Informativa sul trattamento dei dati

REGISTRO DI ATTIVITA’ DI TRATTAMENTO
(art. 30 – 32 del regolamento UE n. 679/2016)
Aggiornato al 26.03.2020

Scopo di questo documento è di delineare il quadro delle misure di sicurezza, organizzative, fisiche e logiche, da adottare per il trattamento dei dati personali effettuato da:

ASSOCIAZIONE SCUOLA MUSICALE DI PRIMIERO con sede legale in Piazza Municipio nr. 12 e sede operativa in Piazza Municipio nr. 12, Transacqua a PRIMIERO SAN MARTINO DICASTROZZA (TN), P.IVA 01485740227.

Il presente documento è stato redatto dal Presidente dell’Associazione, Paolo Orsega, in qualità di
titolare per la sicurezza, che provvede a firmarlo in calce.

Elenco dei trattamenti di dati personali

L’Associazione Scuola Musicale di Primiero tratta i seguenti dati comuni:

– dati comuni degli utenti, dagli stessi forniti all’atto dell’iscrizione, per l’espletamento delle
attività di insegnamento o necessari per fini fiscali o afferenti alla reperibilità ed alla corrispondenza con gli stessi;

– dati comuni dei dipendenti, dagli stessi forniti all’atto dell’assunzione e/o nel corso del rapporto di lavoro, per l’espletamento delle attività di docenza, o necessari per fini fiscali o afferenti alla reperibilità ed alla corrispondenza con gli stessi;

– dati comuni dei fornitori concernenti la reperibilità e la corrispondenza con gli stessi, nonché inerenti ai fini fiscali o dati di natura bancaria;

– dati comuni di altre Scuole musicali del Trentino e professionisti cui l’Associazione affida incarichi o si rivolge per consulenze, quali quelli concernenti la reperibilità e la corrispondenza con gli stessi, nonché inerenti a finalità fiscali o dati di natura bancaria.

L’Associazione Scuola Musicale di Primiero tratta i seguenti dati sensibili e giudiziari:

– dati sensibili del personale dipendente inerenti e conseguenti il rapporto di lavoro, forniti dagli stessi o acquisiti per gli adempimenti di legge, altresì idonei a rivelare lo stato di salute, compresi i dati sul patrimonio e sulla situazione economica, ovvero inerenti rapporti con gli enti previdenziali e assicurativi e assistenziali, o dati giuridici dei medesimi ovvero l’adesione ad organizzazioni sindacali;

– dati sensibili degli utenti, dagli stessi forniti o acquisiti per l’espletamento di adempimenti delegati all’Associazione, compresi i dati sul patrimonio e sulla situazione economica, ovvero idonei a rivelare lo stato di salute.

I dati non pubblici vengono acquisiti previa l’informativa che si allega al presente Registro di attività di trattamento (art. 30).

In considerazione della situazione straordinaria rappresentata dall’emergenza sanitaria COVID-19, il presente registro viene integrato con una nuova informativa e relativa prestazione di consenso, volta a consentire la predisposizione di adeguate piattaforme digitali per l’effettuazione della didattica a distanza, nelle forme che si riterranno opportune.

I dati vengono trattati e conservati in fascicoli riposti in schedari adeguatamente custoditi, nonché trattati con strumenti informatici in locali protetti e con accesso ad internet.

I fascicoli vengono archiviati al termine della trattazione della relativa pratica.

I locali ove vengono trattati i dati, sono ubicati nella sede operativa della scuola, dotata di portone di ingresso. Il locale segreteria e direzione è situato al primo piano.

Le attività che comportano il trattamento dei dati vengono esercitate nell’ufficio segreteria, attiguo all’ufficio del direttore ed entrambi i locali sono dotati di porta con chiusura a chiave.

In una zona separata e ben distanziata è ricavata una sala di attesa per l’utenza.

La struttura è dotata di cassaforte con chiusura a chiave.

Descrizione della rete informatica

L’ufficio è dotato di n° 1 server (segreteria) e di n° 1 PC (ufficio del Direttore), in rete ed entrambi

connessi ad internet con connessione ADSL.

Inoltre nel locale segreteria si trovano la stampante e la fotocopiatrice/ scanner.

Il sistema operativo del computer è Microsoft Windows 10 PRO.

Gli uffici utilizzano attualmente Internet Explorer e Google Chrome, nonché Microsoft Outlook versione 2007 e Windows Live Mail

Per la gestione dell’attività di segreteria e docenza si utilizzano le funzionalità operative di Google Drive.
Ai docenti:
– Paolo Scalet
– Ivan Villanova
– Partel Davide
– Dalla Cort Enrico
– Pante Renato
– Lucian Daniela
– Crema Paola
– Cibien Giorgio
– Bettega Mario
– Rigo Marcello
– Canova Sabina

è stato fornito un TABLET TITAN2 13,3” OCTACORE BT FHD16:9 per l’esclusivo uso connesso con la didattica della Scuola Musicale, per la gestione della modulistica online in Google Drive, per le basi musicali dei metodi di studio degli strumenti, e per le partiture musicali. Tali strumenti informatici non danno accesso a dati sensibili conservati esclusivamente nel server della segreteria. Antivirus e Firewall adoperati contenuti nel pacchetto ESET NOD32 Antivirus 10 sempre aggiornato.

