documento programmatico - Aeroporto Internazionale di Napoli

DOCUMENTO PROGRAMMATICO
sulla
SICUREZZA
ai sensi della legge196/2003
FEBBRAIO 2016
PREMESSA
Il presente documento viene realizzato con cadenza annuale da Gesac SpA sin dal 2001 per
adempiere a quanto previsto dalle misure di sicurezza previste dalla normativa italiana sulla
privacy.
Le recenti modifiche legislative hanno reso non più obbligatoria la redazione di tale documento. Ciò
premesso, Gesac, attribuendo allo stesso anche finalità gestionali interne connesse alll’attivazione,
alla gestione ed alla verifica di tutto il sistema privacy aziendale ha deciso di continuare a redigere
il proprio dps sulla falsariga di quanto realizzato negli anni precedenti.
Al fine di dar conto delle attività avviate in azienda a cavallo tra fine 2015 ed inizio 2016 con un
forte impatto in termini di privacy ( geolocalizzazione e profilazione utenti), si ne è ritardata la
posticipandola di due mesi.
Il Documento in esame descrive l’assetto organizzativo dell’azienda in termini di privacy e tutti gli
interventi posti in essere a protezione delle banche dati mappate al 29/02/2016.
Il Documento programmatico realizzato segue la falsariga del modello proposto dal Garante sulla
privacy e contiene pertanto le seguenti sezioni:








i responsabili e le aree di competenza;
la mappatura delle banche dati;
i rischi potenziali;
le misura di sicurezza adottate e quelle da adottare;
la policy informatica;
il piano di salvataggio per le banche dati informatizzate;
il piano di formazione aziendale;
la videosorveglianza in Gesac;
La mappatura delle banche dati, così come l’intero DPS, è stata realizzata con il contributo della
Società di consulenza Studio Staff Napoli che si è avvalso del supporto di tutti i Responsabili del
trattamento dati aziendali: a seguito di approfondite interviste si è provveduto prima a censire le
banche dati aziendali e successivamente controllare e monitorare la rispondenza di quanto indicato
nella mappatura delle banche dati a quanto effettivamente presenti nelle aree.
Il presente documento, in relazione alle banche dati informatiche, recepisce la recente disposizione
del Garante del 24/12/2008 avente ad oggetto nuovi obblighi a carico degli amministratori di
sistema. In relazione agli amministratori di sistema esterni, presso l’ufficio IT è a disposizione del
Titolare del trattamento un documento che monitora e mappa tutti i soggetti e tutte le misure di
sicurezza adottate dai singoli fornitori esteni unitamente ai report sulle attività di audit effettuate.
E’ a disposizione presso l’ufficio legale adeguata documentazione relativa alle attività di audit
effettuate nel corso dell’anno.
Presso l’ufficio del responsabile della sicurezza informatica è a disposizione un elenco aggiornato
degli amministratori di sistema unitamente agli audit effettuati.
Il Security manager detiene presso il proprio ufficio una mappatura costantemente aggiornata delle
telecamere e degli utenti con la descrizione delle funzioni abilitate per singolo utente/telecamera.
Si segnala altresì che nelle more tra il presente Documento ed il precedente DPS sono state
effettuate due notificazioni al Garante in relazione rispettivamente ad un trattamento dati realizzato
mediante geolocalizzazione ed ad un trattamento che prevede la profilazione dei dati
2
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Febbraio 2016
2
I RESPONSABILI E LE AREE DI COMPETENZA
Ai sensi dell’art. 21 del decreto legislativo 196/2003 ed in funzione della propria complessità
organizzativa l’azienda si è avvalsa della possibilità di nominare per iscritto più responsabili
affidando ad ognuno di esse la responsabilità di specifiche banche dati. Le linee guida che
hanno indirizzato l’azienda nell’individuazione dei Responsabili sono riassumibili nei seguenti
principi:

Le Responsabilità in termini di privacy vanno allocate lì dove le banche dati vengono
generate e/o custodite.

Le Responsabilità in termini di privacy vanno allocate lì dove ci sono anche
responsabilità gestionali.

