Oggetto: Approvazione documento programmatico di sicurezza (D.Lgs. 196/2003)
LA GIUNTA COMUNALE
Ravvisato l'obbligo di adottare un documento programmatico sulla sicurezza che descriva adeguate precauzioni nel trattamento dei dati nell'ambito delle attività di questo Comune come disposto dall'art. 180 del D.Lgs. 196/2003;
Premesso:
- che il decreto legislativo 30.06.2003, n. 196, (T.U. codice protezione dati personali), ha integrato alla disciplina a tutela del trattamento dei dati personali precedentemente in vigore altre e più stringenti comportamenti a tutela dei dati trattati;
- che in particolare l'art. 33 della norma succitata stabilisce che i soggetti trattanti dati personali sono tenuti ad adottare idonee e preventive misure di sicurezza per far fronte ai rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta;
- che l'art. 36 della medesima norma, stabilisce l'insieme delle misure di sicurezza a tutela dei dati trattati che, unitamente a quelle già precedentemente adottate, costituiscono le nuove misure minime di sicurezza;
- che entro il giorno 31 dicembre 2005 deve essere obbligatoriamente approvato il documento programmatico sulla sicurezza;
Considerato:
- che la rilevanza dei trattamenti dei dati personali, anche sensibili, nell'ambito dell'Amministrazione Comunale nonché la complessità del sistema degli archivi e delle banche-dati informatizzate nei quali confluiscono le informazioni personali rendono necessaria la predisposizione di un unico documento programmatico a contenuto organizzativo-operativo;
- che tali elementi di riferimento saranno oggetto di concreta attuazione da parte dei Responsabili del trattamento da individuarsi con successivo atto di giunta;
Atteso inoltre che risulta comunque necessario conferire al presente provvedimento immediata eseguibilità, al fine di poter attivare tempestivamente e comunque entro il termine di legge i processi di definizione e di applicazione delle misure di sicurezza per i trattamenti di dati personali sviluppati dai vari settori dell'Amministrazione;
Visto il D.Lgs. 30.06.2003, n. 196;
Visto il disciplinare tecnico in materia di misure minime ("Allegato B" al D.Lgs. 30.06.2003, n. 196) allegato sub A;
Visto il parere in ordine alla regolarità tecnica del Responsabile del servizio interessato espresso ai sensi dell'art. 49, 1° comma, del D.Lgs. n. 267/2000;
Con voti unanimi e favorevoli espressi nei modi e forme di legge,
D E L I B E R A
1) di dare attodi quanto in premessa;
2) di approvare, ai sensi dell'art. 180, comma 1, il Documento Programmatico relativo alla sicurezza in ordine al trattamento dei dati sensibili con strumenti informatici/automatizzati ed anche con gestione cartacea nell'ambito delle attività del Comune che individua le definizioni, l'approccio metodologico, la procedura operativa con segnalazione dell'insieme dei documenti che lo costituiscono nonché le disposizioni generali, il cui testo viene allegato alla presente per farne parte integrante e sostanziale, di cui all' allegato sub A.
* * * * * *
Data l'urgenza, ad unanimità di voti favorevoli, la presente deliberazione viene dichiarata immediatamente eseguibilie ai sensi dell'art. 134, comma 4, d.lgs. 267/2000.
COMUNE
DI ORMELLE
DOCUMENTO PROGRAMMATICO SULLA SICUREZZA
MISURE MINIME DI SICUREZZA NEL TRATTAMENTO DEI DATI PERSONALI
ALLEGATO A
Versione
aggiornata al D.lgs 196/2003
Scopo del documento
Il presente documento costituisce il Documento Programmatico sulla sicurezza adottato da questa amministrazione.
Introduzione
Con l'entrata in vigore del testo unico in materia di protezione dei dati personali, sono state introdotte alcune significative modifiche alle politiche di protezione dei dati che hanno richiesto, oltre alla già prevista attività di manutenzione del presente documento, l'introduzione di ulteriori presidi a garanzia delle misure minime di sicurezza che questo ente adotta al fine di rendere minimi i rischi di perdita o trattamento non autorizzato dei dati personali trattati da questa amministrazione per le finalità previste dalle normative vigenti.
Le caratteristiche generali del presente Documento Programmatico sulla sicurezza (da ora DPS) saranno quindi l'introduzione dei presidi a garanzia della laicità e sicurezza del trattamento come previsto dall'"Allegato B" al codice in materia di trattamento dei dati personali in ottemperanza a quanto previsto dall'art. 180 del D.lgs 196/2003.
Termini per l'adozione
Il comune di Ormelle ha inteso utilizzare la scadenza del 31 dicembre 2005 per l'adozione delle misure di sicurezza.
Quadro Normativo
Il nuovo quadro normativo risulta significativamente semplificato poiché l'unica norma ora di riferimento è il Decreto Legislativo 30 giugno 2003, n° 196.
Sono state abrogate le precedenti fonti normative:
· Legge 31-dicembre-1996 n.675;
· Legge 3-novembre 2000 n. 325;
· Decreto legislativo 9-maggio 1997 n.123;
· Decreto legislativo 28-luglio 1997, n. 255;
· Decreto legislativo 6-novembre 1998, n.389;
· Decreto legislativo 26-febbraio 1999, n. 51;
· Decreto legislativo 11-maggio-1999, n. 135;
· Decreto legislativo 30-luglio 1999, n. 282;
· Decreto legislativo 28 dicembre 2001, n.467;
· Decreto del Presidente della Repubblica 28-luglio 1999, n. 318;
· Decreto legislativo 30-luglio 1999, n. 281 ad eccezione degli articoli 8, comma 1, 11 e 12
oltre ad ulteriori norme in materia di diffusione dei dati da applicarsi in contesti estranei agli enti locali.
Linee guida
La definizione della politica di sicurezza già introdotta in occasione della prima stesura del DPS ha richiesto una attenta analisi dei dati gestiti al fine di verificare il tipo di informazioni trattate e la modalità del loro trattamento.
