Prospetto Informativo ed Organizzativo
in materia di Misure di Sicurezza nel Trattamento dei Dati Personali

PREMESSA
Il presente prospetto contiene tutta la documentazione predisposta per l’adeguamento dell’attività professionale alle norme in materia di protezione dei dati personali previste dal D. Lgs 196/03.
La documentazione predetta riporta una descrizione di tutte le misure di sicurezza adottate nel trattamento dei dati personali e delle modalità con cui lo stesso trattamento viene posto in essere.
Il contenuto di questo prospetto verrà aggiornato tempestivamente, sia nel caso di modifiche relative alle modalità di trattamento dei dati, sia in caso di modifiche normative concernenti la protezione dei dati personali.
La documentazione, peraltro, in caso di richiesta e/o necessità, sarà portata a conoscenza degli interessati nei limiti e nel rispetto della normativa in materia.

STUDIO LEGALE COZZARI,
in ossequio alle disposizioni del D. Lgs. n. 196 del 2003 (norme in materia di trattamento dei dati personali),
nel trattamento dei dati personali di tutti i clienti, offre le seguenti informazioni.

Informativa ai sensi dell’art.13 del D. Lgs. 30 giugno 2003, n° 196.

FINALITÁ DEL TRATTAMENTO
Il trattamento dei dati conferiti avrà come fine quello di rendere eseguibile in modo corretto ed effettivo il rapporto professionale giudiziale o stragiudiziale instaurando.In particolare i dati saranno utilizzati sulla base delle esigenze professionali che si dovessero presentare a seguito del mandato conferitoci o comunque a seguito del rapporto professionale (giudizi, consulenze, pareri, risoluzioni di questioni stragiudiziali, etc) che in specifico venga realizzato.

MODALITÁ E DURATA DEL TRATTAMENTO
Il trattamento avverrà con modalità informatizzate e non (sempre nel rispetto delle misure di sicurezza previste dal D. Lgs. 196/2003).
Il trattamento dei dati non si protrarrà oltre i limiti temporali dettati dalle finalità sopra esposte. Tali tempi saranno, oltre quelli congruamente dettati dalla tipologia di rapporto instaurato, anche quelli previsti dagli obblighi dei legge in materia.

NATURA DEI DATI
I dati richiesti saranno solo quelli strettamente necessari all’esecuzione del rapporto professionale.
Il conferimento dei dati, salvo diversa specifica disposizione di legge, sarà del tutto facoltativo, ma un eventuale rifiuto (totale o parziale di conferimento) potrà portare ad una impossibilità (totale o parziale) di instaurazione, prosecuzione, esecuzione del rapporto professionale sia esso giudiziale che stragiudiziale.
I dati conferiti, qualora rientrino nella categoria specifica dei dati giudiziari o in quella più generale dei dati sensibili, saranno sottoposti alle corrispondenti misure di sicurezza previste per queste categorie di dati (D. Lgs. 196/2003).

COMUNICAZIONE E AMBITO DI DIFFUSIONE
La comunicazione dei dati a soggetti terzi avverrà solo per necessità nate dall’esecuzione della prestazione professionale o dal rapporto in genere (tra le categorie di soggetti sono compresi, a titolo esemplificativo, oltre agli avvocati, notai, consulenti tecnici e altre categorie di soggetti coinvolti nella attività professionale e legale in genere, Amministrazioni pubbliche e Autorità giudiziarie, anche tutti quei soggetti per cui la comunicazione sia richiesta dalla legge).
I dati saranno sempre conoscibili oltre che dal titolare del trattamento anche da tutti gli incaricati nominati e autorizzati dallo stesso titolare secondo le direttive da questo ultimo predisposte.

DIRITTI DELL’INTERESSATO DIRITTI DELL’INTERESSATO
Si fa presente che, ai sensi dell’art. 7 del D. Lgs. del 30 giugno 2003 n. 196:
L’interessato ha diritto di ottenere la conferma dell’esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile.

1) L’interessato ha diritto di ottenere la conferma dell’esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile;

2) L’interessato ha diritto di ottenere l’indicazione:
dell’origine dei dati personali;
della finalità e modalità del trattamento;
della logica applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronici;
degli estremi identificativi del titolare dei responsabili e del rappresentante designato ai sensi dell’art. 5 , comma 2;
dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati.

