comunicazione agli interessati.
Data Protection Officer (DPO) (Art.37):
La scrivente NON ritiene obbligatoria la designazione del Responsabile della Protezione dei Dati (DPO dall’acronimo di Data Protection Officer) in quanto la stessa non rientra nei trattamenti di cui all’Art.37.
Nonostante ciò, al fine di meglio gestire la tutela dei dati presenti in azienda, si è comunque identificato un Referente che, pur non disponendo completamente delle caratteristiche necessarie ad assumere il ruolo di DPO, avrà i seguenti compiti:
- Fornire agli interessati le delucidazioni inerenti i trattamenti;
- Ricevere dai soggetti interni all’azienda destinati allo sviluppo/utilizzo del sistema informativo le informazioni inerenti modifiche al ciclo dei trattamenti;
- Consultarsi periodicamente con i consulenti privacy esterni all’azienda al fine di aggiornare le procedure;
- Sottoporre al Consiglio di Amministrazione gli investimenti e/o le modifiche operative necessarie alla tutela dei dati personali;
- Coordinare le attività di formazione specifica degli incaricati interni di nuova nomina;
- Essere il punto di contatto, in materia di privacy e tutela dei dati, con i soggetti esterni responsabili di specifici trattamenti;
- Sorvegliare l’osservanza del Regolamento UE e delle norme collegate nel ciclo dei trattamenti di competenza del titolare nonché vigilare sull’attuazione di quanto previsto dal presente documento.
La persona nominata attraverso regolare lettera di nomina che ne specifica compiti, responsabilità e ambiti operativi è il signor Andrea Joe Scandola.
Il soggetto designato opera con continuità all’interno della struttura essendone collaboratore stabile e dotato di figura apicale e ha potere di indirizzo nei confronti del consiglio di amministrazione.
Analisi dei rischi (generici) e contromisure:
Rischio accesso fisico non autorizzato: i locali contenenti dati personali sono posti al piano terra di una palazzina sita in luogo non isolato e non soggetto a eventi criminosi significativi. Durante l’orario di lavoro i dati non vengono mai lasciati incustoditi da parte del personale incaricato che ha espliciti obblighi di custodia e riservatezza.
Rischio accesso elettronico locale da parte di personale censito non autorizzato a specifico trattamento: visto il numero limitato di incaricati e la sovrapponibilità dei compiti, tutti gli addetti censiti sono autorizzati al trattamento di tutti i dati gestiti; eventuali dati riservati sono protetti da password.
Rischio accesso elettronico locale da parte di soggetti non censiti: l’accesso ai dati in forma elettronica è consentito solo previa autenticazione al sistema informativo. Gli incaricati hanno ricevuto istruzioni relative alla necessità di non abbandonare il proprio posto di lavoro, neppure per brevi periodi, se non scollegandosi dal sistema informativo e a non cedere a terzi le proprie credenziali di autenticazione.
Rischio di distruzione fisica dei supporti NON elettronici: sono presenti i presidi antincendio previsti dal Dlgs 81/08, si ritiene però di sottolineare che i dati contenuti in supporti non elettronici sono mere estrapolazioni di dati elettronici e quindi facilmente riproducibili.
Rischio di distruzione fisica dei supporti elettronici: sono previsti salvataggi periodici e una copia degli stessi è custodita al di fuori della sede aziendale.
Rischio furto: valgono le considerazioni espresse nel capitolo “Accesso fisico non autorizzato”.
Rischio accesso elettronico da parte di soggetti NON censiti: il perimetro elettronico dell’azienda è tutelato da un sistema firewall che ne impedisce il valico da parte di soggetti non censiti, le comunicazioni verso postazioni remote avvengono tramite VPN, il corretto funzionamento viene periodicamente controllato attraverso procedura di test effettuata da personale esterno con competenze specifiche.
Rischio distruzione/danneggiamento/non leggibilità dei dati elettronici: è presente un sistema antivirus sempre attivo e aggiornato, eventuali virus o RansomWare che dovessero eludere questo sistema e intaccare i dati sono resi non letali dalla presenza di salvataggi dei dati stessi posti al di fuori della rete aziendale.
Rischio su soggetti esterni censiti: la presenza di dati esternamente all’azienda è possibile solo previa stipula di un rapporto contrattuale con il soggetto destinatario (Responsabile) che nello stesso deve indicare esplicitamente il proprio impegno all’adeguamento delle proprie strutture alla normativa ed evoluzione tecnica in materia di protezione e tutela dei dati.
Trattamenti specifici e particolari:
Videosorveglianza:
Non è presente alcuna attività di videosorveglianza.
Geo-localizzazione persone:
Non è presente alcuna attività di geo-localizzazione delle persone.
Attività di marketing:
Non vengono effettuate specifiche attività massive di marketing rivolte a persone fisiche che hanno espresso idoneo consenso.
Raccolta/trattamento/diffusione dati personali via WEB:
Viene effettuata raccolta di dati attraverso il WEB, la raccolta di dati è soggetta a preventiva fornitura di idonea informativa e accettazione del trattamento da parte del soggetto interessato.
Sono presenti un sito internet e delle piattaforme social dedicate, in cui sono pubblicate le foto di soggetti identificabili ma gli stessi hanno rilasciato consenso alla diffusione dei propri dati personali.
(Allegato) Elenco soggetti autorizzati al trattamento elettronico dei dati:
Di seguito l’identificazione dei soggetti interni autorizzati al trattamento elettronico dei dati (Ex incaricati Art.30 Dlgs 196/2003).
A tali soggetti è stata fornita lettera di incarico ufficiale all’inizio del trattamento, copia del regolamento sull’utilizzo degli strumenti elettronici e idonea formazione in materia di tutela dei dati.
È previsto un aggiornamento annuale del presente elenco.
Si rammenta che tutti i soggetti qui indicati hanno autorizzazione al trattamento di tutti i dati di cui la scrivente è titolare a esclusione di quelli trattati dall’Art.9, relativi ai dipendenti della scrivente, per i quali è prevista un’autorizzazione specifica riportata di fianco al nome del soggetto autorizzato.
Di seguito anche il conferimento di soggetti autorizzati al trattamento dei dati ma non autorizzato all’utilizzo del sistema informatico:
| Utilizzatore | Compiti e responsabilità oltre lo standard |
| Samanta Bertolazzi | |
| Gloriana Conti | |