fbpx

PARTE I – TITOLARE, ATTIVITA’, POLITICA PRIVACY E DATI TRATTATI

Titolare

The Home Bakery di Martino Beria (d’ora in poi il Titolare), con sede in Pianiga (Ve), via Cavin Maggiore n. 94, codice fiscale: BREMTN87E25G224H e p.i.: 04159370271, è una ditta individuale costituita in data 23.12.2019 che svolge attività di produzione di pasti e piatti pronti nonché produzione di alimenti in cucina domestica vegana e relativa vendita oltre a svolgere corsi di cucina.

Responsabile della protezione dei dati

Considerati i dati personali trattati dalla ditta The Home Bakery quale titolare, la stessa non è obbligata a nominare un responsabile della protezione dei dati ai sensi dell’art. 37 GDPR.

Scopo e campo di applicazione

Scopo del presente documento è di descrivere e documentare la struttura organizzativa, le responsabilità e tutte le attività che regolamentano l’istituzione, la gestione e il funzionamento del sistema di protezione dei dati personali in adempimento a quanto previsto dall’art. 30 del Regolamento UE n. 679/2016.

Il contenuto del registro si applica a tutta l’organizzazione della struttura coinvolta nel trattamento dei dati personali e deve essere divulgato e illustrato a tutti gli eventuali autorizzati al trattamento dei dati. Eventuali situazioni di deviazione accertate rispetto a quanto definito nel presente documento dovranno essere rimosse nel più breve tempo possibile.

Il presente registro è lo strumento base della società per realizzare la politica di sicurezza e riservatezza dei dati finalizzata alla definizione delle più idonee misure di protezione dei dati personali. A dimostrazione del recepimento dei principi di accountability e trasparenza propri della nuova disciplina introdotta dal Regolamento UE n. 679/2016, il presente registro delle attività di trattamento contiene un’analisi e valutazione dell’organizzazione e dei rischi, in modo da consentire l’adozione delle idonee e preventive misure di sicurezza. Il presente regolamento è strutturato in quattro (4) parti.

La prima destinata alla descrizione del titolare e della politica privacy dal medesimo adottata. La seconda dedicata alla descrizione dell’organizzazione e dei trattamenti. La terza dedicata alla descrizione dei luoghi dei trattamenti, delle dotazioni informatiche, delle misure di sicurezza e all’analisi e valutazione dei rischi. La quarta destinata ai rapporti con gli interessati e il garante.

Politica privacy

The Home Bakery si pone tra i suoi obiettivi quello di adottare le misure organizzative fisiche e informatiche più idonee a garantire l’integrità e la riservatezza dei dati raccolti, contemperati anche dall’esigenza e necessità di garantire e offrire ai propri committenti/clienti attività e servizi efficienti.

A tale fine, THB provvederà a sensibilizzare i soggetti terzi con cui dovesse collaborare sulla necessità e priorità di tutelare l’integrità, riservatezza e disponibilità dei dati personali trattati nonché a verifiche periodiche sull’efficacia e adeguatezza dei mezzi e cautele approntate atte a salvaguardare la privacy degli interessati.

Revisione del Registro dei trattamenti

Il presente Registro dei trattamenti sarà oggetto di regolare revisione con cadenza annuale e comunque ogni qualvolta si verifichi una modifica nel trattamento dei dati.

Dati trattati

Il Titolare, come già detto, è ditta individuale che opera nel settore dei servizi di produzione, preparazione in cucina domestica e vendita di pasti e alimenti e dispone sia di un’autonoma organizzazione propria sia di tutti i mezzi e delle attrezzature necessarie. La ditta non ha dipendenti né collaboratori. L’unica persona che tratta i dati è il titolare medesimo, sig. Martino Beria.

The Home Bakery pubblicizza e vende i propri prodotti e corsi attraverso principalmente il sito internet “www.thehomebakery.it” il cui dominio è di proprietà della ditta stessa. Attraverso apposito format, il Titolare raccoglie i dati dei clienti per l’esecuzione dell’ordine. Attraverso altro format che compare nel suddetto sito, le persone interessate possono iscriversi a una mailing list per ricevere comunicazioni relative ad offerte, promozioni commerciali, corsi e convegni organizzati dal Titolare ovvero per acquistare i prodotti ivi pubblicizzati.