Nota la natura dei dati trattati, sono state individuate dei macroambiti di intervento per assicurare, come recitato dalla normativa, un livello minimo di protezione dei dati personali.
Questo approccio è stato confermato dal rinnovato quadro normativo e quindi, al fine di aggiornare il DPS, sono state utilizzate le medesime linee guida già adottate per verificare:
1. Adeguatezza delle informazioni già raccolte rispetto ai trattamenti attualmente effettuati
2. Integrazione delle informazioni rispetto a nuovi trattamenti o nuove modalità di trattamento
3. Adeguatezza delle misure minime adottate rispetto al rinnovato quadro normativo
Di seguito vengono riportati i principi generali che hanno costituito le linee giuda per l'aggiornamento del DPS.
§ Classificazione delle informazioni,
ovvero un censimento dei dati trattati ed una successiva attenta valutazione
del livello di riservatezza e sicurezza che ad ogni informazione deve essere
garantita in base alla natura del dato.
§ Definizione di forme di protezione “fisica” delle risorse, ovvero la predisposizione ed il mantenimento di un ambiente di lavoro che riducano intrinsecamente il rischio di accessi indesiderati da parte di soggetti non autorizzati. Queste norme, in genere di carattere deontologico e comportamentale, richiedono l'introduzione di una cultura della sicurezza e quindi possono essere perseguite in misura sempre maggiore nel tempo, anche grazie ad una attenta opera di sensibilizzazione.
§ Definizione di norme e metodi di protezione “logica” delle informazioni, ovvero la predisposizione di controlli agli accessi ai dati e la definizione di metodi, ruoli e comportamenti che riducano sino al livello ritenuto accettabile in funzione dei dati trattati, il rischio di perdita, danneggiamento o diffusione di informazioni trattate dall'ente.
Concludiamo affermando che l'applicazione delle politiche di sicurezza all'interno dell'Amministrazione richiede la definizione di un insieme di regole che fanno riferimento alle tecnologie usate, alle metodologie, alle procedure di implementazione e ad altri elementi specifici dell'ambiente e sistema informativo.
Campo di Applicazione
Il DPS definisce le politiche e gli standard dell'ente in merito al trattamento dei dati personali.
Il DPS riguarda tutti i dati personali:
§ Sensibili
§ Giudiziari
§ Comuni
Il DPS si applica al trattamento di tutti i dati personali per mezzo di :
§ Strumenti elettronici di elaborazione
§ Altri strumenti di elaborazione ( ad esempio: Cartacei, audio, visivi, … )
Il DPS deve essere conosciuto ed applicato da tutte le funzioni aziendali.
Definizione dei principali incarichi
Il rinnovato quadro normativo ribadisce ed amplia la strutturazione degli incarichi già precedentemente introdotta.
Al fine di individuare quali sono i soggetti di volta in volta interessati nella definizione delle politiche sulla sicurezza, vengono di seguito riportate alcune definizioni:
TITOLARE: la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono anche unitamente ad altro titolare, le decisioni in ordine alle finalità ed alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo di sicurezza.
RESPONSABILE: la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento dei dati personali.
INCARICATI: le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile.
AMMINISTRATORE DI SISTEMA: i soggetti cui è conferito il compito di sovraintendere alle risorse del sistema operativo di un elaboratore o di un sistema di data base e di consentirne l'utilizzazione.
INTERESSATO: la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali.
Si nota come, nella definizione di incaricati, il nuovo quadro normativo chiarisce che solo persone fisiche possono essere incaricate al trattamento. La definizione data dalla Legge 675/1996 includeva anche i soggetti giuridici. Da ciò discende con certezza che ogni soggetto giuridico diverso dall'ente titolare cui vengono estesi circostanziati diritti di trattamento dei dati deve essere individuato quale responsabile del trattamento.
Responsabilità
Anche il quadro generale delle responsabilità è stato sostanzialmente confermato con la sola eccezione del titolare che esplicitamente, come desumibile dalla definizione sopra riportata, assume un ruolo centrale anche nella scelta degli strumenti utilizzati per il trattamento dei dati.
Riportiamo quindi lo schema riassuntivo delle responsabilità:
TITOLARE : -Responsabile integralmente della realizzazione, attuazione, controllo ed aggiornamento della politica sulla sicurezza. Questa include non solo le misure minime di sicurezza descritte dal presente documento, ma anche ogni ulteriore misura di sicurezza ritenuta idonea a ridurre ulteriormente i rischi nel trattamento di dati. E' inoltre responsabile della nomina, se ritenuta necessaria, di uno o più Responsabili per il trattamento dei dati.
-Responsabile della individuazione e della nomina per iscritto di un Custode delle Password.
-Responsabile della individuazione e della nomina per iscritto, qualora non sia già stato precedentemente nominato, di uno o più Amministratori di Sistema.
RESPONSABILE: -Responsabile della individuazione e della nomina per iscritto degli Incaricati del Trattamento.
Deve
garantire, in coordinamento con il titolare, che tutte le misure di sicurezza
introdotte siano applicate all'interno dell'ente ed al di fuori di esso qualora
i dati siano ceduti ad enti terzi per tutte o parte le attività di trattamento.
-Responsabile
della verifica semestrale della efficacia dei programmi di protezione nonché
del loro aggiornamento.
CUSTODE PASSWORD: -Responsabile di prevedere una password ed un identificativo utente per l'accesso ai dati da parte di ogni incaricato.
INCARICATO: -Responsabile del corretto utilizzo delle banche dati alle quali può accedere come espressamente disposto dal Responsabile del Trattamento.
AMMINISTRATORE DI SISTEMA: -Responsabile nella adozione di tutti i provvedimenti di natura tecnica contenuti nel DPS necessari ad evitare la perdita o la distruzione dei dati, l'accesso incontrollato al loro trattamento, nonché il loro danneggiamento causato da intrusioni esterne.
