per l’applicazione dell’art.15 della legge 31.12.1996 n.675, e del regolamento 28.07.1999 n.318 recante norme per l’individuazione delle misure minime di sicurezza per il trattamento dei dati personali

Titolare del trattamento: Sindaco pro tempore.

Amministratore del sistema: Responsabile Servizi informatici del comune, Rete Civica e Rete interna – Sgalambro Margherita cat.D2.

Responsabili dei trattamenti sono i dirigenti ed i responsabili di uffici e servizi individuati con provvedimento del Sindaco n.15 dell’8.10.1999 e successive modifiche od i sostituti temporanei dei medesimi.

1. Attualmente sono i seguenti:

• Dr.ssa Maria Grazia Margonari, Dirigente per i Servizi Finanziari, comprendenti l’Ufficio Personale;
• Dr.ssa Loretta Bettari (cat.D4)per Servizio l’Economato;
• Dr.ssa Roberta Gandelli (cat.D4) per Servizio Tributi e Ufficio Commercio;
• Dr. Enrico Benedetti (cat.D4) per Servizio Ragioneria;
• Ing. Lorenzo Peretti (cat.D4) per i Servizi Tecnici comunali Lavori Pubblici, Servizi Generali, Ecologia ed Ambiente;
• Geom. Vincenzo Bettinzana (cat.D4) per Servizi Tecnici Comunali Urbanistica ed Edilizia Privata
• Dr. Carlo Alberto Presicci (cat.D2) per Servizio Vigilanza Urbana;
• Rag. Giovanni Mammola (cat.D4)per i Servizi Demografici;
• Dr.ssa Laura Schivardi (cat.D4) per il Servizio Farmacia Comunale
• Dr.ssa Liliana Bugna (cat.D3) per il Servizio Affari Generali, URP;
• Sig. Margherita Sgalambro (cat.D2) per Servizio Sistemi Informativi e CED;
• Dr.ssa Flavia Bernini, Dirigente Settore Sociale, Culturale e Sportivo;
• alla Dr.ssa Bonsaver (cat.D3) per i Servizi Pubblica Istruzione, Cultura, Sport, Turismo e tempo Libero, che dal 01.04.2000 verranno assegnati;
• Sig.ra Flora Casagrande (cat.D3) per i Servizi Sociali e gli Asili Nido.

Tutti gli archivi cartacei ed elettronici debbono essere protetti con misure minime di sicurezza fisiche, organizzative e logiche.

E’ necessario proteggere maggiormente dal rischio di intrusione fisica gli asili nido, la sede staccata dell’U.R.P. a Rivoltella e il Comando Vigilanza Urbana, mediante sistemi di allarme o vigilanza notturna.

I dati sensibili e giudiziari devono essere inseriti in contenitori/armadi muniti di chiave. Gli incaricati del trattamento sono i responsabili degli uffici e servizi appositamente designati. I responsabili devono individuare e definire per iscritto le persone autorizzate al trattamento e le procedure di consegna e restituzione dei documenti o pratiche contenenti dati sensibili e giudiziari.

L’accesso deve essere limitato ai soli dati strettamente necessari per lo svolgimento delle mansioni di competenza.

Gli atti devono essere restituiti al termine delle operazioni.

In sostanza, al termine della giornata di lavoro i documenti devono essere riposti in un cassetto o in un contenitore/armadio chiuso a chiave.

E’ necessario identificare ed elencare in un apposito registro i soggetti ammessi agli archivi dopo l’orario di chiusura dell’archivio stesso.

Se i dati sensibili vengono inseriti in un elenco o registro manuale devono essere trattati mediante l’utilizzazione di codici identificativi o di altri sistemi che permettano di identificare gli interessati solo in caso di necessità.

I dati idonei a rivelare lo stato di salute e, se del caso la vita sessuale, devono essere conservati separatamente da ogni altro dato personale trattato per finalità che non richiedano il loro utilizzo.

Data la situazione delineata nello stato di fatto suesposto per questo Ente è indispensabile l’approvazione del documento programmatico sulla sicurezza previsto dall’art.6 del DPR n.318 citato in quanto sono impiegati elaboratori accessibili mediante una rete di telecomunicazioni disponibile anche al pubblico.

2. Pertanto devono essere attuate per i trattamenti informatizzati le seguenti misure:

1. l’identificazione dell’utente;
2. l’autorizzazione all’accesso alle funzioni;
3. la registrazione degli ingressi;
4. l’inserimento di una password che inibisca l’accesso al sistema o ai dati contenuti negli elaboratori stabilmente accessibili da altri elaboratori.

Per i casi in cui ci sono più incaricati del trattamento dei dati personali sensibili e giudiziari deve essere prevista una specifica parola chiave per tali dati.

I dati sensibili e giudiziari contenuti in elenchi, banche dati, dischi e dischetti tenuti con l’ausilio di mezzi elettronici o comunque automatizzati, devono essere trattati mediante l’utilizzazione di codici identificativi o di altri sistemi che permettano di identificare gli interessati solo in caso di necessità.

Il programma anti-intrusione della rete e degli elaboratori (Firewall) deve essere verificato ed aggiornato almeno semestralmente.

Per il trattamento dei dati sensibili e giudiziari ricorrono nell’Ente le condizioni previste dall’art.3, comma 1°, lettera b), del DPR n.318/99. Quindi sono oggetto di autorizzazione da parte dell’amministratore di sistema anche gli strumenti che possono essere utilizzati per l’interconnessione mediante la rete disponibile al pubblico.

L’amministratore del sistema non può ammettere per i dati sensibili e giudiziari l’utilizzazione di uno stesso codice per accedere contemporaneamente da diverse postazioni di lavoro alla stessa applicazione.

Periodicamente e comunque almeno annualmente l’amministratore del sistema deve verificare le autorizzazioni concesse agli incaricati del trattamento e della manutenzione.

Devono essere autenticati e registrati dall’amministratore del sistema:

• gli accessi fisici al C.E.D. ed agli armadi ignifughi contenenti i dati salvati;

• gli accessi al C.E.D. ed alle reti per manutenzioni di ogni genere, potenziamenti strumenti informatici, installazioni nuovi programmi, eccetera.

********

A cura del Comitato operativo in funzione nell’ente ai sensi dell’art.27 del Regolamento sull’ordinamento degli uffici e dei servizi deve essere elaborato un piano di formazione per rendere edotti i responsabili e gli incaricati del trattamento dei dati dei rischi connessi e delle modalità operative appropriate per prevenire danni o violazioni delle norme vigenti e delle specifiche prescrizioni dell’Ente.

L’efficacia delle misure di sicurezza adottate ai sensi del presente documento deve essere controllata periodicamente e comunque almeno annualmente a cura del Comitato operativo suindicato.

Il presente piano deve essere aggiornato in caso di necessità e, comunque, almeno con cadenza annuale.

21 maggio 2002