L’abilitazione alla configurazione dei diritti di accesso è protetta da password che viene modificata almeno ogni tre mesi.

Gli incaricati sono opportunamente istruiti per gestire in modo autonomo il cambio della password di accesso al sistema.

Criteri di protezione accesso ad internet

L’accesso ad Internet avviene tramite ROUTER TIM, in connessione WI-FI anche a beneficio dei docenti, ai quali viene fornita una password temporanea.

Criteri per assicurare l’integrità dei dati

L’integrità dei dati viene assicurata eseguendo:

– Le procedure di controllo dello stato logico dei rischi e dei database di configurazione in dotazione al sistema;

– Le procedure di controllo in dotazione degli specifici applicativi di gestione dei database;

– Un backup almeno settimanale dei database su supporto esterno, conservato separatamente in luogo sicuro.

Titolare del trattamento è il Presidente dell’Associazione, Paolo Orsega.

Responsabile del trattamento è il Direttore, sig. Paolo Scalet.

Incaricati del trattamento

I dati comuni del personale dipendente, dei clienti, dei fornitori e di terzi, nonché i dati sensibili e giudiziari dei dipendenti, i dati sensibili degli utenti e di terzi, sono trattati oltre che dal titolare e dal responsabile, anche da soggetti incaricati con apposita lettera d’incarico che ne delinea e dimensiona la portata.

ANALISI DEI RISCHI

E’ stata compiuta l’analisi dei rischi che si può così sintetizzare: per i dati comuni raccolti riguardanti i soggetti sopra specificati (dipendenti, utenti e fornitori): il rischio legato alla loro gestione e trattamento può definirsi basso.

Per i dati sensibili degli utenti e dei fornitori, nonché per quelli anche giudiziari di dipendenti ed utenti, che possano riguardare lo stato sociale, la sfera sanitaria, l’adesione ad organizzazioni  sindacali, il rischio legato alla loro gestione è da definirsi medio.

I rischi derivanti dalla disponibilità di strumenti elettronici possono riguardare malfunzionamenti, guasti, eventi naturali, alterazioni delle trasmissioni.

Per ridurre i rischi al minimo sono state adottate oltre alle misure di sicurezza già sopra specificate, anche le seguenti:

– Autenticazione informatica: tale misura prevede da parte del responsabile nominato dal titolare, l’adozione di una password alfanumerica di almeno 8 caratteri. Detta password non contiene, né conterrà, elementi facilmente ricollegabili all’organizzazione o alla persona del suo utilizzatore, né all’Associazione. La stessa viene custodita in una busta chiusa e conservata nella cassaforte, in un plico sigillato. Almeno ogni tre mesi si provvede a sostituire la password.

E’ stato altresì inserito lo screensaver automatico dopo 3 minuti di non utilizzo.

E’ stata data disposizione a tutti gli utilizzatori di non lasciare incustoditi gli strumenti elettronici, di verificare la provenienza delle e-mail, di considerare Internet e posta elettronica quali strumenti di lavoro e si è pertanto vietata la navigazione in Internet su siti poco attendibili o non ufficiali e di non aprire e-mail provenienti da soggetti sconosciuti, oltre a non inviare e-mail non autorizzate dal titolare ovvero dal responsabile.

Per quanto riguarda i rischi relativi ai software contenuti negli strumenti elettronici, possono
verificarsi errori, virus, intercettazioni dei dati.

Per limitare tali rischi, il computer è dotato di dispositivo antivirus e firewall di marca ESET NOD32 ANTIVIRUS 10 che viene aggiornato con funzione automatica e con scansione per ogni aggiornamento antivirus, e comunque settimanale.

Per il medesimo computer è prevista la funzione di aggiornamento automatico del sistema fornito dalla Microsoft mediante lo strumento windows – update.

Analogo sistema di aggiornamento automatico è previsto per l’antivirus.

E’ stata data istruzione che, qualora nessun aggiornamento del sistema fosse segnalato automaticamente per un periodo di mesi 6, si provveda comunque ad attivare la funzione di controllo per verificare l’esistenza o meno di detti aggiornamenti automatici.

Si è anche disposto di provvedere periodicamente alla pulizia dei file temporanei e del disco rigido, nonché alla deframmentazione od altro analogo sistema di aggiornamento e manutenzione.

In merito al rischio per il trattamento dei dati cartacei, può essere considerato basso.