-Responsabile della politica dei Back-up.
-Responsabile della assegnazione ad ogni Incaricato di un Codice Identificativo Personale per l'utilizzo degli elaboratori.
-Responsabile della verifica delle condizioni che permettano l'utilizzo delle banche dati da parte degli Incaricati. Inoltre è responsabile della disattivazione degli accessi non utilizzati per periodi superiori ai sei mesi.
-Responsabile della protezione dei sistemi informativi contro i rischi di intrusione da parte di soggetti esterni non autorizzati ( hackers ) e dal rischio di virus informatici mediante idonei programmi.
Altre importanti definizioni
Nel documento vengono usate altre definizioni che sono state previste nelle norme citate in precedenza ed il cui significato, più dettagliato, viene di seguito specificato:
|
Definizione |
Significato |
|
Banca Dati |
Qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate in uno o più siti |
|
Dati Personali |
Qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale |
|
Dati Giudiziari (1) |
I dati personali idonei a rilevare provvedimenti di cui all'art. 3, comma 1, lettere da a) a o) e da r) a u), del DPR 14 novembre 2002, n° 313, in materia di casellario giudiziario, di anagrafe delle sanzioni amministrative dipendenti da reato e dai relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale |
|
Dati Sensibili |
I dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazione a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale |
|
Dati Anonimi |
Il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile; |
|
Misure Minime(*) |
Il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza, che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti nell'articolo 31 del D.lgs 196/2003 |
|
Trattamento (2) |
Qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati anche se non registrati una una banca di dati |
|
Comunicazione (3) |
Il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dello stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione |
|
Diffusione |
Il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione |
|
Parola Chiave |
Componente di una credenziale di autenticazione associata ad una persona ed a questa nota, costituita da una sequenza di caratteri o altri dati in forma elettronica |
|
Autenticazione Informatica |
L'insieme degli strumenti elettronici e delle procedure per la verifica anche indiretta dell'identità |
|
Credenziali di Autenticazione |
I dati ed i dispositivi, in possesso di una persona, da questa conosciuti o ad essa univocamente correlati, utilizzati per l'autenticazione informatica |
|
Profilo di Autorizzazione |
L'insieme delle informazioni, univocamente associate ad una persona, che consente di individuare a quali dati essa può accedere, nonché i trattamenti ad essa consentiti |
|
Sistema di Autorizzazione |
L'insieme degli strumenti e delle procedure che abilitano l'accesso ai dati e alla modalità di trattamento degli stessi, in funzione del profilo di autorizzazione del richiedente |
|
S.O. |
Sistema operativo: programma software per il funzionamento degli elaboratori elettronici |
|
Firewall |
Sistema di misure anti-intrusione hardware o software per proteggere una rete privata da un'altra rete collegata e non fidata quale per esempio la rete pubblica |
* Art 31 D.lgs 196/2003:
I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione delle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
(1) La definizione di dati giudiziari è stata aggiornata tecnicamente a seguito dell'adozione del testo unico in materia di casellario giudiziario e, inoltre, integrata in misura ragionevole con il riferimento alla qualità di imputato o indagato, senza prendere in considerazione le violazioni amministrative, in attuazione di quanto previsto dalla direttiva 95/46/CE.
(2) La definizione di trattamento si è arricchita della definizione di "consultazione" che quindi assume significato proprio non direttamente equiparabile ne a diffusione ne a comunicazione. Viene inoltre esplicitato che la definizione di trattamento si applica anche alle informazioni non registrate in banche dati.
(3) La definizione di comunicazione costituisce rilevante modifica rispetto alla definizione data dalla Legge 675/1996 poiché esclude anche i responsabili, purché risiedenti nel territorio nazionale, nonché gli incaricati. Questo in base alla direttiva europea 95/46/CE in base alla quale tali soggetti sono considerati destinatari dei documenti e non rientrano nella nozione di "terzo".
Approccio metodologico
Come già anticipato, il presente DPS soddisfa sia l'istanza di normale aggiornamento, sia l'introduzione di nuove misure di sicurezza come disposto dall'allegato"B" al più volte citato D.lgs 196/2003.
Il disciplinare tecnico in materia di misure minime di sicurezza conferma in vari passaggi la correttezza dell'approccio metodologico scelto sin dalla prima stesura del DPS.
In particolare l'articolo 19 del disciplinare prevede, al punto 1, la produzione di un elenco dei trattamenti di dati personali.
Il D.lgs 196/2003 recita inoltre:
Art.18 comma 2: Qualunque trattamento di dati personali da parte di soggetti pubblici è consentito soltanto per lo svolgimento delle funzioni istituzionali
Art18 comma 4: (omissis) i soggetti pubblici non devono richiedere il consenso dell'interessato
Art.19 comma 1: Il trattamento da parte di un soggetto pubblico riguardante dati diversi da quelli sensibili e giudiziari e' consentito.(omissis) anche in mancanza di una norma di legge o di regolamento che lo preveda espressamente
Art.20 comma 1:Il trattamento dei dati sensibili da parte di soggetti pubblici e' consentito solo se autorizzato da espressa disposizione di legge nella quale sono specificati i tipi di' dati che possono essere trattati e di operazioni eseguibili e le finalita' di rilevante interesse pubblico perseguite
Art.21 comma 1:Il trattamento di dati giudiziari da parte di soggetti pubblici e' consentito solo se autorizzato da espressa disposizione di legge o provvedimento del Garante che specifichino le finalita' di rilevante interesse pubblico del trattamento, i tipi di dati trattati e di operazioni eseguibili
Art.22 comma 3: soggetti pubblici possono trattare solo i dati sensibili e giudiziari indispensabili per svolgere attivita' istituzionali che non possono essere adempiute, caso per caso, mediante il trattamento di dati anonimi o di dati personali di natura diversa
Dalla sintesi dei riferimenti normativi riportati, risulta del tutto evidente che l'articolo 19.1 del disciplinare tecnico richiede venga documentata, anche in termini generali, l'insieme dei dati personali trattati dall'ente.
