documento programmatico

DOCUMENTO PROGRAMMATICO
sulla
SICUREZZA
ai sensi della legge196/2003
DICEMBRE 2009
PREMESSA
Il presente documento nasce per adempiere a quanto previsto dalle misure di sicurezza previste dal
Decreto legislativo 196/2003 ed in particolare dalla Regola 19 del Disciplinare Tecnico e recepisce
le attività realizzate da GE.S.A.C. Spa per ottemperare ai dettami normativi in termini di privacy.
Così come evidenziabile dalla mappatura delle banche dati di seguito riportata, GE.S.A.C. infatti
tratta dati sensibili (con particolare riferimento a quelli legati al personale interno e quelli legati alla
gestione degli appalti) su supporto informatizzato e pertanto ad essa è fatto obbligo di realizzare con
cadenza annuale il Documento Programmatico della Sicurezza. A tal proposito si evidenzia che già
dal 2001 GE.S.A.C. realizza tale Documento.
Infatti l’aeroporto Internazionale di Napoli con le aziende del gruppo Baa Italia, ottempera in
maniera compiuta agli obblighi ed agli adempimenti relativi alla legge sulla privacy ed attraverso
un’opera di sensibilizzazione delle risorse che operano all’interno dell’aeroporto, ha fatto del
rispetto della privacy uno dei concept di servizio. Si è infatti andati al di là del mero recepimento
formale della normativa e si è posto alla base della filosofia aziendale l’attenzione alle
problematiche della privacy, facendo del rispetto dell’identità personale e della riservatezza alcuni
degli elementi distintivi del proprio agire.
Il Documento in esame descriveva l’assetto organizzativo dell’azienda in termini di privacy e tutti
gli interventi posti in essere a protezione delle banche dati mappate al 30/11/2009.
Il Documento programmatico realizzato segue la falsariga del modello proposto dal Garante sulla
privacy e contiene pertanto le seguenti sezioni:






i responsabili e le aree di competenza;
la mappatura delle banche dati;
i rischi potenziali;
le misura di sicurezza adottate e quelle da adottare;
il piano di salvataggio per le banche dati informatizzate;
il piano di formazione aziendale;
In relazione alla struttura organizzativa aziendale si precisa che la stessa è consultabile sulla rete
INTRANET aziendale attraverso l’applicativo HR NET che consente di visualizzare per ogni
profilo aziendale posizione e funzioni.
La mappatura delle banche dati, così come l’intero DPS, è stata realizzata con il contributo della
Società di consulenza Studio Staff Napoli che si è avvalso del supporto di tutti i Responsabili del
trattamento dati aziendali: a seguito di approfondite interviste si è provveduto prima a censire le
banche dati aziendali e successivamente controllare e monitorare la rispondenza di quanto indicato
nella mappatura delle banche dati e quanto effettivamente presenti nelle aree.
Il Responsabile della Sicurezza dell’area IT ha invece contribuito per quanto concerne la
descrizione delle misure di sicurezza informatiche.
Il presente documento, in relazione alle banche dati informatiche, recepisce la recente disposizione
del Garante del 24/12/2008 avente ad oggetto nuovi obblighi a carico degli amministratori di
sistema. In relazione agli amministratori di sistema esterni, un documento allegato monitora e
mappa tutti i soggetti e tutte le misure di sicurezza adottate dai singoli fornitori esteni.
2
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
2
I RESPONSABILI E LE AREE DI COMPETENZA
Ai sensi dell’art. 21 del decreto legislativo 196/2003 ed in funzione della propria complessità
organizzativa l’azienda si è avvalsa della possibilità di nominare per iscritto più responsabili
affidando ad ognuno di esse la responsabilità di specifiche banche dati. Le linee guida che
hanno indirizzato l’azienda nell’individuazione dei Responsabili sono riassumibili nei seguenti
principi:

Le Responsabilità in termini di privacy vanno allocate lì dove le banche dati vengono
generate e/o custodite.

Le Responsabilità in termini di privacy vanno allocate lì dove ci sono anche
responsabilità gestionali.