3) L’interessato ha diritto di ottenere: l’aggiornamento, la rettificazione ovvero, quando vi ha interesse, l’integrazione dei dati; la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati; l’attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato.

4) L’interessato ha diritto di opporsi, in tutto o in parte: per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta; al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale”: Si fa inoltre presente che i suddetti diritti potranno essere esercitati dall’interessato in base alle disposizioni normative previste dagli artt. 8, 9 e 10 dello stesso D. Lgs. (196/2003).

SOGGETTI DEL TRATTAMENTO:
Titolare del trattamento è l’Avv. Enrico Cozzari, con studio in Perugia, Via Annibale Vecchi n. 113.
Telefono e fax 075/44446; e-mail: info@studiolegalecozzari.com

Nomina ad incaricato del Trattamento di Dati Personali

Il sottoscritto Avv. Enrico Cozzari, con studio in via A.Vecchi n° 113, Perugia, in veste di titolare del trattamento dei dati personali, ai sensi del D. Lgs. n° 196 del 2003, Nomina L’Avv. Maurizio Cozzari, nato a Perugia (PG), il 4/8/48 e residente in Perugia, Str. San Marco n° 30, C.F.: CZZMRZ48M04E478B, collega di studio, Incaricato del trattamento dei dati gestiti nell’esercizio della professione, ai sensi dell’art. 29 del D. Lgs n° 196 del 2003.

Insieme al presente atto di nomina si comunicano le relative direttive del titolare del trattamento con riferimento alle modalità e alle finalità del trattamento stesso destinate ad essere eseguite ed applicate.

Ogni incaricato nominato s’impegna, con la sottoscrizione del presente atto di nomina, ad adeguare la propria attività alle direttive del titolare e alle istruzioni sue o di altro soggetto da questi delegato in conformità e nei limiti della normativa vigente in materia di protezione dei dati personali (D. Lgs. n° 196 del 2003).

Direttive del Titolare del Trattamento (D.Lgs. n. 196 del 2003)

AUTENTICAZIONE INFORMATICA
Ogni incaricato nominato dovrà munirsi di una parola chiave per accedere ai dati personali trattati nell’ambito dell’attività professionale dell’avv. Enrico Cozzari.
Tale parola chiave dovrà essere conosciuta solamente dall’incaricato cui è riservata per un uso esclusivo e autonomo, nei limiti del trattamento autorizzato.

PROCEDURA DI GESTIONE DELLE CREDENZIALI DI AUTENTICAZIONE
Le credenziali di autenticazione (parole chiave – passwords) dovranno essere determinate dagli stessi incaricati personalmente ed individualmente. Ogni incaricato poi dovrà inserire la propria password attivata su supporto cartaceo (sottoscritta) inserita in una busta sigillata e consegnata al titolare del trattamento per la sua conservazione e custodia.
La parola chiave non dovrà contenere meno di otto caratteri (o comunque, qualora il sistema operativo non lo consenta, dovrà averne il numero massimo possibile). La stessa parola chiave non dovrà contenere riferimenti facilmente riconducibili all’incaricato cui si riferisce e dovrà essere modificata, oltre al momento del primo utilizzo, ogni sei mesi in caso di trattamento di dati comuni e ogni tre mesi in caso di trattamento di dati sensibili.
Le parole chiave utilizzate non possono comunque essere assegnate ad altri incaricati neanche in tempi diversi. Dovranno per questo essere mantenute segrete e mai comunicate a terzi.
Sono quindi vietate comunicazioni a terzi da cui si possa anche solo desumere la segreta credenziale di accesso ai dati.
Nei limiti delle possibilità tecniche si prevedrà un sistema di disattivazione per cui, in caso di mancato utilizzo della password, protratto per sei mesi, questa risulterà inutilizzabile per l’accesso ai dati.
In caso di perdita della qualifica di incaricato, o di modifica del profilo di autorizzazione, la password sarà immediatamente disattivata (ed eventualmente sostituita per il nuovo profilo personale dell’incaricato).
Nel caso in cui la password venga dimenticata o sorgano problemi di qualsiasi natura con riferimento all’accesso ai dati del singolo incaricato, si provvederà su indicazione e disposizione del titolare alla sostituzione, ripristino o modifica della parola chiave e della modalità di accesso, con eventuali specifiche disposizioni relative alle modalità ed ai tempi dell’intervento.
Si prevedono inoltre sistemi di sicurezza per accessi di emergenza (dovuti ad esempio ad un’impossibilità di accesso dell’incaricato specificamente addetto e autorizzato) su disposizione del titolare che stabilirà i limiti, i modi e i sistemi dell’intervento in base ad un insindacabile giudizio di indispensabilità, urgenza, indifferibilità e necessità per questioni di sicurezza, operatività del sistema e tutela dei dati.
Tali interventi saranno anche disposti in caso di prolungata assenza dell’incaricato garantendo non solo la costante sicurezza dei dati, ma anche la tutela effettiva dei diritti dell’interessato (art.7 D.Lgs. 196/2003).