Nello svolgimento delle sue attività, The Home Bakery gestisce differenti tipologie di dati personali, ovvero:

  1. dati personali: di clienti, fornitori, professionisti e consulenti esterni, iscritti alla mailing list.
    I dati trattati dal Titolare possono essere comunicati a destinatari appartenenti alle seguenti categorie:
    1. società che svolgono servizi informatici (es. archiviazione dati su data base esterni);
    2. fornitore di servizi di trasporto e consegna ai clienti dei prodotti acquistati;
    3. professionisti nell’ambito di rapporti di assistenza e consulenza; autorità competenti per adempimenti di obblighi di legge e/o di disposizioni di organi pubblici, su richiesta; istituti di credito.

La base giuridica del trattamento dei dati sopra elencati da parte del Titolare è rappresentata da:

  1. l’adempimento di obblighi contrattuali e pre-contrattuali di cui il Titolare è parte;
  2. l’adempimento di obblighi di legge cui il medesimo è tenuto;
  3. il consenso degli interessati.

I dati sono trattati esclusivamente in forma elettronica.

Il trattamento avviene tramite personal computer, fissi e portatili nonché smartphone. I dispositivi informatici sono tutti protetti da password richiesta all’atto di accensione del dispositivo. Vengono poi utilizzate delle password per accedere alle singole cartelle o applicazioni ove i dati sono salvati ovvero per accedere agli archivi messi a disposizione del Titolare da soggetti terzi. Le password sono conosciute ed utilizzate esclusivamente dal Titolare.

Dati acquisiti tramite il sito thehomebakery.it

Il titolare pubblicizza la propria attività e vende i propri prodotti tramite il sito “thehomebakery.it” su piattaforma WordPress. I dati acquisiti attraverso il sito sono i seguenti:

  • – dati personali di clienti che acquistano prodotti online tramite apposito format. I clienti possono anche registrare un loro account.
  • – dati degli iscritti alla newsletter tramite apposito format. Nel caso di clienti, i dati acquisiti sono quelli personali, necessari per la spedizione del prodotto e la fatturazione. In caso di registrazione di account, i dati sono email, nome utente e password. In caso di iscritti alla newsletter i dati sono nome ed email. Tali dati sono tutti salvati sul server messo a disposizione da Netsons S.r.l. in forza di apposito accordo contrattuale e che prevede anche un accordo standard di nomina a responsabile ex art. 28 GDPR da quest’ultima fornito.

Per il servizio di invio delle newsletter il Titolare si avvale di Mailerlite, di società con sede a Dublino (Irlanda), che mette a disposizione del Titolare un database ove vengono registrati i dati degli iscritti alla mailing list.

Il consenso degli iscritti alla newsletter viene raccolto tramite la compilazione dell’apposito format presente sul sito che viene conservato nel server messo a disposizione da Netsons S.r.l. In caso di revoca del consenso, il Titolare provvede immediatamente alla cancellazione dei dati dell’interessato da ogni archivio.

Tempi di conservazione:

per quanto riguarda i dati dei clienti, 10 anni dall’ordine per la dimostrazione dell’adempimento degli obblighi contrattuali, fiscali e di legge conseguenti. In caso di registrazione di account o di iscrizione alla mailing list per il servizio di newsletter, i dati vengono conservati fino alla revoca del consenso dal parte dell’interessato. Il titolare, ogni due anni, invia agli iscritti una mail informativa del diritto di revoca del consenso da parte di ciascun iscritto, con conseguente possibilità di essere cancellato dalla relativa lista e di non ricevere più alcuna comunicazione da parte del Titolare.

Per quanto riguarda i cookies, il sito utilizza cookies tecnici, statistici e di marketing anche di terze parti. L’utilizzo di cookies di marketing è condizionato all’espresso consenso degli utenti i quali vengono avvisati tramite apposito banner che compare al momento dell’apertura della pagina. La gestione dell’informativa breve e del banner per i cookies così come il loro aggiornamento viene effettuato da Cookiebot. Sulla pagina del sito è pubblicata apposita policy privacy con indicazione dei dati raccolti tramite la navigazione e i format ivi presenti.

