Comune di Bucine
Via Vitelli, 2 52021 Bucine (AR)
RELAZIONE DEL RPD-DPO
16.11.2020
Sommario
Formalizzazione ... 3
Periodo di riferimento ... 3
Leggi, regolamenti, provvedimenti linee guida e norme cogenti di riferimento ... 3
Input alla presente relazione: ... 3
Output attesi: ... 4
Stato aggiornamento dei Regolamenti, documentazione e moduli di sistema ... 4
Rapporti di audit ... 5
Audit interni e Relazioni del RPD ... 5
Osservazioni del Responsabile protezione dati in merito a quanto sopra rilevato e ad altri punti critici emersi nei sopralluoghi effettuati e/o negli incontri intercorsi con le funzioni ... 7
Risultati degli audit e delle verifiche ispettive da parte di enti o di seconda parte ... 10
Rapporti e segnalazione responsabili esterni del trattamento ... 10
Non conformità, azioni correttive e investigazione degli incidenti e data breach ... 10
Violazioni dei dati personali e incidenti di sicurezza che si sono verificati nel periodo in esame (Registro incidenti) ... 11
Gestione di richieste di accesso degli interessati e dell’Autorità di controllo ... 11
Gestione del personale, formazione, partecipazione e consultazione ... 12
Sopralluoghi e incontri effettuati dal RPD nel periodo dicembre 2019 – novembre 2020 ... 12
Verbalizzazione Relazione del RPD-DPO, Riesame e piano di miglioramento della Direzione ... 12
Formalizzazione
DATA: OGGETTO: Relazione del RPD-DPO relativo al Sistema di Gestione Protezione Dati Personali (SGPDP)
Periodo di riferimento
Nel presente riesame vengono analizzati gli adempimenti in tema di protezione dei dati personali come definiti dal Reg. UE 2016/679 nel periodo dall’accettazione dell’incarico per Responsabile protezione dati pro-tempore del 28 ottobre 2019 al 31 ottobre 2020.
Leggi, regolamenti, provvedimenti linee guida e norme cogenti di riferimento
Regolamento UE 2016/679 (Protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati)
D.Lgs. 196 del 30 Giugno 2003 (Codice della Privacy) così come modificato dal D.Lgs.
101/2018
“Handbook on Security of Personal Data Processing" di ENISA revisione del dicembre 2017
Codici deontologici emanati dall’Autorità Garante
Provvedimenti generali del Garante per la protezione dei dati personali
Autorizzazioni generali emanate dall’Autorità Garante
Linee guida emanate dall’Autorità Garante
Linee guida emanate dal Gruppo di lavoro sulla tutela delle persone fisiche con riguardo al trattamento di dati personali ex. Art. 29 per la protezione dati (WP)
Linee guida emanate dall’EDPB (European Data Protection Board)
Line guida e codici deontologici di settore eventualmente applicabili
Input alla presente relazione:
- Stato aggiornamento Politica del Sistema, documenti e moduli di Sistema; Policy e istruzioni operative adottate, modulistiche presenti, regolamenti e disciplinari, registro dei trattamenti, registro accessi e data breach
- Stato delle azioni relative a precedenti verbali e audit del DPO
- Risultati degli audit e delle verifiche ispettive da parte di enti o di seconda parte - Rapporti e segnalazione responsabili esterni del trattamento
- Cambiamenti dei fattori esterni o interni che sono rilevanti per il Sistema di Gestione Protezione Dati Personali
- Analisi dei rischi e DPIA attuate o aggiornate
- Stato dei contratti con i responsabili esterni ex. Art. 28 - Aggiornamento Registro trattamenti
- Non conformità, azioni correttive e investigazione degli incidenti e data breach - Gestione di richieste di accesso degli interessati e dell’Autorità di controllo
- Verbali di riunioni interne e con soggetti esterni in tema protezione dati personali - Gestione del personale, formazione, partecipazione e consultazione
- Risultati del monitoraggio e della misurazione
Output attesi:
Nel corso della presente relazione saranno suggerite decisioni relativamente a:
- Opportunità di miglioramento
- Esigenze di implementazione o modifiche al Sistema di Gestione Protezione Dati Personali
Stato aggiornamento dei Regolamenti, documentazione e moduli di sistema
Il titolare deve stabilire le azioni necessarie per il miglioramento e la modifica delle attività di trattamento dei dati personali ICT. Tali decisioni possono includere modifiche alla politica per la protezione dei dati personali, alle procedure o alla tecnologia;
Il Sistema di documentazione adottato dal Comune di Bucine per gestire il SGPDP prevede l’aggiornamento periodico di Regolamenti, Procedure, Istruzioni operative, Modulistiche.