Il responsabile della Sicurezza IT non è responsabile di specifiche banche dati ma è
Responsabile della corretta applicazione delle misure di sicurezza informatiche su tutte
le banche dati informatizzate aziendali.
Attualmente i responsabili Privacy di GE.S.A.C. sono:
RESPONSABILE
RESPONSABILITÀ PRIVACY
Davide Behar
Risorse Umane
Paola Bussetti
Controllo di Gestione
Domenico Ciervo
ICT Security
Giuseppe Cutillo
Sicurezza & Ambiente
Maurizio Dello Russo
Legale
Emilia De Santis
Terminal
Bernardo Di Lorenzo
Manutenzione
Antonio Guglielmucci
Security Management
Daniela Guerra
Affari Societari
Maria Concetta Tufano
Audit
Sergio Gallorini
Commerciale
Aniello Mattera
Airfield Management
Claudio del Vita
Web marketing
Giuseppe Musto
Innovazioni tecnologiche e controllo sistemi
Michele Miedico
Ingegneria
Giuliana Orlando
Parking
Maria Teresa Papagno
Contabilità Generale & Tesoreria
Maria Grazia Parlato
Recupero Crediti
3
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Febbraio 2016
3
Giuseppina Petrone
Acquisti
Antonella Stefanile
Pay-Roll
Antonio Savarese
Cartelle mediche dipendenti
Flavia Scandone
CRM
Sandra Attadia
Training- Attività operativa in turno di scalo (1/7)
Elio Damiano
Attività operativa in turno di scalo (2/7)
Onorato Firmamento
Attività operativa in turno di scalo (3/7)
Raffaele Lavezza
Attività operativa in turno di scalo (4/7)
Luigi Moschetti
Attività operativa in turno di scalo (5/7)
Massimiliano Pecora
Attività operativa in turno di scalo (6/7)
Antonio Trotta
Attività operativa in turno di scalo (7/7)
Ai su indicati dipendenti è stata comunicata per iscritto la loro Responsabilità in materia di
privacy attraverso comunicazione presente in allegato.
Gli stessi sono altresì stati messi in condizione di svolgere efficacemente e consapevolmente
tale compito grazie ad una adeguata attività di formazione personalizzata.
Un elenco sempre aggiornato dei Responsabili e delle loro aree di responsabilità, unitamente
alla policy privacy aziendale è presente sul sito aziendale nella sezione privacy.
Rispetto al precedente organigramma privacy, l’attuale organigramma – in funzione delle
recenti disposizioni organizzative, tiene conto delle seguenti modifiche:
 sostituzione nella’area Web Marketing” del responsabile del trattamento;
 introduzione nell’area “Attività operativa in turno di scalo”di un nuovo responsabile;
 introduzione dell’area “Training” affidata alla Sig.ra Sandra Attadia.
 Introduzione dell’area “Fly You” affidata alla Sig.sa Flavia Scandone
Si segnala che la banche dati soggette a notificazione sono state attribuite in termini di
responsabilità rispettivamente al Signor Aniello Mattera per quanto attiene ai dati trattati
mediante geolocalizzazione ed alla Signora Flavia Scandone per quanto attiene ai dati profilati
mediante l’applicazione FLY YOU
4
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Febbraio 2016
4
Nominativo
Davide Behar
Area aziendale
Risorse Umane
Posizione
Risorse umane
Database
Tipo di archivio
Database curricula
Informatico
Altamira
Politiche retributive
Informatico
Applicativo
Office
Informatico
HR Net/HR
Val
Anagrafica
Corsi di formazione
Dati retributivi
Schede di
valutazione
Archivio pratiche
contenziosi con
dipendenti
Scheda 1/5
Sistema
informativo
Cartaceo
Informatico
Archivio sindacati
Cartaceo
Comunicazioni
ODV
Cartaceo
Informatico
Excel
Processo
Aggregati di dati
Tipologia di dato
Selezione e
recruiting
Curricula candidati
Personale
Dati dei dipendenti
Personale
Dati dei dipendenti
Personale
Politiche
retributive
Formazione
Politiche
retributive
Performance
management
Gestione
contenziosi con
dipendenti
Gestione
Excel
ODV
Archivio Prestiti
Dipendenti
Cartaceo
Gestione del
personale
Cartella infortuni
Cartaceo
Gestione infortuni
Citazione dipendente
Documentazione
d'appoggio
Lista dipendenti
iscritti
Delega al sindacato
per trattenuta
Report
Motivazione
trattamento
Acquisire e gestire
candidature finalizzate a
selezionare il personale
Gestire le politiche
retributive personali
Gestione delle RU
Personale
Sensibile
Personale
Rispetto di procedura
aziendale
Informazioni relative
al prestito ed al suo
Personale
Gestione del processo
rimborso
Documentazione
Personale/sensibil
Gestione dell’infortunio
infortunio
e
5
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Febbraio 2016
5
Nominativo
Davide Behar
Area aziendale
Risorse Umane
Posizione
Responsabile
Risorse umane
Scheda 2/5
Database
Tipo di archivio
Sistema
informativo
Cartella personale
del dipendente
Cartaceo
Processo
Aggregati di dati
Tipologia di
dato
Motivazione
trattamento
Gestione del
personale
Lettera di assunzione
Copia titolo di studio
Copia congedo militare
Copia patente di guida
Fotografie
Banca d'appoggio,
codice fiscale
Certificato stato di
famiglia
Libretto di lavoro
Modello di
disoccupazione
Autocertificazione
carichi pendenti
Lettera di dimissioni
Copia documentazione
per rilascio decreto
GPC (dipendenti
security)
Verbale incontro di
giustificazione
Provvedimento
disciplinare
Personale
sensibile
Archiviare informazioni
utili a gestire il personale
6
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Febbraio 2016
6
Nominativo
Davide Behar
Area aziendale
Risorse Umane
Posizione
Responsabile
Risorse umane
Scheda 3/5
Database
Tipo di archivio
Sistema
informativo
Processo
Aggregati di dati
Tipologia
di dato
Motivazione
trattamento
Archivio ora
ingresso/uscita
dipendente
Informatico
Time&Work
Rilevazione
presenze
Tempo di presenza in
azienda del dipendente
Personale
Gestire la presenza in
azienda dei dipendenti
Elaborazione
paghe
Autorizzazione
nominativa del
responsabile allo
straordinario
Archivio
autorizzazione
straordinari
Variazioni ore
lavorate (ferie,
permessi, ecc.)
Archivio ore
lavorate
Archivio bonifici per
accrediti
salari/stipendi
T rattenute mensili
dipendenti
(trattenute sindacali,
anticipi stipendi,
cessione Quinto,
pignoramento verso
terzi)
Cartaceo
Informatico
Time&Work
Cartaceo
Informatico
Informatico
Informatico
Excel
Office
Office
Ricevere l'autorizzazione
Personale
a liquidare gli
straordinari
Modificare i turni
pianificati e definire le
ore da inserire in busta
paga
Archiviare i report
relativi alle ore lavorate
dai dipendenti
Rilevazione
presenze
Variazioni ai turni per
dipendente
Personale
Rilevazione
presenze
Stampa per dipendente
delle ore lavorate
Personale
Elaborazione
paghe
Bonifici per accredito
stipendi e salari per
dipendente
Archiviare le lettere di
Personale bonifico per l'accredito di
salari e stipendi
Elaborazione
paghe
Modulo per la cessione
del Quinto;richiesta
svincolo del 70% della
liquidazione per acquisto
caso o causa malattia
Pignoramenti ecc.
Personale
sensibile
Identificare le trattenute
da operare mensilmente
sui salari e stipendi
7
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Febbraio 2016
7
Nominativo
Davide Behar
Area aziendale
Risorse Umane
Posizione
Responsabile
Risorse umane
Scheda 4/5
Database
Tipo di archivio
Sistema
informativo
Archivio malattie
Cartaceo
Informatico
Anagrafica
dipendenti (sistema
rilevazione presenze)
Informatico
Archivio variazioni
ore lavorate (ferie,
permessi, ecc.)
Cartaceo
Archivio turni per
dipendente
Informatico
Archivio CUD
Cartaceo/Informatico
Excel
Time&Work
Time&Work
PDF
Processo
Aggregati di dati
Tipologia di
dato
Motivazione
trattamento
Gestione
Certificato
medico/nr.protocollo
Sensibile
Archiviare i certificati di
malattia
Gestire i dati utili a
processare l'elaborazione
delle paghe dei
dipendenti
Rilevazione presenze
Dati identificativi del
dipendente
Personale
Gestione del
personale
Piani ferie
Richieste permessi
Personale
Rilevazione presenze
Turni di presenza
previsti
Personale
Pianificare la presenza in
azienda dei dipendenti
Gestione del
personale
Moduli di
certificazione del
reddito dipendente,
copie ricevute
contributi e ritenute
Personale
Archiviare il CUD e le
altre documentazioni
prodotte e consegnate al
dipendente
8
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Febbraio 2016
8
Nominativo
Davide Behar
Area aziendale
Risorse Umane
Posizione
Responsabile
Risorse umane
Scheda 5/5
Database
Tipo di archivio
Sistema
informativo
Processo
Aggregati di dati
Tipologia
di dato
Motivazione
trattamento
Archivio cedolini
paga
Cartaceo/Informatico
PDF
Elaborazione paghe
Cedolini paga per
dipendente
Personale
Archiviare i cedolini
paga dei dipendenti
Gestione del
personale
Lista dipendenti,
tipologia e importo
trattenuta
Sensibile
Cartaceo
Stampa trattenute
mensili dipendente
Informatico
PDF
Dichiarazioni 770
Cartaceo/Informatico
PDF
Gestione del
personale
Dati contributivi e
retributivi dei
dipendenti
Personale
Obbligo di legge
Riepilogativo Busta
paga
Informatico
TXT
Gestione del
personale
Dati riepilogativi busta
paga
Personale
Controlli buste paghe
Documenti a
consulente
Informatico
Office
Gestione del
personale
Dati diversi
Personale
9
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Febbraio 2016
9
Nominativo
Posizione
Paola Bussetti
Controllo di
Gestione
Controllo di
Gestione
Database
Tipo di archivio
Pratiche di
investimento
Gestione investimenti
Area aziendale
Scheda 1/1
Sistema
informativo
Processo
Aggregati di dati
Tipologia di
dato
Cartaceo
Controllo di
gestione
Copia Fatture
Personale
Cartaceo
Investimenti
infrastrutturali
Copia fatture
Personale
Investimenti
infrastrutturali
Copia documenti di gara
copia contratti
copia fatture
copia quietanze di
pagamento
Personale
Gestione investimenti
finanziati UE
Cartaceo
Gestione variazioni
personale
Informatizzato
Excel
Pianificazione e
controllo
Lista nominativi
Personale
Gestione posizioni
(politiche retributive)
Informatizzato
Excel
Pianificazione e
controllo
Costi per lavoratore
Personale
Gestione contratti
attivi
Informatizzato
Lotus notes
Pianificazione e
controllo
Dati contrattuali
Personale
Gestione contratti
passivi
Informatizzato
Lotus notes
Pianificazione e
controllo
Dati contrattuali
Personale
Gestione
Corrispondenza
in uscita
Copia delle
comunicazioni in uscita
Personale
Protocollo Direzione
Amministrativa
Cartaceo
Motivazione
trattamento
Procedura aziendale
10 10
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Febbraio 2016
Nominativo
Area aziendale
Posizione
Database
Scheda
prevenzione rischi
lavoratrici gestanti
Infortuni rilevanti
dipendenti
Verbali inspection
su aziende operanti
all’interno del
sedime e sui
fornitori
Giuseppe Cutillo
Qualità, Sicurezza e
Ambiente
Responsabile della
Qualità Sicurezza e
Ambiente
Tipo di archivio
Scheda 1/2
Sistema
informativo
Cartaceo
Cartaceo
Processo
Aggregati di dati
Tipologia di dato
prevenzione
rischi
Dati sul soggetto e
Personale/sensibile
sulla maternità
prevenzione
rischi
copia libro
infortuni
data infortunio nome dipendente età - qualifica dinamica
infortunio - danni
provocati - giorni
di malattia
eventuali rapporti
di indagine
Personale
Gestire le statistiche
relative agli infortuni
e consigliare azioni
correttive finalizzate
a ridurre i rischi
Personale
Gestire il processo di
controllo effettuato
sulle aziende operanti
all’interno del sedime
Cartaceo
Informatico
Lotus notes
prevenzione
rischi
Verbale di
ispezione
Motivazione
trattamento
Verificare idoeneità
al lavoro e richiesta
parere medico
11 11
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Febbraio 2016
Nominativo
Area aziendale
Posizione
Database
Infortuni Utenti
Giuseppe Cutillo
Qualità, Sicurezza
e Ambiente
Responsabile della
Qualità Sicurezza
e Ambiente
Tipo di archivio
Scheda 2/2
Sistema
informativo
Cartaceo
Processo
Aggregati di dati
Prevenzione rischi
Dati relativi al
passeggero ed
all’incidente
Prevenzione incidenti
Rapporto di
indagine
Personale/sensibile
Rispetto delle
normative di scalo
Dati patente
Personale
Lotus Notes
Cartaceo
Incidenti
Certificazioni
patenti*
Informatico
Lotus Notes
Informatico
Excel
Tipologia di dato
Motivazione
trattamento
Gestire le statistiche
relative agli infortuni
Personale/sensibile e consigliare azioni
correttive finalizzate
a ridurre i rischi
*in attribuzione alla nuova funzione aziendale occupata dalla Resp. del trattamento Sandra AttadiaRes
12 12
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Febbraio 2016
Nominativo
Emilia de Santis
Area aziendale
Terminal
Posizione
Terminal Manager
Scheda 1/1
Database
Tipo di archivio
Sistema
informativo
Office
Reclami
Cartaceo/elettronico
Attestazione
Ritardi
Cartaceo
Turni pulizie
Cartaceo
Processo
Aggregati di dati
Database cartaceo ed
elettronico
contenente
Gestione reclaami
anagrafica indirizzo
e oggetto del
reclamo
Generalità
richiedente, motivo
Attestazione Ritardi
della richiesta, dati
del volo
Generalità dei
Gestione delle pulizie
capiturno, orario
turno
Tipologia di dato
Motivazione
trattamento
Personale
Gestire il processo
Personale
Gestire il processo
Personale
Monitoraggio del
processo
13 13
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Febbraio 2016
Nominativo
Maurizio dello Russo
Area aziendale
Legale
Posizione
Responsabile ufficio
Legale
Database
Tipo di archivio
Documentazione
di gara sopra
soglia
Documentazione
aggiudicazioni
gara sopra soglia
Contratti
Documentazione
legale
Gestione gare
