DOCUMENTO PROGRAMMATICO SULLA SICUREZZA E DISPOSIZIONI MINIME SULLA SICUREZZAREDATTO AI SENSI DELL´ART. 34 E DEL DISCIPLINARE TECNICO, PUNTO N. 19, D.LGS. 162/2003Scopo del documento è delineare il quadro delle misure di sicurezza, organizzative, fisiche e logiche, da adottare per il trattamento dei dati personali e/o sensibili effettuato nell´ambito dell´attività associativa dell´Atletica Virtus Lucca (d´ora in avanti, Virtus), associazione sportiva dilettantistica.
Titolare del trattamento è l´Atletica Virtus Lucca, mentre responsabile del trattamento è nominato l´avv. Adriano Montinari, Presidente dell´associazione.
L´associazione ha la propria sede in Lucca, via S. Andrea n. 41, presso un appartamento con n. 2 vani, nel quale vi è soltanto un archivio cartaceo della documentazione relativa alle precedenti annate. L´attività associativa è svolta in un immobile presso il Campo CONI di Lucca, in via delle Tagliate n. 693, laddove la società ha la disponibilità di n. 3 vani di separato immobile.
Ogni vano è protetto da chiave di accesso, così come il fabbricato stesso.
Nel presente documento, conformemente al punto 19, Disciplinare Tecnico, allegato sub b) D.Lgs. 196/2003, si forniscono informazioni riguardanti:
1)l´elenco del trattamento dei dati personali, mediante: a - individuazione dei tipi di dati personali trattati; b - descrizione delle aree, locali e strumenti con i quali si effettuano i trattamenti;
2)distribuzione di compiti e responsabilità nel trattamento dei dati, ivi compresa la descrizione dell´attività esternalizzata;
3)l´analisi dei rischi che incombono sui dati;
4)le misure adottate per garantire la permanente integrità e disponibilità dei dati, ivi comprese la protezione delle aree e dei locali di intervento;
5)i criteri e le modalità per il ripristino dei dati nel caso di trattamento con strumenti elettronici;
6)la previsione di interventi formativi per gli eventuali incaricati al trattamento;
7)i metodi di protezione e/o di cifratura e separazione dei dati sensibili
indice:
1. L´elenco dei trattamenti dei dati personali pg. 2
2. mansionario privacy ed interventi formativi per gli eventuali incaricati pg. 3
3. l´affidamento di dati personali o sensibili all´esterno pg. 4
4. analisi dei rischi che incombono sui dati pg. 5
5. misure atte a garantire l´integrità e la disponibilità dei dati pg. 5
6. criteri e modalità di ripristino dei dati pg. 8
7. la protezione dei dati sensibili pg. 8
8. valutazioni conclusive e dichiarazioni d´impegno pg. 9
1.L´ELENCO DEL TRATTAMENTO DEI DATI PERSONALI
1.1Tipologie dei dati trattati
La Virtus, nell´ambito della propria attività, tratta o può trattare in forma elettronica e cartacea:
a - dati comuni relativi ai soci (cartaceo)
b - dati comuni relativi a fornitori (cartacea ed elettronica nella contabilità prima cassa)
c - dati comuni relativi a tesserati F.I.D.A.L. in forza alla società (atleti, in via cartacea ed elettronica)
d - dati sensibili relativi alla presenza dell´idoneità medico-agonistica degli atleti, anche minori esclusivamente in forma cartacea; file con date di scadenza certificati atleti maggiorenni in forma elettronica;
I dati vengono raccolti a seguito dell´associazione di un singolo e del tesseramento, previa informazione di cui all´art. 13, D. Lgs. 162/2003, ovvero, nel caso di contratti di fornitura, a seguito della stipula del negozio. Soltanto nel caso in cui sia necessaria per legge, viene richiesta una specifica autorizzazione.
1.2i luoghi del trattamento
Il trattamento avviene nel seguente locale:
n. 1 vano posizionato nell´immobile presente all´interno del Campo CONI di Lucca, all´interno del quale è posizionata sia la mobilia per l´archiviazione dei dati cartacei sia l´elaboratore nel quale viene eseguito il trattamento elettronico.