PARTE II – SOGGETTI ATTIVI E TRATTAMENTO DATI

Soggetti attivi e funzioni privacy

Nell’ambito della struttura si è provveduto a identificare le seguenti figure:

Figura Compiti e responsabilità

Titolare del trattamento
  • Prendere le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza;
  • Promuovere lo sviluppo, la realizzazione e il mantenimento dei programmi di sicurezza contenuti nel presente Registro;
  • Vigilare sulle non corrispondenze con le norme di sicurezza e su eventuali incidenti;
  • Nominare e istruire gli autorizzati e tutte le altre funzioni “privacy” dell’organizzazione; nella fattispecie, non avendo dipendenti detta attività non ha luogo;
  • Stipulare i contratti con i responsabili dei trattamenti come previsto dall’art. 28 Reg. UE 679/2016;
  • Promuovere lo svolgimento di un continuo programma di formazione di eventuali dipendenti e collaboratori autorizzati al trattamento dei dati e mantenere attivo un programma di controllo e monitoraggio della corrispondenza con le regole di sicurezza.
  • Approvare gli investimenti per l’adozione di misure di sicurezza.
Responsabile del trattamento

Il GDPR definisce all’art. 28 il Responsabile del trattamento come il soggetto che effettua trattamenti di dati personali per conto del Titolare, presentando garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che i trattamenti stessi soddisfino i requisiti del GDPR e garantiscano la tutela dei diritti dell’interessato. Il contratto di nomina di Responsabile del trattamento è destinato a rivestire la forma di addendum per i contratti già in essere.

Il Responsabile è tenuto a redigere un registro dei trattamenti dei dati trattati per conto del Titolare;

  • seguire le indicazioni del Titolare;
  • collaborare con il Titolare in caso di verifica dell’adeguatezza dei sistemi improntati;
  • è responsabile in solido con il Titolare dei danni causati dal trattamento solo se non ha adempiuto gli obblighi del GDPR specificatamente a lui diretto o se hanno agito in modo difforme o contrario rispetto alle legittime istruzioni del Titolare.

Mappa dei trattamenti dei dati gestiti internamente

The Home Bakery tratta, come titolare, dati personali delle seguenti categorie di interessati: clienti, iscritti alla mailing list, fornitori e loro referenti, professionisti e consulenti.

CLIENTI

Trattamenti

T01) contabilità dei clienti;

T02) gestione account cliente sito.

Descrizione sintetica dei trattamenti

T01) i dati vengono utilizzati per evadere l’ordine e per la relativa fatturazione. I dati sono conservati presso i server di società che offre un servizio di archiviazione e che opera quale responsabile ex art. 28 GDPR.

T02) accedendo al sito, i clienti possono creare un loro account per gestire più velocemente i successivi acquisti. I dati in questione sono registrati e conservati presso società che opera quale responsabile ex art. 28 GDPR.

Descrizione delle categorie di dati T01-02) dati personali
Descrizione delle finalità del trattamento

T01) Dati personali: vengono trattati nell’ambito dello svolgimento del rapporto contrattuale (ricezione ordine, invio ordine) e per l’adempimento degli obblighi conseguenti, legali, contabili, amministrativi e fiscali in capo al Titolare. 

T02) I dati dell’account che il cliente si è creato sul sito “The home bakery” vengono raccolti per velocizzare future transazioni tramite il sito internet. 

Categorie di responsabili e destinatari esterni cui possono essere comunicati i dati

T01-02) Società che offre servizi informatici.

T01) Commercialista.

T01-02)Professionisti per eventuale consulenza e/o assistenza in relazione a possibili controversie o contestazioni legate al rapporto contrattuale.

T01) Istituti bancari.

T01) Società che svolge servizio di consegna a domicilio.

Trasferimento dei dati a paesi terzi extra UENessun trasferimento 
Modalità di trattamentoT01-02) Informatico
Termine di cancellazione

T01) 10 anni dalla conclusione del rapporto contrattuale.

T02) Per i dati dell’account: fino a revoca del consenso o comunque entro 2 anni dall’ultima attività.

Misure di sicurezza tecniche e organizzative

T01-02) Tutti i dispositivi utilizzati dal Titolare sono protetti da password d’accesso e i dati sono cifrati tramite crittografia.

Viene effettuato un backup periodico su hard disk esterno conservato nell’abitazione del Titolare.

I dati sono tutti salvati su server presso soggetti terzi che garantiscono adeguamento alla normativa europea sulla privacy.