Inoltre devono essere periodicamente aggiornate le documentazioni relative alla normativa cogente, secondo necessità.
Alla data di accettazione dell’attuale incarico sono stati rilevati i seguenti documenti elaborati dal precedente RPD e dal Segretario comunale:
- Informative suddivise per settore di riferimento - Istruzioni operative privacy
- Registro attività di trattamento - Lettere di nomina
- Regolamento comunale in materia di protezione dei dati personali - Regolamento comunale in materia di videosorveglianza
- Censimento misure di sicurezza redatto dall’Amministratore di sistema - Materiale didattico per la formazione degli addetti
- Un piano di attività per l’implementazione e adeguamento del sistema di gestione privacy del Comune
Dall’analisi della documentazione sopra indicata si è rilevato che:
- Non è stata effettuata una valutazione del rischio del trattamento dei dati ed eventuali valutazioni di impatto sui trattamenti critici
- Il registro dei trattamenti non è stato realizzato come unico documento ma come documento distribuito ai vari uffici, con importanti criticità di aggiornamento, compilazione, reperimento
- Le lettere di nomina sono personali e non per funzione o subordinate ad un funzionigramma e quindi sovente obsolete o non adeguate
- Non è presente un organigramma privacy
- Non è presente una mappatura dei Responsabili del trattamento ex. Art. 28 ne è presente una mappatura dei titolari autonomi o destinatari dei trattamenti
- Il regolamento comunale in materia di videosorveglianza è obsoleto e non più adeguato alla richiesta normativa
- Il Regolamento comunale in materia di protezione dei dati personali richiede alcune modifiche e integrazioni
- Il sito internet del Comune risulta obsoleto e da verificare nella sua struttura e nelle misure di sicurezza adottate
Inoltre in relazione all’Amministratore di sistema, lo stesso si è dimissionato ed è stato sostituito da una società esterna che effettua interventi a chiamata.
Nella fase iniziale, malgrado le difficoltà emerse a causa della pandemia da COVID 19 sono state aggiornate o redate ex novo le seguenti documentazioni di sistema:
Registro dei trattamenti aggiornato in revisione 02
Valutazione dei rischi e di impatto per la protezione dei dati
Mappati parzialmente i responsabili esterni del trattamento
Redatto un fac simile di atto di nomina responsabile esterno del trattamento
Redatto in versione aggiornata il Regolamento comunale in materia di protezione dei dati personali (in attesa approvazione)
Redatto in versione aggiornata il Regolamento comunale in materia di videosorveglianza
Redatta informativa sulla videosorveglianza
Redatto fac simile modulo istanza di accesso alle immagini oggetto di videosorveglianza
Redatto Nomina Responsabile interno del Trattamento Dati della Videosorveglianza del Comune di Bucine
Redatto informativa per il documento Prodotti turistici dell’ambito turistico “Valdarno”.
Manifestazione di interesse.
Redatto informativa per il documento Regolamento cimiteriale
Redatto 2 pareri circa il trattamento dei dati in relativi alla pandemia da COVID 19
Erogato parere circa gli obblighi di riservatezza e protezione dei dati personali nell’ambito delle determine di Giunta
Erogato parere circa gli obblighi di riservatezza e protezione dei dati personali negli accessi agli atti dell’ufficio edilizia
Erogato parere circa gli obblighi di riservatezza e protezione dei dati personali nelle ordinanze contingibili e urgenti e relative al Codice della strada
Mappato organigramma privacy del Comune
Redatto moduli aggiornati:
o Informativa COVID 19
o Informativa semplificata per i cittadini o Informativa generale del comune
o Informativa breve da inserire nei piè di pagina dei documenti
Redatta Istruzione operativa per il diritto di accesso dei cittadini
Redatta istruzione operativa in merito allo smart working
Rapporti di audit
Gli audit sono uno strumento atto a garantire che il Sistema di Gestione per la Protezione dei Dati Personali sia tenuto sotto controllo
Audit interni e Relazioni del RPD
Le verifiche interne vengono svolte dal RPD oppure da consulenti esterni in possesso di adeguata esperienza e formazione.
