Adempimenti ex Art. 12 del REGOLAMENTO UE 679/2016 – Informazioni, comunicazioni e modalità’ trasparenti per l’esercizio dei diritti dell’interessato – Informativa ai sensi degli Artt. 13-14 del REGOLAMENTO UE 679/2016
La POLITICA della PRIVACY di Associazione Compagnia del Sapere impone che, in coerenza con la missione dell’ Associazione, la gestione di tutti i processi sia impostata con le regole proprie dell’applicazione del Sistema di gestione della Privacy secondo le prescrizioni contenute nel D.Lgs. 196/03 e del Reg. UE 679/2016.
SCOPO E OBIETTIVI
La direzione di Associazione Compagnia del Sapere ha definito, ha divulgato e si impegna a mantenere attiva a tutti i livelli della propria organizzazione la presente politica per la Gestione della Privacy.
Lo scopo della presente policy è:
di garantire la tutela e la protezione da tutte le minacce, interne o esterne, intenzionali o accidentali, delle informazioni e dati gestiti nell’ambito delle proprie attività in accordo con le indicazioni fornite dal D.Lgs. 196/03 e del Reg. UE 679/2016.
CAMPO DI APPLICAZIONE
La presente politica si applica indistintamente a tutti gli organi e i livelli dell’Associazione.
L’attuazione della presente politica è obbligatoria per tutto il personale e deve essere inserita nella regolamentazione degli accordi con qualsiasi soggetto esterno che, a qualsiasi titolo, possa essere coinvolto con il trattamento di informazioni che rientrano nel campo di applicazione del Sistema di Gestione della Privacy.
L’Associazione consente la comunicazione e la diffusione delle informazioni verso l’esterno solo per il corretto svolgimento delle attività Associazionali che devono avvenire nel rispetto delle regole e delle norme cogenti.
LA NOSTRA POLICY IN TEMA DI SICUREZZA DELLE INFORMAZIONI
Il patrimonio informativo da tutelare è costituito dall’insieme delle informazioni gestite
attraverso i servizi forniti e localizzate in tutte le sedi dell’Associazione.
È necessario assicurare:
• la confidenzialità delle informazioni: ovvero le informazioni devono essere accessibili solo da chi è autorizzato.
• l’integrità delle informazioni: ovvero proteggere la precisione e la completezza delle informazioni e dei metodi per la loro elaborazione.
• la disponibilità delle informazioni: ovvero che gli utenti autorizzati possano effettivamente accedere alle informazioni e ai beni collegati nel momento in cui lo richiedono.
La mancanza di adeguati livelli di sicurezza può comportare il danneggiamento dell’immagine dell’Associazione, la mancata soddisfazione del cliente, il rischio di incorrere in sanzioni legate alla violazione delle leggi e normative vigenti nonché danni di natura economica e finanziaria.
Un adeguato livello di sicurezza è altresì basilare per la condivisione delle informazioni.
Viene istituito e tenuto dal titolare del Trattamento e, ove applicabile, dal rappresentante un apposito registro delle attività di trattamento dei dati che vengono svolte sotto la propria responsabilità.
L’Associazione identifica, inoltre, tutte le esigenze di sicurezza tramite la valutazione di impatto sulla protezione dei dati che consente di acquisire consapevolezza sul livello di esposizione a minacce dei propri sistemi di gestione dei dati.
La valutazione del rischio permette di valutare le potenziali conseguenze e i danni che possono derivare dalla mancata applicazione di misure di sicurezza al sistema informativo e quale sia la realistica probabilità di attuazione delle minacce identificate.
I risultati di questa valutazione determinano le azioni necessarie per individuare le corrette ed adeguate misure di sicurezza ed i meccanismi per garantire la protezione dei dati personali.