Valutazione d’impatto obbligatoriaT01-02) No

FORNITORI/PROFESSIONISTI/CONSULENTI

TrattamentiT03) Gestione contabilità fornitori/professionisti/consulenti
Descrizione sintetica dei trattamentiT03) Gestione del rapporto con chi fornisce un prodotto o servizio al titolare. Le relative fatture e/o ricevute vengono contabilizzate e trasmesse al commercialista.
Descrizione delle categorie di datiT03) Dati personali
Descrizione delle finalità del trattamento

T03) Dati personali: vengono trattati nell’ambito dello svolgimento del rapporto contrattuale e per l’adempimento degli obblighi conseguenti, legali, contabili, amministrativi e fiscali in capo al Titolare. 

Nel caso di società, vengono trattati i dati di contatto dei legali rappresentanti e/o dipendenti e/o consulenti indicati dalla società nell’ambito della relazione commerciale.

Categorie di responsabili e destinatari esterni cui possono essere comunicati i dati

T03) Commercialista.

Professionisti per eventuale consulenza e/o assistenza in relazione a possibili controversie o contestazioni legate al rapporto contrattuale.

Istituti bancari.

Trasferimento dei dati a paesi terzi extra UENessuno
Modalità di trattamentoT03) Informatico
Termine di cancellazioneT03) 10 anni dalla conclusione del rapporto contrattuale.
Misure di sicurezza tecniche e organizzative

T03) Tutti i dispositivi utilizzati dal Titolare sono protetti da password d’accesso e i dati sono cifrati tramite crittografia.

Viene effettuato un backup periodico su hard disk esterno conservato nell’abitazione del Titolare.

I dati sono tutti salvati su server presso soggetti terzi che garantiscono adeguamento alla normativa europea sulla privacy.

Valutazione d’impatto obbligatoriaT03) No

ISCRITTI MAILING LIST

TrattamentiT04) Mailing list
Descrizione sintetica dei trattamentiT04) Il Titolare raccoglie i dati delle persone che si iscrivono alla mailing list per l’invio di newsletter con informazioni relative a promozioni e/o nuovi prodotti o corsi. I dati vengono raccolti su server messi a disposizione da società che operano quali responsabili ex art. 28 GDPR.
Descrizione delle categorie di datiT04) Dati personali
Descrizione delle finalità del trattamentoT04) Finalità di marketing diretto
Categorie di responsabili e destinatari esterni cui possono essere comunicati i datiT04) Società che offre servizi informatici.
Trasferimento dei dati a paesi terzi extra UET 04) Viene utilizzato Google Drive che prevede il trasferimento dei dati al di fuori dello spazio UE con l’adozione delle nuove clausole contrattuali tipo (SCC, Standard Contractual Clauses).
Modalità di trattamentoT04) Informatico
Termine di cancellazioneT04) Sino alla revoca del consenso prestato. Le email inviate a ciascun iscritto contengono in calce l’indicazione delle modalità per cancellarsi dalla mailing list. Ogni 2 anni viene inviata a ciascun iscritto email in cui si ricorda che vi è la possibilità di revocare il consenso all’iscrizione e cancellarsi dalla lista nonché le relative modalità.
Misure di sicurezza tecniche e organizzativeT04) Affidamento del servizio a società esterne nominate responsabili ex art. 28 GDPR e/o che forniscono garanzie di adeguamento al GDPR.
Valutazione d’impatto obbligatoriaT04) No

Mappa dei trattamenti gestiti in outsourcing.

Elenco responsabili esterni dei trattamenti

Tipologia professionista, impresa o enteCategoria interessati e finalità del trattamentoTipologie di dati personali coinvoltiLuogo e data di sottoscrizione per accettazione dell’incarico

Società che svolge servizi informatici

Netsons S.r.l.

Dati dei clienti e iscritti mailing list per la conservazione dei dati.Dati personali
Commercialista dott.  Matteo Ferraretto c/o studio LegalitaxDati di clienti e fornitori/professionisti/consulenti per finalità inerenti alla tenuta della contabilità.Dati personali   

Società che svolge servizi informatici

Mailerlite

Dati iscritti alla mailing list per il servizio di invio newsletterDati personali
Google DriveClientiDati personali
IcloudClientiDati personali

PARTE III: luoghi dei trattamenti, dotazione informatica, misure di sicurezza e valutazione dei rischi

Descrizione dei luoghi dove si svolgono i trattamenti e delle cautele applicate

The Home Bakery di Martino Beria gestisce i dati trattati presso la sede legale che si trova in Pianiga (Ve) via Cavin Maggiore n. 94. Si tratta di abitazione civile dotata di porta blindata, impianti luce, acqua e gas a norma, gruppo di continuità per l’energia elettrica.