Scheda 1/2
Sistema
informativo
Tipologia di
dato
Processo
Aggregati di dati
Cartaceo
Gestire appalti,
lavori,
forniture e servizi
sopra soglia
Offerte imprese
concorrenti
Personale
Cartaceo
Gestire appalti,
lavori, forniture e
servizi sopra soglia
Offerta aggiudicata
Personale
Cartaceo
Gestire la
contrattualistica
aziendale
Cartaceo
Gestione del
contenzioso
Informatico
Bravo Solution
Cartaceo
Gestione sinistri
Informatico
Lotus notes
Gestione Gare
Gestire i sinistri
avvenuti all’interno
del sedime
aeroportuale
Dati del fornitore
relativi all’ufficio
legale
Dati delle parti in
causa, documentazione
probatoria contenzioso
Tutta la
documentazione
relativa alle gare
Dati relativi al sinistro
Personale
Personale
Personale
Personale/sensibi
le
Motivazione
trattamento
Acquisire le
offerte per la
definizione del
fornitore
Gestire l'offerta
aggiudicataria per
la predisposizione
del contratto
Formalizzare i
contratti
Gestione del
rapporto con i
legali
Gestire
efficacemente
tutto il processo
Gestire i sinistri
avvenuti
all’interno del
sedime
aeroportuale
14 14
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Febbraio 2016
Nominativo
Area aziendale
Maurizio dello Russo
Legale
Posizione
Responsabile ufficio
Legale
Scheda 2/2
Database
Tipo di archivio
Sistema
informativo
Processo
Aggregati di dati
Tipologia di
dato
Motivazione
trattamento
Informatico
Office
Gestione servizi
generali
Contenuto del testo,
destinatario e mittente
Personale
Gestione del
servizio
Rispetto di
procedura
aziendale
Archivio
Raccomandate e
telegrammi
Comunicazioni
ODV
Cartaceo
Protocollo
Direzione Affari
legali
Cartaceo
Gestione polizze
assicurative
(Fornitori e subconcessionari)
Informatico
Lotus notes
ODV
Report
Personale
Gestione
Corrispondenza in
uscita
Gestire gli obblighi
assicurativi
scaturenti dal
regolamento di
scalo, obblighi di
legge o scelte
aziendali
Copia delle
comunicazioni in
uscita
Personale
Contratti assicurativi
relativi a Gesac,
fornitori e sub
concessionari
Personale
Procedura
aziendale
Gestire gli
obblighi
assicurativi
scaturenti dal
regolamento di
scalo
15 15
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Febbraio 2016
Nominativo
Area aziendale
Michele Miedico
Technical
department
Posizione
Resp. Ingegneria
Scheda 1/2
Database
Tipo di archivio
Sistema
informativo
Subappalti
Appalti (Sopra i
10.000 €)
Processo
Cartaceo
Gestione opere
pubbliche
all'intero del
sedime
aeroportuale
Cartaceo
Gestione opere
pubbliche
all'intero del
sedime
aeroportuale
Informatico
Contabilità lavori
Cartaceo
Windows
(Brickwin)Primus Contabilizzazione
SAL
Aggregati di dati
Tipologia di dato
Motivazione
trattamento
DURC
In base al codice
Documenti di subappalto
sugli appalti
Certificato CCIAA con antimafia
l'appaltante deve
Casellario giudiziario di
Personale/sensibile
richiedere tale
amministratori, tecnici e legali
documentazione
rappresentanti
(obblighi di
SOA (qualificazione dell'impresa)
legge)
Documentazione richiesta
dall'appaltante:
Presentazione del Piano di
In base al Codice
dettaglio della Sicurezza
sugli appalti la
Copia libro matricola
stazione
Copia libro infortuni
appaltante deve
DURC DUVRI
Personale/Sensibile
richiedere tale
Domanda di subappalto e
documentazione
documenti di subappalto
(obblighi di
Copia polizze assicurative
legge)
Certificazioni antimafia
Comunicazioni di apertura e
chiusura cantiere
Dati economici e contabili sullo
stato avanzamento lavori
Personale
Contabilizzare lo
stato di
avanzamento dei
lavori
16 16
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Febbraio 2016
Nominativo
Michele Miedico
Area aziendale
Technical
department
Posizione
Resp Ingegneria
Database
Tipo di archivio
Appalti (Sotto i
10.000 €)
Cartaceo
Scheda 2/2
Sistema
informativo
Processo
Aggregati di dati
Gestione opere
pubbliche
all'intero del
sedime
aeroportuale
Documentazione richiesta
dall'appaltante:
Presentazione del Piano di
dettaglio della Sicurezza
Copia libro matricola
Copia libro infortuni
DURC DUVRI
Domanda di subappalto e
documenti di subappalto
Copia polizze assicurative
Certificazioni antimafia
Comunicazioni di apertura e
chiusura cantiere
Tipologia di dato
Motivazione
trattamento
In base al Codice
sugli appalti la
stazione
appaltante deve
Personale/Sensibile
richiedere tale
documentazione
(obblighi di
legge)
17 17
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Febbraio 2016
Nominativo
Valerio di
Lorenzo
Area aziendale
Technical
department
Posizione
Resp.di
Manutenzione
Database
Tipo di archivio
Scheda 1/1
Sistema
informativo
Processo
Aggregati di dati
Tipologia di
dato
Iscrizione CCIAA – Doc.
Valutazione Rischi-DurcDich organico medio e
contratto di lavoro utilizzatoDenunce Enti
Personale
sensibile
Verifica Idoneità
Tecnica Impresa
(L. 81/08)
Cartaceo
Creazione albo
fornitori
specialistico
Contratti di
manutenzione
Cartaceo
Manutenzione
Dati contrattuali
Personale
Banca dati
inspection sulle
attività di cantiere
Informatico
Gestione
operativa
Dati relativi alle ditte che
eseguono i lavori
Personale
Sigema
Motivazione
trattamento
In base alla Legge
81/08 e smi, la
stazione appaltante
deve richiedere tale
documentazione
(obblighi di legge)
Gestire
efficacemente il
processo
Controllare la
regolarità
dell’operato delle
imprese operanti in
airfield.
18 18
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Febbraio 2016
Nominativo
Sergio Gallorini
Area Aziendale
Commercial
Consumer
Posizione
Responsabile
Commercial
Consumer
Scheda 1/1
Database
Tipo di archivio
Sistema
informativo
e-commerce
Informatico
Chauntry
Gestione concorsi
Informatico
Excel
Processo
Aggregati di
dati
Dati targa auto,
data parcheggio,
dati sul volo
Dati personali
diversi sui quali
Attività promozionale si è ottenuto una
specifica
autorizzazione
Vendita servizi
ancillari
Tipologia di dato
Motivazione
trattamento
Personale
Gestione del processo
Personale
Gestione commerciale
19 19
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Febbraio 2016
Nominativo
Giuliana Orlando
Area Aziendale
Parking
Posizione
Resp. parking e car
rental
Scheda 1/1
Database
Tipo di archivio
Sistema
informativo
Parcheggio Disabili
Cartaceo
Pagamento ritardato
Cartaceo
Convenzione
parcheggi
Informatico
Excel
Cartaceo
Gestione accrediti
Informatico
Convenzione ordini
professionali
Informatico
Skydata
Processo
Aggregati di
dati
Fotocopia
documento di
Gestione parcheggio
riconoscimento e
tesserino disabile
Fotocopia carta
Gestione pagamenti
d’identità, dati
successivi al ritiro
auto, dati
dell’auto
parcheggio
Targa
autovettura,
Gestione parcheggio
generalità dei
“convenzionati”
Dati visitatore,
Parcheggio visitatori
orario parcheggio
Nominativo,
Gestione delle tessere
ordine di
nominativi ordini
appartenenza ,
professionali
dati parcheggio
Tipologia di dato
Motivazione
trattamento
Sensibile
Controllo della
regolarità del processo
Personale
Gestione del processo
Personale
Gestione del processo
Personale
Gestione del processo
Personale
Gestione del processo
20 20
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Febbraio 2016
Nominativo
Claudio del Vita
Area Aziendale
Web Marcheting
Posizione
Responsabile Web
Marketing
Scheda 1/1
Database
Tipo di archivio
Sistema
informativo
Gestione servizi
internet
Informatico
Excel
Processo
Garantire
l’esecuzione
contrattuale nel
rispetto dell’attuale
normativa
Aggregati di
dati
e.mail, dati di
traffico
Tipologia di dato
Personale
Motivazione
trattamento
Consentire l’accesso a
internet
21 21
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Febbraio 2016
Nominativo
Daniela Guerra
Area aziendale
Posizione
Company Affair
Responsabile
affari societari e
segreteria
corporate
Database
Tipo di archivio
Scheda 1/1
Sistema
informativo
Processo
Aggregati di dati
Tipologia di
dato
Motivazione
trattamento
Gestione organi
societari
Dati dei membri
del CdA
Personale
Gestire le
convocazioni, la
redazione dei verbali
e gli adempimenti
previsti
Gestione sistema
dei poteri
aziendali
Dati dei soggetti
cui sono attribuiti
poteri
Personale
Attribuzione ad
personam dei poteri
Personale
L.231
Cartaceo
Documenti relativi ai
diversi organi societari
Documenti di
attribuzione poteri
Informatico
Lotus notes
Cartaceo
Informatico
Lotus notes
Tutte le
comunicazioni di
Enti pubblici o a
rilevanza pubblica
Tutta la
documentazione
cartacea che
transita per
l’ufficio
Posta aziendale in
arrivo
Cartaceo
Gestione posta in
arrivo
Documentazione
cartacea
Cartaceo
Archiviazione
documentazione
Comunicazioni ODV
Cartaceo
ODV
Report
Personale
Posta in uscita
Cartaceo
Archiviazione
documentazione
Documentazione
Ad e Societario
Personale
Personale
Rispetto di
procedura aziendale
22 22
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Febbraio 2016
Nominativo
Antonio
Guglielmucci
Area aziendale
Security Mangement
Posizione
Security Manger
Scheda 1/5
Database
Tipo di archivio
Sistema
informativo
Dipendenti area
Security
Dipendenti area
Security
Processo
Acquisire per i
dipendenti
Dati dei soggetti aziendali
l'idoneità alla figura che devono assumere il ruolo
di Guardia
di Guardia particolare giurata
particolare giurata
Cartaceo
Office
Cartaceo/elettronico
Erogazione
Database cartaceo ed
formazione iniziale
elettronico contenente
e ricorrente prevista anagrafica ed informazioni
per legge o da
relative a frequenza, risultati
standard aziendali
ed idoneità al ruolo
AOS
Dipendenti area
Security
Divise dipendenti
Pubblicazione del
turno mensile
Cartaceo/elettronico
Cartaceo/elettronico
Archivio
Cartaceo/elettronico
Gesac S.p.A.- D.Legisl. 196/2003
Documentazione
Documento Programmatico della Sicurezza
Febbraio 2016
Aggregati di dati
Excel
Excel
Gestione DPI
Tipologia
di dato
Personale
Personale
Contiene i dati relativi alla
presenza prevista del
personale sul posto di lavoro
Personale
Taglie dei dipendenti
Personale
Gestione
emissione,
Dati personale security
scadenze certificati
Enac e decreti
Personale
Motivazione
trattamento
Richiedere all'autorità
preposta la
certificazione per i
dipendenti quale
Guardia particolare
giurata
Archiviare i dati in
funzione di attività di
verifica da paerte di
organi competenti
Consentire la
pubblicazione del dato
al personale coinvolto
ed alle risorse
coinvolte nell’attività
di pianificazione
Gestire la consegna del
vestiario
Controllare 23
il processo
23
connesso alle
certificazioni
Area aziendale
Antonio
Guglielmucci
Security
Mangement
Posizione
Security Manger
Database
Tipo di archivio
Nominativo
Scheda 2/5
Sistema
informativo
Office
Operatori
aeroportuali
Passeggeri
Personale
aeroportuale
Cartaceo/elettronico
Cartaceo
Cartaceo
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Febbraio 2016
Processo
Aggregati di dati
Database contenente i
Valutazione delle risultati delle valutazione
performance
effettuate sull’attività
individuali
lavorativa della singola
risorsa
Controllo
manuale del
bagaglio da stiva
Database contenente i
moduli riportanti il
nominativo e firmati dai
passeggeri come
autorizzazione al
controllo in presenza del
proprio bagaglio da stiva
Audit di
sicurezza
aeroportuale:
verifica tesserini
aeroportuali
Database contenente
nominativi di personale
operante in ambito
aeroportuale, oltre a
numero di tessera
aeroportuale, data, orario
e luogo in cui avviene il
controllo
Tipologia di dato
Personale
Personale
Personale
Motivazione
trattamento
Verifica costante
dell’aderenza agli
standard aziendali delle
prestazioni delle singole
risorse, da mettere a
disposizione anche per
la valutazione del
raggiungimento degli
obiettivi di settore
Conservare per
eventuali controversie
traccia
dell’autorizzazione del
passeggero al controllo
del bagaglio da stiva
Verificare che il
personale operante in
ambito aeroportuale
abbia indosso il
tesserino aeroportuale
secondo quanto previsto
dalla regolamentazione
vigente (PNS – Scheda
n.5)
24 24
Area aziendale
Antonio
Guglielmucci
Security
Mangement
Posizione
Security Manger
Scheda 3/5
Database
Tipo di archivio
Sistema
informativo
Nominativo
Office
Personale Terzo
Personale Terzo
Personale Terzo
Cartaceo /
elettronico
Cartaceo
Cartaceo/
Processo
Aggregati di dati
Tipologia di
dato
Database elettronico
Addestramento/for
contenente le generalità di
mazione a società
tutto il personale a cui è
terze (ex Reg.CE/
stata erogata attività
IATA)
d’aula
Personale
Gestione articoli
lasciati da pax
donati ad enti di
beneficenza
Moduli e copie di carte di
identità (+ lettere di
accredito dell’ente) delle
persone autorizzate al
ritiro di materiale
Personale
Selezione del
personale Security
Management
Database elettronico e
cartaceo contenente tutte
le informazioni relative
alle persone che
partecipano all’intero iter
di selezione per le
posizioni aperte in
Security
Personale
Motivazione trattamento
Mantenere costantemente
aggiornato il database dei
corsi per eventuali richieste
di coppie di attestati da
parte delle società clienti e
per eventuali attività
ispettive degli organi
competenti.
Conservare i moduli di
ritiro da cui si evince l’ente
(e la persona) che ha
ritirato il materiale e che
rappresenta scarico di
responsabilità da parte di
GeSAC per l’utilizzo di
terzi dei prodotti ritirati