Gli audit e le relazioni rilevati come attività effettuate dal precedente RPD e dagli amministratori di sistema sono stati effettuati come riportato nella tabella sottostante.
Processo Funzione valutata Data effettiva
Verifica sistema informatico comunale da parte dell’Amministratore di sistema
Infrastruttura informatica
2018 (non datato) Verifica interna documentazione di sistema e delle
registrazioni – relazione del DPO Dott. Chioccioli Tutte 15/07/2019 Verifica dei sistemi informatici da parte di TBS IT Infrastruttura
informatica 12/10/2020
La verifica del 15/07/2019 da parte del Dott. Chioccioli ha messo in evidenza le seguenti non conformità o osservazioni:
1. Scarsa partecipazione del personale dell’Amministrazione alle attività richieste e scarsa promozione da parte dei vertici della stessa nella promozione dei comportamenti adeguati in tema di protezione delle informazioni
2. Mancanza della definizione di un referente privacy per ogni ufficio e settore (con particolare riferimento alla necessità di allertare il DPO in caso di problematiche o perdite di dati)
3. Mancato ricevimento del registro dei trattamenti compilato da parte di molti uffici e settori
4. Mancata consegna delle lettere di designazione al trattamento ai vari soggetti interessati
5. Mancata sicurezza fisica dei vari locali in cui sono trattati i dati in formato cartaceo 6. Mancata gestione delle chiavi di accesso ai locali del Comune
7. Mancata messa a disposizione dell’utenza delle informative privacy obbligatorie 8. Mancata nomina dei responsabili esterni del trattamento
9. Mancata o errata gestione delle cartelle condivise sui server
10. Mancata nomina di un Amministratore di sistema (citato Denny Faltoni) 11. Livello di protezione all’accesso ai PC insufficiente o inadeguato
12. Mancata implementazione del Certificato SSL sul sito internet del Comune 13. Sezione sito “segnalazioni” non correttamente implementata
14. Tempo conservazione dai sul Registro dei trattamenti non correttamente inserito 15. Base giuridica del trattamento sul Registro dei trattamenti non correttamente inserita La verifica del 12/10/2020 da parte di TBS IT ha messo in evidenza le seguenti non conformità o osservazioni:
1. Una grave criticità relativa ai backup in quanto non è presente:
a. Un programma adeguato e idoneo alla gestione automatica degli stessi b. Il sistema attualmente adottato non è pienamente conforme al GDPR c. In caso di criticità il recupero dei dati non è garantito
d. Alcune unità di backup sono guaste e non funzionanti
e. I sistemi ancora funzionanti, in caso di guasto potrebbero portare alla perdita totale dei dati
f. I dischi di backup non sono protetti in caso di furto o azioni di ingegneria sociale g. Alcuni dischi di lavoro sui server e sui NAS risultano danneggiati e ad alto rischio di
perdita dei dati
2. Il gruppo di continuità elettrica a protezione dei server (UPS) è del tutto inadeguato rispetto ai server protetti e non ne è garantita ne verificata la reale efficienza delle batterie
3. Antivirus: è presente un programma con licena scaduta e mancato rinnovo della protezione dal 2014. In alcuni terminali sono presenti antivirus più o meno gratuiti che non garantiscono protezione né aggiornamento costante
4. PEC: solamente una delle 11 caselle PEC del Comune garantisce la conservazione digitale obbligatoria imposta da AGID. Pertanto le altre caselle subiscono il rischio di perdita totale delle PEC non archiviate. Dato che il Comune ha un accordo con la società Halley per la conservazione elettronica sostitutiva effettuata a norma di legge, deve essere verificato con Halley stesso che questa attività venga fatta in maniera corretta.