Il responsabile della Sicurezza IT non è responsabile di specifiche banche dati ma è
Responsabile della corretta applicazione delle misure di sicurezza informatiche su tutte
le banche dati informatizzate aziendali.
Attualmente i responsabili Privacy di GE.S.A.C. sono:
RESPONSABILE
RESPONSABILITÀ PRIVACY
Davide Behar
Risorse Umane
Paola Bussetti
Controllo di Gestione
Domenico Ciervo
ICT Security
Margherita Chiaramonte
Commercial Department &Network Development
Giuseppe Cutillo
Qualità, Sicurezza & Ambiente
Maurizio Dello Russo
Legale
Antonio Guglielmucci
Security Management
Daniela Guerra
Affari Societari
Maria Concetta Tufano
Assicurazioni ed Audit
Cristina Ippolito
Operations Department
Angelo Loi
Airport Security e Services Office
Aniello Mattera
Airfield Management
Maria Teresa Papagno
Contabilità Generale & Tesoreria
Maria Grazia Parlato
Recupero Crediti
Giuseppina Petrone
Acquisti
Concetta Ricchizzi
Pay-Roll
Antonio Savarese
Cartelle mediche dipendenti
Elsa Venzo
Gestione rapporti Enti, Vettori, Operatori di Sedime
3 3
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
Alessandro Vetere
Technical Department
Sandra Attadia
Attività operativa in turno di scalo (1/5)
Elio Damiano
Attività operativa in turno di scalo (2/5)
Raffaele Lavezza
Attività operativa in turno di scalo (3/5)
Massimiliano Pecora
Attività operativa in turno di scalo (4/5)
Antonio Trotta
Attività operativa in turno di scalo (5/5)
Ai su indicati dipendenti è stata comunicata per iscritto la loro Responsabilità in materia di
privacy attraverso comunicazione presente in allegato.
Gli stessi sono altresì stati messi in condizione di svolgere efficacemente e consapevolmente
tale compito grazie ad una adeguata attività di formazione personalizzata.
Un elenco sempre aggiornato dei Responsabili e delle loro aree di responsabilità, unitamente
alla policy privacy aziendale è presente sul sito aziendale nella sezione privacy
Rispetto al precedente organigramma privacy, l’attuale organigramma tiene conto di tutte le
modifiche organizzative intervenute in azienda nel corso del 2009 e garantisce una puntuale
rispondenza tra attività gestite e responsabilità delle banche dati connesse a tali attività.
4
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
4
Nominativo
Davide Behar
Area aziendale
Risorse Umane
Posizione
Risorse umane
Scheda 1/3
Database
Tipo di archivio
Sistema
informativo
Informatico
Altamira
Processo
Aggregati di dati
Tipologia di
dato
Motivazione trattamento
Selezione e
recruiting
Curricula candidati
Personale
Acquisire e gestire
candidature finalizzate a
selezionare il personale
Applicativo
Office
Politiche retributive
Dati dei dipendenti
Personale
Gestire le politiche
retributive personali
HR Net
Formazione
Politiche retributive
Performance
management
Dati dei dipendenti
Personale
Gestione delle RU
Gestione del
personale
dichiarazione infortunio
certificato medico
denuncia da parte
azienda all'INAIL e
Polizia
Personale
Richiesta di visita
sensibile
media all'INAIL
Certificato INAIL
Attestato ritorno in
servizio
Rimborso Inail
Database curricula
Cartaceo
Politiche retributive
Informatico
Anagrafica
Corsi di formazione
Dati retributivi
Informatico
Schede di valutazione
Job description
Archivio infortuni
Cartaceo
Obbligo di legge
5
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
5
Nominativo
Davide Behar
Area aziendale
Risorse Umane
Posizione
Risorse umane
Scheda 2/3
Database
Tipo di archivio
Sistema
informativo
Archivio pratiche
contenziosi con
dipendenti
Cartaceo
Libro infortuni
Cartaceo
Archivio sindacati
Cartaceo
Pratica prestito
personale a
dipendente
Informatico
excel
Processo
Aggregati di dati
Citazione
Gestione contenziosi dipendente
con dipendenti
Documentazione
d'appoggio
Nominativo, età,
qualifica, tipo
Gestione del personale
infortunio e
verbale infortunio
Lista dipendenti
iscritti
Gestione
Delega al
sindacato per
trattenuta
Modulo di
Gestione
gestione prestito
personale
Tipologia di dato
Motivazione trattamento
Personale
Sensibile
Obbligo di legge
Sensibile
Sensibile
6
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
6
Nominativo
Davide Behar
Area aziendale
Risorse Umane
Posizione
Responsabile Risorse
umane
Scheda 3/3
Database
Tipo di archivio
Sistema
informativo
Cartella personale
del dipendente
Cartaceo
Tipologia di
dato
Processo
Aggregati di dati
Gestione del
personale
Lettera di assunzione
Copia titolo di studio
Copia congedo militare
Copia patente di guida
Fotografie
Banca d'appoggio, codice
fiscale
Certificato stato di
famiglia
Libretto di lavoro
Modello di
Personale
disoccupazione
sensibile
Autocertificazione
carichi pendenti
Lettera di dimissioni
Copia documentazione
per rilascio decreto GPC
(dipendenti security)
Verbale incontro di
giustificazione
Provvedimento
disciplinare
Motivazione trattamento
Archiviare informazioni
utili a gestire il personale
7
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
7
Nominativo
Paola Bussetti
Area aziendale
Controllo di Gestione
Posizione
Controllo di Gestione Scheda 1/1
Sistema
Tipo di archivio
informativo
Database
Processo
Aggregati di dati
Tipologia di
dato
Pratiche di
investimento
Cartaceo
Controllo di
gestione
Fatture
Personale
Gestione
investimenti
Cartaceo
Investimenti
infrastrutturali
Copia fatture
Personale
Investimenti
infrastrutturali
Copia documenti
di gara
copia contratti
copia fatture
copia quietanze di
pagamento
Personale
Gestione
investimenti
finanziati UE
Cartaceo
Gestione variazioni
personale
Informatizzato
Posta elettronica
Pianificazione e
controllo
Lista nominativi
Personale
Gestione posizioni
(politiche
retributive)
Informatizzato
HR charter
Pianificazione e
controllo
Costi per
posizione
Personale
Motivazione
trattamento
Consentire
l'effettuazione della
COAN
8
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
8
Nominativo
Area aziendale
Margherita Chiaramonte
Marketing, Sales property, Sales
retail
Posizione
Responsabile Marketing, Sales
property, Sales retail
Database
Tipo di archivio
Contratti di
vendita
prestazioni
accessorie
Informatico
Cartaceo
Attività di audit
Sistema
informativo
Cartaceo
Gestione
contratti
Attività
precontrattuale
Scheda 1/1
Lotus notes
Processo
Aggregati di dati
Dati sulle
compagnie che
Gestione clienti operano, che hanno
operato o che
potrebbero operare
Dati contrattuali
Dati di fatturato del
Gestire i
cliente
contratti attivi
Dati connessi alla
non avio
gestione del
contratto
Tipologia di dato
Motivazione
trattamento
Personale
Gestione commerciale
Personale
Gestire i contratti attivi
non avio
Cartaceo
Dati economico
Gestione clienti finanziari relativi ai
potenziali cliente
Personale
Effettuare la decisone
inerentela scelta
dell’interlocutore con
cui chiudere il contratto
Cartaceo
Dati relativi ad
eventuali non
Gestione clienti conformità rispetto
Personale
non avio
agli obblighi
contrattuali e
normativi del cliente
Gestire i contratti attivi
non avio
9
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
9
Nominativo
Giuseppe Cutillo
Area aziendale
Qualità, Sicurezza e Ambiente
Responsabile della Qualità
Sicurezza e Ambiente
Scheda 1/2
Sistema
Tipo di archivio
informativo
Posizione
Database
Scheda prevenzione
rischi lavoratrici
gestanti
Infortuni dipendenti
Infortuni dipendenti
esterni
Cartaceo
Cartaceo
Cartaceo
Verbali inspection su
Cartaceo
aziende operanti
all’interno del
Informatico
sedime
Processo
Aggregati di dati
Tipologia di dato
certificato
prevenzione rischi sospensione dal
Personale/sensibile
lavoro
copia libro infortuni
data infortunio nome dipendente prevenzione rischi età - qualifica Personale
dinamica infortunio
- danni provocati giorni di malattia
prevenzione rischi
copia libro infortuni
Personale
azienda esterna
prevenzione rischi Verbale di ispezione Personale
Lotus notes
Motivazione
trattamento
Verificare idoeneità al
lavoro e richiesta parere
medico
Gestire le statistiche
relative agli infortuni e
consigliare azioni
correttive finalizzate a
ridurre i rischi
Gestire le statistiche
relative agli infortuni e
consigliare azioni
correttive finalizzate a
ridurre i rischi
Gestire il processo di
controllo effettuato
sulle aziende operanti
all’interno del sedime
10
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
10
Nominativo
Giuseppe Cutillo
Area aziendale
Qualità, Sicurezza e Ambiente
Posizione
Responsabile della Qualità
Sicurezza e Ambiente
Scheda 2/2
Database
Tipo di archivio
Sistema
informativo
Documenti
autorizzativi ditte di
trasporto e
smaltimento rifiuti
Infortuni Utenti
Processo
Aggregati di dati
Tipologia di dato
Cartaceo
Controllo del
rispetto della
normativa
ambientale da
parte di tutti i
soggetti coinvolti
Le informazioni di
tutte le aziende
relativamente alla
Personale
qualità e quantità dei
reflui e dei rifiuti
Cartaceo
Dati relativi al
prevenzione rischi passeggero ed
all’incidente
Motivazione
trattamento
Verificare il rispetto
della normativa
ambientale da parte di
tutti i soggetti coinvolti
Gestire le statistiche
relative agli infortuni e
Personale/sensibile consigliare azioni
correttive finalizzate a
ridurre i rischi
11
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
11
Nominativo
Maurizio dello Russo
Area aziendale
Legale
Posizione
Responsabile ufficio
Legale
Database
Tipo di archivio
Documentazione di
gara sopra soglia
Cartaceo
Gestire
Offerte imprese
appalti,lavori,forniture
concorrenti
e servizi sopra soglia
Personale
Documentazione
aggiudicazioni gara
sopra soglia
Cartaceo
Gestire
appalti,lavori,forniture Offerta aggiudicata
e servizi sopra soglia
Personale
Contratti
Cartaceo
Gestire la
contattualistica
aziendale
Personale
Formalizzare i
contratti
Personale
Gestione del
rapportocon i
legali
Personale
Gestire
efficacemente tutto
il processo
Informatico
Documentazione
legale
Gestione gare
Cartaceo
Informatico
Scheda 1/1
Sistema
informativo
CICE
Processo
Gestione del
contenzioso
Gestione Gare
Aggregati di dati
Dati del fornitore
relativi all’ufficio
legale
dati delle parti in
causa
documentazione
probatoria
contenzioso
Tutta la
documentazione
relativa allae gare
Tipologia di dato
Motivazione
trattamento
Acquisire le offerte
per la definizione
del fornitore
Gestire l'offerta
aggiudicataria per
la predisposizione
del contratto
12
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
12
Nominativo
Antonio
Guglielmucci
Area aziendale
Security Mangement
Posizione
Security Mangement Scheda 1/3
Database
Tipo di archivio
Dipendenti area
Security
Sistema
informativo
Cartaceo
Office
Dipendenti area
Security
Cartaceo/elettronico
Processo
Cartaceo/elettronico
Tipologia di dato
Dati dei soggetti
Acquisire per i
aziendali che devono
dipendenti l'idoneità alla
assumere il ruolo di
Personale
figura di Guardia
Guardia particolare
particolare giurata
giurata
Database cartaceo ed
Erogazione formazione elettronico contenente
iniziale e ricorrente
anagrafica ed
Personale
prevista per legge o da
informazioni relative a
standard aziendali
frequenza, risultati ed
idoneità al ruolo
Office
Dipendenti area
Security
Aggregati di dati
Pubblicazione del turno
mensile
Contiene i dati relativi
alla presenza prevista
Personale
del personale sul posto
di lavoro
Motivazione
trattamento
Richiedere all'autorità
preposta la certificazione
per i dipendenti quale
Guardia particolare
giurata
Archiviare i dati in
funzione di attività di
verifica da paerte di
organi competenti
Consentire la
pubblicazione del dato al
personale coinvolto ed
alle risorse coinvolte
nell’attività di
pianificazione
13
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
13
Nominativo
Antonio
Guglielmucci
Area aziendale
Security Mangement
Posizione
Security Mangement Scheda 2/3
Database
Tipo di archivio
Sistema
informativo
Processo
Office
Operatori
aeroportuali
Passeggeri
Personale
aeroportuale
Cartaceo/elettronico
Cartaceo
Cartaceo
Valutazione delle
performance individuali
Controllo manuale del
bagaglio da stiva
Audit di sicurezza
aeroportuale: verifica
tesserini aeroportuali
Aggregati di dati
Database contenente i
risultati delle
valutazione effettuate
sull’attività lavorativa
della singola risorsa
Tipologia di dato
Motivazione trattamento
Personale
Verifica costante
dell’aderenza agli standard
aziendali delle prestazioni
delle singole risorse, da
mettere a disposizione
anche per la valutazione
del raggiungimento degli
obiettivi di settore
Database contenente i
moduli riportanti il
nominativo e firmati
dai passeggeri come
Personale
autorizzazione al
controllo in presenza
del proprio bagaglio da
stiva
Database contenente
nominativi di personale
operante in ambito
aeroportuale, oltre a
Personale
numero di tessera
aeroportuale, data,
orario e luogo in cui
avviene il controllo
Conservare per eventuali
controversie traccia
dell’autorizzazione del
passeggero al controllo del
bagaglio da stiva
Verificare che il personale
operante in ambito
aeroportuale abbia indosso
il tesserino aeroportuale
secondo quanto previsto
dalla regolamentazione
vigente (PNS – Scheda
n.5)
14
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
14
Nominativo
Antonio
Guglielmucci
Area aziendale
Security Mangement
Posizione
Security Mangement Scheda 3/3
Database
Tipo di archivio
Sistema
informativo
Personale Terzo
Tipologia di dato Motivazione trattamento
Cartaceo /
elettronico
Cartaceo
Moduli e copie di carte di
Gestione articoli
identità (+ lettere di
lasciati da pax donati ad accredito dell’ente) delle Personale
enti di beneficenza
persone autorizzate al
ritiro di materiale
Cartaceo/elettronico
Database elettronico e
cartaceo contenente tutte