Archiviazione dei dati delle
persone al fine di verificare
nel tempo eventuali
ricandidature non ammesse
da procedura GeSAC
vigente (SEC025)
25 25
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Febbraio 2016
Area aziendale
Antonio
Guglielmucci
Security
Mangement
Posizione
Security Manger
Scheda 4/5
Database
Tipo di archivio
Sistema
informativo
Nominativo
Archivio
autorizzazioni ai
neoassunti per
l'accesso alle aree
aeroportuali
Cartaceo
Cartaceo
Gestione tesserini
aeroportuali,
permessi taxi,
fornitori
Informatico
Gestione permessi
visitatori area
aerostazione e
Terrminal 2
SCA
Cartaceo
Informatico
SCA
Processo
Aggregati di dati
Comunicazione con dati
del soggetto
Security
Fotocopia della CI
Esito richiesta
autorizzazione
Assicurare la sicurezza
per dipendente:
nel sedime
Dati del soggetto
dell'aeroporto attraverso
Fotocopia della CI
la gestione dei permessi per azienda esterna/dati
di accesso definitivi per
licenza taxi
dipendenti ed
Autocertificazione sulle
esterni/consentire
procedure, esp
l’accesso ai taxi
lavorative e di studio
Assicurare la sicurezza
nel sedime
dell'aeroporto attraverso
Dati del soggetto
la gestione dei permessi
di accesso definitivi per
dipendenti ed esterni
Assicurare la sicurezza
nel sedime
Dati dei soggetti
dell'aeroporto attraverso
aziendali che devono
la gestione dei permessi
accedere al sedime
di accesso provvisori per
società esterne
Tipologia
di dato
Motivazione
trattamento
Personale
sensibile
Ricevere l'autorizzazione
da parte degli enti
preposti. dell'accesso al
sedime aeroportuale del
neoassunto
Personale
Generare e gestire i
permessi di accesso al
sedime
Nel caso di esterni:
Dimostrazione della
presenza dei requisiti per
ottenimento permesso
Personale
Generare e gestire i
permessi di accesso al
sedime
Personale
Generare e gestire i
permessi di accesso al
sedime
26 26
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Febbraio 2016
Area aziendale
Antonio
Guglielmucci
Security
Mangement
Posizione
Security Manger
Scheda 5/5
Database
Tipo di archivio
Sistema
informativo
Nominativo
Gestione accessi
Videosorveglianza
Portineria
Informatico
Immagini digitali
Immagini digitali
Bagagli in custodia Cartaceo
Reclami
Cartaceo
AOS
DGEYES
TVCC/DGEYES
Processo
Aggregati di dati
Assicurare la
Fotografie
sicurezza nel sedime
report accessi
dell'aeroporto
(timbrature) (nome
attraverso la gestione
cognome, matricola,
degli accessi ai vari
società, nr. badge)
siti aziendali
Assicurare la
sicurezza nel sedime
dell'aeroporto
Immagini
attraverso la
videosorveglianza
Assicurare la
sicurezza
attraverso la
videosorveglianza
Tipologia di dato
Motivazione
trattamento
Personale
Controllare gli accessi
presso i varchi
presidiati, sia in tempo
reale ed ex-post
Personale
Controllare attraverso
le immagini le aree
aeroportuali, sia in
tempo reale ed ex-post
Immagini
Personale
Custodia bagagli
Dati passeggero
Personale
Gestione sinistro
Dati passeggero,
oggetto del
passeggero
danneggiato
Personale
Controllare attraverso
le immagini le aree
aziendali
(parcheggi /aree
private)
Consentire la
riconsegna del
bagaglio
Avere traccia
dell’accaduto
27 27
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Febbraio 2016
Nominativo
Area aziendale
Aniello Mattera
Airfield
Management
Posizione
Airfield Manager
Scheda 1/2
Database
Tipo di archivio
Sistema
informativo
Eventi incidentali
Cartaceo
Segnalazioni
infrazioni al
manuale ed al
regolamento
Registrazioni
radio e telefoniche
Sistema di
Gestione
Aviazione
Generale
Informatico
Lotus notes
Cartaceo
Processo
Aggregati di dati
Tipologia di dato
Gestione
operativa
Dati relativi ad eventuali
incidenti in pista
Personale
Gestione
operativa
Informatico
Gestione
operativa
Informatico
Gestione
operativa
GASM
Dati relativi all’azienda,
alla persona a cui è stata
contesta l’infrazione ed
al tipo di infrazione
Comunicazioni su canale
4 uhf frequenza 440.750
su canale vhf frequenza
131.675e su telefoni
790(rilascio aeromobili)
227 (rifornimento
carburante)
Dati
aeromobile/Richieste di
sosta
Personale
Motivazione
trattamento
Acquisire elementi per
la valutazione
dell’evento
Acquisire dati per
effettuare la richiesta
di contestazione
formale all’Enac
Personale
Gestire ed avere
traccia delle
comunicazioni che
avvengono su tali
canali in caso di
incidenti
Personale
Gestire correttamente
il relativo processo
28 28
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Febbraio 2016
Nominativo
Aniello Mattera
Area aziendale
Airfield
Management
Posizione
Airfield Manager
Database
Tipo di archivio
Monitoraggio
attività diversi
operatori
Informatico
Safety report
Scheda 2/2
Sistema
informativo
Processo
Aggregati di dati
Tipologia di dato
Oracle
Analisi delle
performance
aeroportuali
I diversi eventi che
generano i ritardi
Personale
Informatico
Lotus notes
Rilevazione eventi
incidentali
Segnalazioni
infrazioni RdS
Informatico
Lotus notes
Rispetto delle
normative di scalo
Sistem ATM
Informatico
Lotus notes
Gestione attività di
turn round
Sistema di
geolocalizzazione
Informatico
Controllo attività in
pista
Motivazione
trattamento
Monitorare le
performance dei diversi
soggetti che operano
sullo scalo.
Descrizione evento
Gestire ed avere traccia
Documentazione di Personale/Sensibile
degli eventi incidentali
supporto
Monitorare le
Generalità
performance dei diversi
Personale
dipendenti
soggetti che operano
sullo scalo
Dati
Gestire ed avere traccia
Personale
aeromobile/pilota
degli eventi in pista
Avere traccia di quanto
Localizzazione
Personale
avviene in pista per
automezzi
soggetto a notifica
ragioni di safety
29 29
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Febbraio 2016
Nominativo
Area aziendale
Posizione
Database
Giuseppe Musto
Control room e
monitoraggio
sistemi
Innovazioni
tecnologiche e
controllo sistemi
Tipo di archivio
Scheda 1/3
Sistema
informativo
Processo
Aggregati di dati
Tipologia di dato
Motivazione
trattamento
Personale
Avere traccia degli
accessi
Personale
Security
Registro apertura
gate
Informatico
Excel e AOS
nice SCA
Attività
operative
Dati persona fisica,
orario richiesta, ente
di appartenenza,
PDO, SDO
richiedente
Apertura porta
PB179
Informatico
Excel
Attività
operative
Dati dipendente ASL,
orario, motivo
AOS DGyes
Controllo delle
attività
operative
Immagini h/24 di
persone e cose
presenti all’interno
del sedime
Control Room
Informatico
Controllo in remoto
delle attività operative,
Videosorveglianza delle infrastrutture e
degli impianti
aeroportuali
30 30
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Febbraio 2016
Nominativo
Area aziendale
Posizione
Database
Giuseppe Musto
Control room e
monitoraggio
sistemi
Innovazioni
tecnologiche e
controllo sistemi
Tipo di archivio
Scheda 2/3
Sistema
informativo
Registro
emergenze
PEA e Incendio
Cartaceo
Registrazioni
telefoniche e radio
Informatico
Excel
Informatico
Report
Aos/excel
Registro accessi
videosorveglianza
Apertura manuale
da remoto
Parcheggi
Informatico
Excel
Processo
Aggregati di dati
Tipologia di dato
Attività
operative
Dati su aeromobile e
pilota e personale
operativo
Personale
Attività
operative
Registrazioni
comunicazioni radio
e telefoniche
Personale
Registrazione evento
Personale
Monitoraggio
delle attività
operative
Monitoraggio
entrate/uscita
manuale
parcheggi in
orario notturno
Data, ora ,
nominativo, targa,
motivazione
Personale
Motivazione
trattamento
Gestire ed avere
traccia degli eventi
incidentali e
emergenze che
coinvolgono
aeromobili
Gestire ed avere
traccia delle
comunicazioni
operative e di
emergenza
Avere traccia
dell’utilizzo delle
videoregistrazioni
Avere traccia delle
aperture in manuale
dei parcheggi
31 31
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Febbraio 2016
Nominativo
Area aziendale
Posizione
Database
Registro
microfono,
diffusori sonori
Sistema automatico
di allertamento
Giuseppe Musto
Control room e
monitoraggio
sistemi
Innovazioni
tecnologiche e
controllo sistemi
Tipo di archivio
Informatico
Informatico
Scheda 3/3
Sistema
informativo
Processo
Aggregati di dati
Tipologia di
dato
Motivazione
trattamento
Excel
Monitoraggio
funzionamento
dispositivi
Data, ora ,
nominativo SDO,
dispositivo
Personale
Avere traccia delle
verifiche funzionali
Personale
Gestire ed avere traccia
degli eventi incidentali
e emergenze e dei
processi operativi
rilevanti necessità
operative
Everbridge
Dati emergenze
Gestione
aeroportuali,
comunicazioni e nominativi, numeri
notifiche
telefonici e cellulari,
mail
32 32
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Febbraio 2016
Posizione
MariaTeresa
Papagno
Contabilità
Generale &
Tesoreria
Resp.
Amministrazione e
Finanza
Database
Tipo di archivio
Nominativo
Area aziendale
Archivio fatture
attive
Anagrafica clienti
Archivio registri
contabili
Archivio ritenute
d'acconto
Archivio movimenti
Scheda 1/3
Sistema
informativo
Cartaceo
Informatico
Oracle
application
Cartaceo
Oracle
application
Aggregati di dati
Tipologia di
dato
Motivazione
trattamento
Personale
Produrre e
contabilizzare il
documento
contabile
Consentire la
contabilizzazione
attiva aziendale
Contabilità
clienti
Fatture
Contabilità
clienti
Campi con
indicazione dei dati
utili ad identificare il
cliente in riferimento
alle esigenze
contabili
Personale
Registri di contabilità
Personale
Documenti contabili
Personale
Campi con
indicazione dei dati
utili ad identificare il
movimento contabile
Personale
Contabilità
generale
Contabilità
generale
Cartaceo
Informatico
Processo
Contabilità
generale
33 33
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Febbraio 2016
Nominativo
Area aziendale
Posizione
Database
Archivio fatture
passive
Archivio deleghe di
firma
Archivio contabili
bancarie;
Documentazione
movimenti
MariaTeresa
Papagno
Contabilità
Generale &
Tesoreria
Resp.
Amministrazione
e Finanza
Scheda 2/3
Sistema
Tipo di archivio
informativo
Cartaceo
Informatico
Oracle
Cartaceo
Cartaceo
Informatico
Piteco
Anagrafica fornitori
Informatico
Oracle
application
Archivio Prima
Nota
Cartaceo
Archivio DURC
Cartaceo
Processo
Aggregati di dati
Tipologia
di dato
Motivazione trattamento
Contabilità
fornitori
Fatture
Personale
Verificare e contabilizzare il
documento
Rappresentare
l'azienda verso
terzi (banche,
Deleghe
Attestare il potere di firma
agenzia delle
fotocopie documenti dirigenti ed Personale
da parte del
entrate);
amministratori
dirigente/amministratore
attestare ad uso
interno il
potere di firma
Contabilità
Documenti contabili
Verificare e contabilizzare il
Personale
banche
autorizzativi
documento
Contabilità
Documenti obbligatori di verifica
Verificare e contabilizzare il
Personale
banche
di regolarità contributiva/fiscale
documento
Contabilità
fornitori
Contabilità
generale
Contabilità
fornitori
Campi con indicazione dei dati
utili ad identificare il fornitore in
Personale
riferimento alle esigenze
contabili
Documenti contabili
Personale
Dati sulla regolarità contributiva
Personale
del fornitore
Consentire la
contabilizzazione passiva
aziendale
Verificare e contabilizzare il
documento
Obbligo di legge
34 34
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Febbraio 2016
Posizione
MariaTeresa
Papagno
Contabilità Generale
& Tesoreria
Resp.
Amministrazione e
Finanza
Database
Tipo di archivio
Nominativo
Area aziendale
Informatizzato
Scheda 3/3
Sistema
informativo
Excel/Oracle
Gestione consulenti
Cartaceo
Gestione TFR
Cartaceo
Processo
Aggregati di dati
Tipologia di
dato
Motivazione
trattamento
Pagamento ritenute
d’acconto consulenti
Dati del
consulente
Personale
Obbligo di legge
Gestione Fondo TFR
Dati retributivi
del dipendente
Personale
Gestione contabile
Personale
Personale
Archivio libri
giornale
Cartaceo
Contabilità generale
Registri di
contabilità
Comunicazioni ODV
Cartaceo
ODV
Report
Multe auto
Informatico
Excel
Contabilità
Archivio bonifici per
accrediti
salari/stipendi
Informatico
Office
Elaborazione paghe
Dati relativi alle
singole multe
Bonifici per
accredito stipendi
e salari per
dipendente
Personale
Personale
Verificare e
contabilizzare il
documento
Rispetto di procedura
aziendale
Addebito costi ai
singoli dipendenti
Archiviare le lettere
di bonifico per
l'accredito di salari e
stipendi
35 35
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Febbraio 2016
Nominativo
Mariagrazia
Parlato
Area aziendale
Recupero crediti
Posizione
Recupero crediti
Database
Tipo di archivio
Gestione
finanziaria clienti
Informatizzato
Contratti di
fideiussione
Cartaceo
Scheda 1/5
Sistema
informativo
Oracle
application
Excel in
condivisione
Processo
Aggregati di
dati
Tipologia di dato
Gestione del
credito
Monte crediti
per cliente
Personale
Recupero crediti
Contratti di
fideiussione
rilasciate da
compagnie aeree
Pratiche clienti in
contenzioso
Cartaceo
Recupero crediti
Sistema di
qualificazione
servizi di
ingegneria
(> 100.000 Euro)
Cartaceo
Creazione albo
fornitori
specialistico
Personale
Motivazione
trattamento
Attestare l'avvenuto
rilascio di garanzia
da parte del cliente
da utilizzare per
eventuale recupero
crediti
Documenti
Gestione dl recupero
comprovanti il
Personale
dei crediti incagliati
credito
Domanda, dati
Gestire
anagrafici, dati
efficacemente