Descrizione della dotazione informatica e in generale strumentale

Come già evidenziato, i dati sono trattati esclusivamente con mezzi informatici. I dati vengono tutti archiviati e conservati su server messo a disposizione dalla soc. NETSONS S.r.l. Netsons S.r.l. predispone per i suoi clienti un accordo standard di nomina a responsabile ex art. 28 GDPR e i server messi a disposizione dei clienti si trovano in Italia.

Per il servizio di newsletter il Titolare si avvale dei servizi di Mailerlite nel cui data base sono conservati i nomi e i dati degli iscritti alla mailing list. Liste contenenti i nomi degli iscritti ai corsi tenuti dal Titolare e le loro mail vengono conservate utilizzando il programma “note” di Apple o Google Drive e conservati in cloud.
In iCloud vengono conservate anche le fatture redatte per alcuni corsi e conservate in apposita cartella. Il titolare accede ai dati conservati sul server presso Netsons S.r.l. o su iCloud e Google Drive tramite tre dispositivi elettronici:

  • MacBook Pro;
  • iMac;
  • iPhone XS Max.

Nei suddetti dispositivi è sempre attiva la password di accesso. L’accesso ai dati conservati su iCloud è possibile solo tramite password con sistema a doppio accesso tramite doppio codice inviato a uno dei tre dispositivi apple in dotazione del Titolare. L’accesso ai dati conservati su Google Drive è possibile tramite password inserita su account google del Titolare.
L’accesso ai dati conservati sul server messo a disposizione da Netsons S.r.l. è possibile tramite inserimento di password nell’area personale.

Tutte le password sono conservate e archiviate sul programma “Portachiavi” su iCloud, accessibile con password di accesso.
Tutte dette password sono sicure e aggiornate periodicamente (minimo ogni 3 mesi).

La posta ordinaria viene gestita da Google e pec da Aruba s.p.a. nelle cui condizioni generali di contratto vi è la nomina di essa a responsabile ex art. 28 GDPR. Tutti i dati presenti nei dispositivi informatici del Titolare sono salvati tramite periodici backup su hard disk esterno tramite programma “Time Machine”.

I dati salvati sono crittografati.

Cautele in essere

Tutti i dispositivi utilizzati dal Titolare sono protetti da password d’accesso e i dati sono cifrati tramite crittografia. Viene effettuato un backup periodico su hard disk esterno conservato nella sua abitazione.
I dati sono tutti salvati su server presso soggetti terzi (Netsons, Mailerlite, iCloud, Google Drive) che garantiscono adeguamento alla normativa europea sulla privacy e l’adozione di idonee misure di sicurezza.
Per la posta elettronica il Titolare si avvale dei servizi di Google e Aruba S.p.a. (pec).

PARTE IV: Analisi dei rischi e sicurezza dei trattamenti

Riferimenti normativi

Ai sensi dell’art.32 del RGPD 2016/679, “sicurezza del trattamento”, il comma 1 recita:

“ Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, del caso:

  • la pseudonimizzazione e la cifratura dei dati personali;
  • la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
  • la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

2.Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

3.L’adesione a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo.

4. Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.

Il Titolare, per adempiere compiutamente a quanto previsto dal Regolamento e in forza di quanto previsto dal principio di accountability o responsabilizzazione, ha effettuato un’analisi dei rischi relativi ai trattamenti svolti ed individuato una serie di misure per minimizzare i rischi stessi.

A seguire, per ogni rischio, il Titolare ha individuato delle misure di sicurezza tecniche o procedurali svolte a ridurre l’entità del rischio stesso. A fronte delle misure inserite si è effettuato un nuovo calcolo del rischio che ha portato ad individuare il rischio residuale ritenuto accettabile da questo Titolare per effettuare il Trattamento dei dati indicati.

Modello adottato per la valutazione dei rischi

Per la valutazione del rischio si è adottato un sistema standard, già identificato in altri sistemi di compliance aziendali, sia a livello nazionale che internazionale, quali i sistemi di gestione della sicurezza dei luoghi di lavoro, i sistemi di qualità nelle loro ultime versioni, i sistemi di mappatura dei rischi in ambito 231/2001. L’entità del rischio viene rappresentata come funzione della Probabilità (P) di accadimento di un danno e della gravità del danno stesso (D): R= (PxD).