Osservazioni del Responsabile protezione dati in merito a quanto sopra rilevato e ad altri punti critici emersi nei sopralluoghi effettuati e/o negli incontri intercorsi con le funzioni
Rispetto a quanto sopra rilevato, gli interventi correttivi sono stati sporadici e marginali e, a causa della dichiarazione dello stato di pandemia da COVID 19, non è stato possibile effettuare interventi strutturati di risoluzione delle non conformità emerse.
In aggiunta a quanto sopra detto, è inoltre emerso che:
1. È necessario predisporre sui sistemi server del Comune una sezione dedicata alla protezione dei dati personali, con:
a. Diritto di accesso in lettura, scrittura, modifica e cancellazione per il Responsabile per la protezione dati
b. Diritto di accesso in lettura e copia dei documenti per i referenti dei vari uffici e funzioni
2. Relativamente ai server, gli stessi soffrono di criticità fisiche e di una criticità logiche:
a. Criticità fisica: i server sono collocati nell’ingresso della palazzina in via del teatro e chiunque può agire sugli stessi con azioni di social engineering o altre azioni malevoli; inoltre sono in un posto molto polveroso e non hanno sistemi di protezione da incendi o da surriscaldamento. I server devono essere collocati in un locale idoneo, dotato di sistema di climatizzazione e rilevatore fumo e incendio. Il locale deve essere ad accesso riservato, con porta chiusa a chiave e l’accesso deve essere monitorato. In questo locale CED devono essere collocati anche il Server Halley e l’unità di registrazione della videosorveglianza.
b. Criticità fisica: i server sono protetti da shock elettrici con una unità UPS che è ormai obsoleta e non adeguata all’assorbimento dei due server presenti; è necessario provvedere alla sostituzione urgente dell’unità. Inoltre è necessario verificare la presenza agli atti del Comune della verifica biennale degli impianti di terra ai sensi del D.P.R. 462/2011
c. Criticità fisica: i server ospitano dischi rigidi di concezione superata e operanti ormai da anni. Il rischi odi rottura e di perdita completa dei dati è elevatissimo. A questa criticità va affiancata la scarsa funzionalità dei backup, esplicitata in modo chiaro dalla società di TBS IT. L’intero sistema di backup, sia inteso come apparati fisici che come software di gestione, deve essere aggiornato. Tale intervento è prioritario. Inoltre anche questi apparati devono essere posti in un locale protetto con le medesime caratteristiche indicate per i server e possibilmente ridondati in locale esterno.
d. Criticità logica: I server utilizzano sistemi operativi ormai superati e non più supportati. Particolarmente il server Windows 2003 risulta superato. Inoltre in entrambi i server la protezione antivirus e antimalware in generale è totalmente carente e devono essere protetti con un sistema antivirus e altri malware ad aggiornamento automatico e di tipo professionale quale a titolo esemplificativo Endopoint security cloud based di Kaspersky.
e. Criticità logica: i server devono poter essere amministrati, anche in remoto, con l’installazione di software quali team viewer per permettere una verifica costante dello stato delle macchine e devono essere attivati i sistemi di allerta automatica all’Amministratore di sistema
f. Criticità logica: devono essere mappate le cartelle condivise dei server e dei NAS e i prelativi profili autorizzativi assegnati ai singoli uffici / mansioni (si veda sotto il punto 6 b)
g. Log: i Server devono essere verificati in merito alle assegnazioni dei diritti agli utenti, agli accessi alle varie cartelle di rete e condivise; devono essere impostati i file di log degli accessi e utilizzi e i relativi tempi di conservazione. I file di log devono essere inviati in maniera automatica agli amministratori di sistema e questi devono allertare l’RPD in caso di anomalie.