I principi generali della gestione della sicurezza delle informazioni abbracciano vari aspetti:
– Deve esistere un catalogo costantemente aggiornato degli asset dell’ Associazione rilevanti ai fini della gestione delle informazioni e per ciascuno deve essere individuato un responsabile. Le informazioni devono essere classificate in base al loro livello di criticità, in modo da essere gestite con livelli di riservatezza ed integrità coerenti ed appropriati.
– Per garantire la sicurezza delle informazioni, ogni accesso ai sistemi deve essere sottoposto a una procedura d’identificazione e autenticazione. Le autorizzazioni di accesso alle informazioni devono essere differenziate in base al ruolo ed agli incarichi ricoperti dai singoli individui, in modo che ogni utente possa accedere alle sole informazioni di cui necessita, e devono essere periodicamente sottoposte a revisione.
– Devono essere definite delle procedure per l’utilizzo sicuro dei beni dell’ Associazione e delle informazioni e dei loro sistemi di gestione.
– Deve essere incoraggiata la piena consapevolezza delle problematiche relative alla sicurezza delle informazioni in tutto il personale (dipendenti e collaboratori) a partire dal momento della selezione e per tutta la durata del rapporto di lavoro.
– Per poter gestire in modo tempestivo gli incidenti, tutti devono notificare qualsiasi problema relativo alla sicurezza. Ogni incidente deve essere gestito come indicato nelle procedure.
– È necessario prevenire l’accesso non autorizzato alle sedi e ai singoli locali dell’ Associazione dove sono gestite le informazioni e deve essere garantita la sicurezza delle apparecchiature.
– Deve essere assicurata la conformità con i requisiti legali e con i principi legati alla sicurezza delle informazioni nei contratti con le terze parti.
– Deve essere predisposto un piano di continuità che permetta all’Associazione di affrontare efficacemente un evento imprevisto, garantendo il ripristino dei servizi critici in tempi e con modalità che limitino le conseguenze negative sulla missione dell’ Associazione. – Gli aspetti di sicurezza devono essere inclusi in tutte le fasi di progettazione, sviluppo, esercizio, manutenzione, assistenza e dismissione dei sistemi e dei servizi informatici.
– Devono essere garantiti il rispetto delle disposizioni di legge, di statuti, regolamenti o obblighi contrattuali e di ogni requisito inerente la sicurezza delle informazioni, riducendo al minimo il rischio di sanzioni legali o amministrative, di perdite rilevanti o danni alla reputazione.
RESPONSABILITA’ DI OSSERVANZA E ATTUAZIONE
L’osservanza e l’attuazione della policy sono responsabilità di:
1-Tutto il personale che, a qualsiasi titolo, collabora con l’Associazione ed è in qualche modo
coinvolto con il trattamento di dati e informazioni che rientrano nel campo di applicazione del Sistema di Gestione Privacy. Tutto il personale è altresì responsabile della segnalazione di tutte le anomalie e violazioni di cui dovesse venire a conoscenza.
2-Tutti i soggetti esterni che intrattengono rapporti e collaborano con l’Associazione. Devono
garantire il rispetto dei requisiti contenuti nella presente policy.
Il Responsabile del Sistema di Gestione Privacy designato dal Titolare del Trattamento, che, nell’ambito del Sistema di Gestione e attraverso norme e procedure appropriate, deve:
• condurre l’analisi dei rischi con le opportune metodologie e adottare tutte le misure per la gestione del rischio;
• stabilire tutte le norme necessarie alla conduzione sicura di tutte le attività dell’ Associazione;
• verificare le violazioni alla sicurezza e adottare le contromisure necessarie e controllare l’esposizione dell’Associazione alle principali minacce e rischi;
• organizzare la formazione e promuovere la consapevolezza del personale per tutto ciò che concerne la qualità, la sicurezza e la sicurezza delle informazioni;
• verificare periodicamente l’efficacia e l’efficienza del Sistema di Gestione Privacy.
Chiunque, dipendenti, consulenti e/o collaboratori esterni dell’Associazione, in modo intenzionale o riconducibile a negligenza, disattenda le regole di sicurezza stabilite e in tal modo provochi un danno all’Associazione, potrà essere perseguito nelle opportune sedi e nel pieno rispetto dei vincoli di legge e contrattuali.