Rischi relativi ai luoghi

Accesso non consentito 
Possibilità che persone non autorizzate accedano nei luoghi in cui sono conservate banche dati digitali contenenti dati personali che queste persone non sono autorizzate a conoscere. Tale accesso potrebbe, inoltre, consentire loro di alterare il contenuto delle banche dati.
Trattamenti potenzialmente coinvolti
T01 T02 T03 T04
Valutazione degli elementi di rischio
Valutazione probabilità

La sede è inserita in una zona non considerata particolarmente a rischio di criminalità. Trattasi di abitazione civile inserita in contesto residenziale.

 Valore 1/2

Valutazione danno

I dati gestiti dal Titolare sono di natura personale, non sono trattati dati particolari. In caso di accesso alle banche dati digitali, la conoscenza da parte di terzi non potrebbe avere particolari ricadute sulla vita personale e/o professionale degli interessati. In caso di acquisizione degli indirizzi mail degli interessati, gli stessi potrebbero essere oggetto di eventuale invio di email non gradite. 

Valore 2

Valutazione del rischio senza misure di sicurezza
PDR
224
Misure di sicurezza e procedure implementate o da implementare per affrontare correttamente il rischio

Porta d’ingresso blindata;

Accesso limitato e solo in presenza del Titolare;

Assenza di banche dati cartacee. Banche dati digitali solo su server esterni accessibili solo con password.

Periodicità del controllo delle misureANNUALE
Valutazione del rischio residuo (dopo le misure di sicurezza)
PDR
122

Rischio eventi naturali

Considerato che i dati sono salvati solo in formato digitale e su server esterni, non si prende in considerazione il rischio di eventi naturali che possano riguardare la sede del titolare, posto che la probabilità di perdita/distruzione dei dati sarebbe uguale a 0 e così il rischio.

Rischi relativi agli strumenti utilizzati

Uso non autorizzato hardware
Possibilità che persone non autorizzate accedano agli strumenti attraverso cui il Titolare accede ai vari servizi cloud o che si verifichino intercettazioni, trasmissione dati o intrusioni. Perdita  e furto di pc portatili o di altri supporti digitali facilmente asportabili o supporti mobile (smartphone, tablet…). Tale accesso potrebbe, inoltre, consentire di alterare il contenuto dei dati.
Trattamenti potenzialmente coinvolti
T01 T02 T03 T04
Valutazione degli elementi di rischio
Valutazione probabilità

La sede è inserita in una zona non considerata particolarmente a rischio di criminalità. Trattasi di abitazione civile inserita in contesto residenziale, non dotata di allarme. Gli strumenti elettronici utilizzati sono per lo più portatili. Il Titolare gestisce in via esclusiva i dati non avendo collaboratori. Gli strumenti sono tutti apple. Il danno può insorgere con frequenza media.

 Valore 3

Valutazione danno

I dati gestiti dal Titolare sono di natura personale, non sono trattati dati particolari. In caso di accesso alle banche dati digitali, la conoscenza da parte di terzi non potrebbe avere particolari ricadute sulla vita personale e/o professionale degli interessati. In caso di acquisizione degli indirizzi mail degli interessati, gli stessi potrebbero essere oggetto di invio di email non gradite.  Il danno impatterebbe potenzialmente sia sulla riservatezza che sulla integrità dei dati nonché sulla disponibilità. Il danno potrebbe avere un impatto medio sulla sicurezza dei dati. Gli interessati potrebbero avere dei danni non rilevanti superabili con un po’ di difficoltà (cancellazione email indesiderate ecc…).

Valore 2

Valutazione del rischio senza misure di sicurezza
PDR
326
Misure di sicurezza e procedure implementate o da implementare per affrontare correttamente il rischio

Porta d’ingresso blindata;

Accesso limitato e solo in presenza del Titolare;

Assenza di banche dati cartaceee. Banche dati digitali solo su server esterni.

Password di accesso per gli strumenti elettronici e credenziali di identificazione per accedere ai vari server e banche dati.

Crittografia dei dati.