SISTEMA DI AUTORIZZAZIONE
Ogni incaricato dovrà agire nei limiti previsti dal suo specifico profilo di autorizzazione come risultante dall’atto di nomina predisposto. Ogni profilo di autorizzazione potrà essere modificato dal titolare con apposito atto integrativo o sostitutivo della precedente nomina.

PROTEZIONE E MANUTENZIONE DEI DATI E DEGLI STRUMENTI ELETTRONICI
Gli strumenti elettronici utilizzati dovranno essere costantemente protetti da sistemi antivirus (ad es. Symantec Norton Antivirus) aggiornato con cadenza almeno semestrale.
Allo stesso modo tutti gli strumenti utilizzati per il trattamento dovranno essere protetti da eventuali intrusioni non autorizzate e da attacchi o interferenze che possano danneggiare gli stessi strumenti e i dati in essi contenuti.
A tal fine i sistemi operativi e i programmi di protezione dovranno essere congruamente aggiornati almeno ogni sei mesi.
Durante la sessione di lavoro l’incaricato non potrà allontanarsi dallo strumento informatico utilizzato, ma dovrà sempre provvedere al salvataggio dei dati e alla messa in sicurezza dagli accessi non autorizzati prima di perdere la possibilità di vigilanza sullo strumento.

SALVATAGGIO DEI DATI E COPIE DI SICUREZZA
I dati trattati dovranno essere salvati e conservati a mezzo degli strumenti elettronici a disposizione degli incaricati nello studio professionale. Il salvataggio dovrà avvenire con frequenza almeno settimanale a mezzo dei supporti predisposti e secondo le modalità individuate dall’incaricato all’uopo autorizzato dal titolare.

DATI SENSIBILI
Nel caso in cui siano trattati dati sensibili sono previste specifiche modalità di trattamento al fine di escludere accessi abusivi, di cui all’art. 615 ter c.p.c., attuate a mezzo degli incaricati autorizzati. In particolare tali dati saranno separati (se possibile) dagli altri dati comuni e accessibili a mezzo di parole chiave che dovranno essere modificate ogni tre mesi (sul punto vedi sopra).
Qualora i dati stessi siano inseriti in appositi supporti removibili questi dovranno essere idoneamente custoditi evitando apprensioni e sottrazioni o manipolazioni non autorizzate.
Con ciò si deve quindi evitare qualsiasi diffusione, comunicazione o erronea trasmissione di tali dati e comunque trattamenti non consentiti.
Se non utilizzati, i dati dovranno essere distrutti e i supporti resi inutilizzabili (salvi i diritti dell’interessato: art.7 D.Lgs. 196/03).
In caso di danneggiamento dei sistemi informatici utilizzati nel trattamento dei dati sensibili dovrà garantirsi un accesso agli stessi entro 7 gg. (nei limiti delle capacità e dei tempi tecnici necessari), congruamente alle esigenze dell’interessato.

MISURE DI TUTELA E GARANZIA
Nel caso in cui, per ragioni di manutenzione o gestione dei sistemi informatici, sia necessario l’intervento di un soggetto terzo sarà richiesta una attestazione del terzo in cui sia dettagliatamente descritto l’intervento effettuato e la sua conformità alle disposizioni del D.Lgs. 196/03 in materia di sicurezza.