L´immobile è separato da ogni altra struttura dell´impianto, e vi si accede esclusivamente tramite chiave esterna, la cui disponibilità è limitata ai custodi preposti dal proprietario - Comune di Lucca. Al vano nel quale possono esser effettuati i trattamenti possono accedere, mediante ulteriore chiave di accesso, esclusivamente nell´orario di apertura al pubblico dell´impianto, il responsabile del trattamento e agli incaricati; tutti i soggetti custodiscono le chiavi del vano presso di loro e provvedono ad impedirne la copia, ovvero impedire l´accesso a chiunque non autorizzato e, comunque, senza vigilanza.
Esclusivamente l´archivio, con i dati personali relativi ad associati e atleti forniti decorsi cinque anni o più, è tenuto nella sede legale dell´associazione, in Via Sant´Andrea n. 41. Tali dati sono conservati a meri fini statistici, e il loro eventuale trattamento è consentito esclusivamente al Responsabile ovvero ad apposito incaricato. L´immobile di Via Sant´Andrea, sprovvisto peraltro di elaboratori informatici, si trova in un palazzo storico di Lucca, di proprietà del Comune e adibito per la maggior parte ad uffici pubblici: l´accesso ai vani nella disponibilità dell´associazione è consentito esclusivamente, mediante chiave d´accesso, al Responsabile e agli incaricati ai trattamenti.
Nel caso delle banche dati relative alla prima cassa, l´incaricato addetto ha facoltà di gestire l´archivio cartaceo ed elettronico che viene posto nella sua disponibilità. Egli ha piena cura dell´archivio, nel rispetto delle prescrizioni di cui sotto, e ha la possibilità di custodirlo presso la sua residenza, in luogo chiuso inaccessibile a terzi, senza alcun rischio di effrazione o indebito trattamento. Egli, in caso straordinario, ha anche la facoltà di gestire gli archivi relativamente alla certificazione medica degli atleti del settore promozionale. In quest´ultimo caso, egli deve ottenere autorizzazione dal Titolare del trattamento, e deve assicurarsi la segretezza nella custodia degli stessi.
1.3le modalità del trattamento
Il trattamento dei dati avviene con i seguenti strumenti:
Per i supporti cartacei:
I supporti cartacei, ivi inclusi quelli contenenti immagini, vengono ordinatamente raccolti in schedari, ovvero nella pratica a cui si riferiscono, per essere archiviati, una volta terminato il ciclo operativo, in apposita mobilia protetta da chiave. Suddetta chiave - così come la chiave di accesso della stanza - è in possesso del responsabile e degli incaricati, esclusivamente. I fascicoli non possono essere prelevati dalla mobilia senza l´autorizzazione e la vigilanza di costoro, i quali, non appena utilizzati i dati e terminato il ciclo lavorativo, ripongono il materiale all´interno dell´armadio, in modo che nessuno possa accedervi o visionarli senza apposita autorizzazione.
I dati contabili ed economici di prima cassa, funzionali alla contabilità, sono conservati da uno specifico incaricato, che ha piena disponibilità della documentazione, potendo depositarla presso il vano interno alla sede societaria e sopra descritto, ovvero potendo custodirla in altro luogo di sua scelta, con cura che l´accesso sia possibile ad egli soltanto.
Gli altri dati contabili sono affidati a un professionista esterno, pienamente in regola con gli adempimenti privacy. Il loro trattamento è effettuato sotto l´esclusiva responsabilità di quest´ultimo.
Per i supporti elettronici:
Il trattamento dei dati in via elettronica ed informativa avviene mediante utilizzo di n. 1 computer, con processore Pentium e sistema operativo Windows. Il computer è custodito presso il vano interno alla sede amministrativa di cui sopra, ed è collegato ad Internet tramite connessione telefonica. Ulteriormente, i dati possono esser trasferiti su supporti rimuovibili, ovverosia disco fisso rimuovibile, CD-Rom, floppy disk e Drive Pen USB.
Al vano nel quale viene effettuato il trattamento dei dati hanno accesso, regolarmente, soltanto i soci incaricati, in orario di apertura degli uffici. Le pulizie e la manutenzione dell´elaboratore vengono effettuati dagli incaricati stessi, e in due occasioni durante l´anno può accedere al vano personale della ditta di manutenzione della fotocopiatrice.
Durante le sessioni di lavoro di costoro, gli incaricati si assicurano che gli elaboratori siano spenti e che i dati cartacei siano integralmente contenuti nella mobilia e chiusi a chiave.
L´elenco dei soggetti addetti alla manutenzione è contenuto nella lista allegata al presente DPS, e aggiornata annualmente.