Periodicità del controllo delle misureANNUALE
Valutazione del rischio residuo (dopo le misure di sicurezza)
PDR
122

 

Guasti apparati hardware
In caso di avvenimento imprevisto ed imprevedibile come ad es. sbalzi di tensione, fulmini, o altro, il Titolare prende in considerazione l’eventualità che questi eventi possano portare al guasto degli strumenti utilizzati. Gli stessi strumenti possono essere oggetto di rotture fisiche dovute a rotture dei loro componenti per normale usura e deterioramento.
Trattamenti potenzialmente coinvolti
T01 T02 T03 T04
Valutazione degli elementi di rischio
Valutazione probabilità

Il Titolare utilizza strumenti elettronici ed informatici per effettuare il trattamento dei dati. Questi strumenti possono essere soggetti a guasti e malfunzionamenti. Statisticamente il danno può accadere con una certa frequenza.

 Valore 3

Valutazione danno

I dati gestiti dal Titolare sono di natura personale, non sono trattati dati particolari. In caso di accesso alle banche dati digitali, la conoscenza da parte di terzi non potrebbe avere particolari ovvero gravi ricadute sulla vita personale e/o professionale degli interessati. Si tratta per lo più di danni relativi a dati presenti su pubblici registri a esclusione degli indirizzi mail. Il danno comunque interverrebbe sulla Disponibilità dei dati e, in parte, potenzialmente, sull’integrità degli stessi. Non si ravvedono problematiche relative alla Riservatezza. Il danno potrebbe avere un impatto lieve sugli interessati superabile con difficoltà limitate.

Valore 2

Valutazione del rischio senza misure di sicurezza
PDR
326
Misure di sicurezza e procedure implementate o da implementare per affrontare correttamente il rischio

Sostituzione apparati hardware ai primi cenni di deterioramento.

Presenza gruppo di continuità che impedisce l’improvvisa assenza di corrente elettrica. 

Backup periodici.

Banche dati digitali solo su server esterni.

Periodicità del controllo delle misureANNUALE
Valutazione del rischio residuo (dopo le misure di sicurezza)
PDR
122

 

Rischi relativi a bugs, virus ed accessi non autorizzati
Possibilità per terzi di introdursi nelle banche dati digitali sfruttando delle vulnerabilità software (bugs) o tramite aggressione attraverso virus informatici o, in generale, malware, anche recapitati via posta elettronica e, di conseguenza, manomettere, distruggere o rubare le banche dati stesse. Possibilità di accesso ai software da parte di persone non autorizzate con credenziali false o rubate. Possibilità di accesso, modifica e distruzione dei dati conservati in forma digitale.
Trattamenti potenzialmente coinvolti
T01 T02 T03 T04
Valutazione degli elementi di rischio
Valutazione probabilità

Il Titolare utilizza software per effettuare il trattamento dei dati personali. Attraverso i software può essere introdotto codice malevolo in rete. Inoltre potrebbero verificarsi problematiche relative alla gestione della posta elettronica (accesso al sito direttamente dalla posta elettronica). Il danno può insorgere con una certa frequenza.

 Valore 3

Valutazione danno

I dati gestiti dal Titolare sono di natura personale, non sono trattati dati particolari. In caso di accesso alle banche dati digitali, la conoscenza da parte di terzi non potrebbe avere particolari o gravi ricadute sulla vita personale e/o professionale degli interessati. In caso di acquisizione degli indirizzi mail degli interessati, gli stessi potrebbero essere oggetto di invio di email non gradite. Il danno potrebbe riguardare sia la riservatezza che l’integrità che la disponibilità dei dati. Gli interessati potrebbero avere dei danni superabili con lieve difficoltà.

Valore 3

Valutazione del rischio senza misure di sicurezza
PDR
339
Misure di sicurezza e procedure implementate o da implementare per affrontare correttamente il rischio

Aggiornamento periodico software;

Password di accesso ai dispositivi elettronici;

Credenziali di identificazione per accedere ai server e banche dati;

Modifica periodica delle password;

Backup periodico;

Crittografia dei dati.

Periodicità aggiornamento softwareAutomatico
Periodicità modifica passwordTrimestrale
Valutazione del rischio residuo (dopo le misure di sicurezza)
PDR
133

 

Rischi relativi alle banche dati digitali

Possibilità di perdere o che vadano distrutte le banche dati digitali.

Cancellazione delle banche digitali in modo non sicuro.

Trattamenti potenzialmente coinvolti
T01 T02 T03 T04
Valutazione degli elementi di rischio
Valutazione probabilità

Il Titolare si avvale di banche dati digitali presso server di altre società che potrebbero subire attacchi hacker che potrebbero portare alla diffusione e/o distruzione dei dati.