le informazioni relative
Selezione del personale alle persone che
Personale
Security Management
partecipano all’intero iter
di selezione per le
posizioni aperte in
Security
Office
Personale Terzo
Aggregati di dati
Database elettronico
Addestramento/formazi contenente le generalità
one a società terze (ex di tutto il personale a cui
Reg.CE/ IATA)
è stata erogata attività
d’aula
Office
Personale Terzo
Processo
Personale
Mantenere costantemente
aggiornato il database dei
corsi per eventuali
richieste di coppie di
attestati da parte delle
società clienti e per
eventuali attività ispettive
degli organi competenti.
Conservare i moduli di
ritiro da cui si evince
l’ente (e la persona) che ha
ritirato il materiale e che
rappresenta scarico di
responsabilità da parte di
GeSAC per l’utilizzo di
terzi dei prodotti ritirati
Archiviazione dei dati
delle persone al fine di
verificare nel tempo
eventuali ricandidature
non ammesse da procedura
GeSAC vigente (SEC025)
15
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
15
Nominativo
Daniela Guerra
Area aziendale
Company Affair
Posizione
Company Affair
manager
Database
Tipo di archivio
Documenti relativi ai
diversi organi societari
Sistema
informativo
Cartaceo
Informatico
Documenti di
attribuzione poteri
Scheda 1/1
Aggregati di dati
Tipologia di
dato
Lotus notes
Motivazione
trattamento
Gestione organi
societari
Dati dei membri del
Personale
CdA
Gestire le
convocazioni, la
redazione dei verbali e
gli adempimenti
previsti
Gestione sistema
dei poteri aziendali
Dati dei soggetti cui
Personale
sono attribuiti poteri
Attribuzione ad
personam dei poteri
Lotus notes
Cartaceo
Informatico
Processo
Posta aziendale in
arrivo
Cartaceo
Gestione posta in
arrivo
Documentazione
cartacea
Cartaceo
Archiviazione
documentazione
Tutte le
comunicazioni di
Personale
Enti pubblici o a
rilevanza pubblica
Tutta la
documentazione
Personale
cartacea che transita
per l’ufficio
L.231
16
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
16
Nominativo
Cristina Ippolito
Area aziendale
Posizione
Operations Department
Assistano to Operations
Department
Scheda 1/1
Database
Tipo di archivio
Registro oggetti
rinvenuti
Sistema
informativo
Processo
Aggregati di dati
Tipologia di dato
Motivazione
trattamento
Cartaceo
Gestione oggetti
rinvenuti in sedime
aeroportuale
Dati proprietario o
delegato
Personale
Dimostrare la legittimità
delle riconsegne
Archivio
documentazione
Cartaceo/informatico
Excel
Gestione emissioni,
scadenze certificati Enac Dati personale security Personale
e decreti
Controllare il processo
connesso alle
certificazioni
Agenda
Cartaceo/informatico
Excel
Gestione comunicazioni
Dati telefonici
verso l’esteno
Gestire le comunicazioni
verso l’esterno
Personale
17
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
17
Nominativo
Posizione
Angelo Loi
Airport Security e
Services Office
Airport Security e
Services Office
Database
Tipo di archivio
Area aziendale
Scheda 1/3
Sistema
informativo
Processo
Aggregati di dati
Registro protocollo
posta raccomandata e Cartaceo
prioritaria
Gestione servizi generali Dati mittente
Archivio
Raccomandate e
telegrammi
Gestione servizi generali
Traffico voce e dati
connesso alla
telefonia mobile
Traffico voce
connesso alla
telefonia fissa
Gestione auto
aziendali
Cartaceo
Informatico
Excel
Contenuto del testo,
destinatario e mittente
Tipologia di dato
Motivazione
trattamento
Personale
Gestione protocollo
Personale
Gestione del servizio
Personale
Controllare il rispetto
della normativa
aziendale da parte dei
singoli utenti
Personale
Controllare il rispetto
della normativa
aziendale da parte dei
singoli utenti
Gestione della telefonia
Dati relativi al traffio
delle single utenze
Gestione della telefonia
Dati relativi al traffio
delle single utenze
Gestione del parco auto
aziendale
Dati relativi a sinistri e
Personale
multe
Cartaceo
Informatico
Telcen Blue’s
Professional
Cartaceo
Informatico
Office
Gestire le problematiche
connesse alla conduzione
delle auto
18
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
18
Nominativo
Area aziendale
Angelo Loi
Airport Security e
Services Office
Posizione
Airport Security e
Services Office
Database
Tipo di archivio
Archivio
autorizzazioni ai
neoassunti per
l'accesso alle aree
aeroportuali
Scheda 2/3
Sistema
informativo
Processo
Aggregati di dati
Cartaceo
Security
Comunicazione con
dati del soggetto
Fotocopia della CI
Esito richiesta
autorizzazione
Personale
sensibile
Cartaceo
Assicurare la sicurezza
nel sedime
dell'aeroporto attraverso
la gestione dei permessi
di accesso definitivi per
dipendenti ed esterni
per dipendente:
Dati del soggetto
Fotocopia della CI
per azienda esterna
Personale
Informatico
Assicurare la sicurezza
nel sedime
dell'aeroporto attraverso
Dati del soggetto
la gestione dei permessi
di accesso definitivi per
dipendenti ed esterni
Gestione tesserini
aeroportuali
Gestione permessi
visitatori area
aerostazione e
Terrminal 2
SCA
Cartaceo
Informatico
SCA
Assicurare la sicurezza
nel sedime
Dati dei soggetti
dell'aeroporto attraverso
aziendali che devono
la gestione dei permessi
accedere al sedime
di accesso provvisori per
società esterne
Tipologia di dato
Personale
Personale
Motivazione
trattamento
Ricevere l'autorizzazione
da parte degli enti
preposti. dell'accesso al
sedime aeroportuale del
neoassunto
Generare e gestire i
permessi di accesso al
sedime
Nel caso di esterni:
Dimostrazione della
presenza dei requisiti per
ottenimento permesso
Generare e gestire i
permessi di accesso al
sedime
Generare e gestire i
permessi di accesso al
sedime
19
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
19
Nominativo
Posizione
Angelo Loi
Airport Security e
Services Office
Airport Security e
Services Office
Database
Tipo di archivio
Area aziendale
Gestione accessi
Videosorveglianza
Portineria
Informatico
Immagini digitali
Immagini digitali
Scheda 3/3
Sistema
informativo
Processo
Aggregati di dati
AOS
Assicurare la sicurezza
nel sedime
dell'aeroporto attraverso
la gestione degli accessi
ai vari siti aziendali
Fotografie
report accessi
(timbrature) (nome
cognome, matricola,
società, nr. badge)
DGEYES
Assicurare la sicurezza
nel sedime
Immagini
dell'aeroporto attraverso
la videosorveglianza
TVCC
Assicurare la sicurezza
attraverso la
videosorveglianza
Immagini
Tipologia di dato
Motivazione
trattamento
Personale
Controllare gli accessi
presso i varchi presidiati,
sia in tempo reale ed expost
Personale
Controllare attraverso le
immagini le aree
aeroportuali, sia in tempo
reale ed ex-post
Personale
Controllare attraverso le
immagini le aree
aziendali
(parcheggi /aree private)
20
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
20
Nominativo
Area aziendale
Aniello Mattera
Airfield
Management
Posizione
Airfield Manager
Scheda 1/2
Database
Tipo di archivio
Sistema
informativo
Eventi incidentali
Cartaceo
Segnalazioni
infrazioni al
manuale ed al
regolamento
Permessi di inizio e
fine lavoro
Informatico
Aggregati di dati
Tipologia di dato
Gestione operativa
Dati relativi ad eventuali
incidenti in pista
Personale
Gestione operativa
Dati relativi all’azienda,
alla persona a cui è stata
contesta l’infrazione ed al
tipo di infrazione
Personale
Gestione operativa
Dati relativi alla ditta che
esegue i lavori
Personale
Permettere l’apertura del
cantiere in airfield
Dati relativi alle ditte che
eseguono i lavori
Personale
Controllare la regolarità
dell’operato delle
imprese operanti in
airfield.
Access
Cartaceo
Informatico
Motivazione
trattamento
Processo
Excel
Cartaceo
Banca dati
inspection di 1°
livello sulle attività
di cantiere
Cartaceo
Gestione operativa
Banca dati
aviazione generale
Cartaceo
Gestione operativa
Registrazioni radio
e telefoniche
Informatico
Gestione operativa
Registro Aviazione
generale
Cartaceo
Gestione operativa
Dati relativi a specifiche
comunicazione su presenza Personale
di VIP
Comunicazioni su canale 4
uhf frequenza 440.750 su
Personale
canale vhf frequenza
131.675e su telefoni 790
Dati aeromobile/Richieste
Personale
di sosta
Acquisire elementi per
la valutazione
dell’evento
Acquisire dati per
effettuare la richiesta di
contestazione formale
all’Enac
Garantire le adeguate
condizioni di sicurezza.
Gestire ed avere traccia
delle comunicazioni che
avvengono su tali canali
in caso di incidenti
Verificare la correttezza
dell’operato del gestore
21
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
21
Nominativo
Aniello Mattera
Area aziendale
Airfield Management
Posizione
Airfield Manager
Scheda 2/2
Database
Tipo di archivio
Sistema
informativo
Processo
Aggregati di dati
Tipologia di dato
Motivazione trattamento
Dati performance
attività aeroportuali
Informatico
Lotus notes
Analisi delle
performance
aeroportuali
Dati sui codici ritardi
tratti da ATM
Personale
Fornire informazione delle
performance ai diversi Enti
interni ed esterni.
Monitoraggio attività
Informatico
diversi operatori
Office;cartella
condivisa
Analisi delle
performance
aeroportuali
I diversi eventi che
generano i ritardi
Personale
Report settimanale
Informatico
Office
Analisi delle
performance
aeroportuali
Report sistematizzato
sui diversi codici di
ritardo
Personale
Informatico
Lotus notes
Rilevazione eventi
incidentali
Descrizione evento
Documentazione di
supporto
Personale/Sensibile
Safety report
Cartaceo
Monitorare le performance
dei diversi soggetti che
operano sullo scalo.
Fornire ai diversi Enti
interni coinvolti le
informazioni relative
all’andamento delle attività
di scalo
Gestire ed avere traccia
degli eventi incidentali
22
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
22
Area aziendale
MariaTeresa
Papagno
Contabilità Generale
& Tesoreria
Posizione
Contabilità Generale
& Tesoreria
Scheda 1/3
Database
Tipo di archivio
Nominativo
Sistema
informativo
Processo
Aggregati di dati
Tipologia di
dato
Archivio fatture attive
Cartaceo
Contabilità clienti
Fatture
Personale
Archivio fatture
parcheggi
Cartaceo
Contabilità clienti
Fatture
Personale
Contabilità clienti
Campi con indicazione
dei dati utili ad
identificare il cliente in Personale
riferimento alle
esigenze contabili
Anagrafica clienti
Archivio registri
contabili
Archivio ritenute
d'acconto
Archivio movimenti
Informatico
Oracle
application
Contabilità
generale
Contabilità
generale
Cartaceo
Cartaceo
Informatico
Oracle
application
Contabilità
generale
Registri di contabilità
Personale
Documenti contabili
Personale
Campi con indicazione
dei dati utili ad
identificare il
movimento contabile
Personale
Motivazione
trattamento
Produrre e
contabilizzare il
documento
contabile
Contabilizzare il
documento
contabile
Consentire la
contabilizzazione
attiva aziendale
23
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
23
Nominativo
Area aziendale
Posizione
Database
Archivio fatture
passive
MariaTeresa
Papagno
Contabilità Generale &
Tesoreria
Contabilità Generale &
Tesoreria
Scheda 2/3
Sistema
Tipo di archivio
informativo
Processo
Aggregati di dati
Tipologia di
dato
Contabilità fornitori
Fatture
Personale
Cartaceo
Informatico
Lotus notes
Motivazione
trattamento
Verificare e
contabilizzare il
documento
Archivio deleghe di
firma
Cartaceo
Rappresentare l'azienda
verso terzi (banche,
Deleghe
agenzia delle entrate); fotocopie documenti
Personale
attestare ad uso interno dirigenti ed amministratori
il potere di firma
Archivio contratti
con banche
Cartaceo
Contabilità banche
Contratti
Personale
Consultare i dati
contrattuali per verifiche
contabili
Contabilità banche
Documenti contabili
Personale
Verificare e
contabilizzare il
documento
Contabilità fornitori
Campi con indicazione dei
dati utili ad identificare il
Personale
fornitore in riferimento
alle esigenze contabili
Consentire la
contabilizzazione
passiva aziendale
Contabilità generale
Documenti contabili
Verificare e
contabilizzare il
documento
Archivio contabili
bancarie;
documentazione
movimenti
Anagrafica fornitori
Cartaceo
Informatico
Piteco
Informatico
Oracle
application
Archivio Prima Nota Cartaceo
Personale
Attestare il potere di
firma da parte del
dirigente/amministratore
24
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
24
Posizione
MariaTeresa
Papagno
Contabilità Generale
& Tesoreria
Contabilità Generale
& Tesoreria
Database
Tipo di archivio
Nominativo
Area aziendale
Informatizzato
Gestione consulenti
Cartaceo
Scheda 3/3
Sistema
informativo
Excel
Aggregati di dati
Pagamento ritenute
d’acconto consulenti
Dati del consulente Personale
Gestione TFR
Cartaceo
Gestione Fondo TFR
Deleghe verso
l’esterno
Cartaceo
Gestione risorse
Archivio libri giornale Cartaceo
Archivio contratti
rapporti
Cartaceo
controllante/controllate
Tipologia di
dato
Processo
Dati retributivi del
dipendente
Delega ai singoli
dipendenti a
rappresentare
l’azienda verso
l’esterno
Motivazione
trattamento
Obbligo di legge
Personale
Gestione contabile
Personale
Identificare la tipologia
di delega
Verificare e
contabilizzare il
documento
Contabilità generale
Registri di
contabilità
Personale
Gestione societaria
Copia Contratti
Documentazione
contabile e
finanziaria
Personale
25
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
25
Nominativo
MariaGrazia
Parlato
Area aziendale
Recupero crediti
Posizione
Recupero crediti
Scheda 1/1
Database
Tipo di archivio
Sistema
informativo
Processo
Aggregati di dati
Tipologia di
dato
Oracle application
Excel in
condivisione
Gestione del credito
Monte crediti per
cliente
Personale
Personale
Attestare l'avvenuto
rilascio di garanzia da
parte del cliente da
utilizzare per eventuale
recupero crediti
Personale
Gestione dl recupero