3. Relativamente alle postazioni client dei vari uffici, gli stessi sono in generale dotati di sistema operativo Windows 7 e di vari antivirus, di tipo gratuito, non sempre ad aggiornamento automatico. Inoltre i client sono configurati in modo tale da non permettere al singolo operatore di installare i software, il che è corretto, e di non installare gli aggiornamenti dei software presenti, il che è critico dato che non è presente un amministratore di sistema che provvede agli aggiornamenti in tempo utile e che ogni intervento richiede la chiamata di una società di assistenza interna. Azioni da eseguire:
a. Deve essere verificato lo stato di obsolescenza hardware e software di tutti i client, verificati i dischi rigidi, aggiornati o sostituiti i PC dotati di sistema operativo windows 7 con altri dotati di windows 10
b. Tutti i client devono essere equipaggiati di un sistema antivirus e altri malware ad aggiornamento automatico e di tipo professionale, quale a titolo esemplificativo Endopoint security cloud based di Kaspersky.
c. i client devono poter essere amministrati, anche in remoto, con l’installazione di software quali team viewer per permettere una verifica costante dello stato delle macchine e devono essere attivati i sistemi di allerta automatica all’Amministratore di sistema. Gli amministratori di sistema devono essere messi in condizione di poter procedere agli aggiornamenti e installazioni sui client anche da remoto.
d. Verificare tutti i personal computer circa l’adozione degli screen saver con attivazione automatica e ripristino con password.
e. Si suggerisce di rivedere le singole postazioni di lavoro eliminando completamente tutti i monitor CRT residuali, dotando le singole postazioni di monitor flat almeno 23 pollici, mouse e tastiera ergonomica, eventuale secondo monitor.
4. Centri stampa, gli stessi sono amministrati e sono presenti la macchine distruggidocumenti. Verificarne l’effettivo utilizzo e diffusione in ogni ufficio o presso ogni centro stampa.
5. Gestione mail e PEC: come rilevato dall’Amministratore di sistema, le PEC non sono sempre correttamente gestite anche se esiste una convenzione in tal senso con Halley.
Verificare con l’Amministratore la configurazione dei sistemi e la conservazione di tali documenti. Vale qui la pena di ricordare che non solamente le PEC m anche la posta elettronica ordinaria, per quanto non abbia la valenza giuridica di una raccomandata, può tuttavia essere acquisita dall’autorità giudiziaria ed essere utilizzata con valenza probante in sede di eventuale giudizio.
6. Gestione documentazione privacy: oltre alla condizione imprescindibile indicata al punto 1) ovvero alla creazione di uno spazio in cui poter depositare i documenti da far attingere alle varie funzioni, si suggerisce di procedere con una completa rivisitazione della gestione dei documenti necessari a dimostrare la compliance del Sistema di Protezione dei Dati personali, secondo le seguenti modalità:
a. Registro trattamenti, attualmente il documento è quasi completamente aggiornato da parte del RPD, il documento è da conservare in forma centralizzata e da aggiornare con le segnalazioni proattive dei vari uffici. Infatti la diffusione di registri differenziati nei vari uffici ne ha portato velocemente alla dispersione e al mancato aggiornamento dei dati registrati.
b. Lettere di designazione per gli autorizzati al trattamento. La strategia utilizzata in passato era di redigere le autorizzazioni personalizzate per i singoli lavoratori. Tale modalità è risultata non funzionale in quanto la mobilità interna degli addetti rende le designazioni rapidamente obsolete e richiede un aggiornamento a cadenza talvolta mensile. SI è suggerito pertanto di designare gli autorizzati in base alla mansione, desumibile dall’organigramma e dal funzionigramma, in modo da correlare i profili autorizzativi con la mansione e con le effettive attività svolte.
c. Accesso ai locali, ai terminali, alle documentazioni riservate, alle videoriprese della sorveglianza: in merito a questi punti, oltre a quanto stabilito nel punto precedente devono essere redatte idonee lettere di nomina a responsabilità e controllo oltre che indicazioni precise in merito al divieto di comportamenti scorretti o non pertinenti (ad esempio la copia non autorizzata di chiavi, la diffusione di credenziali, l’accesso indebito alle videoregistrazioni, ecc.)
