Istruzioni per la gestione dei dati personali

L’Associazione, in qualità di titolare del trattamento dei dati personali, dispone che chiunque abbia accesso a tali dati, li consulti, li archivi, li diffonda, li modifichi, li raccolga o, comunque, effettui qualsiasi operazione su informazioni, sia in formato elettronico che cartaceo, riferite a persone, non possa trattare tali dati se non con modalità che rispettino tutte le seguenti istruzioni.

Tali istruzioni sono da considerarsi, a tutti gli effetti, quali direttive provenienti dal proprio datore di lavoro e, in quanto tali, il loro mancato rispetto potrebbe generare delle responsabilità a carico del collaboratore.

Definizioni

Dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile mediante riferimento a qualsiasi altra informazione disponibile.

Dato particolare: i dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché i dati genetici, i dati biometrici intesi a identificare in modo univoco una persona fisica, i dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.

Trattamento: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali.

Titolare del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.

Autorizzati al trattamento: le persone fisiche autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile, a prescindere dalla funzione svolta all’interno dell’Associazione.

Postazione di lavoro: l’insieme degli strumenti informatici e non messi a disposizione dal datore di lavoro per rendere la prestazione lavorativa, sia in sede sia in mobilità (ad es. archivi, armadi, cassettiere, scrivanie, computer, stampanti, fax, telefoni cellulari di proprietà dell’Associazione, ecc.).

Istruzioni

1          Accesso ai dati da parte di soggetti non autorizzati al trattamento

Occorre sempre controllare che l’accesso ai dati trattati dall’Associazione in qualsiasi contesto (segreterie, uffici, eventi) possa avvenire da parte di persone non autorizzate al trattamento, siano essi interni o esterni all’Associazione. Il dato deve, innanzitutto, essere protetto da accessi non autorizzati, che possono avvenire di persona (si pensi a un soggetto non autorizzato che entra fisicamente in un ufficio e prova a conoscere o sottrarre dati) o tramite contatti telematici che possono rivelarsi truffaldini (ad esempio un’e-mail o altra forma di presa di contatto mediante la quale si provino a raccogliere determinati dati o informazioni).

I documenti cartacei contenenti dati personali e tutta la documentazione amministrativa devono essere custoditi per evitare l’accesso agli stessi da parte di soggetti non autorizzati.

2          Sicurezza della postazione di lavoro

La postazione di lavoro deve essere configurata in modo che sia impostato l’avvio automatico dello screensaver (“salvaschermo”) dopo al massimo 5 minuti di inattività del Personal Computer. È facoltà degli Autorizzati, qualora lo ritengano necessario od opportuno in ragione dei dati che stanno trattando, stabilire un intervallo temporale minore.

In caso di assenza momentanea dal proprio posto di lavoro, ci si deve accertare che la sessione di lavoro non sia accessibile a terzi, facendo logout o attivando il salvaschermo (screensaver) con blocco della sessione protetta da credenziali di autenticazione. Lasciare il proprio computer accessibile quando ci si allontana dalla propria scrivania genera una vulnerabilità molto pericolosa, e incontrollabile, al proprio lavoro e al patrimonio di dati dell’Associazione.

Tutti i computer, sia desktop che portatili, devono avere installato e attivo il software antivirus dell’Associazione con firewall attivato e devono essere mantenuti costantemente aggiornati con le patch di sicurezza del sistema operativo e degli applicativi utilizzati. Tali aggiornamenti sono, nella maggior parte dei casi, automatici e non richiedono l’intervento dell’utente. Non bisogna però, salvo casi eccezionali, bloccare o ritardare un aggiornamento dei software o dei sistemi, ma è necessario procedere immediatamente al salvataggio dei file eventualmente aperti e acconsentire all’aggiornamento.

3          Spegnimento obbligatorio dei Personal Computer

Tutti i Personal Computer (desktop e portatili) dell’Associazione che vengono usati, al termine delle ore di servizio, devono essere spenti, a meno che per particolari ragioni tecniche o di servizio debbano rimanere in funzione (in tal caso, il computer acceso deve risiedere in un ufficio o in un locale chiuso a chiave o protetto e con salvaschermo attivo e protetto da credenziali).

4          Protezione dei supporti esterni e dei dispositivi mobili

Particolare attenzione alla custodia deve riguardare anche i supporti esterni (es chiavette USB, dischi esterni, tablet, smartphone,) evitando di lasciarli in luoghi non protetti. Per i supporti esterni mobili è richiesto di utilizzare la cifratura dei dati.