dei crediti incagliati
Gestione finanziaria
Informatizzato
clienti
Contratti di
fideiussione
Cartaceo
Recupero crediti
Contratti di
fideiussione
rilasciate da
compagnie aeree
Pratiche clienti in
contenzioso
Cartaceo
Recupero crediti
Documenti
comprovanti il
credito
Motivazione
trattamento
26
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
26
Nominativo
Giuseppina Petrone
Area aziendale
Acquisti
Posizione
Database
Responsabile Acquisti
Scheda 1/2
Tipo di archivio
Sistema
informativo
Informatico
Oracle
Ordini di acquisto
Cartaceo
Cartaceo
Documentazione
Possibili Fornitori
Documentazione di
gara sotto soglia
(RDA)
Informatico
Lotus Notes
Informatico
Excel
Cartaceo
Documentazione
aggiudicazioni gara
Cartaceo
sotto soglia (Forniture
complesse)
Cartaceo
Contratti di acquisto
sotto soglia (Forniture
complesse)
Informatico
Lotus Notes
Processo
Aggregati di dati
Gestire gli Ordini
Dati del fornitore
di Acquisto
Tipologia di
dato
Motivazione
trattamento
Personale
Formalizzare e gestire
l'acquisto e/o contratto
Gestire le
Richieste di
Dati del fornitore
Acquisto da parte (elementi utili a valutare Personale
dei soggetti
il possesso dei requisiti)
delegati
Generare le richieste
diacquisto ed indicare il
fornitore preferito per la
segnalazione all'ufficio
acquisti
Gestire acquisti
con importi sotto
soglia
Offerte imprese
concorrenti
Fidejussioni
Acquisire le offerte per
la definizione del
fornitore
Gestire acquisti
con importi sotto
soglia relativi a
forniture
complesse
Offerta e
documentazione imprese Personale
concorrenti
Dati del fornitore
Fidejussioni,
Gestire i contratti
certificazioni ISO e
con importi sotto
SOA. DURC, N.
soglia
dipendenti, mezzi ed
attrezzature)
Personale
Personale
Gestire l'offerta
aggiudicataria per la
predisposizione del
contratto
Gestire i contratti
27
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
27
Nominativo
Area aziendale
Posizione
Database
Richieste di acquisto
Giuseppina Petrone
Acquisti
Responsabile Acquisti
Tipo di archivio
Informatico
Scheda 2/2
Sistema
informativo
Processo
Oracle
Gestire le
Richieste di
Acquisto da parte Dati del fornitore
dei soggetti
delegati
Personale
Dati del fornitore
Personale
Aggregati di dati
Tipologia di
dato
Gestione rating
supplier
Informatico
Lotus Notes
Gestire la
valutazione dei
fornitori e di
eventuali eventi
patologici
Banche dati
specializzate
Informatico
CD ROM
Marketing di
acquisto
Dati del fornitore
Personale
Acquisti non
perfezionati
Cartaceo
Gestione acquisti
Dati dei potenziali
fornitori
Personale
Indagini di mercati
Informatico
Marketing di
acquisto
Ricerche di
mercato/indici di
comparazione
Personale
Acquisti a
regolarizzazione
Cartaceo
Audit degli
acquisti
Dai del fornitore,
Personale
fornitura, centro di costo
Informatico
Excel
Excel
Motivazione
trattamento
Generare le richieste
diacquisto ed indicare il
fornitore preferito per la
segnalazione all'ufficio
acquisti
Fornire indicazioni
all'ufficio acquisiti ed al
fornitore sulla efficacia
ed efficienza della
prestazione del
fornitore
Ricercare nominativi di
fornitori per supportare
il processo di acquisto
Avere una storia delle
procedure di acquisto
inevase
Individuare il fornitore
ottimale
Verificare le irregolarità
nel processo di acquisto
28
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
28
Nominativo
Concetta Ricchizzi
Area aziendale
Paghe, Fiscale e
Contabilità società
controllate
Posizione
Amministrazione &
Finanza ad interim
Scheda 1/3
Database
Tipo di archivio
Sistema
informativo
Processo
Aggregati di dati
Tipologia
di dato
Motivazione
trattamento
Informatico
Time&Work
Rilevazione
presenze
Tempo di presenza in
azienda del dipendente
Personale
Gestire la presenza in
azienda dei dipendenti
Elaborazione
paghe
Autorizzazione nominativa
del responsabile allo
straordinario
Personale
Rilevazione
presenze
Variazioni ai turni per
dipendente
Personale
Rilevazione
presenze
Stampa per dipendente delle
Personale
ore lavorate
Archivio ora
ingresso/uscita
dipendente
Archivio
autorizzazione
straordinari
Cartaceo
Variazioni ore lavorate
Informatico
(ferie, permessi, ecc.)
Archivio ore lavorate
Archivio bonifici per
accrediti
salari/stipendi
T rattenute mensili
dipendenti (trattenute
sindacali, anticipi
stipendi, cessione
Quinto, pignoramento
verso terzi)
Time&Work
Cartaceo
Informatico
JOB
Elaborazione
paghe
Informatico
JOB
Elaborazione
paghe
Bonifici per accredito
stipendi e salari per
Personale
dipendente
Modulo per la cessione del
Quinto;richiesta svincolo del
70% della liquidazione per
Personale
acquisto caso o causa
sensibile
malattia
Pignoramenti ecc.
Ricevere
l'autorizzazione a
liquidare gli straordinari
Modificare i turni
pianificati e definire le
ore da inserire in busta
paga
Archiviare i report
relativi alle ore lavorate
dai dipendenti
Archiviare le lettere di
bonifico per l'accredito
di salari e stipendi
Identificare le trattenute
da operare mensilmente
sui salari e stipendi
29
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
29
Nominativo
Area aziendale
Posizione
Concetta Ricchizzi
Paghe, Fiscale e
Contabilità società
controllate
Amministrazione &
Finanza
Scheda 2/3
Processo
Aggregati di dati
Tipologia di
dato
Motivazione trattamento
Cartaceo
Gestione
Certificato medico
Sensibile
Archiviare i certificati di
malattia
Anagrafica dipendenti
(sistema elaborazione
paghe)
Informatico
Elaborazione paghe
Realizzazione Cud,
770, versamento
contributi
Dati identificativi del
dipendente
Personale
Gestire i dati utili a
processare l'elaborazione
delle paghe dei dipendenti
Archivio variazioni ore
lavorate (ferie,
permessi, ecc.)
Cartaceo
Gestione del personale
Piani ferie
Richieste permessi
Personale
Archivio turni per
dipendente
Informatico
Rilevazione presenze
Turni di presenza
previsti
Personale
Gestione del personale
Moduli di certificazione
del reddito dipendente,
Personale
copie ricevute
contributi e ritenute
Database
Tipo di archivio
Archivio malattie
Archivio CUD
Cartaceo
Sistema
informativo
JOB
Time&Work
Pianificare la presenza in
azienda dei dipendenti
Archiviare il CUD e le altre
documentazioni prodotte e
consegnate al dipendente
30
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
30
Nominativo
Concetta Ricchizzi
Area aziendale
Paghe, Fiscale e
Contabilità società
controllate
Posizione
Amministrazione &
Finanza ad interim
Scheda 3/3
Database
Tipo di archivio
Sistema
informativo
Processo
Aggregati di dati
Tipologia di
Motivazione trattamento
dato
Personale
Obbligo di legge
Libro Unico
Cartaceo
Gestione del personale
Nominativo, indirizzo,
recapito telefonico, data
assunzione, tipo
contratto, data
dimissioni.
Archivio cedolini paga
Cartaceo
Elaborazione paghe
Cedolini paga per
dipendente
Personale
Archiviare i cedolini paga
dei dipendenti
Deleghe verso l’esterno Cartaceo
Gestione risorse
Delega ai singoli
dipendenti a
rappresentare l’azienda
verso l’esterno
Personale
Identificare la tipologia di
delega
Stampa trattenute
mensili dipendente
Gestione del personale
Lista dipendenti,
tipologia e importo
trattenuta
Sensibile
Cartaceo
31
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
31
Nominativo
Antonio Saverese
Area aziendale
Posizione
Human Resources
Responsabile medico
aziendale
Database
Tipo di archivio
Cartella medica del
dipendente
Archivio Storico
Classificazioni
Archivio
Convocazioni Visite
Scheda 1/1
Sistema
informativo
Processo
Cartaceo
Sorveglianza
Sanitaria
Cartaceo
Sorveglianza
Sanitaria
Informatico
Cartaceo
Excel
Aggregati di dati
Documenti diagnostici da
esami esterni
Documenti diagnostici da
visita pre assunzione
Comunicazione esito visita
Documenti diagnostici da
visite periodiche
Stagionali, Personale in
quiescenza, Personale
selezionato e non assunto:
Documenti diagnostici da
esami esterni
Documenti diagnostici da
visita pre assunzione
Comunicazione esito visita
Tipologia di dato
Motivazione
trattamento
Sensibile
Archiviare le
risultanze delle visita
mediche cui sono
stati sottoposti i
dipendenti
Sensibile
Archiviare le
risultanze della visita
medica di personale
non in servizio
Gestione del
personale
Dati sanitari del personale in
servizio
Sensibile
Gestione
programma
sanitario
aziendale
Data e giorno convocazione
Eventuali assenze
Personale
Archiviare le
risultanze delle visita
mediche cui sono
stati sottoposti i
dipendenti
Avere traccia delle
convocazioni fatte i
adempimento del
programma sanitario
aziendale.
32
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
32
Nominativo
Maria Concetta
Tufano
Area aziendale
Assicurazioni
Posizione
Responsabile ufficio
assicurazioni ed audit
Database
Tipo di archivio
Scheda 1/1
Sistema
informativo
Cartaceo
Gestione sinistri
Gestione polizze
assicurative
Informatico
Lotus Notes
Informatico
Lotus notes
Cartaceo
Processo
Aggregati di dati
Tipologia di dato
Gestire i sinistri
avvenuti nell'ambito
del sedime
aeroportuale
Dati relativi al sinistro Personale
Sensibile
Gestire gli obblighi
assicurativi
scaturenti dal
regolamento di scalo
Contratti assicurativi
relativi a Gesac, Baa,
fornitori e sub
concessionari
Personale
Motivazione
trattamento
Gestire i sinistri
avvenuti
nell'ambito del
sedime
aeroportuale
Gestire gli obblighi
assicurativi
scaturenti dal
regolamento di
scalo
33
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
33
Nominativo
Elsa Venzo
Area aziendale
Direzione Generale
Posizione
Assistant
Scheda 1/1
Database
Tipo di archivio
Sistema
informativo
Comunicazioni in
uscita
Comunicazioni in
entrata
Processo
Aggregati di dati
Tipologia di dato
Motivazione
trattamento
Cartaceo
Relazione con i
diversi soggetti
coinvolti nei processi
aeroportuali
Rapporti con :
*Enti di Stato.
*Handlers
*Compagnie Aeree
*Retailers
Personale
Conservare copia delle
comunicazioni in uscita
Cartaceo
Relazione con i
diversi soggetti
coinvolti nei processi
aeroportuali
Rapporti con :
*Enti di Stato.
*Handlers
*Compagnie Aeree
*Retailers
Perrsonale
Conservare copia delle
comunicazioni in uscita
Gestione delle
attività di scalo
Dati identificativi ed
indirizzi relativi agli
operatori
Personali
Poter svolgere
correttamente e
compiutamente il ruolo
di gestore aeroportuale.
Cartaceo
Mappatura operatori
Informatico
Excel
34
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
34
Nominativo
Alessandro Vetere
Area aziendale
Technical department
Posizione
Responsabile Technical
Scheda 1/2
department
Database
Tipo di archivio
Subappalti
Cartaceo
Informatico
Contabilità
lavori
Cartaceo
Sistema
informativo
Processo
Aggregati di dati
Gestione opere
pubbliche all'intero
del sedime
aeroportuale
DURC
Dcumenti di subappalto
Certificato CCIAA con
antimafia
Casellario giudiziario di
amministratori, tecnici e legali
rappresentanti
SOA (qualificazione
dell'impresa)
Window
(Brickwin)Primus Contabilizzazione
SAL
Tipologia di dato
Motivazione
trattamento
Personale/sensibile
In base al codice
sugli appalti
l'appaltante deve
richiedere tale
documentazione
(obblighi di legge)
Dati economici e contabili sullo
Personale
stato avanzamento lavori
Contabilizzare lo
stato di
avanzamento dei
lavori
35
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
35
Nominativo
Alessandro Vetere
Posizione
Technical
department
Responsabile
Technical
department
Database
Tipo di archivio
Sistema di
qualificazione
servizi di ingegneria
Sistema di
qualificazione
servizi di impresa
Area aziendale
Appalti
Scheda 2/2
Sistema
informativo
Processo
Aggregati di dati
Tipologia di dato
Cartaceo
Creazione albo
fornitori specialistico
Domanda, dati anagrafici, dati
economici, dati professionali,
dati giudiziari.
Personale/sensibile
Cartaceo
Creazione albo
fornitori specialistico
Domanda, dati anagrafici, dati
economici, dati professionali,
dati giudiziari
Personale sensibile
Gestione opere
pubbliche all'intero
del sedime
aeroportuale
Documentazione richiesta
dall'appaltante:
Presentazione del Piano di
dettaglio della Sicurezza
Copia libro matricola
Copia libro infortuni
DURC
Domanda di subappalto e
documenti di subappalto
Copia polizze assicurative
Certificazioni antimafia
Comunicazioni di apertura e
chiusura cantiere
Cartaceo
Personale/Sensibile
Motivazione
trattamento
Gestire
efficacemente
l’affidamento degli
incarichi
professionali
Gestire
efficacemente
l’affidamento delle
attività
In base al Codice
sugli appalti
l'appaltante deve
richiedere tale
documentazione
(obblighi di legge)
36
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
36
Nominativo
Sandra Attadia
Elio Damiano
Raffaele Cavezza
Massimiliano
Pecora Antonio
Trotta
Area aziendale
Operations
Posizione
ADM
Scheda 1/3
Database
Tipo di archivio
Sistema
informativo
Processo
Lotus notes
Rilevazione eventi
Descrizione evento
incidentali/potenzialm Documentazione di
ente incidentali
supporto
Safety report
Informatico
Registro consegna
chiavi accesso aree
sensibili
Cartaceo
Airport daily report
Informatico
Airport daily report
Lotus Notes
Cartaceo
Autorizzazioni di
accesso temporanee Cartaceo
in caso di urgenza
ADM Report
Operativo
Informatico
Tipologia di dato
Motivazione
trattamento
Personale/Sensibile
Gestire ed avere traccia
degli eventi incidentali
Controllo Accessi
Data, ora di accesso e
nome dell’interessato
Personale
Avere traccia degli
accessi nelle aree
sensibili
Controllo delle
attività operative
Descrizione eventi
rilevanti
Personale
Avere traccia di quanto
accade nell’operativo
Controllo delle
attività operative
Descrizione
Personale
eventi/passaggio consegne
Controllo Accessi
Lotus Notes
Aggregati di dati
Controllo delle
attività operative
Documentazione
occorrente per il rilascio