Questa sintesi non è però applicabile per i trattamenti dei dati sensibili e giudiziari per i quali è necessario, come lo era sin dalla prima stesura del DPS, individuare senza dubbi la norma che ne prevede il trattamento nonché le operazioni consentite durante il trattamento.
Il presente documento quindi, per la funzione di adeguamento rispetto la precedente versione, prevede l'integrazione degli eventuali procedimenti amministrativi non individuati nella precedente versione, nonché i procedimenti amministrativi eventualmente introdotti dopo l'ultimo censimento.
Qualora alcuni dei procedimenti evidenzino il trattamento di dati sensibili o giudiziari dovranno essere verificati il rilevante interesse pubblico che ne giustifichi il trattamento, nonché i limiti del trattamento consentito. La normativa di riferimento è la PARTE II del D.lgs 196/2003.
Per i procedimenti amministrativi già precedentemente descritti, vengono individuate nella PARTE II del D.lgs 196/2003 le nuove fonti legittimanti.
L'articolo 19.2 del disciplinare tecnico richiede, come già previsto, la formalizzazione della struttura autorizzativa al trattamento dei dati. Questo lavoro già precedentemente svolto è sottoposto a verifica per l'eventuale adattamento alla mutata dotazione organica dell'ente ed ai mutati compiti svolti dal personale dipendente.
L'articolo 19.3 del disciplinare tecnico pone la necessità di procedere ad una analisi dei rischi che incombono sui dati. Per poter rispondere ad una tale richiesta e necessario innanzitutto conoscere la distribuzione logica e fisica dei dati ( trattate con strumenti informatici o meno ): tale conoscenza consente di valutare se esistono condizioni di rischi relativamente al loro trattamento.
Questa attività, già parzialmente svolta nelle precedenti versioni del DPS, viene ora completata e revisionata in relazione alle nuove banche dati eventualmente venutesi a creare anche in virtù delle mutate dotazioni informatiche e logistiche.
L'articolo 19.4 del disciplinare tecnico completa il precedente articolo evidenziando che l'analisi dei rischi non ha finalità astratte, ma deve trovare applicazione in precise e regolamentate procedure a salvaguardia dei dati. Anche queste procedure, già parzialmente adottate con il precedente DPS vengono riviste ed adeguate anche in virtù delle mutate dotazioni informatiche e logistiche.
L'articolo 19.5 del disciplinare tecnico rappresenta una assoluta novità rispetto al panorama normativo precedente poiché richiede all'ente di determinare procedure di continuità operativa da eseguire nel caso in cui le misure di riduzione dei rischi del trattamento, piuttosto che guasti tecnici rendano indisponibili i dati trattati
L'articolo 19.6 del disciplinare tecnico assegna una più decisa centralità al principio di formazione continua sui temi legati al trattamento dei dati. In particolare, vengono individuarti 3 ambiti da regolamentare:
§ Formazione agli incaricati e responsabili del trattamento dei dati per renderli edotti del rischi che incombono sui dati ( trattasi quindi di una formazione legata all'analisi dei rischi )
§ Formazione di nuovi incaricati o responsabili al trattamento dei dati da effettuarsi prima dell'inizio del trattamento stesso
§ Formazione di incaricati o responsabili in occasione di cambiamenti di mansione o metodi di trattamento dati rilevanti rispetto alle misure di sicurezza ed alla conoscenza delle condizioni di rischio
Per soddisfare quanto richiesto, vengono quindi elaborati dei procedimenti operativi da applicarsi nelle situazioni sopra descritte e che di volta in volta possono essere evasi attraverso comunicazioni scritte o orali erogate a singoli soggetti o a gruppi.
L'articolo 19.7 del disciplinare tecnico prevede di definire quali siano le misure cautelative che il titolare dei dati intende adottare nei confronti del responsabili al trattamento dei dati esterni alle sue strutture.
Vengono quindi definite le richieste che l'ente deve vedere soddisfatte ogniqualvolta un soggetto terzo, reso responsabile del trattamento dei dati per effetto di un incarico, tratta dati del titolare presso strutture il cui controllo non è esercitatile dal titolare del trattamento.
L'articolo 19.8 del disciplinare tecnico impone di valutare, limitatamente alle banche dati contenenti dati personali idonei a rilevare lo stato di salute e la vita sessuale quali criteri possono essere introdotti per separare tali dati da quelli genericamente personali o, se tale separazione non risulta possibile, la loro cifratura. Questa disposizione è volta a ridurre al minimo il rischio di accesso a tali dati da parte di soggetti non autorizzati.
Trattamento dati con strumenti elettronici
Gli adempimenti esposti nell'approccio metodologico consentono all'ente di esporre, per macrocontesti, le aree di intervento per la messa in sicurezza dei dati trattati.
Va posta una attenzione generale alla modalità del trattamento dei dati. Il legislatore ha infatti posto regole specifiche a seconda che i dati vengano trattati con l'ausilio di strumenti elettronici o su supporto cartaceo.
Nel caso dell'utilizzo di strumenti elettronici, l'art 34 del D.lgs 196/2003 recita:
1. Il trattamento di dati personali effettuato con strumenti
elettronici e' consentito solo se sono adottate, nei modi previsti dal
disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime:
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell'individuazione dell'ambito del trattamento
consentito ai singoli incaricati e addetti alla gestione o alla manutenzione
degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti
illeciti di dati, ad accessi non consentiti e a determinati programmi
informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino
della disponibilita' dei dati e dei sistemi;
g) tenuta di un aggiornato documento programmatico sulla sicurezza;
h) ( omissis )
Le attività appena descritte rappresentano un insieme di caratteristiche che le apparecchiature elettroniche per il trattamento dei dati devono mettere a disposizione ed una serie di procedure operative che i soggetti incaricati dell'ente devono seguire per garantire il trattamento del dati in condizioni di sicurezza definite minime.