2.MANSIONARIO PRIVACY ED INTERVENTI FORMATIVI DEGLI EVENTUALI INCARICATI
Il trattamento dei dati personali viene effettuato solo dal responsabile o da soggetti che hanno ricevuto un formale incarico mediante designazione per scritto con adeguate istruzioni, nonché iscrizione in apposito elenco in calce al presente DPS, con individuazione puntuale dell´ambito del trattamento consentito.
Oltre alle istruzioni generali e all´ambito del trattamento, agli incaricati verranno fornite esplicite istruzioni in merito:
alle procedure da seguire per la classificazione dei dati, in modo da garantire la separazione di quelli sensibili e giudiziari;
alle modalità di reperimento dei documenti con dati personali e di custodia e archiviazione degli stessi nella mobilia;
alle modalità di elaborare e custodire eventuali password personali per accedere agli elaboratori elettronici dove vi siano dati personali o sensibili;
alle prescrizioni per non lasciare incustoditi archivi cartacei ed elettronici mentre vi è una sessione di lavoro, o a non far accedere persone non autorizzate;
alla necessità di ottemperare alle misure di sicurezza informatiche per la protezione dei dati, in materia di aggiornamento dei programmi, predisposizione delle difese ed effettuazione e custodia dei backup periodici su supporti rimuovibili;
Le lettere ed gli atti di nomina dei responsabili, le lettere d´incarico o di designazione degli incaricati e le liste degli stessi vengono raccolte in modo ordinato: in tal modo il titolare dispone di un quadro chiaro circa la ripartizione delle competenze per i singoli trattamenti (c.d. "mansionario della privacy"). Periodicamente, con cadenza almeno annuale, si procede ad aggiornare la definizione dei dati cui gli incaricati sono autorizzati ad accedere, e dei trattamenti che sono autorizzati a porre in essere, al fine di verificare la sussistenza delle condizioni che giustificano tali autorizzazioni.
Sono previsti interventi formativi degli incaricati del trattamento finalizzati a renderli edotti dei seguenti aspetti:
a - profili della disciplina sulla protezione dei dati personali, che appaiono più rilevanti per l´attività svolta dagli incaricati, e delle conseguenti responsabilità che ne derivano;
b - rischi che incombono sui dati
c - misure disponibili per prevenire eventi dannosi
d - modalità per aggiornarsi sulle misure di sicurezza, adottate dal titolare
Tali interventi formativi avvengono a cura del responsabile della sicurezza, in briefing personali o di gruppo all´interno della struttura associativa, e sono programmati in modo da avere luogo al verificarsi o del momento dell´ingresso in servizio, o in occasione di cambiamenti di mansioni, che implichino modifiche rilevanti rispetto al trattamento dei dati personali, ovvero in occasione di nuovi significativi strumenti che implichino modifiche rilevanti nel trattamento dei dati personali.
3.L´AFFIDAMENTO DI DATI PERSONALI O SENSIBILI ALL´ESTERNO
Il titolare non affida il trattamento dei dati personali o sensibili a terzi, se non strettamente necessario.
Nel caso in cui i trattamenti dei dati vengano affidati a terzi (in particolare, professionisti quali il commercialista, il consulente del lavoro ovvero un avvocato), il soggetto cui le attività sono affidate dichiara:
1.di esser consapevole che i dati che tratterà, nell´espletamento dell´incarico ricevuto, sono personali ovvero sensibili;
2.di dover ottemperare agli obblighi di cui alla legge della privacy
3.di dover trattare i dati esclusivamente in funzione e nei limiti dell´incarico ricevuto
4.di distruggere i dati ovvero restituirli non appena prestata la propria opera
5.nel caso di trattamento elettronico, di aver redatto il documento programmatico per la sicurezza
Nel caso di rapporto contrattuale tra il titolare del trattamento e il terzo esterno, quest´ultimo è responsabile a sua volta per il trattamento effettuato nell´ambito del rapporto contrattuale stesso.
4.ANALISI DEI RISCHI CHE INCOMBONO SUI DATI
Come logico, ai fini dell´analisi del rischio, debbono esser suddivise due distinte valutazioni.