TRATTAMENTO DEI DATI SENZA L’AUSILIO DI STRUMENTI ELETTRONICI
I trattamenti o le eventuali fasi di trattamento effettuate a mezzo di strumenti non elettronici dovrà avvenire nel massimo rispetto delle misure di sicurezza previste dal D. Lgs. 196/03.
In particolare tutti i supporti utilizzati per la raccolta dei dati dovranno essere gestiti esclusivamente dagli incaricati autorizzati i quali eviteranno possibilità di diffusione non consentite ed accessi non autorizzati. Gli stessi incaricati saranno responsabili della custodia di tutti i documenti, atti e registri contenenti i dati e provvederanno a garantirne la segretezza (nei confronti dei terzi non autorizzati) mediante la loro conservazione e gestione in luoghi idonei offerti dal titolare (ad esempio armadietti con serratura, stanza appositamente adibita e ad ingresso selezionato, etc…).
Anche nella utilizzazione dei supporti cartacei (soprattutto se ad utilizzo non istantaneo) i singoli incaricati dovranno evitare di allontanarsi dal luogo di lavoro in cui vengono gestiti e dovranno sempre accertarsi che questi non siano utilizzati, consultati, trasportati o comunque appresi da terzi non autorizzati. Gli incaricati a cui sono affidati tali strumenti e tali supporti sono responsabili quindi della custodia e del controllo dei mezzi e dei dati in essi contenuti per l’intero ciclo di trattamento per cui siano sfruttati. La custodia necessaria dovrà rimanere costante per tutto il tempo delle operazioni di trattamento e fino alla eventuale perdita autorizzata della gestione di tali supporti (ad esempio consegna ordinata ad altri incaricati, al titolare, a terzi per gli adempimenti di legge, etc…).
L’accesso agli archivi contenenti dati sensibili dovrà essere costantemente controllato e vigilato. Tutti gli accessi dovranno essere preventivamente autorizzati dal titolare e comunque sistematicamente registrati o certificati con l’identificazione del soggetto, le modalità dell’accesso e la sintetica descrizione dell’intervento effettuato.
Tale registrazione non dovrà effettuarsi per gli accessi di soggetti specificamente addetti alla gestione degli archivi e autorizzati in via generale ad un accesso quotidiano.

RACCOLTA E GESTIONE DEI DATI
I dati dovranno essere raccolti solo dopo il consenso espresso (scritto in caso di dati sensibili) dell’interessato a seguito della conoscenza dell’informativa a quest’ultimo specificamente sottoposta.
In mancanza di tale consenso non dovrà effettuarsi alcun tipo di trattamento. Il rifiuto dovrà per altro essere segnalato al titolare del trattamento che provvederà alla successiva gestione del rapporto con l’interessato.
Ogni disfunzione, mal funzionamento, difficoltà o problema di qualsiasi genere dovrà essere immediatamente segnalato al titolare del trattamento o al soggetto da questi designato. Non dovranno essere prese iniziative personali all’insaputa del titolare salvo espressa autorizzazione di questo ultimo.
Ogni dubbio interpretativo, applicativo, operativo e gestionale relativo all’attuazione del prospetto informativo e delle direttive in esso contenute, dovrà essere fatto presente al titolare (o a persona da questo incaricato) anche mediante informale richiesta.

SOGGETTI DEL TRATTAMENTO
L’Avv. Maurizio Cozzari, come titolare del trattamento, provvederà con cadenza almeno annuale alla redazione della lista degli incaricati nominati e autorizzati al trattamento. Provvederà inoltre ad aggiornare tale lista, nei limiti dei tempi necessari, in caso di modifiche in itinere verificatesi con la nomina di altre figure di trattamento (as es. di un responsabile) con cambiamenti nei soggetti incaricati o nel loro profilo di autorizzazione, disponendo, nel caso, le acconce direttive per una adeguata attuazione delle modifiche.

Documento Programmatico sulla Sicurezza

PREMESSA AL DOCUMENTO PROGRAMMATICO SULLA SICUREZZA
L’Avv. Enrico Cozzari, titolare del trattamento, ha provveduto alla redazione del Documento Programmatico sulla Sicurezza (D.P.S.) – di seguito riportato – in cui vengono date tutte le informazioni richieste dall’art. 34 e dalla regola n° 19 dell’allegato B del D. Lgs. 196/2003.
La redazione del presente documento è stata effettuata sulla base delle specifiche indicazioni offerte dal Garante per la Protezione dei Dati Personali.

ELENCO DEI TRATTAMENTI DI DATI PERSONALI (REGOLA 19.1)
 In questa sezione sono riportate descrizioni analitiche di tutti i trattamenti effettuati nello svolgimento dell’attività professionale.

1) Trattamento concernente i dati relativi al personale dipendente e ai soggetti che svolgono attività di collaborazione.
 