In particolare:
punto a) l'autenticazione informatica per il Comune di Ormelle consiste nella assegnazione di idonee identificativi e password per consentire l'utilizzo delle apparecchiature informatiche ai soli soggetti autorizzati e certamente identificati
punto b) le credenziali di autenticazione verranno garantite da procedure di assegnazione/revoca delle password ed identificativi di accesso per l'autenticazione informatica suesposta
punto c) vengono procedimentate le operazioni che ogni incaricato al trattamento dei dati deve eseguire per accedere, secondo il profilo di autorizzazione assegnato, ai dati da trattare ed agli strumenti elettronici consentiti.
Il profilo di autorizzazione tiene conto dei limiti di accesso ai dati previsto dalla vigente normativa(*)
punto d) vengono procedimentate le operazioni da svolgersi con cadenza periodica per la verifica del corretto ambito di trattamento dati da parte degli incaricati nonché di soggetti altri cui spetto il compito di gestire/manutenzionare le apparecchiature elettroniche
punto e) a partire dalla analisi dei rischi, viene valutata la necessità di introdurre ulteriori strumenti a protezione dei dati trattati: viene inoltre procedimentata tale attività
punto f) a partire dalla analisi dei rischi, viene valutata la necessità di migliorare le procedure per il salvataggio ed il ripristino della disponibilità dei dati: le modalità adottate vengono descritte da apposito procedimento
punto g) al Responsabile del trattamento viene dato l'incarico di presentare entro il 30 marzo di ogni anno al Titolare del trattamento la versione aggiornata del presente documento
(*) Nel caso di trattamento di dati sensibili e giudiziari, questa accezione è da intendersi come riportato dall'art.22, comma 3 del D.lgs 196/2003 qui riportato:
I soggetti pubblici possono trattare solo i dati sensibili e giudiziari indispensabili per svolgere attivita' istituzionali che non possono essere adempiute, caso per caso, mediante il trattamento di dati anonimi o di dati personali di natura diversa
Trattamento dati senza l'ausilio di strumenti elettronici
Per il trattamento dati senza l'ausilio di strumenti elettronici, sono previste specifiche discipline di trattamento come specificato dall'art. 35 del D.lgs 196/2003:
1. Il trattamento di
dati personali effettuato senza l'ausilio di strumenti elettronici e'
consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico
contenuto nell'allegato B), le seguenti misure minime:
a) aggiornamento periodico dell'individuazione dell'ambito del trattamento
consentito ai singoli incaricati o alle unita' organizzative;
b) previsione di procedure per un'idonea custodia di atti e documenti affidati
agli incaricati per lo svolgimento dei relativi compiti;
c) previsione di procedure per la conservazione di determinati atti in archivi
ad accesso selezionato e disciplina delle modalita' di accesso finalizzata
all'identificazione degli incaricati.
In particolare:
punto a) viene attribuito agli incaricati uno specifico diritto di accesso ai dati trattati nei limiti previsti dalla vigente normativa(*)
punto b) viene impostato uno studio per verificare quale migliore procedura possa essere introdotta per la custodia dei documenti durante le attività amministrative
punto c) viene impostato uno studio per verificare come conservare e disciplinare l'accesso alle banche dati non informatizzate
(*) Nel caso di trattamento di dati sensibili e giudiziari, questa accezione è da intendersi come riportato dall'art.22, comma 3 del D.lgs 196/2003 qui riportato:
I soggetti pubblici possono trattare solo i dati sensibili e giudiziari indispensabili per svolgere attivita' istituzionali che non possono essere adempiute, caso per caso, mediante il trattamento di dati anonimi o di dati personali di natura diversa
Raccolta dati
In questa sezione vengono ribadite le operazioni da svolgersi per l'individuazione dei dati trattati.
Dati trattati con apparecchiature informatizzate
Per quanto riguarda il trattamento dei dati fatta con apparecchiature informatizzate, al fine di garantirne la tutela sia logica che fisica, risulta necessario procedere come segue:
1. Individuazione
dei procedimenti amministrativi
Al Responsabile del Trattamento è affidato il compito di redigere
e di aggiornare ad ogni variazione l'elenco dei dati trattati nei procedimenti
amministrativi. Se vi sono più Responsabili del Trattamento,
questo compito viene svolto da ognuno di essi nell'ambito di responsabilità
assegnato ( da ora in poi si farà riferimento genericamente al Responsabile
del Trattamento ).
Ogni procedimento
deve essere classificato in relazione alle informazioni in esso trattate
indicando se esso contiene Dati Personali Comuni, Dati Personali
Sensibili o Dati Personali Giudiziari.
La conservazione e l'aggiornamento delle informazioni relative ai procedimenti
dell'ente deve essere assicurata dal Responsabile del Trattamento.
2. Inventario
delle finalità di utilizzo dei dati e delle fonti legittimanti
Al Responsabile del Trattamento è affidato il compito di redigere
e di aggiornare ad ogni variazione la fonte normativa che autorizza il
trattamento dei Dati Personali Sensibili e dei Dati Personali Giudiziari.
3. Inventario
delle sedi in cui vengono trattati i dati
Al Responsabile del Trattamento è affidato il compito di redigere
e di aggiornare ad ogni variazione l'elenco delle sedi in cui viene effettuato
il trattamento dei dati.
La conservazione delle informazioni relative alle sedi di trattamento dei dati
deve essere assicurata dal Responsabile del Trattamento.
Qualora i dati siano trattati in sedi diverse da quelle del Titolare
del Trattamento, questi o il Responsabile del Trattamento
individuano nel soggetto giuridico a cui la sede fa riferimento un nuovo Responsabile
del Trattamento. Ad esso viene richiesta l'adozione e la dichiarazione
di essersi dotato di misure minime di sicurezza soddisfacenti anche in
relazione alla natura dei dati trattati.