In ordine alla pericolosità per la privacy, maggior tutela debbono avere i dati di natura sensibile e giudiziaria, con particolar riferimento ai dati che possano render noto lo stato di salute, la vita sessuale e l´eventuale affezione da HIV del soggetto, ovvero i suoi dati di natura genetica e la sua sottoposizione ad indagini penali ovvero i suoi precedenti problemi di natura giudiziaria.
In ordine agli strumenti per il trattamento, si debbono evidenziare i rischi connessi ad eventi patologici degli strumenti (virus informatici, spamming, malfunzionamento) ovvero ad eventi relativi al contesto fisico-ambientale (ingressi non autorizzati, anche da parte degli altri utenti della rete Intranet, sottrazione di strumenti o dati, guasti a sistemi complementari).
4.1 i rischi per la privacy
In termini di privacy, i dati sensibili trattati dalla Virtus, allo stato, sono numericamente esigui e consistono esclusivamente nei certificati medici di idoneità sportivo-agonistica degli atleti.
Sono tali pratiche cartacee, che risultano maggiormente rilevanti ai fini della tutela della privacy.
4.2 i rischi relativi al trattamento
Il vano laddove viene effettuato il trattamento è posto all´interno dell´area sportiva di via delle Tagliate n. 693. L´ubicazione della stanza, interna ad un impianto sportivo chiuso da cancelli di accesso e protetto da un servizio di custodia predisposto dall´ente proprietario, nonché la circostanza che l´immobile di pertinenza e il vano stesso siano protetti da robuste porte munite di serratura, determina una minima possibilità di effrazione all´interno dei locali della società. Di fatto, al di fuori dell´elemento accidentale (terremoti, distruzioni, allagamenti), non vi è alcun fattore ambientale di particolare rischio, anche per quel che riguarda l´accesso di terzi non autorizzato, poiché al momento dell´apertura dei vani vi deve essere sempre il responsabile del trattamento, ovvero un incaricato, il quale ha l´obbligo di controllare le altre persone presenti. Né, d´altro canto, particolari problemi consta la presenza, nei vani attigui, di locali ad uso del proprietario dell´impianto. La separatezza degli stessi e la natura pubblica dell´Ente proprietario - che, oltretutto, utilizza i locali molto raramente - garantisce l´assoluta impossibilità di un trattamento non autorizzato da parte dei soggetti che frequentano l´immobile.
Unicamente, residuano i rischi fisiologici relativi all´utilizzo di mezzi informatici connessi con la rete Internet (intrusione di virus e/ trojan, default dei sistemi) e a possibili guasti meccanici.
5.MISURE ATTE A GARANTIRE LA DISPONIBILITA´ E L´INTEGRITA´ DEI DATI
Alla luce dei sopra esposti rischi, sono state adottate le seguenti misure atte a garantire la protezione delle aree e dei locali; la corretta archiviazione e la custodia di atti documenti e supporti contenenti dati personali; la sicurezza logica degli strumenti di posta elettronica.
Nei punti successivi, invece, saranno approfondite le misure per la salvaguardia dei dati che vengano accidentalmente distrutti in via elettronica, e i criteri di protezione specifici per i dati sensibili.
5.1la protezione di aree e locali
Per quanto concerne il rischio d´area, legato ad eventi di carattere distruttivo, gli edifici e i locali nei quali si svolge il trattamento sono protetti da:
cancelli di accesso alla zona sportiva, recintata nelle altre parti;
l´ingresso all´immobile e al vano dedicato al trattamento dati con porte d´accesso protette da serrature; dispositivi antincendio come da vigente normativa;
orario di apertura degli uffici nel quale convogliare la presenza di soggetti non incaricati, e, comunque, costante presenza nell´area di soci e dirigenti, presenza di un servizio di guardiania predisposto dal Comune per le attività sportive, con controllo totale della zona.
5.2 custodia ed archiviazione di atti, documenti e supporti
Ogni dato personale raccolto in via cartacea o posto su dato cartaceo viene inserito in apposito fascicolo dal responsabile del trattamento o da un incaricato, e quindi posto in una mobilia nel vano a lato della postazione computer.
La mobilia è dotata di accesso tramite chiave.
Il fascicolo è spostato dalla mobilia esclusivamente per il tempo necessario al trattamento, e quindi riposto nuovamente nello stesso.
Mai un soggetto non autorizzato può aver accesso alla mobilia ovvero può reperire fascicoli contenenti dati personali nella stanza al momento della sua presenza.