Informazioni essenziali

 • Identificativo del trattamento: T1.
 • Descrizione sintetica: tale trattamento riguarda esclusivamente i dati concernenti i collaboratori di studio (compresi i praticanti) e i dipendenti.
 • Natura dei dati trattati: i dati trattati sono prevalentemente comuni, i dati sensibili eventualmente raccolti sono sottoposti agli specifici limiti di trattamento stabiliti dal “Codice in materia di protezione dei dati personali”.
 • Struttura di riferimento: il trattamento avviene presso la sede dello studio in via Annibale Vecchi 113 (PG).
 • Altre strutture che concorrono al trattamento: nessuna.
 • Banca dati: sono utilizzati esclusivamente i pc presenti nello studio (per le modalità di raccolta si vedano i successivi punti).
 • Ubicazione fisica dei supporti di memorizzazione: gli strumenti elettronici utilizzati per il trattamento (singoli pc) sono situati presso lo studio in cui si svolge l’attività professionale e lo stesso dicasi per parte delle copie di sicurezza (secondo le specifiche modalità di conservazione di cui si dirà).
 • Tipologia dei dispositivi di accesso: il trattamento viene effettuato dagli incaricati e dal titolare mediante pc e supporti e strumenti non elettronici.
 • Tipologia di interconnessione: gli strumenti informatici utilizzati hanno possibilità di connessione ad internet.

2) Trattamento concernete i dati relativi ai clienti.

Informazioni essenziali

 • Identificativo del trattamento: T2.
 • Descrizione sintetica: tale trattamento si riferisce alla raccolta dei dati che risultano necessari per la conclusione, esecuzione e attuazione di tutti i rapporti professionali.
 • Natura dei dati trattati: i dati sottoposti a questo trattamento sono essenzialmente comuni; vi possono ricadere dati sensibili e giudiziari in particolare.
 • Struttura di riferimento: il trattamento avviene nelle stesse sedi previste per il trattamento T1.
 • Altre strutture che concorrono al trattamento: nessuna.
 • Banca dati: pc presenti all’interno dello studio (vedi T1).
 • Ubicazione fisica dei supporti di memorizzazione: anche per questo trattamento l’ubicazione degli strumenti elettronici, dei mezzi di raccolta non informatizzati e delle copie di sicurezza, è la stessa di quella prevista per il trattamento T1.
 • Tipologia dei dispositivi di accesso: anche per gli strumenti utilizzati nel trattamento, si faccia riferimento a quanto indicato al corrispondente punto per il trattamento T1.
 • Tipologia di interconnessione: l’interconnessione utilizzata è la stessa prevista per il trattamento T1.

DISTRIBUZIONE DEI COMPITI E DELLE RESPONSABILITÀ (REGOLA 19.2)
In questa sezione viene data un’indicazione della struttura e dell’organizzazione in cui viene svolto il trattamento da parte della titolare, nonché una descrizione del personale utilizzato e delle relative responsabilità interne. Informazioni essenziali
 • Struttura interna: il trattamento si svolge esclusivamente presso lo studio dell’Avv. Enrico Cozzari in via Annibale Vecchi 113 (PG).
 • Responsabile della struttura: responsabile dello studio è l’Avv. Enrico Cozzari.
 • Trattamenti operati dalla struttura: i trattamenti operati presso il suddetto studio sono quelli precedentemente indicati con l’identificativo T1 e T2.
 • Compiti della struttura: entrambi i trattamenti avvengono interamente presso lo studio dell’Avv. Enrico Cozzari (acquisizione e caricamento dei dati, consultazione, comunicazione a terzi, manutenzione tecnica dei programmi utilizzati nel trattamento, gestione tecnica operativa della base dati mediante salvataggi, ripristini, custodia delle copie di sicurezza, etc.).

ANALISI DEI RISCHI CHE INCOMBONO SUI DATI (REGOLA 19.3)
In questa sezione viene riportata un’elencazione e un’analisi dei principali eventi dannosi per la sicurezza dei dati, una valutazione delle possibili conseguenze e una individuazione dell’eventuale entità e gravità del pregiudizio. Il tutto posto in correlazione con le misure di sicurezza preventive in essere e da adottare.