Personale
dei tesserini per l’accesso
temporaneo
Tutte le attività fuori
standard anche se non
Personale
hanno avuto ripercussioni
sull’operativo
Avere traccia di tutto
quanto accade
nell’operativo
Rilascio del tesserino
Avere traccia di tutto
quanto accade
nell’operativo
37
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
37
Nominativo
Sandra Attadia
Elio Damiano
Raffaele Cavezza
Massimiliano Pecora
Antonio Trotta
Area aziendale
Operations
Posizione
ADM
Scheda 2/3
Database
Tipo di archivio
Sistema
informativo
Processo
Aggregati di dati
Tipologia di dato
Motivazione
trattamento
Scheda Enac
Informatico
e-mail
Attività operative
Dati rilevanti e
informazioni standard
Personale
Adempiere ad un
obbligo di convenzione
Codici ritardo
Informatico
Comunicazioni
Vigili del Fuoco
Cartaceo
Control Room
Informatico
Office
DGyes
Controllo delle
attività operative
Codici ritardi
Personale
Verificare la qualità
dell’operato dell’attività
operativa dei diversi
soggetti coinvolti
Attività operative
Informazioni trasmesse
Personale
ai vigili del fuoco
Adempiere ad un
obbligo di convenzione
Controllo delle
attività operative
Immagini h/24 di
persone e cose presenti Videosorveglianza
all’interno del sedime
Controllo in remoto
delle attività operative
Personale
Personle
Registro emergenze
Cartaceo
Attività operative
Dati su aeromobile e
pilota
Registrazioni
telefoniche
Informatico
Attività operative
Registrazioni
comunicazioni su
canale uhf 1 e 2
Gestire ed avere traccia
degli eventi incidentali
che coinvolgono
aeromobili
Gestire ed avere traccia
delle comunicazioni che
avvengono su tali canali
in caso di incidenti.
38
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
38
Nominativo
Sandra Attadia
Elio Damiano
Raffaele Cavezza
Massimiliano Pecora
Antonio Trotta
Area aziendale
Operations
Posizione
ADM
Scheda 3/3
Database
Tipo di archivio
Sistema
informativo
Processo
Aggregati di dati
Registro apertura
gate
Informatico
Excel
Attività operative
Dati persona fisica,
orario richiesta, ente di Personale
appartenenza
Avere traccia degli
accessi
Registro anomalie
parcheggi
Informatico
Excel
Attività operative
Dati cliente, causa
anomalia, orario
Personale
Security
Apertura porta
PB178
Informatico
Excel
Attività operative
Dati dipendente USL,
orario, motivo
Peronale
Security
Tipologia di dato
Motivazione
trattamento
39
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
39
Elenco Server/Applicazioni Aziendali
40
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
40
Nome Sistema Funzione/Servizio/Applicazione
ADMIN Pub DNS #1 - APPs old File Server
ADMIN-BCK Pub DNS #2
APPCLU01 Cluster 2003 - DR - Application #1
APPCLU02 Cluster 2003 - DR - Application #2
ARCOGWSRL Arco Gateway Seriale
BOARDSRV Board
BOSCH-STATION Bosch Station
COBRA01 Public Address o/ cobra.net #1
COBRA02 Public Address o/ cobra.net #2
DBCLU01 Cluster 2003 - DR - Database #1
DBCLU02 Cluster 2003 - DR - Database #2
DC01 nap.com domain DC01
DC02 nap.com domain DC02
DNASRV Servizi Generali - Telefonia - EDA DNA Server
ERPNAP Oracle Applications Server
ERPNAPDB Oracle Applications DB Server
GISPUB WSUS Server - Gis Publishing
GSC102 Doc. Addebiti
GSCBACK02 Symantec Backup Exec 11.0 Server
GSCBACKUP Tape Backup DLT
GSCFAXSRV OneBox FaxServer
GSCRMR01 Cluster 2003 Crews Apps, FS, Rumore #1
GSCRMR02 Cluster 2003 Crews Apps, FS, Rumore #2
GSCSEC02 WebSense, Phone o/IP Server
GTW2000-AZ00 GW AZ 2609 line
GTW2000-AZ01 GW AZ 1704 line
GTW2000-AZ02 GW AZ 1703 line
GTW2000-AZ04 GW AZ 2606 line
GTW2000-AZ05 GW AZ 1702 line
GTW2000-BA00 GW BA 01
GTW2000-BA01 GW BA 02
LDMSRV01 Cluster 2003 - LDMSRV - ArcoGtw #1
LDMSRV02 Cluster 2003 - LDMSRV - ArcoGtw #2
MANAGEMENT Console Netowork Management
NOTES Domino svr 1 - SQL
NOTESBB Domino Server - BlackBerry
PRTLCLU01 Cluster 2003 - Oracle Portal - Internet/Intranet Gesac #1
PRTLCLU02 Cluster 2003 - Oracle Portal - Internet/Intranet Gesac #2
PRTLWEB01 Oracle Portal - Wev Cache #1
PRTLWEB02 Oracle Portal - Wev Cache #2
PRTLWEB03 Oracle Portal - Wev Cache #3
PRTLWEB04 Oracle Portal - Wev Cache #4
SITA01 GW Sita
SQLCLU01 Cluster 2003 - SQL Server 2000/2005 #1 - Solari
SQLCLU02 Cluster 2003 - SQL Server 2000/2005 #2 - Solari
SRVVPN VPN/RAS - SQL - Aos Rpts - Telemaco
TAB001 Tabellone Parcheggi
TELCEN01 Eda Doc. Addebiti #1
41
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
41
TELCEN02 Eda Doc. Addebiti #2
TOTEM Totem Leonardo
TTMAN Totem Manutenzione 02
TTMMAN Totem Manutenzione 01
W2KLAB AOS - ambiente di test
42
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
42
Mappatura degli accessi alle banche Dati Informatizzate
43
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
43
44
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
44
45
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
45
46
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
46
47
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
47
48
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
48
49
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
49
50
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
50
51
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
51
52
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
52
LOTUS NOTES
Fornitori
Roles
Amministratore di sistema
Owner
Editors
Roles
Amministratore di sistema
Owner
Editors
Readers
Roles
Amministratore di sistema
Owner
Editors
Roles
Amministratore di sistema
Owner
Editors
Readers
Names
Società Software Design (esterno) • Domenico Ciervo Responsabile ICT Security (interno)
PINA PETRONE
SARA TOSCANO
ANDREA MAROTTA
Rating Suppliers
Names
Società Software Design (esterno) • Domenico Ciervo Responsabile ICT Security (interno)
PINA PETRONE
SARA TOSCANO
ANDREA MAROTTA
Staff Gesac Company
Scadenza attività Procurement
Names
Società Software Design (esterno) • Domenico Ciervo Responsabile ICT Security (interno)
PINA PETRONE
SARA TOSCANO
ANDREA MAROTTA
Scadenza Contratti
Names
Società Software Design (esterno) • Domenico Ciervo Responsabile ICT Security (interno)
PINA PETRONE
SARA TOSCANO, ANDREA MAROTTA
MARCO CONSALVO
ANGELO LOI
MANUELA RUGGIERI
53
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
53
Roles
Amministratore di sistema
Owner
Editors
Readers
AUDIT
Names
Società Software Design (esterno) • Domenico Ciervo Responsabile ICT Security (interno)
ANTONIO PASCALE, GIUSEPPE CUTILLO
AIRPORT DUTY MANAGER, ALESSANDRO VETERE,
ANGELO LOI, ANIELLO MATTERA, ANTONELLA CICERONE,
ANTONIO GUGLIELMUCCI, DAVIDE BEHAR, DAVIDE
MASONI, FRANCESCA CAPASSO, GIULIA ATTANASIO,
GUGLIELMO CIRILLO, LIBERATO IANNUCCI, MARCO
CONSALVO, MARIELLA AIELLO, VINCENZO SEPE,
VINCENZO SERMIENTO
AIRFIELD DUTY OFFICER, ANDREA MAROTTA,
ANNALAURA ALEMAGNA, APRON MANAGEMNT, CARMINE
MENNA, CLAUDIA RUSCIANO, CONCETTA RICCHIZZI,
CUSTOMER SERVICE, ELSA VENZO, GIANFRANCO
PALMISANO, IMMACOLATA GIANNATTASIO, LUCA
MORMONE, LUIGI MOSCHETTI, MARIACRISTINA TASSARI,
MAINTENANCE DUTY OFFICER, MARIO PAGANO, MARISA
MORELLI, MASSIMILIANO PECORA, MAURIZIO DELLO
RUSSO, MAURO POLLIO, MICHELE MIEDICO, PINA
PETRONE, RINALDO MONTENERI, SABRINA RUGGIERO,
SALVATORE GENTILE, SARA TOSCANO, TIZIANO BERARDI,
VALERIO DI LORENZO
Gestione Gare
Roles
Names
Amministratore di sistema
Società Software Design (esterno) • Domenico Ciervo Responsabile ICT Security (interno)
MAURIZIO DELLO RUSSO
MARISA MORELLI
RAFFAELE CAPUOZZO
ALBERTO CHIROLA
Owner
Editors
Readers
Roles
Amministratore di sistema
Owner
Editors
Readers
Archivio Societario
Names
Società Software Design (esterno) • Domenico Ciervo Responsabile ICT Security (interno)
DANIELA GUERRA, SANDRO MATTIA
DANIELA GUERRA, SANDRO MATTIA
MAURO POLLIO, MARISA MORELLI
54
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
54
Owner
Amministratore di sistema
Roles
Editors
Readers
Permessi di lavoro
GIULIA ATTANASIO
Società Software Design (esterno) • Domenico Ciervo Responsabile ICT Security (interno)
Names
AIRPORT DUTY MANAGER, ALBERTO CHIROLA, ANGELA
PALMA, ANGELO LOI, ALESSANDRO PERERANO, ANIELLO
MATTERA, ANTONELLA CICERONE, ANTONIO
GUGLIELMUCCI, ANTONIO SERVILLO, CARMINE MENNA,
FILIPPO AGRESTI, FRANCESCA CAPASSO, GENNARO
CORCIONE, GAETANO BELLOTTI, GIUSEPPE CUTILLO,
GIUSEPPE MUSTO, LIBERATO IANNUCCI, LUCA MILANO,
MAINTENANCE DUTY OFFICER, MARCO BUONOMO,
MARCO CONSALVO, MARIELLA AIELLO, MARIO
SCANDURRA, MASSIMO MANGUSO, MICHELE MIEDICO,
ONORATO FIRMAMENTO, PIETRO CELESTINO, RINALDO
MONTENERI, SALVATORE BARONE, SALVATORE GENTILE,
SECURITY DUTY OFFICER, TERMINAL DUTY OFFICER,
TIZIANO BERARDI, VINCENZO PASSETTO, VINCENZO
RUSSO, VALERIO DI LORENZO, VINCENZO SEPE
ADDETTI PARKING, ANDREA SAVASTANO, FILOMENA DE
VIVO, GIULIANA ORLANDO, GUGLIELMO CIRILLO, LUCA
MORMONE, SABRINA RUGGIERO,
Airside Report
Roles
Amministratore di sistema
Owner
Editors Full
Readers
Names
Società Software Design (esterno) • Domenico Ciervo Responsabile ICT Security (interno)
ANIELLO MATTERA
AIRFIELD DUTY OFFICER, MARIELLA AIELLO
AIRFIELD INSPECTOR, AIRPORT DUTY MANAGER,
ALESSANDRO PERERANO, ANIELLO MATTERA, APRON
MANAGEMENT, ELSA VENZO, GENNARO CORCIONE,
GIANFRANCO PALMISANO, GIULIA ATTANASIO, GIUSEPPE
CUTILLO, GIUSEPPE MUSTO, MARCO CONSALVO, MICHELE
MIEDICO, PIETRO CELESTINO, RENZO ROSSETTI, RINALDO
MONTENERI, TIZIANO BERARDI, VALERIO DI LORENZO,
VINCENZO SEPE
55
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
55
Safety Authority
Roles
Amministratore di sistema
Owner
Editors Full
Editors parte A, B
Names
Società Software Design (esterno) • Domenico Ciervo Responsabile ICT Security (interno)
AIRPORT DUTY MANAGER
AIRPORT DUTY MANAGER
AIRFIELD DUTY OFFICER, ANGELA PALMA,
MAINTENANCE DUTY OFFICER, SECURITY DUTY OFFICER,
TERMINAL DUTY OFFICER
SABRINA RUGGIERO, TIZIANO BERARDI, GIULIANA
ORLANDO, GUGLIELMO CIRILLO, MARCO BUONOMO
CARMINE MENNA, MARIELLA AIELLO, VALERIO DI
LORENZO, MARIO GIZZI
Editors parte D
ALESSANDRO VETERE, LIBERATO IANNUCCI
SALVATORE GENTILE, MARGHERITA CHIARAMONTE,
VALERIO DI LORENZO, ANIELLO MATTERA, ANGELO LOI,
ANTONELLA CICERONE, ANTONIO GUGLIEMUCCI
Editors parte B, QSA, ABI GIULIA ATTANASIO
GIUSEPPE CUTILLO
Editors parte D, QSA
ANTONIO PASCALE, RENZO ROSSETTI
Readers A
MARCO CONSALVO, MARIA CONCETTA TUFANO ,
Readers parte A, B, C, D,
RINALDO MONTENERI
ABI, QSA
GIUSEPPE MUSTO, ELSA VENZO, MAURIZIO DELLO RUSSO
Roles
Amministratore di sistema
Owner
Editors
Readers
Scadenza attività assicurazioni
Names
Società Software Design (esterno) • Domenico Ciervo Responsabile ICT Security (interno)
MARIA CONCETTA TUFANO
MARIA CONCETTA TUFANO
ALBERTO CHIROLA, ANTONIO DI BERNARDO, AIRPORT
SECURITY OFFICE, CARMINE MENNA, FRANCESCA
FENDERICO, GIULIANA ORLANDO, LIBERATO IANNUCCI,
MAURIZIO DELLO RUSSO, PINA PETRONE, SABRINA
RUGGIERO, SANDRO MATTIA, TIZIANO BERARDI
Sinistri Aeroportuali
Roles
Amministratore di sistema
Owner
Editors
Readers
Names
Società Software Design (esterno) • Domenico Ciervo Responsabile ICT Security (interno)
MARIA CONCETTA TUFANO
MARIA CONCETTA TUFANO
MAURIZIO DELLO RUSSO
56
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
56
Roles
Amministratore di sistema
Owner
Editors
Readers
Scadenza Anagrafica contratti commerciali
Names
Società Software Design (esterno) • Domenico Ciervo Responsabile ICT Security (interno)
MARGHERITA CHIARAMONTE
ANTONIO DI BERNARDO, FILOMENA DE VIVO, FRANCESCA
FENDERICO, GIULIANA ORLANDO, SABRINA RUGGIERO,
CONCETTA RICCHIZZI, ELSA VENZO,EUGENIO BIDDIRI,
GUGLIELMO CIRILLO, MANUELA RUGGIERI, MARCO
CONSALVO, MARGHERITA CHIARAMONTE, MARIA
CONCETTA TUFANO, MARIAGRAZIA PARLATO,
MARIATERESA PAPAGNO, MARIO PAGANO, MAURIZIO
DELLO RUSSO, PAOLA BUSSETTI, SANDRO MATTIA
57
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
57
I RISCHI POTENZIALI
In relazione alle attuali banche dati presenti in azienda ed al contesto organizzativo si considerano
rischi potenziali quelli descritti in tabella.
Eventi relativi agli strumenti
Comportamenti degli
operatori
Rischi
Si/No
Carenza di
consapevolezza,
disattenzione o incuria
X
Alto
Comportamenti sleali o
fraudolenti
X
Alto
Errore materiale
X
Alto
Azione di virus
informatici o di
X
programmi suscettibili di
recare danno
Spamming o tecniche di
X
sabotaggio
Alto
Medio
Malfunzionamento,
indisponibilità o degrado X
degli strumenti
Medio
Accessi esterni non
autorizzati
Basso
X
Accessi non autorizzati a
locali/reparti ad accesso X
ristretto
Eventi relativi al contesto
Descrizione dell'impatto sulla sicurezza
(gravità: alta/media/bassa)
Sottrazione di strumenti
contenenti dati
Eventi distruttivi,
naturali o artificiali,
nonché dolosi,
accidentali o dovuti ad
incuria
Alto
X
Medio
X
Basso
Guasto ai sistemi di
utilities
X
Medio
Errori umani nella
gestione della sicurezza
fisica
X
Medio
58
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
58
MISURE DI SICUREZZA PRIVACY AZIENDALI
M.S.P.01.
Misura di sicurezza al fine di garantire una corretta informativa
Al fine di garantire una corretta informativa è pubblicata sul sito internet Gesac
la policy privacy aziendale: La stessa è aggiornata con cadenza semestrale.
Misura a carico di Legale & Acquisti
M.S.P.02.
Misura di sicurezza al fine di garantire una corretta acquisizione di dati
personali di terzi in caso di utilizzazione degli stessi per le finalità per le
quali sono stati raccolti.
Al fine di garantire una corretta informativa e di rispettare quanto previsto dagli
art. 13 e 15 del dlgs 196/2003, ogni qualvolta Gesac provvede ad acquisire dati
di terzi per finalità di cui all’art.15 del su indicato dlgs., ivi compresi quelli
connessi alla videosorveglianza -attraverso apposita dicitura- rende noto:

il sito internet dove è possibile consultare la policy privacy Gesac;

le finalità per le quali vengono trattati i dati;

la modalità di raccolta e trattamento;

l’impegno a non trattare i dati raccolti per finalità diverse da quelli per i
quali sono stati raccolti.
Misura a carico del singoli responsabili
M.S.P.03.
Misura di sicurezza al fine di garantire una corretta acquisizione di dati
personali di terzi in caso di utilizzazione degli stessi per le finalità diverse
da quelle per le quali sono stati raccolti.
Al fine di garantire una corretta informativa e di rispettare quanto previsto dagli
art. 13 e 15 del dlgs 196/2003, ogni qualvolta Gesac intende utilizzare dati di
terzi per finalità diverse da quelle per cui sono stati raccolti -attraverso apposita
dicitura- rende noto:

il sito internet dove è possibile consultare la policy privacy Gesac;

le finalità per le quali vengono trattati i dati;

la modalità di raccolta e trattamento;

i soggetti e/o le categorie di soggetti a cui i dati verranno dati
Per poter diffondere tali dati o utilizzarli per finalità diverse provvede a farsi
autorizzare per iscritto e provvede altresì a comunicare le conseguenze di un
eventuale rifiuto.
In nessun caso Gesac trasmette a terzi dati sensibili se non per obbligo di
legge.
Misura a carico del singoli responsabili
59
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
59
M.S.P.04.
Misura di sicurezza al fine di garantire un corretto comportamento in
termini di privacy da parte di tutto il personale Gesac
Al fine di permettere a tutto il personale (stagisti, collaboratori con contratti a
progetto, interinali, assunti a tempo indeterminato/determinato) presente in
azienda di adeguare i propri comportamenti agli obblighi previsti dalla
normativa ed alle misure di sicurezza aziendali, Gesac all’atto dell’inserimento
in azienda provvede a:
 attivare user name e pw individuali per la fruizione del corso di
formazione sulla privacy in modalità e-learning;
 consegnare la lettera istruzioni a firma del titolare del trattamento
unitamente alla Policy Privacy aziendale;
 verificare che la formazione e-learning sia stata correttamente effettuata.
Misura a carico di Amministrazione del Personale & Relazioni Industriali
M.S.P.05.
Misura di sicurezza per la comunicazione all’esterno di dati personali a
titolarità Gesac.
In caso di trasmissione all’esterno di dati personali a titolarità Gesac, nella
lettera/pagina di accompagnamento del documento contenente i su indicati dati,
va apposta la seguente clausola:
“Questo messaggio può contenere dati personali e/o di carattere riservato.
Ogni uso diverso da quello per cui tali informazioni vengono fornite è da
considerarsi non in linea con la normativa 196/2003 relativa al trattamento dei
dati personali e pertanto non lecito.
Nel trattare tale dati, si invita pertanto il destinatario, nel rispetto di quanto su
indicato, ad adottare tutte le misure di sicurezza più adeguate.”
Misura a carico del singoli responsabili
M.S.P.06.
Misura di sicurezza per il trattamento dei dati personali dei fornitori
Su ogni ordine/contratto di Gesac è apposta la seguente clausola
“Sul sito http:///www.gesac.it è presente l’informativa privacy di Gesac”
Misura a carico di Legale & Acquisti
M.S.P.07.
Misura di sicurezza a protezione dei dati personali a titolarità Gesac nei
confronti dei fornitori.
Su ogni ordine/contratto che per sua natura non prevede di genere il
trasferimento al fornitore di dati personali a titolarità Gesac, è apposta la
seguente clausola:
“Nell’espletamento dell’attività il fornitore potrà venire a conoscenza di
dati/informazioni la cui titolarità del trattamento, ai sensi del decreto legislativo
196/2003 sul trattamento dei dati personali, è in capo a Gesac spa. In tal caso
dovrà “trattare” i su indicati dati personali nel rispetto integrale della
normativa 196/2003 ed in particolare modo della parte relativa alle misure di
sicurezza. E’ fatto pertanto assoluto divieto di divulgare a terzi le informazioni
personali acquisite se non in adempimento di obblighi di legge o a seguito di
adempimento contrattuale con Gesac spa ed è altresì fatto obbligo di effettuare
60
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
60
ogni “trattamento” nel rispetto dei diritti dell’interessato e quindi permettere a
cura del titolare del trattamento, la cancellazione, il blocco, l’aggiornamento,
la rettifica o la modifica dei dati.”
Misura a carico di Legale & Acquisti
M.S.P.08.
Misura di sicurezza a protezione della comunicazione a fornitori dei dati
personali a titolarità Gesac.
Su ogni ordine/contratto di Gesac che prevede per sua natura il trasferimento al
fornitore di dati personali a titolarità Gesac, è apposto sull’ordine/contratto, in
luogo della clausola prevista dalla misura di sicurezza M.S.P. 07, la seguente
clausola:
“Il fornitore nell’espletamento delle sue attività tratterà dati/informazioni la cui
titolarità del trattamento, ai sensi della legge 196/2003 sul trattamento dei dati
personali, è in capo a Gesac Spa.
Tali su indicati dati personali dovranno essere trattati nel rispetto integrale
della normativa 196/03 ed in particolar modo della parte relativa alle misure
minime di sicurezza. E’ fatto pertanto assoluto divieto di divulgare a terzi le
informazioni personali acquisite se non in adempimento ad un obbligo di legge
o a seguito di adempimento contrattuale con Gesac Spa ed è altresì fatto
obbligo di effettuare ogni “trattamento” nel rispetto dei diritti dell’interessato e
quindi permettere, a cura del titolare del trattamento, la cancellazione, il
blocco, l’aggiornamento, la rettifica o la modifica dei dati.
A salvaguardia della propria posizione, Gesac SpA si riserva il diritto di
attivare nei confronti del fornitore un’attività di audit per la verifica del rispetto
integrale della normativa 196/2003, ed in particolare della presenza di
adeguate misure di sicurezza a protezione dei dati e della modalità di
trattamento dei propri dati.
Il fornitore è tenuto ad indicare, qualora quest’ultimo fosse presente nella sua
organizzazione, il nome del responsabile del trattamento dati.”
Misura a carico di Legale & Acquisti
M.S.P.09.
Misura di sicurezza al fine di garantire un corretto comportamento in
termini di privacy da parte di tutto il personale interinale.
Nel caso di contratto avente ad oggetto la fornitura di lavoro, unitamente alla
clausola di cui alla misura M.S.P. 08, è inserita la seguente clausola:
“Qualora in ottemperanza agli obblighi contrattuali, Vostro personale/Ella
dovesse svolgere l’attività presso gli uffici Gesac ed avere accesso a banche
dati contenenti dati personali, al Vostro personale/Ella è fatto obbligo di
documentarsi preventivamente sui contenuti della legge 196/2003 e seguire le
indicazioni ed istruzioni contenute nelle ISTRUZIONI che sarà tenuto a
procurarsi presso l’ufficio personale prima di iniziare l’attività lavorativa e di
seguire le indicazioni impartite dal Responsabile al trattamento dati cui i dati
fanno riferimento e di riferirsi a lui in merito alle misure di sicurezza da
adottare.”
Misura a carico di Amministrazione del Personale e Relazioni Industriali
61
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
61
M.S.P.010.
Misura di sicurezza per l’acquisizione di dati personali di candidati
attraverso selezione gestita da società di selezione
Sul contratto/ordine con la società di selezione è apposta la seguente clausola:
La società affidataria si impegna a trattare i dati personali relativi ai candidati
oggetto delle attività di selezione di cui al presente contratto, nel completo
rispetto della legge 196/2003. Pertanto per tutti i dati personali che cederà a
Gesac la società affidataria avrà provveduto ad ottenere adeguata
autorizzazione dagli interessati e per ogni interessato di cui avrà fornito a
Gesac dati personali, si impegna a fornire a Gesac -in copia- adeguata
autorizzazione.
Misura a carico di Sviluppo & Organizzazione
M.S.P.011.
Misura di sicurezza per la corretta gestione delle banche dati personali
aziendali
Per garantire una corretta gestione delle banche dati personali aziendali, le
stesse sono mappate e codificate. Non è pertanto possibile costituire nuove
banche dati personali senza l’autorizzazione del titolare del trattamento. Nel
caso in cui nuovi processi aziendali e/o nuove procedure necessitino la
creazione di nuove banche dati aziendali ne viene data comunicazione al
Responsabile Ufficio Legale.
Con cadenza trimestrale, in occasione dell’audit privacy, i singoli responsabili
rilasciano una autocertificazione attestante la rispondenza tra le banche dati
presenti nella propria area e quelle mappate e codificate.
Misura a carico dei singoli responsabili
M.S.P.012.
Misure di sicurezza a protezione dei dati personali cartacecei
Ogni incaricato al trattamento, nel trattare documenti cartacei contenenti dati
personali non facenti parte delle banche dati aziendali:
 non riproduce mediante fotocopia o ristampa –se non quando previsto da
procedure aziendali- i documenti;
 custodisce i documenti in luoghi ad accesso selezionato e comunque non
permette la visone degli stessi a terzi;
 distrugge i documenti a valle dell’utilizzo a meno che gli stessi non
debbano concorrere ad implementare una banca dati già esistente e
codificata.
Misura a carico dei singoli responsabili
M.S.P.013.
Misure di sicurezza a protezione fisica delle banche dati personali cartacee
A protezione delle banche dati cartacee le stesse vanno archiviate in armadi con
serratura. Qualora uno dei documenti in esse contenute dovesse essere “trattato”
da un incaricato, il Responsabile a cui tale banca dati fa riferimento ha cura di
verificare che lo stesso, a valle del trattamento, venga nuovamente archiviato
nella banca dati di appartenenza.
Misura a carico dei singoli responsabili
62
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
62
M.S.P.014.
Misure di sicurezza a protezione fisica contro il rischio di intrusione nei
luoghi dove sono custodite banche dati e dati cartacei.
A protezione dei luoghi dove sono custodite banca dati personali e/o dati
personali, l’accesso a tali luoghi è garantito attraverso un sistema selezionato di
controllo accessi.
Misura a carico di Security & Passenger Services
M.S.P.015.
Misura di sicurezza per l’utilizzo della videosorveglianza
Alfine di rispettare appieno la normativa privacy in materia di
videosorveglianza Gesac adotta i seguenti accorgimenti:
 prima di avviare un nuovo trattamento ne verifica la liceità in base alle
norme vigenti;
 informare le persone soggette a ripresa della presenza di attrezzature di
video sorveglianza mediante appositi cartelli;
 effettuare le riprese in maniera congrua rispetto agli obiettivi prefissati,
raccogliendo esclusivamente i dati strettamente necessari per il
raggiungimento delle finalità perseguite, registrando le sole immagini
indispensabili, limitando l'angolo visuale delle riprese, evitando -quando
non indispensabili- immagini dettagliate, ingrandite o dettagli non
rilevanti;
 stabilisce con precisione entro quanto tempo le immagini devono essere
cancellate e prevede la loro conservazione solo in relazione ad illeciti
che si siano verificati o ad indagini giudiziarie o di polizia;
 individua con designazione scritta le persone che possono utilizzare gli
impianti e prendere visione delle registrazioni;
 impedisce l'accesso alle immagini da parte di persone non autorizzate;
Misura a carico di Security & Passenger Services
M.S.P.016.
Misura di sicurezza per l’attuazione della normativa 196/2003 in relazione
agli Organi Societari ed Assembleari
Alfine di rispettare appieno la normativa privacy nei confronti di tutti gli organi
societari ed assembleari sia in termini di informativa che di istruzioni, Gesac
provvede a consegnare ad ogni titolare di incarico societario o assembleare –
all’atto della nomina- apposita comunicazione denominata “Informativa agli
Organi Societari e di Controllo”
Misura a carico di Affari Societari & Servizi Generali
M.S.P.017.
Misura di sicurezza a protezione del sistema privacy aziendale
Al fine di garantire un efficace gestione del sistema privacy aziendale, sono
state definite le seguenti procedure interne:

con cadenza annuale viene rivisitato il sistema di responsabilità al fine di
verificarne la rispondenza con l’assetto organizzativo;

con cadenza trimestrale viene effettuato un audit tra i singoli responsabili
al fine di verificare il rispetto dell’attuazione delle misure di sicurezza;
 con cadenza annuale viene realizzato il DPS.
Misura a carico di Legale & Acquisti
63
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
63
M.S.P.018.
Misura di sicurezza a protezione della privacy informatica
Al fine di garantire il rispetto della deliberazione n. 13 dell 2007 emanata dal
Garante, Gesac provvede ad aggiornare e rendere noto a tutti i propri dipendenti
il Regolamento informatico e si adopera affinché le norme in esso contenute
vengano rispettate da tutti gli utilizzatori delle risorse informatiche
Misura garantita a cura di ICT Security
M.S.P.019. Misura di sicurezza a protezione dell’accesso da parte di non autorizzati
delle banche dati informatizzate.
Affinché abbiano accesso alle singole banche dati personale esclusivamente gli
incaricati al trattamento specificatamente preposti a ciò

ogni incaricato provvede a cambiare la propria pw di accesso ogni sei
mesi nel caso in cui abbia accesso a dati personali ordinari e ogni tre
mesi nel caso in cui abbia accesso a dati personali particolari;

ogni incaricato deve provvedere ad attivare sulla propria postazione
informatizzata lo screen saver con pw.
Misura a carico dei singoli responsabili
M.S.P.020. Misura di sicurezza a protezione delle banche dati informatizzate contro il
rischio di malfunzionamento, indisponibilità o degrado degli strumenti,
Al fine di garantire un corretto funzionamento della rete intranet e dei server
centralizzati contenenti banche dati personali in Gesac è applicato il programma
di manutenzione programmata di seguito specificato.
Gestione del Dominio di Windows
 Monitoraggio, manutenzione e aggiornamento dei S.O. server
 Backup, Ripristino e Pianificazione del monitoraggio di Active Directory
 Creazione, modifica e configurazione di oggetti Criteri di gruppo (GPO)
 Configurazione e modifiche delle condizioni per l'applicazione dei Criteri di
gruppo
 Verifica dei Criteri di gruppo e risoluzione dei problemi relativi
 Distribuzione del software
 Configurazione, manutenzione e aggiornamento del software distribuito
 Configurazione e modifiche all’accesso alle stampanti gestite da active
directory
 Gestione della memorizzazione dei dati e delle risorse hardware
 Risoluzione dei problemi relativi
 Pianificazione strategica
Gestione dei Log
 Audit, reporting e scheduling dei file di log per:
 Accesso alle PDL,
 accesso ad internet,
 accesso alla posta elettronica,
 web server,
 mail server,
 event viewer dei server aziendali,
64
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
64