Agli incaricati vengono date disposizioni, per scritto, di accedere ai soli dati personali, la cui conoscenza sia strettamente necessaria per adempiere ai compiti loro assegnati. Di conseguenza, agli incaricati è prescritto di prelevare dagli archivi i soli atti e documenti che vengono loro affidati per lo svolgimento delle mansioni associative; debbono controllare e custodire i documenti, durante l´intero ciclo necessario per lo svolgimento delle operazioni di trattamento, per poi restituirli all´archivio, al termine di tale ciclo.
Unicamente con riferimento alla prima cassa, la custodia è demandata ad apposito incaricato, che la tiene presso la propria residenza in mobilia dedicata e inaccessibile a terzi, nell´assoluto rispetto della vigente normativa. Eventualmente, un incaricato può avere la custodia e la cura dei dati relativi alla sussistenza dell´idoneità medico-sportiva degli atleti del settore promozionale: anche in questo caso, costui ha ricevuto apposite istruzioni in modo tale che detta custodia avvenga in modo inaccessibile a terzi.
Nel caso di supporti elettronici rimuovibili, anche questi vengono inseriti in appositi spazi e qui mantenuti, conformemente a quanto scritto sopra.
Le aree di conservazione dei documenti, atti e supporti sono distinte per le diverse funzioni. Particolari cautele sono previste per l´archiviazione di documenti, atti e supporti contenenti dati sensibili: questa deve avvenire in luoghi o armadi che possono essere chiusi e che sono controllati sempre, durante l´orario di apertura dell´archivio, a vista dal responsabile o dallo specifico incaricato.
Si procede, inoltre, ad identificare e registrare le persone che accedono agli archivi, contenenti dati sensibili, dopo l´orario di conclusione del lavoro, mediante adozione della chiusura a chiave dello studio nel quale sono collocati gli archivi e la sospensione del lavoro o lo spengimento degli elaboratori elettronici.
In ogni caso, al termine della giornata, le stanze sono chiuse a chiave e le chiavi sono ritirate.
5.2le misure logiche di sicurezza
Per i trattamenti effettuati con strumenti elettronici (elaboratori, programmi per elaboratori e qualunque dispositivo elettronico o comunque automatizzato), si adottano le seguenti misure:
- realizzazione e gestione di un sistema di autenticazione informatica, che ha il fine di accertare l´identità delle persone, affinché ad ogni strumento elettronico possa accedere solo chi è autorizzato;
- realizzazione e gestione di un sistema di protezione, di strumenti e dati, da malfunzionamenti, attacchi informatici e programmi che contengono codici maliziosi (virus);
- prescrizione delle opportune cautele per la custodia e l´utilizzo dei supporti rimuovibili (discuo rimuovibile, floppy disck, CD rom e Pen disk usb) nei quali siano contenuti dati personali.
Il sistema di autenticazione informatica viene adottato per disciplinare gli accessi a tutti gli strumenti elettronici presenti nell´organizzazione del responsabile.
In particolare, nell´elaboratore è impostata e gestita una procedura di autenticazione per cui possono accedere al programma operativo esclusivamente coloro i quali possano associare il codice per l´identificazione del responsabile (username) ad una password di otto caratteri alfanumerici; La scelta di password e username è specificamente demandata ad un soggetto, indicato nell´elenco annuale, e deve avvenire evitando riferimenti facilmente riconducibili alla società, a lui stesso ovvero ad altri soci. La password non deve essere comunicata a nessuno al di fuori degli incaricati, ed è conservata secondo le istruzioni ricevute.
La parola chiave viene modificata ogni tre mesi dal singolo incaricato addetto, a decorrere dal primo utilizzo.
E´ prevista la disattivazione delle credenziali di autenticazione immediatamente, nel caso in cui un incaricato perda la qualifica che gli consentiva di accede allo strumento; in ogni caso, entro sei mesi dal mancato utilizzo.
Agli incaricati vengono impartite precise istruzioni in merito all´obbligo di non lasciare incustodito e accessibile lo strumento elettronico, durante una sessione di trattamento, neppure in ipotesi di breve assenza; al dovere di elaborare in modo appropriato la password, e di conservare la segretezza della stessa, nonché delle altre componenti riservate della credenziale di autenticazione. Nei casi di prolungata assenza o impedimento dell´incaricato, che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema, potrebbe rendersi necessario disporre della password dell´incaricato, per accedere agli strumenti e ai dati. A tal fine, agli incaricati sono date istruzioni scritte affinché essi scrivano la parola chiave su un foglio di carta, da inserire in busta chiusa e consegnata al responsabile, che la deve custodire.