7. Si suggerisce infine di apporre l’informativa semplificata presso i vari uffici e sportelli al pubblico
8. Responsabili esterni al trattamento: è alla data attuale molto difficoltoso mappare i soggetti definibili responsabili esterni al trattamento in quanto i singoli uffici non hanno sempre mappato i soggetti esterni che operano per conto o in collaborazione con il Comune. Inoltre con molti di questi soggetti gli atti i collaborazione sono risultati ad oggi di difficile reperibilità e accesso. È stato elaborato dal RPD un atto standardizzato di nomina a Responsabile per il trattamento dei dati. Si suggerisce caldamente di far procedere alla sottoscrizione di tale atto tutti i soggetti esterni configurabili come Responsabili esterni ai sensi art. 28 del GDPR. Tale sottoscrizione, opportunamente mappata e registrata, serve a sanare una situazione che alla data attuale non è sotto pieno controllo.
9. Sito Internet del Comune: il sito è carente per quel che riguarda la parte di protezione
dei dati personali. Il form di segnalazione
https://halleyweb.com/c051005/gu/gu_p_aggiungi.php non da nessuna indicazione sulla privacy (obbligatoria); Inoltre anche l’informativa generale è da integrare. Si suggerisce di:
a. Aggiornare l’informativa generale del sito www.comune.bucine.ar.it
b. Creare una sezione protezione dati personali (privacy) in cui poter inserire le informative per i cittadini e tutti i documenti utili quali le informative sulla videosorveglianza, le istruzioni con i diritti di accesso, ecc.
10. Gestione di NC, richieste di accesso e reclami: è presente un registro dei Data breach e una istruzione operativa per la gestione degli stessi; è stata redatta una istruzione operativa per la gestione delle richieste di accesso. Tale documentazione deve essere portata a conoscenza di tutti gli addetti e gli stessi devono essere formati sui comportamenti da tenere verso gli interessati e sulle modalità di segnalazione al RPD e al Titolare del trattamento.
Risultati degli audit e delle verifiche ispettive da parte di enti o di seconda parte
Nel periodo di riferimento non si sono svolti audit o verifiche ispettive da parte degli organi di vigilanza o da enti Titolari del trattamento di cui Comune di Bucine sia Responsabile esterno ai sensi art. 28 o altre verifiche di seconda parte.
Rapporti e segnalazione responsabili esterni del trattamento
Nel periodo da dicembre 2019 a novembre 2020 non si sono rilevate segnalazioni o ricevuti rapporti di non conformità da parte dei Responsabili esterni individuati e non sono stati effettuati sopralluoghi presso i Responsabili esterni individuati.
Non conformità, azioni correttive e investigazione degli incidenti e data breach
In questo punto si analizzano i singoli incidenti e data breach, considerando data di accadimento, descrizione, durata, conseguenze, analisi anche statistica degli stessi, azioni intraprese.
In seconda battuta si analizzano le segnalazioni dei near misses, registrate le potenziali conseguenze, le azioni intraprese per la loro gestione.
L’organizzazione in riferimento al periodo in esame segnala un incidente relativo al trattamento dei dati:
“18/07/2019 - dai file di log di sistema estratti dall'ads risultano accessi non autorizza da parte di un lavortore a partire dal 9 dicembre 2015 al 18 luglio 2019 con accesso a procedura non autorizzata all'interno del gestionale Halley attraverso l'uso della postazione pc (magazzino e palazzo comunale) assegnata al dipendente. Accesso al gestionale solo con collegamento a lan interna alla rete. Stando alle informazioni fino ad oggi emerse nella ricostruzione dei fatti il sig. Brocci (dipendente non autorizzato) stampava per se stesso e per i colleghi che gliene avevano fatto richiesta (comunicando anche la propria password di accesso al portale del dipendente) le buste paga (non potendo copiare i file su supporto removibile in quanto le porte usb della postazione di lavoro assegnata erano disabilitate).”, data Breach o near misses. Non risulta esservi soggetti danneggiati dalla violazione in quanto nessun esposto o denuncia è stata presentata da soggetti interessati. Dalla ricostruzione dei fatti il soggetto stampava i documenti solo dei colleghi che ne facevano richiesta.”