4. Inventario
degli uffici interni in cui vengono trattati i dati
Al Responsabile del Trattamento è affidato il compito di redigere
e di aggiornare ad ogni variazione l'elenco degli uffici in cui viene effettuato
il trattamento dei dati.
La conservazione delle informazioni relative agli uffici sede di trattamento
dei dati deve essere assicurata dal Responsabile del Trattamento.
5. Inventario
dei sistemi di elaborazione
Al Responsabile del Trattamento è affidato il compito di redigere
e di aggiornare ad ogni variazione l'elenco dei sistemi di elaborazione con cui
viene effettuato il trattamento dei dati.
Per ogni sistema deve essere noto l'operatore o gli operatori che vi accedono
La conservazione delle informazioni relative agli elaboratori per il
trattamento dei dati deve essere assicurata dal Responsabile del Trattamento.
Dati trattati con sistemi non informatizzati
1. Individuazione
dei procedimenti amministrativi
Al Responsabile del Trattamento è affidato il compito di redigere
e di aggiornare ad ogni variazione l'elenco dei dati trattati nei procedimenti
amministrativi.
Ogni procedimento
deve essere classificata in relazione alle informazioni in esso trattate
indicando se si contiene Dati Personali Comuni, Dati Personali
Sensibili o Dati Personali Giudiziari.
La conservazione delle informazioni relative ai procedimenti dell'ente
deve essere assicurata dal Responsabile del Trattamento.
2. Inventario
delle finalità di utilizzo dei dati e delle fonti legittimanti
Al Responsabile del Trattamento è affidato il compito di redigere
e di aggiornare ad ogni variazione la fonte normativa che autorizza il
trattamento dei Dati Personali Sensibili e dei Dati Personali Giudiziari.
3. Inventario
delle sedi in cui vengono trattati i dati
Al Responsabile del Trattamento è affidato il compito di redigere
e di aggiornare ad ogni variazione l'elenco delle sedi dell'ente nelle quali
vengono prodotti, conservati, elaborati dati trattati con apparecchiature non
informatiche.
Qualora i
dati siano trattati in sedi diverse da quelle del Titolare del Trattamento, questi o il Responsabile
del Trattamento individuano nel soggetto giuridico a cui la sede fa
riferimento un nuovo Responsabile del Trattamento. Ad
esso viene richiesta l'adozione la dichiarazione di essersi dotato di misure
minime di sicurezza soddisfacenti anche in relazione alla natura dei dati
trattati.
La conservazione delle informazioni relative alle sedi rilevate deve essere
assicurata dal Responsabile del Trattamento.
4. Inventario
degli uffici interni in cui vengono trattati i dati
Al Responsabile del Trattamento è affidato il compito di redigere
e di aggiornare ad ogni variazione l'elenco degli uffici nei quali vengono
prodotti, conservati, elaborati dati trattati con apparecchiature non
informatiche.
La conservazione delle informazioni relative agli uffici rilevati deve essere
assicurata dal Responsabile del Trattamento.
5. Inventario
dei luoghi di ricovero dei dati
Al Responsabile del Trattamento è affidato il compito di redigere
e di aggiornare ad ogni variazione l'elenco dei luoghi di ricovero ( armadi,
cassetti, casseforti, … ) dei dati trattati con sistemi non informatici.
Deve essere inoltre evidenziato il tipo di protezione fisica posta in essere
per ridurre al minimo il rischio di perdita di dati o trattamento non
consentito.
La conservazione delle informazioni relative alle informazioni rilevate deve
essere assicurata dal Responsabile del Trattamento.
La conoscenza di queste informazioni permette quindi di definire una mappa completa non solo delle informazioni trattenute dall'ente, ma anche la loro distribuzione tra i sistemi delegati a trattenerle. Queste informazioni rappresentano la base per progettare la Politica di Sicurezza nonché un adeguato Piano di Continuità Operativa.
Analisi dei rischi
Al fine di individuare ed applicare adeguate misure volte a garantire la sicurezza del sistema informativo, è compito del Responsabile del trattamento valutare, dinamicamente e costantemente la vulnerabilità sia degli elementi costitutivi l'architettura del sistema informativo che in essi sono collocati, sia i rischi cui i dati sono soggetti.
A tale scopo si rilevano le seguenti minacce, a prescindere dall'origine dolosa, colposa o accidentale degli agenti che le possono generare:
- distruzione materiale dei supporti su cui sono registrati i dati;
- danneggiamento dei supporti con conseguente inintelleggibilità dei dati;
- cancellazione dei dati;
- accesso abusivo ai dati;
- trattamento dei dati eccedente alle finalità per cui vengono trattati;
- alterazione logica dei dati;
- trattamento abusivo tramite procedure o programmi per elaboratore autorizzati;
- trattamento abusivo tramite procedure o programmi per elaboratore non autorizzati;
- danneggiamento o manomissione, fisica o logica, delle apparecchiature e dei dispositivi per l'elaborazione dei dati;
- danneggiamento o manomissione, fisica o logica, delle apparecchiature e dei dispositivi per la trasmissione dei dati.
Criteri tecnici ed organizzativi per la protezione delle aree e dei locali interessati dalle misure di sicurezza nonché le procedure per controllare l'accesso delle persone autorizzate ai locali medesimi
Le aree adibite a luogo di lavoro devono essere assegnate e utilizzate in base a criteri che tengano conto delle attività che in essi vengono svolte.
La compartimentazione degli spazi deve essere strutturata in maniera tale da impedire la promiscuità di permanenza e di utilizzazione tra:
- personale dipendente incaricato del trattamento di dati personali;
- personale dipendente non incaricato di trattamento di dati personali;
- terzi.
Il personale dipendente incaricato di trattamento ha accesso ai dati esclusivamente sulla base delle esigenze di servizio, conformemente ai seguenti principi:
- la necessità di trattamento;
- il minimo privilegio, vale a dire il minimo livello di conoscenza dei dati.