Solo al verificarsi delle condizioni sopra esposte, che rendono necessario accedere allo strumento elettronico, utilizzando la copia della parola chiave, il responsabile potrà aprire la busta, provvedendo ad informare, tempestivamente, l´incaricato cui appartiene la parola chiave.
Periodicamente, e comunque almeno annualmente, viene verificata la sussistenza delle condizioni per la conservazione dei profili di autenticazione.
Per quanto riguarda la protezione di strumenti e dati da malfunzionamenti, attacchi informatici e programmi con codici maliziosi (virus e trojan), vengono adottate le misure sotto descritte.
Il primo aspetto riguarda la protezione dei dati personali dal rischio di intrusione e dall´azione di programmi di cui all´art. 615quinquies c.p., aventi per scopo o per effetto il danneggiamento di un sistema informatico o telematico, dai dati o dei programmi in esso contenuti o ad esso pertinenti, ovvero l´interruzione, totale o parziale, o l´alterazione del suo funzionamento (comunemente conosciuti come virus).
A tal fine, il responsabile si è dotato di idonei strumenti elettronici e programmi (in particolare, antivirus e firewall, quest´ultimo in funzione di evitare accessi abusivi ai sensi dell´art. 615ter c.p.) che il D.lgs. 196/2003 impone di aggiornare con cadenza semestrale ma che, in relazione al continuo evolversi dei virus, si ritiene opportuno effettuare l´update quasi ogni giorno, in modo automatico con la connessione Internet.
Per quel che riguarda i files relativi alla contabilità, l´incaricato addetto al trattamento è istruito e responsabilizzato circa la presenza, nel computer suo personale, di sistemi di autenticazione, ovvero autorizzazione, che consentano a lui solo l´accesso ai dati, nonché di adeguati sistemi operativi e di programmi di protezione, da scegliere e aggiornare secondo le superiori prescrizioni.
Per quel che riguarda i supporti rimuovibili, il titolare del trattamento custodisce e utilizza i supporti in modo tale da impedire accessi non autorizzati (furti inclusi e trattamenti non consentiti); in particolare, vengono conservati in cassetti chiusi a chiave, e, dopo il loro utilizzo, formattati in modo da distruggere i dati che non siano più utili allo scopo per il quale sono stati memorizzati. In ogni caso, alla fine del trattamento, viene presa ogni misura affinché siano resi inintelleggibili e non ricostruibili tecnicamente i dati mediante il supporto stesso. Le medesime precauzioni sono prese dall´incaricato che ha la custodia dei files relativi alla contabilità.
6.CRITERI E MODALITA´ DI RIPRISTINO DEI DATI
Per fronteggiare l´ipotesi in cui i dati trattati in via elettronica e informatica siano colpiti da eventi che possono danneggiarli o addirittura distruggerli, vengono previsti criteri e modalità tali da garantire il loro ripristino in termini ragionevoli, e comunque entro una settimana per i dati sensibili e giudiziari.
In particolare, sono previste procedure di backup attraverso le quali viene effettuata una copia di tutti i dati presenti nel sistema. Il salvataggio dei dati è effettuato ogni settimana su disco rimuovibile (prevalentemente, floppy disk o penna USB).
I supporti vengono custoditi come da punto precedente, e la settimana successiva alla loro memorizzazione, al momento di effettuazione di un nuovo backup, vengono cancellati del precedente salvataggio.
7.LA PROTEZIONE O CIFRATURA DEI DATI SENSIBILI
Come prima già indicato, l´utilizzo dei dati sensibili si riduce alla presenza, nella sede associativa, dei certificati di idoneità medico-agonistica degli atleti.
Questi certificati e dati vengono archiviati, anno per anno, divisi per categorie, e conservati in apposita mobilia protetta da chiave, come da istruzioni ricevute per scritto da ogni singolo incaricato, il quale ha anche la responsabilità della custodia delle chiavi stesse. Il trattamento dei dati sensibili deve avvenire in assenza di persone sprovviste dell´autorizzazione del responsabile e gli atti e i documenti contenenti i dati sensibili sono controllati e custoditi dagli incaricati per tutto il tempo del trattamento, facendo bene attenzione che nessun possa accedervi, sottrarli ovvero prenderne visione; successivamente, sono riposti nella loro locazione prestabilita senza indugio.