Misure di prevenzione e protezione già presenti:
Sistema gestionale ubicato in server collocato presso la sala CED all'interno della sede del comune di bucine (in via vitelli 2 bucine).
Il gestionale prevede l'accesso differenziato per utente.
Gestionale dotato di credenziali di autenticazione con requisiti di complessità e storici (non possibile impostare le ultime 5 credenziali utilizzate) con cambio password obbligatorio.
Credenziali ad almeno 8 caratteri alfanumerici, maiuscole e minuscole, carattere speciale e blocco sulla multiutenza di un singolo utente.
Inoltre le postazioni abilitate per l'accesso ad Halley prevedono un sistema di autenticazione ulteriore (con cambio obbligatorio delle password).
Misure di prevenzione e protezione intraprese dopo l’evento
L'ADS ha provveduto al cambio dei profili di accesso al sistema da parte dell'utente e il reset delle password al portale del dipendente dei soggetti che autorizzavano alla stampa del cedolino.
Inoltre l'ufficio personale ha prontamente provveduto a comunicare l'accaduto al sindaco, al segretario comunale, al responsabile del settore iii (PO di riferimento del lavoratore), al RPD, all'ADS e infine al dipendente stesso.
Violazioni dei dati personali e incidenti di sicurezza che si sono verificati nel periodo in esame (Registro incidenti)
1. Data breach 2. Incidenti 3. Near misses
Data Breach / Incidenti / Near misses
Data Breach Incidenti Near Misses
0 1 0
2019 2020 2021 2022
DB 0
I 1
NM 0
Gestione di richieste di accesso degli interessati e dell’Autorità di controllo
L’Ente alla data non ha ricevuto le seguenti richieste di accesso ai sensi dell’Art. 15 del GDPR
Gestione del personale, formazione, partecipazione e consultazione
L’organigramma è mantenuto in forma aggiornata sul sito internet dell’Ente nella sezione Amministrazione trasparente; da tale organigramma e dal funzionigramma si evincono le mansioni e in base a queste, oltre che dagli atti di designazione al trattamento, i soggetti e i trattamenti consentiti agli stessi.
A tutto il personale è sono state distribuite opportune istruzioni operative sui comportamenti da adottare in merito alle richieste di accesso da parte degli interessati e in caso di Data breach.
Osservazione: è necessario attivare una formazione per tutti gli addetti designati al trattamento dei dati come previsto dall’art. 32 c. 4, anche in relazione alla gestione della modulistica, del diritto di accesso degli interessati e sulle modalità e accorgimenti da adottare per la protezione delle informazioni
Sopralluoghi e incontri effettuati dal RPD nel periodo dicembre 2019 – novembre 2020
Nel periodo da dicembre 2019 a novembre 2020 sono stati effettuati i seguenti interventi:
04/12/2019 Verifica ufficio anagrafe
14/12/2020 Incontro con Giunta comunale
21/01/2020 Incontro con Dott.ssa Matassoni e Dott. Barucci
16/03/2020 Consegna documentazione COVID 19
08/04/2020 Incontro ufficio SUAP, Dott. Sgrevi
28/05/2020 Sopralluogo vari uffici Comune
10/06/2020 Sopralluogo vari uffici Comune
04/08/2020 Sopralluogo vari uffici Comune – prima consegna registro trattamenti
27/08/2020 Incontro con Dott.ssa Stoppielli
22/09/2020 Incontro con Comandante Polizia Municipale
07/10/2020 Incontro ufficio Dott. Palazzeschi
08/10/2020 Incontro ufficio tributi Dott.ssa Finiguerra
05/11/2020 Incontro con Dott.ssa Stoppielli e con Comandante Polizia Municipale
Verbalizzazione Relazione del RPD-DPO, Riesame e piano di miglioramento della Direzione
Bucine , 16/11/2020
Ruolo Nome e Cognome Firma
RPD - DPO Sicures S.r.l. Fabrizio Torrini
Autore firma digitale: Fabrizio Torrini
Nome distintivo: CN = Fabrizio Torrini email = torrini@sicures.it C
= IT O = Sicures Srl OU = Sicures Srl
Data: 2020.11.16 12:21:06 +01'00'