E' compito del Responsabile vigilare affinché venga impedito l'accesso, il transito e la permanenza di persone estranee all'attività lavorativa nelle aree e nei locali adibiti a luoghi di lavoro, con particolare attenzione agli spazi in cui vengono custodite banche di dati o in cui avvengono trattamenti di dati. E' altresì compito del Responsabile impedire che vengano introdotti in tali aree oggetti, apparecchiature, sostanze o materiali che possono favorire la realizzazione dei rischi sopra individuati, ovvero non indispensabili allo svolgimento dell'attività lavorativa.
L'accesso e la permanenza di personale addetto ad attività di servizio (pulizia, manutenzioni, etc.) deve avvenire con procedure e controlli idonei a ridurre i rischi sopra individuati.
Devono essere previsti procedure, accorgimenti e strumenti per:
- consentire l'accesso alle aree dove vengono custoditi e trattati i dati al solo personale autorizzato;
- ostacolare l'accesso abusivo ai dati;
- segnalare la presenza di intrusi.
Procedura operativa
Per la gestione delle attività inerenti la raccolta, l'organizzazione ed il mantenimento del sistema di autorizzazione al trattamento dei dati così come stabilito nei precedenti capitoli, vengono di seguito segnalati l'insieme dei documenti che costituiscono i contenuti operativi del DPS.
Descrizione dei documenti:
· Individuazione dei Responsabili del trattamento dati
· Individuazione degli incaricati al trattamento completo della dell'elenco dei procedimenti con trattamento di dati sensibili o giudiziari consentiti
· Individuazione dei Responsabili esterni del trattamento
· Identificazione delle banche dati e dei sistemi informativi che le gestiscono
· Identificazione dei locali e delle strutture atte a conservare i documenti cartacei
· Analisi dei rischi
· Descrizione delle contromisure adottate per garantire continuità operativa
· Piano di formazione continua agli incaricati del trattamento dati
· Regole interna per la gestione delle più importanti contromisure a tutela dei dati trattati
Ogni documento descritto quale generico "allegato", può avere, seconda la necessità, natura di atto, documento, regolamento interno.
DISPOSIZIONI GENERALI
Di seguito vengono riproposte alcune considerazione che devono accompagnare l'attività di trattamento dati difficilmente oggetto di normazione poiché ascrivibili ad una corretta deontologia professionale.
Norme deontologiche per gli incaricati al trattamento dei dati:
I dati trattati, se di natura sensibile, devono trovare in una espressa disposizione di legge fonte di legittimazione. Qualora l'incaricato al trattamento dei dati nell'atto di trattare dati sensibili non rilevi nel suo profilo di autorizzazione esplicita autorizzazione, deve interrompere il trattamento e darne pronta comunicazione al responsabile del trattamento dei dati che ha operato l'individuazione del suo profilo di autorizzazione.
L'incaricato è comunque tenuto alla riservatezza in tutte le fasi del trattamento e della comunicazione dei dati al fine di non incorrere in conseguenze penali e sanzionatorie.
Deve inoltre garantire la correttezza, la completezza e la non eccedenza dei dati trattati. Qualora ciò non fosse rilevato, agisce perché ciò non abbia più a ripetersi.
I dati personali (sia in formato elettronico che non) non più necessari per il procedimento amministrativo cui riferisco devono essere trattati secondo le indicazioni di trattamento descritte.
Accesso ai locali:
L'accesso ai locali sono consentiti solo durante l'orario di lavoro. Qualora sia necessario accedervi in orari diversi, è necessario registrare l'accesso negli appositi moduli allo scopo predisposti segnalando l'identificativo di chi vi accede, la motivazione e la durata.
Tale procedura è richiesta poiché gli uffici e gli armadi in essi contenuti possono custodire dati sensibili.
Allo scopo di ridurre il rischio di diffusione di dati sensibili, gli operatori in possesso delle chiavi degli armadi provvederanno a chiuderli a chiave ogniqualvolta abbandonino l'ufficio per motivi di servizio o per cessata attività.
Informativa:
Come disposto dagli artt.. 13 comma 1 e 22 comma 2 del D.lgs 196/2003, i responsabili del trattamento dei dati unitamente agli incaricati del trattamento dei dati provvedono, qualora si proceda alla raccolta di dati personali sensibili o giudiziari, ad informare l'interessato, ovvero la persona fisica, la persona giuridica, l'ente o l'associazione cui riferiscono i dati personali oralmente o per iscritto:
1. della natura obbligatoria della raccolta dei dati
2. dei riferimenti normativi che sanciscono i trattamenti consentiti
3. le finalità e le modalità del trattamento cui sono destinati i dati
4. i soggetti o le categorie di soggetti ai quali i dati possono essere comunicati o che possono venire a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi
5. i diritti di accesso ai dati personali ( art. 7 D.lgs 196/2003 )
Accesso al dati da parti di organi politico/amministrativi:
Gli organi politico/amministrativi, nello svolgimento delle funzioni consentite dalla legge, possono accedere ad informazioni anche di carattere sensibile.
Tale accesso deve però essere mediato da un incaricato il quale può comunicare i dati richiesti solo per la funzione di controllo specifica.
Non potrà in altri termini essere accettata una richiesta di accesso indiscriminato ai dati dell'ente, ma solo a quelli necessari all'espletamento della specifica finalità di controllo richiesta, in accordo con le disposizioni del Garante sulla Privacy.
Devono in ogni caso esimersi da trattamenti e/o comunicazioni non autorizzate, al fine di non incorrere in sanzioni di natura penale.
Professionisti esterni che gestiscono dati personali e sensibili di titolarità dell'ente:
Per consentire a soggetti esterni il trattamento di dati di titolarità dell'ente, deve essere seguito un processo di responsabilizzazione a garanzia che tali dati trovino nella sede di trattamento misure di sicurezza ritenute idonee dal titolare o dal responsabile del trattamento dati.