 Valore 3

Valutazione danno

I dati gestiti dal Titolare sono di natura personale, non sono trattati dati particolari. In caso di accesso alle banche dati digitali, la conoscenza da parte di terzi non potrebbe avere particolari ovvero gravi ricadute sulla vita personale e/o professionale degli interessati. In caso di acquisizione degli indirizzi mail degli interessati, gli stessi potrebbero essere oggetto di invio di email non gradite. Il danno in questo caso potrebbe riguardare la riservatezza, l’integrità e la disponibilità dei dati. Il danno potrebbe essere superato con una certa difficoltà.

Valore 2

Valutazione del rischio senza misure di sicurezza
PDR
236
Misure di sicurezza e procedure implementate o da implementare per affrontare correttamente il rischio

Backup banche dati

Crittografia dei dati

Selezione ponderata di società che forniscono server esterni e che danno garanzie di adeguamento al GDPR e di utilizzo di misure di sicurezza idonee

Distruzione sicura dei supporti contenenti dati digitali

Periodicità del controllo delle misureANNUALE
Periodicità backup
Valutazione del rischio residuo (dopo le misure di sicurezza)
PDR
122

Piano di verifica delle misure adottate

La bontà delle misure adottate deve essere verificata almeno annualmente.
Durante queste operazioni di verifica sarà data particolare importanza a:

  • operatività ed efficacia delle misure anti-intrusione adottate fisiche e informatiche;
  • accertamento delle misure di sicurezza e anti-intrusione adottate dai soggetti esterni presso i cui archivi vengono conservati i dati.

Sarà cura del Titolare individuare le misure di verifica in relazione ai cambiamenti tecnologici in corso.

PARTE V: rapporti con gli interessati e il garante

Informative

Per ogni categoria di interessato i cui dati sono trattati dal Titolare, è stata elaborata apposita informativa secondo le indicazioni previste dall’art. 13 Regolamento UE 679/2016.

Il Titolare avrà cura di consegnare le informative e di raccogliere e conservare il consenso degli interessati per le finalità di trattamento che lo richiedono. Sul sito sono pubblicate le informative relative al trattamento dei dati raccolti e dei cookie.

Esercizio dei diritti da parte degli interessati

Nelle informative è indicata la modalità con cui ogni interessato può esercitare i diritti previsti dal GDPR. In caso di esercizio dei suddetti diritti, sarà cura del Titolare:

  • raccogliere la richiesta e verificare l’identità dell’interessato;
  • registrare la richiesta in apposito registro;
  • verificare la pertinenza, la legittimità della richiesta;
  • informare e/o coinvolgere eventualmente i responsabili esterni coinvolti;
  • predisporre le operazioni richieste e/o il formale riscontro agli interessati;
  • stabilire le operazioni e/o la comunicazione da eseguire;
  • eseguire le operazioni e/o il riscontro.

Gestione delle violazioni dei dati

Qualora si verifichi un incidente o sinistro che comporti una violazione dei dati, il Titolare valuterà la natura e la portata della violazione prendendo contatto con soggetti professionalmente competenti, informando immediatamente i responsabili esterni.

Qualora si verifichi un incidente o sinistro che comporti una violazione dei dati, il Titolare provvederà a dare comunicazione al Garante nel caso di rischio probabile per le libertà e i diritti delle persone fisiche.

La comunicazione dovrà essere effettuata nel termine di 72 ore dalla scoperta della violazione. Nel caso di rischio elevato per i diritti e le libertà delle persone fisiche, la violazione dovrà essere comunicata agli interessati. In caso di data breach dovrà essere compilata la seguente scheda di registrazione del sinistro:

1Tipologia/natura sinistro
2Categorie e numero di interessati e di registrazioni di dati
3Circostanze in cui si è verificato
4Data e orario
5Funzione che ha rilevato il sinistro
6Valutazione delle cause del sinistro
7Valutazione delle conseguenze del sinistro
8Valutazione della violazione
9Provvedimenti/misure adottante nell’imminenza del sinistro
10Provvedimenti/misure da adottare
11Proposta di notifica al Garante (art. 33)
12Proposta di comunicazione agli interessati (art. 34)
13Tempi e costi preventivati (indicazione analitica per ciascuna voce)
14Data, luogo e firma della funzione incaricata
15Data, luogo e firma di approvazione del Titolare

Verranno poi adottare le misure necessarie a evitare ulteriori possibili violazioni.