RIESAME
La Direzione verificherà periodicamente e regolarmente almeno una volta all’anno o in concomitanza di cambiamenti significativi l’efficacia e l’efficienza del Sistema di Gestione Privacy, in modo da assicurare un supporto adeguato all’introduzione di tutte le migliorie necessarie e in modo da favorire l’attivazione di un processo continuo, con cui viene mantenuto il controllo e l’adeguamento della policy in risposta ai cambiamenti dell’ambiente dell’Associazione, del business, delle condizioni legali.
Il Responsabile del Sistema di Gestione Privacy ha la responsabilità del riesame della politica privacy.
Il riesame dovrà verificare lo stato delle azioni preventive e correttive e l’aderenza alla politica privacy.
Dovrà tenere conto di tutti i cambiamenti che possono influenzare l’approccio della Associazione alla gestione della sicurezza delle informazioni, includendo i cambiamenti organizzativi, l’ambiente tecnico, la disponibilità di risorse, le condizioni legali, regolamentari o contrattuali e dei risultati dei precedenti riesami.
Il risultato del riesame dovrà includere tutte le decisioni e le azioni relative al miglioramento dell’approccio Associazione alla gestione della sicurezza delle informazioni.
IMPEGNO DELLA DIREZIONE
La direzione sostiene attivamente le attività inerenti la gestione della privacy dell’Associazione tramite un chiaro indirizzo, un impegno evidente, degli incarichi espliciti e il riconoscimento delle responsabilità relative alla sicurezza delle informazioni.
L’impegno della direzione si attua tramite una struttura i cui compiti sono:
– garantire che siano identificati tutti gli obiettivi relativi alla sicurezza delle informazioni e che questi incontrino i requisiti dell’Associazione;
– stabilire i ruoli dell’Associazione e le responsabilità per lo sviluppo e il mantenimento del Sistema Gestione Privacy;
– fornire risorse sufficienti alla pianificazione, implementazione, organizzazione, controllo, revisione, gestione e miglioramento continuo del Sistema Gestione Privacy;
– controllare che il Sistema Gestione Privacy sia integrato in tutti i processi dell’Associazione e che procedure e controlli siano sviluppati efficacemente;
– approvare e sostenere tutte le iniziative volte al miglioramento della sicurezza delle informazioni;
– attivare programmi per la diffusione della consapevolezza e della cultura della sicurezza delle informazioni.
Riconosciamo la nostra responsabilità e ci impegniamo a proteggere i dati personali che gli utenti affidano alla nostra Associazione da perdita, uso improprio o accesso non autorizzato. Per la protezione dei dati personali degli utenti, la nostra Associazione si avvale di una serie di tecnologie e procedure Associazionali di protezione. Ad esempio, utilizziamo controlli per l’accesso, firewall, server protetti ed effettuiamo la crittografia di alcuni tipi di dati come le informazioni finanziarie e altri dati particolari/sensibili.
TITOLARE E RESPONSABILI DEL TRATTAMENTO
Titolare del Trattamento è l’Associazione Compagnia del Sapere,
sede operativa: Via Aldo Moro, 41/A – 04011 APRILIA (LT) – sede legale: Via Costantino,64 – 04011 APRILIA (LT)
Tel. +39 06 9271782 – Fax. +39 06 87690626 – privacy@compagniadelsapere.it – www.compagniadelsapere.it
Le istanze relative all’esercizio dei predetti diritti possono essere inoltrate, per iscritto, anche mediante messaggio di posta elettronica. Le richieste relative all’identità dei Responsabili del trattamento designati da Associazione Compagnia del Sapere nonché le richieste di cui al precedente paragrafo 5 possono essere formulate anche oralmente. L’elenco completo dei Responsabili nominati dalla Società potrà essere richiesto mediante messaggio di posta elettronica.