Stagisti:
Sono considerati incaricati e devono attenersi alle prescrizioni di carattere generale qui riportate.
In nessuna delle mansioni svolte devono aver accesso a dati di natura sensibile e qualora accidentalmente ciò dovesse verificarsi, devono aver cura di non comunicare a persone esterne trattando tali informazioni con la massima riservatezza.
Per qualsiasi informazione/istruzione in merito al trattamento dei dati personali devono rivolgersi al responsabile del trattamento dati al quale sono assegnati.
Archivio storico:
L'archivio storico per sua destinazione contiene tutte le tipologie di dati personali e sensibili gestiti nei vari servizi e archiviate al suo interno, per tale ragione gli accessi devono essere controllati e la gestione, degli stessi, affidata ai soli incaricati.
Gli archivi sono costantemente chiusi a chiave e la distribuzione logistica al loro interno è tale da dividere gli archivi contenenti i documenti di natura amministrativa da i documenti aventi rilevanza storica.
PRINCIPALI ADEMPIMENTI PERIODICI
Oltre ai principi generali appena enunciati, il D.Lgs. 196/2003 impone una serie di verifiche e controlli da effettuare con cadenza periodica, o per espressa previsione normativa, o perché necessario procedere ad alcune modifiche ogniqualvolta muti uno degli elementi essenziali dell'organizzazione aziendale.
1° gennaio di ogni anno (si tratta degli adempimenti per i quali il Codice prevede una cadenza almeno annuale):
· Aggiornare l'individuazione dell'ambito di trattamento consentito ai singoli incaricati, ove variato, anche parzialmente;
· Verificare la sussistenza delle condizioni per la conservazione delle autorizzazioni per l'accesso ai dati particolari per gli incaricati;
· Fornire istruzioni organizzative e tecniche affinché il salvataggio dei dati sia effettuato settimanalmente;
· Programmare interventi di formazione per gli incaricati del trattamento.
· Provvedere all'aggiornamento delle "patch" dei programmi per computer, nel caso di trattamento di dati comuni (art. 17, Allegato B);
1°gennaio-1°luglio di ogni anno (adempimenti a cadenza semestrale):
· Aggiornare i software antivirus, per tutti i tipi di dati (art. 16, Allegato B);
· Provvedere all'aggiornamento delle "patch" dei programmi per computer, nel caso di trattamento di dati sensibili (art. 17, Allegato B);
31 marzo di ogni anno: Aggiornare il Documento programmatico sulla sicurezza.
All'interno del documento programmatico per la sicurezza, viene previsto un PIANO DI FORMAZIONE per gli incaricati, che dovrà pertanto essere rivisto annualmente. Il piano impone che siano fatte previsioni effettive sui tempi di formazione e sulle strutture che gestiranno tali attività, nell'arco dell'anno. La formazione è programmata al momento dell'ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o introduzione di nuovi significativi strumenti, rilevanti per il trattamento dei dati personali.
Quanto ai Responsabili, questi devono essere scelti tra persone dotate della necessaria esperienza, capacità, affidabilità: è, quindi, opportuno che la loro formazione sia più specifica rispetto a quella data agli incaricati, onde evitare il rischio di nomine invalide.
Inoltre, in tutti i casi che seguono è necessario procedere a verifiche costanti (il legislatore non indica un periodo minimo di revisione, ma punisce dichiarazioni eventualmente difformi dalla realtà):
NOTIFICA:
Sarà necessario provvedere alla modifica della notificazione effettuata al Garante tutte le volte in cui cambi uno degli elementi in essa contenuti.
INFORMATIVE:
E' necessario distribuire nuove informative, o comunicare i mutamenti intervenuti, tutte le volte in cui cambi uno degli elementi descritti dall'art. 13 del Codice:
a. le finalità e le modalità del trattamento cui sono destinati i dati;
b. la natura obbligatoria o facoltativa del conferimento dei dati;
c. le conseguenze di un eventuale rifiuto di rispondere;
d. i soggetti o le categorie di soggetti ai quali i dati possono essere comunicati e l'ambito di diffusione dei dati medesimi;
e. il nome, la denominazione o la ragione sociale e il domicilio, la residenza o la sede del Titolare.
Non c'è obbligo di modificare l'informativa qualora cambino i Responsabili, che siano stati indicati nell'informativa solo in base alla qualifica rivestita; può anche essere indicato solo il luogo dove è conservato l'elenco completo dei Responsabili del trattamento, ovvero il modo per accedervi. E' comunque necessario indicare nome e dati di almeno un Responsabile, se nominato.
QUALITA' DEI DATI ex art. 11:
Il Titolare deve curare che il trattamento dei dati avvenga sempre nel rispetto dei principi dettati dall'art.11 del Codice; dunque, occorre verificare costantemente:
a. che i dati siano trattati in modo lecito e secondo correttezza;
b. che siano raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini non incompatibili con tali scopi;
c. che siano esatti e, se necessario, aggiornati;
d. pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati;
e. conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.
RIFERIMENTI NORMATIVI
· Decreto Legislativo 2003 n. 196: “Codice in materia di protezione dei dati personali"
Siti Internet
Dove trovare normativa completa, domande-risposte, porre quesiti, ecc.:
· http://www.garanteprivacy.it/
Modalità di approvazione e revisione del presente documento
E' prevista la revisione del presente documento entro un anno dalla sua approvazione per verificarne la completezza, l'efficacia e l'efficienza della sua applicazione su comunicazione di valutazione dei responsabili.
Le successive revisioni saranno con frequenza annuale, come previsto dalle norme, tranne se ne evidenzi la necessità di intervento con cadenza anticipata.
L'approvazione compete alla Giunta Comunale, previa approvazione dei responsabili.
Ogni nuova emissione comporta l'avanzamento del numero di revisione e l'indicazione della data.
|
Nominativo Titolare / Responsabile |
Funzione |
Approvazione |
|
|
Data |
Firma |
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Documento Programmatico sulla Sicurezza