economici, dati Personale/sensibile l’affidamento degli
professionali,
incarichi
dati giudiziari.
professionali
36 36
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Febbraio 2016
Nominativo
Area aziendale
Posizione
Database
Giuseppina
Petrone
Acquisti&
Company
Services
Responsabile
Acquisti& Servizi
Generali
Scheda 2/5
Tipo di archivio
Sistema
informativo
Informatico
Oracle
Processo
Aggregati di dati
Tipologia di dato
Gestire gli
Ordini di
Acquisto
Dati del fornitore
Personale
Oracle
Gestire le
Richieste di
Acquisto da
parte dei
soggetti
delegati
Dati del fornitore
Personale
Oracle
Gestire le
Richieste di
Acquisto da
parte dei
soggetti
delegati
Ordini di acquisto
Cartaceo
Richieste di
acquisto
Anagrafica fornitori
(storico)
Informatico
Informatico
Dati del fornitore
Personale
Motivazione
trattamento
Formalizzare e gestire
l'acquisto e/o
contratto di fornitura
– Acquisizione dei
CIG c/o sito A.V.C.P.
Generare le richieste
di acquisto ed
indicare il fornitore
selezionato solo in
caso di beni
catalogati e/o
richiesta di
affidamento diretto.
Generare le richieste
di acquisto ed
indicare il fornitore
scelto solo in caso di
beni catalogati.
37 37
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Febbraio 2016
Nominativo
Area aziendale
Posizione
Database
Gestione vendor
rating
Banca Dati Portale
Fornitori
Documentazione per
incarichi
professionali sotto i
100.000 euro
Giuseppina
Petrone
Acquisti& Company
Services
Responsabile
Acquisti& Servizi
Generali
Tipo di archivio
Informatico
Informatico
Informatico
Scheda 3/5
Sistema
informativo
Processo
Aggregati di dati
Tipologia di
dato
Piattaforma
BS
Gestire i sistemi
di
qualificazione
lavori e
ingegneria
Dati del fornitore
Personale
Piattaforma
B.S.
Marketing di
acquisto
Dati del fornitore
qualificato
(elementi utili a
valutare il possesso
dei requisiti ai fini
della qualificazione)
Requisiti Soa
Oracle
Gestire gli
acquisti per
importi sotto i
100.000 euro
Dati fornitori
Motivazione
trattamento
Monitoraggio della
qualità dei servizi
erogati su segnalazione
di disservizio
dell’utenza ed
eventuale applicazioni
delle penalità
contrattualmente
previste
Personale
Ricercare i fornitori
classificati per
categoria merceologica
di appartenenza per
supportare il processo
di acquisto
Personale
Formalizzare e gestire
l'incarico professionale
Acquisizione dei CIG
c/o sito A.V.C.P.
38 38
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Febbraio 2016
Nominativo
Area aziendale
Posizione
Database
Gara
telematica/Asta
elettronica
Sopra/sotto
soglia
Indagini di
mercato
Acquisti non
perfezionati
Registro
protocollo posta
raccomandata e
prioritaria
Giuseppina Petrone
Acquisti& Company
Services
Responsabile Acquisti&
Servizi Generali
Tipo di archivio
Informatico
(Smaterializzazione del
cartaceo)
Informatico
Cartaceo
Cartaceo
Informatico
Scheda 4/5
Sistema
informativo
Piattaforma
B.S.
Piattaforma
B.S.
Processo
Gestione
acquisti
Marketing di
acquisto
Gestione
acquisti
Gestione servizi
generali
Aggregati di dati
Dati dei fornitori
qualificati
Ricerche di
mercato/indici di
comparazione/verb
ale di
aggiudicazione
Dati dei potenziali
fornitori
Dati mittente
Tipologia
di dato
Personale
Personale
Personale
Personale
Motivazione trattamento
Valutazione tecnico/economica
delle offerte pervenute in formato
digitale/comunicazione e-mail di
aggiudicazione provvisoriaverbalizzazione della gara e relativi
adempimenti
Comunicazione di aggiudicazione
c/o sito A.V.C.P., pagamento dei
MAV se previsto, Informazioni
Prefettizie
Individuare il fornitore ottimale nel
caso non siano qualificati sul Portale
almeno n. 3 fornitori con le
caratteristiche richieste – Vedi
Regolamento ciclo passivo
Storico delle procedure di acquisto
inevase
Gestione protocollo entrata ed uscita
39 39
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Febbraio 2016
Posizione
Giuseppina
Petrone
Acquisti&
Company Services
Responsabile
Acquisti& Servizi
Generali
Database
Tipo di archivio
Sistema
informativo
Processo
Aggregati di dati
Tipologia di
dato
Motivazione trattamento
Archivio
Raccomandate e
telegrammi
Informatico
Office
Gestione servizi
generali
Contenuto del testo,
destinatario e mittente
Personale
Gestione del servizio
Informatico
Nuvola
(telecom)
Gestione della
telefonia
Dati relativi al
traffico delle singole
utenze
Personale
Controllare il rispetto della
normativa aziendale da
parte dei singoli utenti
Gestione della
telefonia
Dati relativi al
traffico delle singole
utenze
Personale
Controllare il rispetto della
normativa aziendale da
parte dei singoli utenti
Gestione del parco
auto aziendale
Dati relativi a sinistri
e multe
Personale
Gestire le problematiche
connesse alla conduzione
delle auto
Gestione del parco
telefonini aziendali
Dati relativi ai numeri
ed eventuali
accadimenti
Personali
Nominativo
Area aziendale
Traffico voce e dati
connesso alla
telefonia mobile
Traffico voce
connesso alla
telefonia fissa
Gestione auto
aziendali
Gestione telefonini
aziendali
Scheda 5/5
Cartaceo
Informatico
Telcen
Blue’s
Professional
Cartaceo
Informatico
Office
Cartaceo
Informatico
Office
Comunicazioni
ODV
Cartaceo
ODV
Report mensili
Personale
Comunicazioni
ODV
Cartaceo
ODV
Report trimestrali
Personale
Gestire le problematiche
connesse alla gestione dei
telefonini
Rispetto di procedura
aziendale per acquisti sotto
i € 150.000
Rispetto di procedura
aziendale per acquisti sopra
i € 150.000
40 40
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Febbraio 2016
Nominativo
Antonio Saverese
Area aziendale
Posizione
Sicurezza e Ambiente
Responsabile medico
aziendale
Database
Tipo di archivio
Cartella medica del
dipendente
Cartaceo
Archivio Storico
Cartaceo
Classificazioni
Informatico
Scheda 1/2
Sistema
informativo
Excel
Processo
Aggregati di dati
Tipologia
di dato
Motivazione
trattamento
Documenti diagnostici da esami
esterni
Archiviare le risultanze
Documenti diagnostici da visita pre
Sorveglianza
delle visita mediche cui
assunzione
Sensibile
Sanitaria
sono stati sottoposti i
Comunicazione esito visita
dipendenti
Documenti diagnostici da visite
periodiche
Stagionali, Personale in quiescenza,
Personale selezionato e non assunto:
Archiviare le risultanze
Documenti diagnostici da esami
Sorveglianza
della visita medica di
esterni
Sensibile
Sanitaria
personale non in
Documenti diagnostici da visita pre
servizio
assunzione
Comunicazione esito visita
Archiviare per classi le
Gestione del
Dati sanitari del personale in
risultanze delle visita
Sensibile
personale
servizio
mediche cui sono stati
sottoposti i dipendenti
41 41
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Febbraio 2016
Nominativo
Antonio Saverese
Area aziendale
Sicurezza e Ambiente
Posizione
Responsabile medico
aziendale
Database
Tipo di archivio
Archivio
Convocazioni
Visite
Cartaceo
Scheda 2/2
Sistema
informativo
Processo
Gestione
programma
sanitario
aziendale
Aggregati di dati
Data e giorno convocazione
Eventuali assenze
Tipologia
di dato
Motivazione
trattamento
Personale
Avere traccia delle
convocazioni fatte i
adempimento del
programma sanitario
aziendale.
42 42
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Febbraio 2016
Nominativo
Flavia Scandone
Area aziendale
CRM
Posizione
Responsabile CRM
Scheda 1/1
Database
Tipo di archivio
Sistema
informativo
FLY YOU
Informatico
Processo
Profilazione
utenti
Aggregati di dati
Tipologia
di dato
Motivazione
trattamento
Abitudini al consumo degli utenti
Personale
Soggetto a
notifica
Gestire in maniera più
efficace i servizi al
passeggero nei
confronti dell’utente
43 43
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Febbraio 2016
Nominativo
Area aziendale
Posizione
Database
T rattenute mensili
dipendenti (trattenute
sindacali, anticipi
stipendi, cessione
Quinto, pignoramento
verso terzi)
Antonietta
Stefanile
Pianificazione e
Controllo di
gestione
Analisi Staff Cost &
Fiscale
Tipo di archivio
Informatico
Scheda 1/2
Sistema
informativo
Office
Processo
Aggregati di dati
Tipologia di
dato
Motivazione
trattamento
Elaborazione paghe
Modulo per la
cessione del
Quinto;richiesta
svincolo del 70%
della liquidazione per
acquisto caso o causa
malattia
Pignoramenti ecc.
Personale
sensibile
Identificare le trattenute
da operare mensilmente
sui salari e stipendi
44 44
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Febbraio 2016
Nominativo
Antonietta Stefanile
Area aziendale
Pianificazione e
Controllo di gestione
Posizione
Analisi Staff Cost &
Fiscale
Scheda 2/2
Database
Tipo di archivio
Sistema
informativo
Processo
Aggregati di dati
Tipologia
di dato
Motivazione
trattamento
Archivio cedolini
paga
Informatico
PDF
Elaborazione paghe
Cedolini paga per
dipendente
Personale
Archiviare i cedolini
paga dei dipendenti
Gestione del
personale
Lista dipendenti,
tipologia e importo
trattenuta
Sensibile
Cartaceo
Stampa trattenute
mensili dipendente
Informatico
PDF
Dichiarazioni 770
Cartaceo/Informatico
PDF
Gestione del
personale
Dati contributivi e
retributivi dei
dipendenti
Personale
Obbligo di legge
Riepilogativo Busta
paga
Informatico
TXT
Gestione del
personale
Dati riepilogativi busta
paga
Personale
Controlli buste paghe
Documenti a
consulente
Informatico
Office
Gestione del
personale
Dati diversi
Personale
45 45
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Febbraio 2016
Nominativo
Area aziendale
Posizione
Maria Concetta
Tufano
Internal Auditing,
Responsabile Internal
Auditing,
Componente ODV
Database
Tipo di archivio
Gestione audit
Scheda 1/1
Sistema
informativo
Processo
Aggregati di dati
Tipologia di dato
Cartaceo
Internal audit
Risultati degli audit
Personale
Gestione audit
ODV
Cartaceo
ODV
Risultati audit ODV
Personale
ODV Flussi
comunicazioni in
entrata
Informatico
ODV
Dati provenienti
dalle diverse
funzioni aziendali
Personale
Lotus notes
Motivazione
trattamento
Gestione del
processo di
auditing
Gestione del
processo di
vigilanza sul
funzionamento e
osservanza del
MOG
Processo ODV
46 46
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Febbraio 2016
Nominativo
Sandra Attadia
Elio Damiano
Onorato
Firmamento
Raffaele Lavezza
Luigi Moschetti
Massimiliano
Pecora Antonio
Trotta
Area aziendale
Operations
Posizione
ADM
Scheda 1/1
Database
Tipo di archivio
Sistema
informativo
Processo
Aggregati di dati
Safety report
Informatico
Lotus notes
Rilevazione eventi
incidentali/potenzial
mente incidentali
Descrizione evento
Documentazione di
supporto
Airport daily
report
Informatico
Lotus Notes
Controllo delle
attività operative
Descrizione eventi
Registro passaggio
consegne
Cartaceo
Controllo delle
attività operative
Cartaceo
Controllo Accessi
Cartaceo
Richieste Polaria
Autorizzazioni di
accesso
temporanee in caso
di urgenza
Registro accessi
videosorveglianza
Fuori orario di
ufficio
Descrizione
eventi/passaggio
consegne
Documentazione
occorrente per il rilascio
dei tesserini per
l’accesso temporaneo
Filmati
Motivazione
trattamento
Gestire ed avere
Personale/Sensibil
traccia degli eventi
e
incidentali
Avere traccia di
Personale
quanto accade
nell’operativo
Avere traccia di tutto
Personale
quanto accade
nell’operativo
Tipologia di dato
Personale
Rilascio del
tesserino
Personale
Security
47 47
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Febbraio 2016
I RISCHI POTENZIALI
In relazione alle attuali banche dati presenti in azienda ed al contesto organizzativo si considerano
rischi potenziali quelli descritti in tabella.
Si/No
Descrizione dell'impatto sulla sicurezza
(gravità: alta/media/bassa)
Carenza di
consapevolezza,
disattenzione o incuria
X
Alto
Comportamenti sleali o
fraudolenti
X
Alto
Errore materiale
X
Alto
X
Alto
X
Medio
Malfunzionamento,
indisponibilità o degrado
degli strumenti
X
Medio
Accessi esterni non
autorizzati
X
Basso
Accessi non autorizzati a
locali/reparti ad accesso
ristretto
X
Alto
X
Medio
X
Basso
Guasto ai sistemi di
utilities
X
Medio
Errori umani nella
gestione della sicurezza
fisica
X
Medio
Eventi relativi al contesto
Eventi relativi agli strumenti
Comportamenti degli
operatori
Rischi
Azione di virus
informatici o di
programmi suscettibili di
recare danno
Spamming o tecniche di
sabotaggio
Sottrazione di strumenti
contenenti dati
Eventi distruttivi,
naturali o artificiali,
nonché dolosi,
accidentali o dovuti ad
incuria
48
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Febbraio 2016
48
MISURE DI SICUREZZA PRIVACY AZIENDALI
M.S.P.01.
Misura di sicurezza al fine di garantire una corretta informativa
Al fine di garantire una corretta informativa è pubblicata sul sito internet Gesac
la policy privacy aziendale: La stessa è aggiornata con cadenza semestrale.
Misura a carico dell’ufficio Legale
M.S.P.02.
Misura di sicurezza al fine di garantire una corretta acquisizione di dati
personali di terzi in caso di utilizzazione degli stessi per le finalità per le
quali sono stati raccolti.
Al fine di garantire una corretta informativa e di rispettare quanto previsto dagli
art. 13 e 15 del dlgs 196/2003, ogni qualvolta Gesac provvede ad acquisire dati
di terzi per finalità di cui all’art.15 del su indicato dlgs., ivi compresi quelli
connessi alla videosorveglianza -attraverso apposita dicitura- rende noto:

il sito internet dove è possibile consultare la policy privacy Gesac;

le finalità per le quali vengono trattati i dati;

la modalità di raccolta e trattamento;

l’impegno a non trattare i dati raccolti per finalità diverse da quelli per i
quali sono stati raccolti.
Misura a carico del singoli responsabili
M.S.P.03.
Misura di sicurezza al fine di garantire una corretta acquisizione di dati
personali di terzi in caso di utilizzazione degli stessi per le finalità diverse
da quelle per le quali sono stati raccolti.
Al fine di garantire una corretta informativa e di rispettare quanto previsto dagli
art. 13 e 15 del dlgs 196/2003, ogni qualvolta Gesac intende utilizzare dati di
terzi per finalità diverse da quelle per cui sono stati raccolti -attraverso apposita
dicitura- rende noto:

il sito internet dove è possibile consultare la policy privacy Gesac;

le finalità per le quali vengono trattati i dati;

la modalità di raccolta e trattamento;

i soggetti e/o le categorie di soggetti a cui i dati verranno dati
Per poter diffondere tali dati o utilizzarli per finalità diverse provvede a farsi
autorizzare per iscritto e provvede altresì a comunicare le conseguenze di un
eventuale rifiuto.
In nessun caso Gesac trasmette a terzi dati sensibili se non per obbligo di
legge.
Misura a carico del singoli responsabili
49
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Febbraio 2016
49
M.S.P.04.
Misura di sicurezza al fine di garantire un corretto comportamento in
termini di privacy da parte di tutto il personale Gesac
Al fine di permettere a tutto il personale (stagisti, collaboratori con contratti a
progetto, interinali, assunti a tempo indeterminato/determinato) presente in
azienda di adeguare i propri comportamenti agli obblighi previsti dalla
normativa ed alle misure di sicurezza aziendali, Gesac all’atto dell’inserimento
in azienda provvede a:
 attivare user name e pw individuali per la fruizione del corso di
formazione sulla privacy in modalità e-learning;
 consegnare la lettera istruzioni a firma del titolare del trattamento
unitamente alla Policy Privacy aziendale;
 verificare che la formazione e-learning sia stata correttamente effettuata.
Misura a carico di Risorse Umane
M.S.P.05.
Misura di sicurezza per la comunicazione all’esterno di dati personali a
titolarità Gesac.
In caso di trasmissione all’esterno di dati personali a titolarità Gesac, nella
lettera/pagina di accompagnamento del documento contenente i su indicati dati,
va apposta la seguente clausola:
“Questo messaggio può contenere dati personali e/o di carattere riservato.
Ogni uso diverso da quello per cui tali informazioni vengono fornite è da
considerarsi non in linea con la normativa 196/2003 relativa al trattamento dei
dati personali e pertanto non lecito.
Nel trattare tale dati, si invita pertanto il destinatario, nel rispetto di quanto su
indicato, ad adottare tutte le misure di sicurezza più adeguate.”
Misura a carico del singoli responsabili
M.S.P.06.
Misura di sicurezza per il trattamento dei dati personali dei fornitori
Su ogni ordine/contratto di Gesac è apposta la seguente clausola
“Sul sito http:///www.gesac.it è presente l’informativa privacy di Gesac”
Misura a carico di Acquisti
M.S.P.07.
Misura di sicurezza a protezione dei dati personali a titolarità Gesac nei
confronti dei fornitori.
Su ogni ordine/contratto che per sua natura non prevede di genere il
trasferimento al fornitore di dati personali a titolarità Gesac, è apposta la
seguente clausola:
“Nell’espletamento dell’attività il fornitore potrà venire a conoscenza di
dati/informazioni la cui titolarità del trattamento, ai sensi del decreto legislativo
196/2003 sul trattamento dei dati personali, è in capo a Gesac spa. In tal caso
dovrà “trattare” i su indicati dati personali nel rispetto integrale della
normativa 196/2003 ed in particolare modo della parte relativa alle misure di
sicurezza. E’ fatto pertanto assoluto divieto di divulgare a terzi le informazioni
personali acquisite se non in adempimento di obblighi di legge o a seguito di
adempimento contrattuale con Gesac spa ed è altresì fatto obbligo di effettuare
50
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Febbraio 2016
50
ogni “trattamento” nel rispetto dei diritti dell’interessato e quindi permettere a
cura del titolare del trattamento, la cancellazione, il blocco, l’aggiornamento,
la rettifica o la modifica dei dati.”
Misura a carico di Acquisti
M.S.P.08.
Misura di sicurezza a protezione della comunicazione a fornitori dei dati
personali a titolarità Gesac.
Su ogni ordine/contratto di Gesac che prevede per sua natura il trasferimento al
fornitore di dati personali a titolarità Gesac, è apposto sull’ordine/contratto, in
luogo della clausola prevista dalla misura di sicurezza M.S.P. 07, la seguente
clausola:
“Il fornitore nell’espletamento delle sue attività tratterà dati/informazioni la cui
titolarità del trattamento, ai sensi della legge 196/2003 sul trattamento dei dati
personali, è in capo a Gesac Spa.
Tali su indicati dati personali dovranno essere trattati nel rispetto integrale
della normativa 196/03 ed in particolar modo della parte relativa alle misure
minime di sicurezza. E’ fatto pertanto assoluto divieto di divulgare a terzi le
informazioni personali acquisite se non in adempimento ad un obbligo di legge
o a seguito di adempimento contrattuale con Gesac Spa ed è altresì fatto
obbligo di effettuare ogni “trattamento” nel rispetto dei diritti dell’interessato e
quindi permettere, a cura del titolare del trattamento, la cancellazione, il
blocco, l’aggiornamento, la rettifica o la modifica dei dati.
A salvaguardia della propria posizione, Gesac SpA si riserva il diritto di
attivare nei confronti del fornitore un’attività di audit per la verifica del rispetto
integrale della normativa 196/2003, ed in particolare della presenza di
adeguate misure di sicurezza a protezione dei dati e della modalità di
trattamento dei propri dati.
Il fornitore è tenuto ad indicare, qualora quest’ultimo fosse presente nella sua
organizzazione, il nome del responsabile del trattamento dati.”
Misura a carico di Acquisti
M.S.P.09.
Misura di sicurezza al fine di garantire un corretto comportamento in
termini di privacy da parte di tutto il personale interinale.
Nel caso di contratto avente ad oggetto la fornitura di lavoro, unitamente alla
clausola di cui alla misura M.S.P. 08, è inserita la seguente clausola:
“Qualora in ottemperanza agli obblighi contrattuali, Vostro personale/Ella
dovesse svolgere l’attività presso gli uffici Gesac ed avere accesso a banche
dati contenenti dati personali, al Vostro personale/Ella è fatto obbligo di
documentarsi preventivamente sui contenuti della legge 196/2003 e seguire le
indicazioni ed istruzioni contenute nelle ISTRUZIONI che sarà tenuto a
procurarsi presso l’ufficio personale prima di iniziare l’attività lavorativa e di
seguire le indicazioni impartite dal Responsabile al trattamento dati cui i dati
fanno riferimento e di riferirsi a lui in merito alle misure di sicurezza da
adottare.”
Misura a carico di Risorse Umane
51
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Febbraio 2016
51
M.S.P.010.
Misura di sicurezza per l’acquisizione di dati personali di candidati
attraverso selezione gestita da società di selezione
Sul contratto/ordine con la società di selezione è apposta la seguente clausola:
La società affidataria si impegna a trattare i dati personali relativi ai candidati
oggetto delle attività di selezione di cui al presente contratto, nel completo
rispetto della legge 196/2003. Pertanto per tutti i dati personali che cederà a
Gesac la società affidataria avrà provveduto ad ottenere adeguata
autorizzazione dagli interessati e per ogni interessato di cui avrà fornito a
Gesac dati personali, si impegna a fornire a Gesac -in copia- adeguata
autorizzazione.
Misura a carico di Risorse Umane
M.S.P.011.
Misura di sicurezza per la corretta gestione delle banche dati personali
aziendali
Per garantire una corretta gestione delle banche dati personali aziendali, le
stesse sono mappate e codificate. Non è pertanto possibile costituire nuove
banche dati personali senza l’autorizzazione del titolare del trattamento. Nel
caso in cui nuovi processi aziendali e/o nuove procedure necessitino la
creazione di nuove banche dati aziendali ne viene data comunicazione al
Responsabile Ufficio Legale.
Con cadenza trimestrale, in occasione dell’audit privacy, i singoli responsabili
rilasciano una autocertificazione attestante la rispondenza tra le banche dati
presenti nella propria area e quelle mappate e codificate.
Misura a carico dei singoli responsabili
M.S.P.012.
Misure di sicurezza a protezione dei dati personali cartacecei
Ogni incaricato al trattamento, nel trattare documenti cartacei contenenti dati
personali non facenti parte delle banche dati aziendali:
 non riproduce mediante fotocopia o ristampa –se non quando previsto da
procedure aziendali- i documenti;
 custodisce i documenti in luoghi ad accesso selezionato e comunque non
permette la visone degli stessi a terzi;
 distrugge i documenti a valle dell’utilizzo a meno che gli stessi non
debbano concorrere ad implementare una banca dati già esistente e
codificata.
Misura a carico dei singoli responsabili
M.S.P.013.
Misure di sicurezza a protezione fisica delle banche dati personali cartacee
A protezione delle banche dati cartacee le stesse vanno archiviate in armadi con
serratura. Qualora uno dei documenti in esse contenute dovesse essere “trattato”
da un incaricato, il Responsabile a cui tale banca dati fa riferimento ha cura di
verificare che lo stesso, a valle del trattamento, venga nuovamente archiviato
nella banca dati di appartenenza.
Misura a carico dei singoli responsabili
52
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Febbraio 2016
52
M.S.P.014.
Misure di sicurezza a protezione fisica contro il rischio di intrusione nei
luoghi dove sono custodite banche dati e dati cartacei.
A protezione dei luoghi dove sono custodite banca dati personali e/o dati
personali, l’accesso a tali luoghi è garantito attraverso un sistema selezionato di
controllo accessi.
Misura a carico di Airport Security e Services Office
M.S.P.015.
Misura di sicurezza per l’utilizzo della videosorveglianza
Alfine di rispettare appieno la normativa privacy in materia di
videosorveglianza Gesac adotta i seguenti accorgimenti:
 prima di avviare un nuovo trattamento ne verifica la liceità in base alle
norme vigenti;
 informare le persone soggette a ripresa della presenza di attrezzature di
video sorveglianza mediante appositi cartelli;
 effettuare le riprese in maniera congrua rispetto agli obiettivi prefissati,
raccogliendo esclusivamente i dati strettamente necessari per il
raggiungimento delle finalità perseguite, registrando le sole immagini
indispensabili, limitando l'angolo visuale delle riprese, evitando -quando
non indispensabili- immagini dettagliate, ingrandite o dettagli non
rilevanti;
 stabilisce con precisione entro quanto tempo le immagini devono essere
cancellate e prevede la loro conservazione solo in relazione ad illeciti
che si siano verificati o ad indagini giudiziarie o di polizia;
 individua con designazione scritta le persone che possono utilizzare gli
impianti e prendere visione delle registrazioni;
 impedisce l'accesso alle immagini da parte di persone non autorizzate;
Misura a carico di Airport Security e Services Office
M.S.P.016.
Misura di sicurezza a protezione dei dati personali raccolti mediante sistemi di
localizzazione dei veicoli nell'ambito del rapporto di lavoro per soddisfare esigenze
organizzative, produttive ovvero per la sicurezza sul lavoro
Affinché i suddetti dati siano trattati nel rispetto di quanto previsto dal dlgs.
196/2003 e di quanto previsto dal provvedimento del Garante n. 370 del 4 ottobre
2011