proxy
filtraggio siti
Gestione Backup
 Pianificazione della politica di Backup aziendale
 Gestione delle politiche di Backup e di Ripristino sui server aziendali di
produzione e di testing
Router, collegamenti VPN/sicurezza
 Configurazione e manutenzione dei router aziendali
 Gestione, configurazione e aggiornamento del software proxy per l’accesso
ad internet
 Gestione, configurazione e aggiornamento del software di filtraggio dei siti
web vietati e risoluzione delle problematiche inerenti all’accesso ai siti web
 Monitoraggio, gestione ed eventuali risoluzione di problematiche di
sicurezza inerenti a router e
 Gestione, configurazione e monitoraggio del servizio “Windows Server
Update Services” per tutte le
 postazioni della rete aziendale
 Gestione, configurazione e monitoraggio del sistema antivirus “CA ETrust ”
per tutte le postazioni della rete aziendale
 Gestione, configurazione e monitoraggio delle area aziendali dei dati
sottoposti a “Privacy” e gestione dell’integrità e conservazione degli stessi
Servizi Internet, DNS, Mail e Web Server
 Gestione, manutenzione e aggiornamento del servizio DNS interno su
Microsoft Windows 2000 Server
 Gestione, manutenzione e aggiornamento del servizio Web (Oracle Portal)
su Microsoft Windows 2000 Server
 Gestione, manutenzione e aggiornamento del servizio Mail Interna su Lotus
Domino Windows 2000 Server
Sulla infrastruttura tecnologica che ospita le banche dati informatizzate adeguate
misure informatiche software e hardware impediscono che le su indicate banche
dati vadano perse o risultino anche temporaneamente inaccessibili. (Piano di
desaster & recovery)
Misura garantita a cura di ICT Security
M.S.P.021. Misura di sicurezza a protezione delle banche dati informatizzate contro il
rischio di accessi esterni non autorizzati e contro il rischio intrusione e
dall’azione di programmi di cui all’art. 615 quinques del codice penale
Sulla infrastruttura tecnologica che ospita le banche dati informatizzate, adeguate
misure informatiche software e hardware impediscono che le stesse risultino
danneggiate o violate attraverso le azioni di cui in oggetto.
Misura garantita a cura di ICT Security.
65
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
65
M.S.P.022. Misura di sicurezza a protezione dei server contro il rischio fisico di
intrusione.
I server su cui sono archiviate le banche dati personali sono custoditi in luoghi
chiusi a chiave e l’accesso agli stessi è permesso esclusivamente a personale
autorizzato.
Misura garantita a cura di ICT Security.
M.S.P.023. Misura di sicurezza in applicazione di quanto disposto dal Provvedimento
del Garante pubblicato sulla G.U. del 24/12/2008 avente ad oggetto nuovi
obblighi a carico degli amministratori di sistema
In Gesac le attività IT sono affidate tutte in outsourcing.
Al fine di garantire una corretta applicazione del provvedimento in oggetto,
Gesac oltre ad acquisire una dichiarazione di responsabilità da parte dei fornitori,
circa le modalità di applicazione del predetto provvedimento, effettua con
cadenza annuale un audit volto alla verifica della congruenza o meno tra quanto
indicato nella dichiarazione di responsabilità e quanto realmente messo in essere.
In particolare ad ogni fornitore viene espressamente richiesto di predisporre
sistemi idonei alla registrazione degli accessi logici (autenticazione informatica)
ai sistemi di elaborazione e agli archivi elettronici (nella qualità di
“amministratore di sistema”); tali registrazioni (access log) devono avere
caratteristiche di completezza, inalterabilità e possibilità di verifica della loro
integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste.
Misura garantita a cura di ICT Security
66
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
66
POLICY INFORMATICA AZIENDALE
MSP 018 ai sensi della Deliberazione del Garante sulla privacy n.13 del 1° marzo 2007
67
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
67
Premessa
La presente policy, esprime i principi ispiratori del modello informatico aziendale,
stabilisce le modalità e i termini di utilizzo delle risorse informatiche da parte degli utenti,
definisce, altresì, i sistemi di controllo e le misure di sicurezza informatiche che, ai sensi
del decreto legislativo 196/2003 “trattamento dei dati personali”, l’azienda adotta.
I Principi Ispiratori del modello informatico aziendale
Tutte le risorse informatiche SW e HW in uso in azienda, unitamente ai dati- personali e
non- in esso memorizzati, sono di esclusiva proprietà aziendale e pertanto ogni uso che non
sia strettamente connesso alla finalità per cui le stesse sono date in uso ai differenti utenti è
vietata.
In relazione a ciò l’azienda, tramite i Sistemi Informativi, si fa carico di garantire che i dati
trattati informaticamente siano sempre esatti e rispondenti alle specifiche funzionali ed in
linea con quanto definito dai principi di correttezza e trasparenza.
Tutte le attività di sviluppo sw recependo quanto previsto dalle deliberazioni del Garante
sulla privacy sono orientate al principio di necessità e riducono al minimo l’utilizzazione
dei dati personali.
L’azienda tramite i Sistemi Informativi provvede a fare in modo che vengano rispettati i
diritti di copyright relativi ai software.
L’uso personale ed esclusivo delle credenziali di accesso rappresenta lo strumento principe
attraverso il quale l’azienda garantisce - lato utente - che l’accesso alle risorse aziendali
avvenga nel rispetto di quanto previsto e dalle misure di sicurezza della privacy. A tal
proposito si adopera affinché sia diffusa al proprio interno una cultura che faccia del
rispetto della riservatezza della proprie credenziali di accesso uno strumento cardine per
l’accesso e l’utilizzo in sicurezza delle risorse informatiche.
I Sistemi Informativi garantiscono altresì che l’accesso alle funzioni ed ai dati avvenga
attraverso un sistema di abilitazioni, tramite password rilasciata a chi, in funzione dei ruoli
definiti dai processi aziendali, sia il legittimo titolato, e ne assicura nel tempo il rispetto e
l’aggiornamento.
Le modalità di utilizzo delle risorse informatiche da parte degli utenti
1. Norme relative all’utilizzo della propria postazione informatizzata
La propria postazione di lavoro informatizzata può essere utilizzata esclusivamente
per finalità aziendali e nell’utilizzo della stessa è fatto obbligo di rispettare le norme
di seguito descritte.
a. E’ consentito accedere alla rete GESAC aziendale esclusivamente mediante
l’utilizzo di postazioni di lavoro informatizzate fisse collegate in rete.
b. Onde evitare il grave pericolo di introdurre virus informatici nonché di alterare
la stabilità delle applicazioni dell'elaboratore, non è consentito installare
programmi provenienti dall'esterno.
68
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
68
c. Non è consentito l'uso di programmi non distribuiti ufficialmente dai Sistemi
Informativi (v., in proposito, gli obblighi imposti dal dlgs 29 dicembre 1992, n.
518, sulla tutela giuridica del software e dalla legge 18 agosto 2000, n. 248,
contenente nuove norme di tutela del diritto d'autore).
d. Non è consentito utilizzare strumenti software e/o hardware atti a interpretare,
falsificare, alterare o sopprimere il contenuto di comunicazioni e/o documenti
informatici.
e. Non è consentito modificare le configurazioni definite dai Sistemi Informativi
ed impostate sul proprio PC.
f. Non è consentito upgradare/integrare la propria postazione di lavoro ne
introdurre in azienda hw di proprietà personale.
g. Attraverso la propria postazione di lavoro non è consentito estrarre dati se non
per finalità lavorative: qualora tale estrazione fosse prevista, non è consentito
portare i dati estratti all’esterno della propria sede lavorativa fatta salva
autorizzazione aziendale.
h. E’ fatto obbligo di cambiare la propria password di accesso almeno ogni 6
mesi.
i. E’ fatto obbligo di attivare sulla propria postazione informatizzata lo screen
saver con password.
j. E’ fatto obbligo di rispettare tutte le misure di sicurezza della privacy previste
dall’azienda
2. Norme relative all’utilizzo della rete internet
L’accesso ad internet è subordinato ad una specifica autorizzazione. Coloro i quali
hanno accesso ad internet sono tenuti al rispetto delle seguenti norme
a. non è consentito navigare in siti non attinenti allo svolgimento delle mansioni
assegnate;
b. non è consentita l'effettuazione di ogni genere di transazione finanziaria ivi
compreso le operazioni di remote banking, acquisti on-line e simili per scopi
personali;
c. non è consentito lo scarico di software gratuiti (freeware) e shareware, di
musica, filmati e quanto altro prelevato da siti internet;
d. è vietata ogni forma di registrazione a siti i cui contenuti non siano legati
all'attività lavorativa; qualora detta registrazione fosse dettata da finalità
lavorative, la stessa deve essere preventivamente autorizzata.
e. non è permesso l'utilizzo di chat line, di bacheche elettroniche e le registrazioni
in guest book anche utilizzando pseudonimi (o nickname);
f. non è consentita ne la consultazione, ne la memorizzazione di documenti
informatici di natura oltraggiosa e/o discriminatoria per sesso, lingua, religione,
razza, origine etnica, opinione e appartenenza sindacale e/o politica.
Al fine di garantire il rispetto di tali norme di utilizzo i Sistemi informativi
attraverso strumenti software automatici provvedono a definire una lista di siti o di
categorie di siti considerati non correlati con la prestazione lavorativa ed ad inibirne
il relativo accesso.
69
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
69
3. Norme specifiche relative all’utilizzo della Posta elettronica:
La posta elettronica è uno strumento di lavoro e l’attivazione di una casella di posta
elettronica è subordinata a specifica autorizzazione aziendale ed è strettamente
personale.
Coloro i quali hanno avuto configurato dall’azienda un proprio indirizzo aziendale
di posta elettronica sono tenuti al rispetto delle seguenti norme:
a. non è consentito utilizzare la posta elettronica per motivi non attinenti allo
svolgimento delle mansioni assegnate;
b. non è consentito inviare o memorizzare messaggi (interni ed esterni) di natura
oltraggiosa e/o discriminatoria per sesso, lingua, religione, razza, origine etnica,
opinione e appartenenza sindacale e/o politica;
c. la posta elettronica diretta all'esterno della rete intranet aziendale può essere
intercettata da estranei e, dunque, è opportuno non usarla per inviare documenti
di lavoro «strettamente riservati»;
d. qualora vengano ricevute e-mail inviate da destinatari sconosciuti o aventi un
contenuto poco chiaro è opportuno non aprire eventuali files allegati ed i caso di
dubbi è consigliabile rivolgersi ai Sistemi Informativi.
4. Norme relative all’utilizzo di dispositivi esterni per il servizio di consultazione
della posta elettronica aziendale al di fuori della propria postazione lavorativa,
firma digitale, ecc.
a. Per i possessori di kit Firma digitale, non lasciare incustodito o in luogo non
riservato l’apparato hw che consente l’utilizzo del servizio;
b. rispettare le procedure aziendali previste per l’utilizzo dell’apparato
c. rispettare le specifiche misure di sicurezza della privacy di tipo aziendali
previste dall’azienda.
I Sistemi di controllo
Al fine di far rispettare le su indicate modalità di utilizzo delle risorse informatiche,
l’azienda si riserva –attraverso la funzione sistemi informativi- di effettuare controlli
generici su tutti gli utenti relativamente alle ore di navigazione, al numero di e-mail ed allo
spazio di memoria occupato nella propria area riservata sui server aziendali. Qualora tali
controlli (non invasivi e rispettosi della privacy personale) dovessero evidenziare
particolari anomalie d’uso, previa comunicazione ai diretti interessati, l’azienda si riserva il
diritto di effettuare controlli mirati e specifici volti a verificare i contenuti di tali anomalie.
A salvaguardia della sicurezza informatica, l'azienda si riserva altresì la facoltà di
procedere alla rimozione di ogni file o applicazione installati in violazione della presente
policy
70
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
70
Descrizione dei rischi
contrastati
Trattamenti
interessati
Comportamenti degli operatori
 MSP 04
Carenza di
consapevolezza,
disattenzione o incuria
Tutti i trattamenti
Comportamenti sleali o
fraudolenti
1. Tutti i
trattamenti
2. Trattamenti
informatizzati
Errore materiale
Misure
Tutti i trattamenti
 MSP 017
Struttura o persone addette
all'adozione
Misure già in
Misure da
essere
adottare
1. Legale & Acquisti
X
2. Legale & Acquisti
 MSP 04, 013, 014, 015,
016, 017
 MPS 018, 019, 020, 21, 22,
Misura da
adottare
Tipo
di
rischio
Misura già
in essere
LE MISURE DI SICUREZZA ADOTTATE E QUELLE DA ADOTTARE
X
1. Legale & Acquisti
2. Responsabile IT
Secutity
X
Legale & Acquisti
23
MPS 04
71
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
71
Trattamenti
interessati
Misure
Misura da
adottare
Descrizione dei rischi
contrastati
Misura già
in essere
Tipo di
rischio
Struttura o persone addette
all'adozione
Misure già in
Misure da
essere
adottare
Eventi relativi agli strumenti
Azione di virus
informatici o di
Trattamenti
programmi suscettibili di informatizzati
recare danno
MSP 018, 021
X
1. Responsabile
Sicurezza IT
2. Incaricati
3. Responsabile
Sicurezza IT
Spamming o tecniche di
sabotaggio
Trattamenti
informatizzati
MSP 018, 021 , 023
X
1. Responsabile
Sicurezza IT
2. Incaricati
Malfunzionamento,
indisponibilità o degrado
degli strumenti
Trattamenti
informatizzati
MSP 020
X
1. Responsabile
Sicurezza IT
X
1. Responsabile
Security
2. Responsabile
Sicurezza IT
3. Incaricati
4. Responsabile
Sicurezza IT
Accessi esterni non
autorizzati
Trattamenti
informatizzati
MSP 018, 019, 022, 023
72
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
72
Accessi non autorizzati a
locali/reparti ad accesso
ristretto
Eventi relativi al contesto
Sottrazione di strumenti
contenenti dati
Trattamenti
interessati
Misure
Tutti i trattamenti
MSP 014
1. Tutti i trattamenti

2. Trattamenti
informatizzati su
server
centralizzato

Misura da
adottare
Descrizione dei rischi
contrastati
Misura già
in essere
Tipo di
rischio
Struttura o persone addette
all'adozione
Misure già in
Misure da
essere
adottare
X
Responsabile Security
X
1. Responsabile
Security
2. Responsabile
Sicurezza IT
MSP 013
MSP 018; 022
Eventi distruttivi, naturali
o artificiali, nonché
Tutti i trattamenti
dolosi, accidentali o
dovuti ad incuria
Piano aziendale di safety
X
Responsabile
Aziendale della
Sicurezza
Guasto ai sistemi di
utilities
Trattamenti
informatizzati
MSP 020
X
Responsabile
Sicurezza IT
Errori umani nella
gestione della sicurezza
fisica
Tutti i trattamenti
MSP 04
X
Legale & Acquisti
73
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
73
IL PIANO DI FORMAZIONE AZIENDALE
Descrizione sintetica degli
interventi formativi
Classi di
incaricati
Tempi previsti
Attività di sensibilizzazione
sulle
tematiche
della
privacy, descrizione delle
misure
di
sicurezza
aziendali
mediante
la
consegna di un documento
informativo/formativo
e
l’effettuazione di un corso
di formazione in modalità elearning con verifica finale
del
livello
di
apprendimento.
Tutti i dipendenti
aziendali che trattano
dati personali.
Realizzato all'atto
dell'attivazione delle misure
di sicurezza aziendali e per i
nuovi assunti all’atto
dell’assunzione.
Attività di formazione sulla
legge 196/2003, sul sistema
di responsabilità Gesac e
sulle misure di sicurezza
aziendali
I Responsabili del
trattamento
All’atto dell’affidamento
dell’incarico
Rappel di sensibilizzazione
sulle tematiche della privacy
mediante la consegna di una
nota informativa
Tutti i dipendenti
aziendali che trattano
dati personali.
In corso
Il Presente documento si compone di n.
Pagine unitamente a n.
Allegati
74
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Dicembre 2009
74