All´interno dell´elaboratore, inoltre, vengono inseriti files contenenti soltanto la data di scadenza del certificato. Pur non rivestendo questi ultimi carattere di dati sensibili, la Virtus provvede ad ottemperare ogni requisito di legge - ivi compresa la redazione del DPS - relativamente al trattamento di dati sensibili in via elettronica.
8.VALUTAZIONI CONCLUSIVE E DICHIARAZIONI D´IMPEGNO
Le misure di sicurezza, già predisposte alla data odierna, ovvero da predisporre nelle eventualità sopra descritte, per il trattamento dei dati personali o sensibili e giudiziari, sia in forma elettronica sia in forma cartacea appaiono nel loro complesso soddisfacenti al fine di garantire la necessaria sicurezza.
Il presente documento, redatto pur non essendovi alcun trattamento elettronico di dati sensibili nell´ambito dell´attività dell´associazione sportiva, viene inserito nel fascicolo relativo alla "privacy" e conservato all´interno dei locali di uso professionale del responsabile. Una sua copia può esser consegnata a chiunque ne faccia richiesta, in relazione all´instaurarsi di un rapporto che implichi un trattamento congiunto di dati personali.
Al presente documento si allega l´elenco incaricati, redatto sin dal 30 giugno 2004 e rinnovato ogni anno a quella data. Per il presente anno 2006, si provvede a rinnovare l´elenco alla data odierna, in modo tale che questo possa valere un anno a decorrere da oggi e venga sempre redatto contemporaneamente e in modo unitario con il D.P.S.
Lucca, 8 marzo 2009
Il Titolare del trattamento
Atletica Virtus Lucca
Il Presidente
Avv. Adriano Montinari
Allegati:
1) lista incaricati trattamenti dati personali del 8 marzo 2009.
Lucca, 8 marzo 2009
LISTA INCARICATI TRATTAMENTI DATI PERSONALI
BANCA DATI: ELENCO SOCI - cartacea
1)Sergio Martinelli - socio
2)Ferdinando Caturegli - socio
3)Giada Puccini - socio
4)Fausto Ardenghi - socio
5)Matteo Martinelli - socio
6)Giuseppe Lencioni
7)Fabbri Chiara - socio
8)Della Longa Sabrina - socio
BANCA DATI: ELENCO TESSERATI / AGONISTI VIRTUS LUCCA - elettronica e cartacea
1)Sergio Martinelli - socio
2)Ferdinando Caturegli - socio
3)Giada Puccini - socio
4)Fausto Ardenghi - socio
5)Matteo Martinelli - socio
6)Giuseppe Lencioni - socio
7)Fabbri Chiara - socio
8)Cavallini Andrea - socio
9)Della Longa Sabrina - socio
BANCA DATI: CONTABILITA´ / PRIMA CASSA - cartacea
1)Sergio Martinelli - socio
2)Giuseppe Lencioni - socio
3)Giada Puccini - socio
4)Taddeucci Marco - socio
BANCA DATI: ELENCO CERTIFICATI MEDICI CATEGORIE AGONISTICHE - cartacea
1)Sergio Martinelli - socio
2)Giada Puccini - socio
3)Matteo Martinelli - socio
4)Fausto Ardenghi - socio
5)Cavallini Andrea
BANCA DATI: ELENCO CERTIFICATI MEDICI CATEGORIE PROMOZIONALI - cartacea
1)Ferdinando Caturegli - socio
2)Fabbri Chiara - socio
BANCA DATI: SCADENZA CERTIFICATI MEDICI ATLETI CATEGORIE AGONISTICHE - elettronica (assoluti)
1)Sergio Martinelli - socio
2)Giada Puccini - socia
3)Matteo Martinelli - socio
4)Fausto Ardenghi - socio
5)Andrea Cavallini - socio
Incaricati alla manutenzione ma non al trattamento:
La manutenzione degli elaboratori e la pulizia dei locali viene effettuata esclusivamente dai soci incaricati del trattamento. La contabilità è invece affidata ad un commercialista esterno, il quale è responsabile del trattamento da lui effettuato nell´ambito della propria attività professionale.
Atletica Virtus CR Lucca
Il Presidente
Avv. Adriano Montinari
.jpg)