Informazioni essenziali

 • Elenco degli eventi, impatto sulla sicurezza dei dati e misure d’azione: gli eventi dannosi che possono interessare i dati oggetto del presente trattamento non esulano da quelli che normalmente incombono su uno studio professionale. Gli eventi sotto elencati non presentano un complessivo impatto sulla sicurezza particolarmente rilevante, né, tra gli stessi eventi, risultano esservene di significativamente rischiosi per il buon e corretto andamento del trattamento.
Ecco l’elenco dei principali ipotetici eventi e la relativa analisi dei rischi correlati:
 a) Furto di credenziali di autenticazione: tale evento comporta un rischio piuttosto basso data la modalità di conservazione e custodia delle credenziali di autenticazione degli incaricati (in busta chiusa, in un contenitore chiuso a chiave, in un luogo ad accesso selezionato mediante apposita autorizzazione del titolare del trattamento).
 b) Carenza di consapevolezza, disattenzione o incuria: tale evento comporta un rischio medio-basso sia per il livello di preparazione del personale, sia per i sistemi informatici usati, nonché per le misure di ripristino dei dati e di sicurezza in generale predisposte dal titolare del trattamento.
 c) Comportamenti sleali o fraudolenti: tali comportamenti si riferiscono ad un rischio medio in quanto sono comunque costanti le procedure di controllo interne allo studio sullo svolgimento dell’attività. Il rischio viene ulteriormente abbassato dai sistemi di controllo connessi al sistema informatico.
 d) Errore materiale: l’errore di per sé comporta dei rischi bassi sia per le procedure di correzione e ripristino previste (immediate e di rapida attuazione), sia per le procedure di salvataggio e conservazione delle copie di sicurezza, nonché per il livello tecnologico del sistema informatico utilizzato.
 e) Azione di virus informatici: il rischio di danno prodotti da virus informatici è di entità medio-bassa grazie al sistema antivirus utilizzato per tutti i mezzi informatici dello studio e dalla frequenza (settimanale) con cui viene aggiornato.
 f) Spamming o altre tecniche di sabotaggio (aker o craker): i rischi dovuti a comportamenti fraudolenti, dannosi o comunque illegittimi provenienti dall’esterno, sono ridotti al minimo dal sistema Firewall software utilizzato. Questo viene controllato e monitorato costantemente per il suo corretto funzionamento.
 g) Malfunzionamento, indisponibilità o degrado degli strumenti: i rischi connessi alle macchine informatiche utilizzate sono bassi sia per il numero degli strumenti utilizzati, sia per il costante controllo funzionale degli stessi e per la costante manutenzione, nonché per l’aggiornamento dei sistemi software utilizzati.
 h) Accessi esterni non autorizzati: i rischi dovuti a comportamenti fraudolenti, dannosi o comunque finalizzati ad accessi provenienti dall’esterno, sono ridotti al minimo dal sistema Firewall software utilizzato nello studio. Questo viene controllato e monitorato costantemente per il suo corretto funzionamento.
 i) Intercettazioni di informazioni in rete: i rischi dovuti a comportamenti fraudolenti, dannosi o comunque tendenti ad intercettazioni illecite provenienti dall’esterno, sono ridotti al minimo dal sistema Firewall software utilizzato. Questo viene controllato e monitorato costantemente per il suo corretto funzionamento.
 j) Accessi non autorizzati a reparti o locali ad accesso ristretto: il rischio è medio-basso per eventi dannosi provocati da accessi fisici non autorizzati visto che i locali ad accesso selezionato vengono controllati dal personale autorizzato e possono essere visitati solo dal personale predisposto dal titolare del trattamento a cui è affidata anche la gestione delle chiavi di accesso. Lo stesso rischio è reso ancora più basso per documenti contenenti dati rilevanti (sensibili) con la restrizione al minimo indispensabile del personale autorizzato e con la predisposizione di misure di sicurezza migliori (cassetti e armadietti con chiusura di sicurezza in locali chiusi a chiave e con sistema strutturale di sicurezza).
 k) Asportazione e furto di strumenti contenenti dati: anche per questi eventi il rischio è basso per le ragioni di cui al punto precedente.
 l) Eventi distruttivi, naturali o artificiosi, dolosi, accidentali o dovuti ad incuria: il rischio di tali eventi è portato al minimo dalla predisposizione di tutte le misure di sicurezza richieste dalla legge vigente per l’attività svolta e i locali utilizzati.
 m) Guasto ai sistemi complementari (impianto elettrico, di riscaldamento, etc.): tali guasti difficilmente possono incidere su dati personali trattati dallo studio. Sono comunque predisposte tutte le acconce misure di sicurezza richieste dalla legge in materia.
 n) Errori umani nella gestione della sicurezza fisica: il rischio dell’errore, oltre che dalle misure come sopra indicate, viene comunque limitato dalla perizia del personale utilizzato e dalla formazione di cui questo è dotato, secondo il livello, le mansioni, le responsabilità, la gerarchia e l’esperienza, sempre nei limiti dello specifico profilo di autorizzazione eventualmente previsto e assegnato.