5          Controllo delle stampe e dei documenti

Occorre prestare attenzione alla stampa di documenti o alla ricezione di fax su stampanti condivise o fotocopiatrici di rete, avendo cura di recuperare tempestivamente la stampa e di non lasciare i documenti incustoditi. La protezione dei dati si applica anche a documenti cartacei, cui va garantita custodia e controllo. Non riutilizzare per appunti il retro di fogli stampati o fotocopiati se contengono dati personali. Qualora sia fornito, è sempre necessario utilizzare il “distruggi-documenti” per rendere non leggibili i documenti contenenti dati personali o informazioni rilevanti.

6          Ulteriori cautele nella gestione del Personal Computer portatile

Non lasciare mai incustodito il computer portatile. Lo smarrimento, il furto, l’accesso non autorizzato o la sospetta manomissione di un computer che contenga dati personali comporta un cosiddetto data breach, ossia una violazione del patrimonio di dati dell’Associazione, che deve essere segnalato immediatamente, e comunque al massimo entro 24 ore, al Datore di lavoro affinché vengano svolti in tempo utile gli adempimenti di legge.

Se sono presenti dati personali di cui l’Associazione è Titolare, sui computer portatili devono essere adottati meccanismi di cifratura dei dati al fine di ridurre il rischio collegato al data breach in caso di smarrimento o furto del computer, seguendo le istruzioni già indicate al punto 4 del presente documento.

7          Gestione delle credenziali di accesso ai computer, ai dati e ai servizi

È obbligatorio impostare delle credenziali di accesso (username e password) che siano sicure, non note ad altri e mai comunicate a terzi, né a voce, né per e-mail, su siti non istituzionali o in chat. In particolare, la password deve essere univoca (non usata per più servizi, sistemi o siti), robusta (lunghezza idonea, formata da lettere maiuscole e minuscole, numeri e/o caratteri speciali, senza riferimenti riconducibili all'utente), cambiata frequentemente (almeno ogni sei mesi) e regolarmente, e sempre diversa da quelle utilizzate in precedenza. Non usare la stessa password usata per l’accesso ai sistemi e servizi universitari per accedere ad applicazioni o siti che siano esterni ai servizi dell’Associazione. Le password non devono essere mai scritte e conservate in luoghi e modi che non garantiscano adeguata protezione.

8          Atteggiamento diffidente nei confronti di qualsiasi richiesta di dati

Il collaboratore deve mantenere sempre un atteggiamento prudenziale e rispondere sempre in maniera negativa a richieste di dati, effettuate in qualunque modo, che non pervengano chiaramente da soggetti autorizzati, e la cui identità, in caso di dubbio, non sia stata accuratamente verificata. Le richieste di dati devono avvenire obbligatoriamente in forma scritta e, nel caso, autorizzate dal proprio responsabile.

È vietato, altresì, fornire o rendere disponibili informazioni tecniche, riferite alla rete e ai sistemi dell’Associazione, alle policies e alle credenziali usate, ai software e alle applicazioni utilizzate, a soggetti esterni all’Associazione stessa. Tali informazioni sono solitamente domandate per cercare di violare i sistemi di Associazione con la tecnica del social engineering.

9          Salvataggio (backup) dei dati

È obbligatorio adottare tutte le misure necessarie per salvaguardare i dati mediante regolari backup e per consentirne il ripristino nel caso di perdita accidentale o sottrazione del dispositivo, cancellazione accidentale o alterazione dei dati. La copia di backup deve essere custodita offline (scollegata dal sistema che ospita i dati), in un luogo sicuro e cifrato in considerazione della natura e quantità dei dati. È fatto obbligo di utilizzare solo ed esclusivamente gli strumenti messi a disposizione dall’Associazione, mentre è fatto divieto di utilizzare servizi di archiviazione e condivisione file per backup offerti da operatori commerciali per uso personale (ad es. Google Drive, Dropbox, iCloud, OneDrive), se non espressamente previsti da opportune eccezioni documentate ed autorizzate dall’Associazione.

10       Minimizzazione nell’utilizzo dei dati personali

I dati personali degli interessati devono essere utilizzati il meno possibile, non diffusi a soggetti terzi, cancellati non appena la politica dell’Associazione lo consente, e particolare attenzione va portata nei confronti di dati classificati come particolari (già dati sensibili). Nel momento in cui il collaboratore o volontario venga a conoscenza di un trattamento non corretto, eccedente le finalità, inutile o pericoloso, deve segnalarlo al proprio referente o direttamente al Presidente.

Riferimenti e approfondimenti