Il Nostro Impegno per la Protezione dei Dati
Il presente Manuale Operativo rappresenta un pilastro fondamentale del nostro Sistema di Gestione della Protezione dei Dati Personali. Sebbene non sia un obbligo diretto del GDPR, la sua applicazione rigorosa è cruciale per tradurre le normative in pratiche operative quotidiane, rafforzando la nostra postura di accountability e garantendo la fiducia di clienti e dipendenti. Questo documento è una guida dinamica per la gestione sicura e lecita dei dati.
L'Organigramma della Privacy
Titolare del Trattamento
È il Rappresentante Legale, Andrea Marino. Definisce le finalità e i mezzi del trattamento, assicurando la conformità complessiva e nominando le altre figure chiave.
Data Protection Officer (DPO)
Claudio Valeri. Figura indipendente che informa, sorveglia e coopera con l'Autorità Garante, fungendo da punto di contatto per tutte le questioni relative alla privacy.
Persone Autorizzate
Collaboratori e dipendenti che operano sotto l'autorità del Titolare. Trattano i dati seguendo istruzioni precise, garantendo la riservatezza e la sicurezza nelle operazioni quotidiane.
La Nostra Metodologia di Gestione del Rischio
Valutazione e Matrice del Rischio
Adottiamo un approccio proattivo per valutare i rischi di ogni trattamento, basato sulla formula: Livello di Rischio = Probabilità x Conseguenze. Questo ci permette di classificare i rischi e di applicare le contromisure adeguate, inclusa la conduzione di una DPIA per i rischi elevati.
| Conseguenze (C) | ||||||
|---|---|---|---|---|---|---|
| 1 Trascurabili |
2 Marginali |
3 Limitate |
4 Gravi |
5 Gravissime |
||
| Probabilità (P) | 5 Quasi Certo |
5 | 10 | 15 | 20 | 25 |
| 4 Molto Prob. |
4 | 8 | 12 | 16 | 20 | |
| 3 Probabile |
3 | 6 | 9 | 12 | 15 | |
| 2 Poco Prob. |
2 | 4 | 6 | 8 | 10 | |
| 1 Improbabile |
1 | 2 | 3 | 4 | 5 | |
Pilastri della Sicurezza
La nostra strategia di sicurezza si basa su quattro pilastri interconnessi, garantendo una protezione completa dei dati personali in ogni fase del loro ciclo di vita.
Le Nostre Misure Tecniche e Organizzative
🔑 Gestione Accessi e Identità
- Solo utenze nominative, nessun account di gruppo.
- Accessi basati su ruoli (RBAC) e principio del "minimo privilegio".
- Autenticazione a più fattori (MFA) per i sistemi critici.
- Password policy robusta: 8+ caratteri, complessità e rotazione periodica (ogni 3-6 mesi).
💻 Sicurezza dei Sistemi
- Scansioni sistematiche per la ricerca di vulnerabilità (Vulnerability Assessment).
- Piano di gestione e prioritizzazione delle vulnerabilità rilevate.
- Applicazione tempestiva e controllata delle patch di sicurezza.
- Uso esclusivo di software autorizzato e licenziato.
🔐 Protezione e Cifratura
- Cifratura dei dati in transito (protocolli TLS 1.2+).
- Cifratura dei dati a riposo (at-rest) su database e storage.
- Protezione dei log da accessi non autorizzati e manomissioni.
- Utilizzo del software B4 per la gestione sicura del Registro dei Trattamenti.
Il Nostro Piano di Risposta al Data Breach
Abbiamo un piano strutturato (SIRP) per gestire efficacemente ogni incidente di sicurezza, minimizzare l'impatto e rispettare gli obblighi di notifica del GDPR.
Rilevamento e Analisi
Contenimento
Eradicazione e Ripristino
Notifica e Analisi Post-Incidente
Obbligo di Notifica al Garante entro 72 ORE dalla conoscenza della violazione.
Garanzia di Continuità Operativa
Backup e Recupero
Procedure documentate per il backup e il ripristino dei dati, con test regolari per garantirne l'efficacia.
Protezione Fisica e Ambientale
I supporti di backup sono conservati in luoghi sicuri, con un livello di protezione adeguato e coerente con quello dei dati di origine.
Test e Revisione Continua
I piani di Business Continuity e Disaster Recovery vengono verificati e migliorati costantemente, anche a seguito di incidenti, per garantire la massima resilienza.