MISURE IN ESSERE E DA ADOTTARE (REGOLA 19.4)
In questa sezione sono riportate le misure di sicurezza già operative e quelle che dovranno essere attuate a fronte dei rischi a cui sono sottoposti i dati trattati, le stesse sono adottate indistintamente per ogni tipo di dati, per ogni trattamento e fase di trattamento.

Informazioni analitiche sulle misure di sicurezza

1) Misure relative agli operatori

 a) Conservazione delle credenziali di autenticazione: le credenziali di autenticazione (parole chiave di accesso ai dati contenuti negli strumenti informatici) vengono conservate in busta chiusa, in appositi armadietti chiusi a chiave presenti presso locali ad accesso selezionato e ridotto, sotto il diretto controllo del titolare del trattamento. Con ciò si intende evitare furti od usi illegittimi delle stesse credenziali di autenticazione. Tale misura in parte è già in essere e in parte è in fase di attuazione. Il controllo sull’effettività della misura è costante e attento anche ai cambiamenti periodici delle password dei singoli incaricati.
 b) Formazione e controllo del personale addetto: il personale addetto al trattamento dei dati oltre ad una formazione prettamente professionale è sottoposto anche ad un intervento di formazione per la corretta gestione dei dati e per il corretto svolgimento delle funzioni relative al trattamento. Questo, sia con la distribuzione delle direttive del titolare del trattamento a tutti gli incaricati nominati, sia con interventi di formazione da parte del titolare del trattamento che consentano agli incaricati stessi di conoscere e capire le regole fondamentali di svolgimento delle varie fasi di trattamento in ossequio alle disposizioni del D. Lgs. 196/03 e delle specifiche direttive del titolare. I rischi da contrastare con tale misura sono quelli rinvenibili nella mancanza di consapevolezza, perizia, capacità del personale o errore materiale degli stessi incaricati. Tale misura, peraltro consente anche un controllo cosciente dell’operato degli incaricati tendente ad evitare eventuali comportamenti fraudolenti. La formazione sarà comunque aggiornata congruamente con eventuali esigenze nate in itinere sia esse di natura giuridica che materiale.

2) Misure relative agli strumenti

 a) Interventi di adeguamento tecnologico dei sistemi informatici: i mezzi informatici utilizzati nel trattamento sono dotati di sistemi operativi costantemente aggiornati (Windows), di sistemi antivirus aggiornati settimanalmente (ad es. Symantec – Norton AntiVirus) e firewall, il tutto per contrastare i rischi provenienti da virus informatici, spamming, accessi esterni non consentiti, malfunzionamento, intercettazioni di informazioni in rete, etc. Tali misure sono in gran parte già in essere e in parte da adottare e vengono costantemente controllate e rinnovate.
 b) Salvataggio dei dati, copie di sicurezza, manutenzione strumenti informatici: i dati trattati vengono salvati giornalmente. Settimanalmente, se necessarie, vengono realizzate copie di back up debitamente conservate in armadietti custoditi per tale scopo, con possibilità di consultazione selezionata e solo previa autorizzazione del titolare; mantenuti per altro in locali ad accesso selezionato secondo le direttive e le nomine interne predisposte dal titolare del trattamento. Tutti gli strumenti informatici utilizzati sono sottoposti ad un periodico controllo di manutenzione volto a garantire la funzionalità dell’intero complesso informatico. Tali misure di sicurezza sono finalizzate a coprire i rischi derivanti da errori materiali, indisponibilità, perdita, dispersione, modifica illegittima, dei dati ed ogni altro eventuale danno diretto sui dati trattati. Sono volte, peraltro, a scongiurare malfunzionamenti, indisponibilità, degrado, funzionalità distorta dei mezzi informatici utilizzati, anche con riferimento ai rischi esposti al precedente paragrafo.