Le aree ed i locali possono essere colpiti da eventi naturali o accessi di terzi non autorizzati.
Per ridurre i rischi sono state adottate le seguenti misure:

– si è disposto che non siano lasciati incustoditi sulle scrivanie, o su altri ripiani, atti, documenti e fascicoli delle varie posizioni. Tali documenti vanno conservati negli appositi schedari e prelevati per il tempo necessario al trattamento per esservi poi riposti;

– è stata data disposizione che i dati riguardanti gli interessati siano conservati per un periodo minimo corrispondente agli obblighi normativi di conservazione e, successivamente, per un massimo di dieci anni dal termine del rapporto di lavoro o del servizio prestato all’utenza;

– è stata data disposizione che al termine suddetto i dati raccolti sia in forma cartacea che elettronica vengano distrutti e/o eliminati, nel rispetto del cd. “diritto all’oblio”;

– il locale destinato all’archivio dovrà essere chiuso a chiave;

– si è data istruzione che il materiale cartaceo venga distrutto con apposita apparecchiatura e destinato allo smaltimento dei rifiuti e che detto materiale sia giornalmente asportato.

In merito al rischio per il trattamento dei dati elettronici, può essere considerato basso, essendo state adottate all’interno dello stabile le misure di sicurezza, tendenti a ridurre il rischio gravante sui dati e derivante dalla gestione della relativa strumentazione.

E’ stato disposto l’obbligo di provvedere ad un backup almeno settimanale dei dati e dei sistemi installati sul server su disco rigido esterno, creando così un’identica copia dello strumento di lavoro.

Si provvede a verificare, effettuato il backup, la leggibilità del supporto e, una volta a settimana, si procede a verificare a campione la leggibilità dei dati.

Per quanto riguarda i supporti di memorizzazione, il rischio di deterioramento dei dati da essi portati può essere ritenuto basso, attesi i frequenti backup, ed il fatto che essi sono conservati in duplice copia e in luogo idoneo, così come i dischi di installazione dei programmi software adottati.

Si ritiene che verranno adottate le seguenti ulteriori misure.

Nell’ipotesi di distruzione o danneggiamento dei dati o degli strumenti elettronici, si adotta apposito piano di ripristino degli stessi, impartendosi le seguenti modalità di comportamento:

– rivolgersi immediatamente e chiedere l’intervento del tecnico manutentore (attualmente JLB Books s.a.s.) sollecitandone al più presto l’assistenza;

– reinstallati i programmi danneggiati o distrutti, sempre che non sia necessario sostituire l’intero hardware, si provvederà a reinstallare tutti i dati contenuti nel supporto di backup;

– si provvederà all’aggiornamento dei sistemi operativi una volta reinstallati;

– verrà dato incarico al tecnico manutentore di suggerire ogni altra misura;

– in ogni caso, il ripristino dei dati e dei sistemi andrà effettuato entro e non oltre 7 giorni.

Qualora ne ricorrano i presupposti, in caso di violazione della banca dati, dovrà essere data comunicazione dell’evento alla competente Autorità di vigilanza (data breach).

In merito al rischio di accesso ai locali segreteria e direzione, può essere considerato basso, atteso che l’ingresso agli uffici è costantemente controllato, dotato di porta con chiusura a chiave e l’ingresso di terzi estranei avviene solo previa accettazione e controllo.

Il rischio di accesso ai singoli strumenti elettronici da parte di persone non autorizzate può essere definito basso, essendo tali strumenti posti nei locali di cui al punto che precede e, pertanto, sottoposti a controllo costante; la zona di attesa dell’utenza è distanziata da detta strumentazione e separata fisicamente con porta chiusa (a chiave in caso di assenza della segretaria e del direttore).Le aree ed i locali potrebbero essere interessati da eventi naturali, quali incendi, allagamenti e corto circuiti, pur avendo l’Associazione provveduto ad adottare le disposizioni di sicurezza stabilite dalla L. 626/94 e succ. mod. Essendo l’edificio dotato di dispositivi salvavita, il rischio può comunque definirsi basso.

Alle ditte che provvedano ad effettuare prestazioni che comportino accesso di estranei agli uffici (ad esempio per le pulizie) viene dato incarico scritto con richiesta di specificazione dei nominativi delle persone che accedono ed espresso invito a limitarsi alle sole attività pertinenti alla prestazione per cui accedono.

Si evidenzia infine che i dati, quanto comuni che sensibili, per l’attività svolta dall’Associazione Scuola Musicale di Primiero ed il tipo di utenza dell’Associazione medesima, non paiono essere di particolare interesse per terzi.

Si allega il modello utilizzato per fornire l’informativa al trattamento, nonché il modello di raccolta del consenso al trattamento dei dati personali, nonché nuovo modello di informativa e relativa prestazione di consenso, volta a consentire la predisposizione di adeguate piattaforme digitali per l’effettuazione della didattica a distanza, nelle forme che si riterranno opportune.

Primiero San Martino di Castrozza, 26 marzo 2020

Il titolare del trattamento
– avv. Paolo Orsega –

Informativa sui cookie

Il nostro sito non utilizza cookie di tracciamento. Esiste solo il cookie PHPSESSID che è un cookie tecnico di prima parte, necessario al funzionamento del sito stesso.

Condividi i nostri obiettivi?

Fai una donazione