Su ogni automezzo soggetto a geo localizzazione va apposta una
informativa sulla falsariga di quanto disposto nel su indicato
provvedimento del Garante ;

I dati personali legati a tale attività non potranno essere conservati per un
periodo superiore a 60 giorni e saranno cancellati automaticamente dai
sistemi informativi entro tale periodo di tempo.

I dati potranno essere utilizzati esclusivamente per le finalità connesse a
quanto previsto dal regolamento aeroportuale.

La geo localizzazione sarà effettuata esclusivamente all’interno del
sedime aeroportuale.
53
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Febbraio 2016
53

Il trattamento di tali dati dovrà essere adeguatamente notificato al
Garante.

Tutte le risorse aziendali (Responsabile ed incaricati) riceveranno
adeguata istruzione circa il provvedimento del Garante n. 370 del 4
ottobre 2011
Misura a carico dell’airfied manager
M.S.P.017.
Misura di sicurezza per l’attuazione della normativa 196/2003 in relazione agli Organi
Societari ed Assembleari
Alfine di rispettare appieno la normativa privacy nei confronti di tutti gli organi
societari ed assembleari sia in termini di informativa che di istruzioni, Gesac
provvede a consegnare ad ogni titolare di incarico societario o assembleare –
all’atto della nomina- apposita comunicazione denominata “Informativa agli
Organi Societari e di Controllo”
Misura a carico di Affari Societari & Servizi Generali
M.S.P.018.
Misura di sicurezza a protezione del sistema privacy aziendale
Al fine di garantire un efficace gestione del sistema privacy aziendale, sono
state definite le seguenti procedure interne:

con cadenza annuale viene rivisitato il sistema di responsabilità al fine di
verificarne la rispondenza con l’assetto organizzativo;

con cadenza trimestrale viene effettuato un audit tra i singoli responsabili
al fine di verificare il rispetto dell’attuazione delle misure di sicurezza;
 con cadenza annuale viene realizzato il DPS.
Misura a carico di Legale
M.S.P.019.
Misura di sicurezza a protezione della privacy informatica
Al fine di garantire il rispetto della deliberazione n. 13 dell 2007 emanata dal
Garante, Gesac provvede ad aggiornare e rendere noto a tutti i propri dipendenti
il Regolamento informatico e si adopera affinché le norme in esso contenute
vengano rispettate da tutti gli utilizzatori delle risorse informatiche
Misura garantita a cura di ICT Security
M.S.P.020. Misura di sicurezza a protezione dell’accesso da parte di non autorizzati
delle banche dati informatizzate.
Affinché abbiano accesso alle singole banche dati personale esclusivamente gli
incaricati al trattamento specificatamente preposti a ciò

ogni incaricato provvede a cambiare la propria pw di accesso ogni sei
mesi nel caso in cui abbia accesso a dati personali ordinari e ogni tre
mesi nel caso in cui abbia accesso a dati personali particolari;