3) Misure relative al contesto

 a) Sistema di controllo sugli accessi e strutture protette: i luoghi in cui vengono custoditi i dati sono preventivamente resi accessibili solo da incaricati appositamente autorizzati, ciò consente una possibilità di accesso controllata e ridotta (contro sottrazioni o apprensioni non autorizzate o trattamenti illegittimi). Negli stessi luoghi, la custodia dei supporti in cui sono riportati i dati e/o le copie di sicurezza avviene mediante strutture da ufficio per la sicurezza dei documenti (armadietti, cassetti, etc.) tutti controllati e accessibili solo dagli incaricati autorizzati (con conseguente controllo dei rischi di cui sopra). I luoghi di custodia, peraltro, vengono giornalmente controllati. Tali misure sono già in essere, ma comunque in via di ulteriore sviluppo.
 b) Misure di sicurezza ambientali: l’intero studio risponde ai parametri normativi in materia di sicurezza. Sia per quanto riguarda gli ambienti esterni che per quelli interni (materiali, strutture, disposizione ambienti, norme di prevenzione, sistemi di sicurezza in genere). Ciò comporta una riduzione dei rischi relativi a tutto il contesto ambientale in cui si svolge il trattamento (impianti, incendio, furto, calamità naturali, allagamenti, etc.). Le misure sono già in essere e vengono periodicamente sottoposte a controllo e revisione secondo le disposizioni normative in materia.

CRITERI E MODALITÀ DI RIPRISTINO DELLA DISPONIBILITÀ DEI DATI (REGOLA 19.5)
In questa sezione viene riportata una descrizione dei criteri e delle procedure adottate per il salvataggio dei dati e per il loro ripristino in caso di danneggiamento o inaffidabilità degli strumenti informatici.

Informazioni essenziali sul salvataggio

 • Data base: tutti i dati sono contenuti nei pc a disposizione dello studio secondo le apposite determinazioni del titolare del trattamento.
 • Dati sensibili o giudiziari contenuti: la presenza di dati sensibili o giudiziari è solo eventuale e comunque ridotta.
 • Criteri d’individuazione per il salvataggio (procedure operative in essere) e ubicazione di conservazione delle copie: la procedura di salvataggio avviene con frequenza giornaliera. Le copie di back up vengono sistematicamente conservate in un armadietto appositamente predisposto, conservato e custodito secondo le specifiche norme di sicurezza, situato in luogo ad accesso selezionato e inaccessibile al personale non autorizzato, al di fuori dello studio professionale.
 • Struttura operativa e persona incaricata del salvataggio: il salvataggio dei dati viene effettuato dal titolare del trattamento e dagli incaricati appositamente autorizzati a mezzo dei pc di studio e con i supporti a disposizione (floppy, CD, DVD). Informazioni essenziali sul ripristino
 • Data base – archivio: l’archivio informatico in cui vengono conservati i dati sono i pc presenti in studio.
 • Procedure di ripristino: le procedure di ripristino si incardinano essenzialmente nel recupero dei dati, persi o erroneamente modificati, mediante le copie di sicurezza.
 • Pianificazione delle prove di ripristino: il ripristino, anche in relazione alle modalità di conservazione e gestione delle copie di sicurezza e delle procedure di back up, viene ad essere predeterminato dal titolare del trattamento secondo le specifiche esigenze professionali e quindi mediante la nomina: di personale specializzato e istruito, l’indicazione delle specifiche procedure di sicurezza e ripristino, nonché delle modalità di attuazione delle procedure stesse.

PIANIFICAZIONE DEGLI INTERVENTI FORMATIVI PREVISTI (REGOLA 19.6)
Al fine dell’attuazione della normativa vigente in materia di privacy, in questa sezione sono riportate le informazioni relative agli interventi formativi all’interno dello studio disposti dal titolare del trattamento.

Informazioni essenziali

 • Tipologia degli interventi formativi: gli interventi formativi si limitano ad interventi diretti di formazione da parte del titolare del trattamento, o da soggetti da questi incaricati, per una corretta individuazione del profilo di autenticazione.
 • Obiettivo degli interventi: il fine ultimo degli interventi operati è quello di garantire un trattamento dei dati in conformità con i parametri dettati dalla specifica normativa e con le prescrizioni che si rendano necessarie nello specifico trattamento.
 • Classi d’incarico interessate: gli interventi indicati riguardano tutti i soggetti nominati come incaricati.