ogni incaricato deve provvedere ad attivare sulla propria postazione
informatizzata lo screen saver con pw.
Misura a carico dei singoli responsabili
54
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Febbraio 2016
54
M.S.P.021. Misura di sicurezza a protezione delle banche dati informatizzate contro il
rischio di malfunzionamento, indisponibilità o degrado degli strumenti,
Al fine di garantire un corretto funzionamento della rete intranet e dei server
centralizzati contenenti banche dati personali in Gesac è applicato il programma
di manutenzione programmata di seguito specificato.
Gestione del Dominio di Windows
 Monitoraggio, manutenzione e aggiornamento dei S.O. server
 Backup, Ripristino e Pianificazione del monitoraggio di Active Directory
 Creazione, modifica e configurazione di oggetti Criteri di gruppo (GPO)
 Configurazione e modifiche delle condizioni per l'applicazione dei Criteri di
gruppo
 Verifica dei Criteri di gruppo e risoluzione dei problemi relativi
 Distribuzione del software
 Configurazione, manutenzione e aggiornamento del software distribuito
 Configurazione e modifiche all’accesso alle stampanti gestite da active
directory
 Gestione della memorizzazione dei dati e delle risorse hardware
 Risoluzione dei problemi relativi
 Pianificazione strategica
Gestione dei Log
 Audit, reporting e scheduling dei file di log per:
 Accesso alle PDL,
 accesso ad internet,
 accesso alla posta elettronica,
 web server,
 mail server,
 event viewer dei server aziendali,
 proxy
 filtraggio siti
Gestione Backup
 Pianificazione della politica di Backup aziendale
 Gestione delle politiche di Backup e di Ripristino sui server aziendali di
produzione e di testing
Router, collegamenti VPN/sicurezza
 Configurazione e manutenzione dei router aziendali
 Gestione, configurazione e aggiornamento del software proxy per l’accesso
ad internet
 Gestione, configurazione e aggiornamento del software di filtraggio dei siti
web vietati e risoluzione delle problematiche inerenti all’accesso ai siti web
 Monitoraggio, gestione ed eventuali risoluzione di problematiche di
sicurezza inerenti a router e
 Gestione, configurazione e monitoraggio del servizio “Windows Server
Update Services” per tutte le
 postazioni della rete aziendale
55
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Febbraio 2016
55
 Gestione, configurazione e monitoraggio del sistema antivirus “CA ETrust ”
per tutte le postazioni della rete aziendale
 Gestione, configurazione e monitoraggio delle area aziendali dei dati
sottoposti a “Privacy” e gestione dell’integrità e conservazione degli stessi
Servizi Internet, DNS, Mail e Web Server
 Gestione, manutenzione e aggiornamento del servizio DNS interno su
Microsoft Windows 2000 Server
 Gestione, manutenzione e aggiornamento del servizio Web (Oracle Portal)
su Microsoft Windows 2000 Server
 Gestione, manutenzione e aggiornamento del servizio Mail Interna su Lotus
Domino Windows 2000 Server
Sulla infrastruttura tecnologica che ospita le banche dati informatizzate adeguate
misure informatiche software e hardware impediscono che le su indicate banche
dati vadano perse o risultino anche temporaneamente inaccessibili. (Piano di
desaster & recovery)
Misura garantita a cura di ICT Security
M.S.P.022. Misura di sicurezza a protezione delle banche dati informatizzate contro il
rischio di accessi esterni non autorizzati e contro il rischio intrusione e
dall’azione di programmi di cui all’art. 615 quinques del codice penale
Sulla infrastruttura tecnologica che ospita le banche dati informatizzate, adeguate
misure informatiche software e hardware impediscono che le stesse risultino
danneggiate o violate attraverso le azioni di cui in oggetto.
Misura garantita a cura di ICT Security.
M.S.P.023. Misura di sicurezza a protezione dei server contro il rischio fisico di
intrusione.
I server su cui sono archiviate le banche dati personali sono custoditi in luoghi
chiusi a chiave e l’accesso agli stessi è permesso esclusivamente a personale
autorizzato.
Misura garantita a cura di ICT Security.
M.S.P.024. Misura di sicurezza in applicazione di quanto disposto dal Provvedimento
del Garante pubblicato sulla G.U. del 24/12/2008 avente ad oggetto nuovi
obblighi a carico degli amministratori di sistema
In Gesac le attività IT sono affidate tutte in outsourcing.
Al fine di garantire una corretta applicazione del provvedimento in oggetto,
Gesac oltre ad acquisire una dichiarazione di responsabilità da parte dei fornitori,
circa le modalità di applicazione del predetto provvedimento, effettua con
cadenza annuale un audit volto alla verifica della congruenza o meno tra quanto
indicato nella dichiarazione di responsabilità e quanto realmente messo in essere.
In particolare ad ogni fornitore viene espressamente richiesto di predisporre
sistemi idonei alla registrazione degli accessi logici (autenticazione informatica)
ai sistemi di elaborazione e agli archivi elettronici (nella qualità di
“amministratore di sistema”); tali registrazioni (access log) devono avere
56
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Febbraio 2016
56
caratteristiche di completezza, inalterabilità e possibilità di verifica della loro
integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste.
Misura garantita a cura di ICT Security
M.S.P.025. Misura di sicurezza in applicazione di quanto disposto dal Provvedimento
del Garante del 2 marzo 2011riguardante il trattamento di dati personali contenuti anche
in atti e documenti amministrativi, effettuato da soggetti pubblici per finalità di
pubblicazione e diffusione sul web “.
Tutti i documenti e le informazioni che Gesac ritiene di dover pubblicare sul
proprio sito WEB in adempimento di specifici obblighi normativi saranno
formattati con una filigrana in sottofondo contenente il logo Gesac e la data di
pubblicazione in modo da renderli quanto meno decontestualizzabili.
La pubblicazione avverrà inoltre seguendo procedure tecniche che impediscano la
duplicazione automatica di tali documenti su server esterni
Misura garantita a cura di ICT Security
57
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Febbraio 2016
57
POLICY INFORMATICA AZIENDALE
MSP 018 ai sensi della Deliberazione del Garante sulla privacy n.13 del 1° marzo 2007
58
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Febbraio 2016
58
Premessa
La presente policy, esprime i principi ispiratori del modello informatico aziendale, stabilisce le
modalità e i termini di utilizzo delle risorse informatiche da parte degli utenti, definisce, altresì, i
sistemi di controllo e le misure di sicurezza informatiche che, ai sensi del decreto legislativo
196/2003 “trattamento dei dati personali”, l’azienda adotta.
I Principi Ispiratori del modello informatico aziendale
Tutte le risorse informatiche SW e HW in uso in azienda, unitamente ai dati- personali e non- in
esso memorizzati, sono di esclusiva proprietà aziendale e pertanto ogni uso che non sia strettamente
connesso alla finalità per cui le stesse sono date in uso ai differenti utenti è vietata.
In relazione a ciò l’azienda, tramite i Sistemi Informativi, si fa carico di garantire che i dati trattati
informaticamente siano sempre esatti e rispondenti alle specifiche funzionali ed in linea con quanto
definito dai principi di correttezza e trasparenza.
Tutte le attività di sviluppo sw recependo quanto previsto dalle deliberazioni del Garante sulla
privacy sono orientate al principio di necessità e riducono al minimo l’utilizzazione dei dati
personali.
L’azienda tramite i Sistemi Informativi provvede a fare in modo che vengano rispettati i diritti di
copyright relativi ai software.
L’uso personale ed esclusivo delle credenziali di accesso rappresenta lo strumento principe
attraverso il quale l’azienda garantisce - lato utente - che l’accesso alle risorse aziendali avvenga nel
rispetto di quanto previsto e dalle misure di sicurezza della privacy. A tal proposito si adopera
affinché sia diffusa al proprio interno una cultura che faccia del rispetto della riservatezza della
proprie credenziali di accesso uno strumento cardine per l’accesso e l’utilizzo in sicurezza delle
risorse informatiche.
I Sistemi Informativi garantiscono altresì che l’accesso alle funzioni ed ai dati avvenga attraverso
un sistema di abilitazioni, tramite password rilasciata a chi, in funzione dei ruoli definiti dai
processi aziendali, sia il legittimo titolato, e ne assicura nel tempo il rispetto e l’aggiornamento.
Le modalità di utilizzo delle risorse informatiche da parte degli utenti
1. Norme relative all’utilizzo della propria postazione informatizzata
La propria postazione di lavoro informatizzata può essere utilizzata esclusivamente per
finalità aziendali e nell’utilizzo della stessa è fatto obbligo di rispettare le norme di seguito
descritte.
a. E’ consentito accedere alla rete GESAC aziendale esclusivamente mediante l’utilizzo di
postazioni di lavoro informatizzate fisse collegate in rete.
b. Onde evitare il grave pericolo di introdurre virus informatici nonché di alterare la
stabilità delle applicazioni dell'elaboratore, non è consentito installare programmi
provenienti dall'esterno.
c. Non è consentito l'uso di programmi non distribuiti ufficialmente dai Sistemi Informativi
(v., in proposito, gli obblighi imposti dal dlgs 29 dicembre 1992, n. 518, sulla tutela
59
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Febbraio 2016
59
d.
e.
f.
g.
giuridica del software e dalla legge 18 agosto 2000, n. 248, contenente nuove norme di
tutela del diritto d'autore).
Non è consentito utilizzare strumenti software e/o hardware atti a interpretare,
falsificare, alterare o sopprimere il contenuto di comunicazioni e/o documenti
informatici.
Non è consentito modificare le configurazioni definite dai Sistemi Informativi ed
impostate sul proprio PC.
Non è consentito upgradare/integrare la propria postazione di lavoro ne introdurre in
azienda hw di proprietà personale.
Attraverso la propria postazione di lavoro non è consentito estrarre dati se non per
finalità lavorative: qualora tale estrazione fosse prevista, non è consentito portare i dati
estratti all’esterno della propria sede lavorativa fatta salva autorizzazione aziendale.
h. E’ fatto obbligo di cambiare la propria password di accesso almeno ogni 6 mesi.
i. E’ fatto obbligo di attivare sulla propria postazione informatizzata lo screen saver con
password.
j. E’ fatto obbligo di rispettare tutte le misure di sicurezza della privacy previste
dall’azienda
2. Norme relative all’utilizzo della rete internet
L’accesso ad internet è subordinato ad una specifica autorizzazione. Coloro i quali hanno
accesso ad internet sono tenuti al rispetto delle seguenti norme
a. non è consentito navigare in siti non attinenti allo svolgimento delle mansioni assegnate;
b. non è consentita l'effettuazione di ogni genere di transazione finanziaria ivi compreso le
operazioni di remote banking, acquisti on-line e simili per scopi personali;
c. non è consentito lo scarico di software gratuiti (freeware) e shareware, di musica, filmati
e quanto altro prelevato da siti internet;
d. è vietata ogni forma di registrazione a siti i cui contenuti non siano legati all'attività
lavorativa; qualora detta registrazione fosse dettata da finalità lavorative, la stessa deve
essere preventivamente autorizzata.
e. non è permesso l'utilizzo di chat line, di bacheche elettroniche e le registrazioni in guest
book anche utilizzando pseudonimi (o nickname);
f. non è consentita ne la consultazione, ne la memorizzazione di documenti informatici di
natura oltraggiosa e/o discriminatoria per sesso, lingua, religione, razza, origine etnica,
opinione e appartenenza sindacale e/o politica.
Al fine di garantire il rispetto di tali norme di utilizzo i Sistemi informativi attraverso
strumenti software automatici provvedono a definire una lista di siti o di categorie di siti
considerati non correlati con la prestazione lavorativa ed ad inibirne il relativo accesso.
3. Norme specifiche relative all’utilizzo della Posta elettronica:
La posta elettronica è uno strumento di lavoro e l’attivazione di una casella di posta
elettronica è subordinata a specifica autorizzazione aziendale ed è strettamente personale.
Coloro i quali hanno avuto configurato dall’azienda un proprio indirizzo aziendale di posta
elettronica sono tenuti al rispetto delle seguenti norme:
60
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Febbraio 2016
60
a. non è consentito utilizzare la posta elettronica per motivi non attinenti allo svolgimento
delle mansioni assegnate;
b. non è consentito inviare o memorizzare messaggi (interni ed esterni) di natura
oltraggiosa e/o discriminatoria per sesso, lingua, religione, razza, origine etnica,
opinione e appartenenza sindacale e/o politica;
c. la posta elettronica diretta all'esterno della rete intranet aziendale può essere intercettata
da estranei e, dunque, è opportuno non usarla per inviare documenti di lavoro
«strettamente riservati»;
d. qualora vengano ricevute e-mail inviate da destinatari sconosciuti o aventi un contenuto
poco chiaro è opportuno non aprire eventuali files allegati ed i caso di dubbi è
consigliabile rivolgersi ai Sistemi Informativi.
4. Norme relative all’utilizzo di dispositivi esterni per il servizio di consultazione della
posta elettronica aziendale al di fuori della propria postazione lavorativa, firma
digitale, ecc.
a. Per i possessori di kit Firma digitale, non lasciare incustodito o in luogo non riservato
l’apparato hw che consente l’utilizzo del servizio;
b. rispettare le procedure aziendali previste per l’utilizzo dell’apparato
c. rispettare le specifiche misure di sicurezza della privacy di tipo aziendali previste
dall’azienda.
I Sistemi di controllo
Al fine di far rispettare le su indicate modalità di utilizzo delle risorse informatiche, l’azienda si
riserva –attraverso la funzione sistemi informativi- di effettuare controlli generici su tutti gli utenti
relativamente alle ore di navigazione, al numero di e-mail ed allo spazio di memoria occupato nella
propria area riservata sui server aziendali. Qualora tali controlli (non invasivi e rispettosi della
privacy personale) dovessero evidenziare particolari anomalie d’uso, previa comunicazione ai
diretti interessati, l’azienda si riserva il diritto di effettuare controlli mirati e specifici volti a
verificare i contenuti di tali anomalie.
A salvaguardia della sicurezza informatica, l'azienda si riserva altresì la facoltà di procedere alla
rimozione di ogni file o applicazione installati in violazione della presente policy
61
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Febbraio 2016
61
Descrizione dei rischi
contrastati
Trattamenti
interessati
Misure
Comportamenti degli operatori
 MSP 04
Carenza di
consapevolezza,
disattenzione o incuria
Tutti i trattamenti
Comportamenti sleali o
fraudolenti
1. Tutti i
trattamenti
2. Trattamenti
informatizzati
 MPS 018, 019, 020, 21, 22,
Tutti i trattamenti
MPS 04
Errore materiale
 MSP 017
Misura da
adottare
Tipo
di
rischio
Misura già
in essere
LE MISURE DI SICUREZZA ADOTTATE E QUELLE DA ADOTTARE
Struttura o persone addette
all'adozione
Misure già in
Misure da
essere
adottare
1. Legale & Acquisti
X
2. Legale & Acquisti
 MSP 04, 013, 014, 015,
016, 017
X
1. Legale & Acquisti
2. Responsabile IT
Secutity
X
Legale & Acquisti
23
62
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Febbraio 2016
62
Trattamenti
interessati
Misure
Misura da
adottare
Descrizione dei rischi
contrastati
Misura già
in essere
Tipo di
rischio
Struttura o persone addette
all'adozione
Misure già in
Misure da
essere
adottare
Eventi relativi agli strumenti
Azione di virus
informatici o di
programmi suscettibili di
recare danno
Trattamenti
informatizzati
MSP 018, 021
X
1. Responsabile
Sicurezza IT
2. Incaricati
3. Responsabile
Sicurezza IT
Spamming o tecniche di
sabotaggio
Trattamenti
informatizzati
MSP 018, 021 , 023
X
1. Responsabile
Sicurezza IT
2. Incaricati
Malfunzionamento,
indisponibilità o degrado
degli strumenti
Trattamenti
informatizzati
MSP 020
X
1. Responsabile
Sicurezza IT
X
1. Responsabile
Security
2. Responsabile
Sicurezza IT
3. Incaricati
4. Responsabile
Sicurezza IT
Accessi esterni non
autorizzati
Trattamenti
informatizzati
MSP 018, 019, 022, 023
63
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Febbraio 2016
63
Trattamenti
interessati
Misure
Accessi non autorizzati a
locali/reparti ad accesso
ristretto
Tutti i trattamenti
MSP 014
X
Responsabile Security
X
1. Responsabile
Security
2. Responsabile
Sicurezza IT

1. Tutti i trattamenti
Eventi relativi al contesto
Sottrazione di strumenti
contenenti dati
2. Trattamenti
informatizzati su
server
centralizzato

Misura da
adottare
Descrizione dei rischi
contrastati
Misura già
in essere
Tipo di
rischio
Struttura o persone addette
all'adozione
Misure già in
Misure da
essere
adottare
MSP 013
MSP 018; 022
Eventi distruttivi, naturali
o artificiali, nonché
dolosi, accidentali o
dovuti ad incuria
Tutti i trattamenti
Piano aziendale di safety
X
Responsabile
Aziendale della
Sicurezza
Guasto ai sistemi di
utilities
Trattamenti
informatizzati
MSP 020
X
Responsabile
Sicurezza IT
Errori umani nella
gestione della sicurezza
fisica
Tutti i trattamenti
MSP 04
X
Legale & Acquisti
64
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Febbraio 2016
64
IL PIANO DI FORMAZIONE AZIENDALE
Descrizione sintetica degli
interventi formativi
Classi
di
incaricati
Attività di sensibilizzazione
sulle
tematiche
della
privacy, descrizione delle
misure
di
sicurezza
aziendali
mediante
la
consegna di un documento
informativo/formativo
e
l’effettuazione di un corso
di formazione in modalità elearning con verifica finale
del
livello
di
apprendimento.
Realizzato
all'atto
Tutti i dipendenti dell'attivazione delle misure
aziendali che trattano di sicurezza aziendali e per i
dati personali.
nuovi
assunti
all’atto
dell’assunzione.
Attività di formazione sulla
legge 196/2003, sul sistema
di responsabilità Gesac e
sulle misure di sicurezza
aziendali
I Responsabili
trattamento
Attività di formazione sulla
legge 196/2003, sul sistema
di responsabilità Gesac e
sulle specifiche misure di
sicurezza aziendali
Gli
addetti
al
trattamento
dati
nell’ambito
della All’atto
dell’affidamento
videosorveglianza
e dell’incarico
del trattamento dati
dipendenti
Tempi previsti
del All’atto
dell’affidamento
dell’incarico
65
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Febbraio 2016
65
La videosorveglianza in Gesac
66
Gesac S.p.A.- D.Legisl. 196/2003
Documento Programmatico della Sicurezza
Febbraio 2016
66