PRIVACY

Sistema Privacy F.lli Bertoli Elettroimpianti di Bertoli
Giovanni & Mauro SNC. erm_detail-1001265671
Analisi dei Rischi ‘WEB – DATI DI NAVIGAZIONE’

  1. TITOLARE DEL TRATTAMENTO ED EVENTUALI RESPONSABILI DEL TRATTAMENTO
    Il Titolare del Trattamento è F.lli Bertoli Elettroimpianti di Bertoli Giovanni & Mauro SNC. ( ) P.IVA / CF: 02626050278 , Italia , Email: luana@bertolielettroimpianti.it
  2. CONTESTO ANALISI DEI RISCHI
    Data definizione Analisi dei Rischi: 03-06-2019
    2.1. Executive summary
    Con l’introduzione del nuovo Regolamento UE 2016/679, divenuto esecutivo il 25-05-2018, ricade sul titolare la responsabilità dell’adozione di tutte le misure idonee per la
    protezione e sicurezza dei dati.
    Secondo quanto previsto dall’Art. 32 del Regolamento il Titolare del trattamento deve valutare l’adeguato livello di sicurezza dei trattamenti eseguiti o che intende istituire.
    2.2. Obiettivo del documento
    Il presente documento ha l’obiettivo di valutare l’adeguato livello di sicurezza ai sensi dell’Art. 32 del GDPR, tenendo conto, in particolare, dei rischi presentati dal
    trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati
    personali trasmessi, conservati o comunque trattati.
    2.3. Definizioni
    Di seguito è illustrata la definizione dei principali termini utilizzati all’interno del documento:
    l Probabilità [P] valutazione della frequenza di accadimento di una minaccia, in funzione delle vulnerabilità in essere e di eventuali contromisure implementate;
    Impatto [I] indicazione della gravità di un incidente che comprometta la riservatezza, l’integrità e la disponibilità di processi, dati, informazioni incluse nel perimetro
    di applicazione della normativa Privacy;
    l
    l Minaccia [M] evento potenziale, accidentale o deliberato, che, nel caso accadesse, produrrebbe un danno per l’interessato;
    Vulnerabilità [V] debolezza intrinseca del sistema informativo o del sistema informatico che, qualora si realizzasse una minaccia che la sfrutti, produrrebbe un
    danno all’interessato;
    l
    Rischio Privacy: combinazione di impatto per l’interessato e della probabilità di accadimento di una minaccia che possa compromettere la riservatezza, l’integrità o
    la disponibilità di un dato personale ad esso riferito;
    l
    Contromisure [C] soluzioni organizzative, procedurali o tecnologiche che possono essere implementate al fine di mitigare il Rischio Privacy associato ad ogni
    sistema o archivio e quindi diminuire il Rischio;
    l
    l Soglie di accettazione del rischio definizione del livello massimo di rischio accettato superato il quale si rende necessaria l’implementazione delle contromisure;
    Rischio Privacy Residuo: valore determinato dalla combinazione tra il Rischio Privacy e la Vulnerabilità. Tale valore deve essere tenuto entro i limiti determinati
    dalle Soglie di accettazione del rischio.
    l
    2.4. Contesto normativo
    Il 27 Aprile 2016 è stato approvato il Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla
    libera circolazione di tali dati che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati ).
    L’ Art. 32 prevede:
  3. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia
    probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative
    adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
    a) la pseudonimizzazione e la cifratura dei dati personali;
    b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
    c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
    d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
  4. Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita,
    dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
    2.5. Perimetro di applicazione
    Il presente documento si applica ai trattamenti eseguiti dal Titolare del Trattamento.
    2.6. Ruoli e responsabilità
    Titolare del Trattamento.
    2.7. Normative e standard di riferimento
    Regolamento Europeo 679/2016
    pagina 1 di 3
Sistema Privacy

www.iusprivacy.eu, WRP srl – Via Don Orione 19, 90142 Palermo, C.F./P.I. 05395060824

  1. INFORMAZIONI SUL TRATTAMENTO
    Trattamento WEB – DATI DI NAVIGAZIONE
    Nel corso della navigazione su questo sito, le procedure e i sistemi informatici, preposti al suo funzionamento, acquisiscono alcuni dati tecnici, la cui trasmissione è implicita
    nell’uso dei protocolli di comunicazione web. Trattasi di informazioni riguardanti l’indirizzo IP, i codici identificativi dei dispositivi utilizzati dall’utente per la fruizione del sito, i
    nomi a dominio dei computer utilizzati dagli utenti che si connettono al sito, gli indirizzi in notazione URI (Uniform Resource Identifier) delle risorse richieste, l’orario della
    richiesta, il metodo utilizzato nel sottoporre la richiesta al server, la dimensione del file ottenuto in risposta, il codice numerico indicante lo stato della risposta data dal server
    (buon fine, errore, ecc.).Dalle informazioni raccolte in forma anonima, si potrebbero ricavare rapporti statistici sull’uso del sito, finalizzati a verificarne il corretto
    funzionamento. Tali informazioni vengono cancellate dopo l’elaborazione. I dati potrebbero, tuttavia, essere utilizzati per l’accertamento di responsabilità in caso di reati
    informatici ai danni del sito.
    Contesto del Trattamento: La base giuridica per la registrazione al Sito e la fornitura dei servizi connessi è la necessità di esecuzione della Sua richiesta, nel rispetto
    dell?articolo 6, paragrafo 1, lettera b), GDPR. Pertanto, non è necessaria l?acquisizione di un Suo preventivo consenso al trattamento.
    Finalità del Trattamento: Trattamento ICT
    Descrizione del Trattamento: Nel corso della navigazione su questo sito, le procedure e i sistemi informatici, preposti al suo funzionamento, acquisiscono alcuni dati
    tecnici, la cui trasmissione è implicita nell’uso dei protocolli di comunicazione web. Trattasi di informazioni riguardanti l’indirizzo IP, i codici identificativi dei dispositivi
    utilizzati dall’utente per la fruizione del sito, i nomi a dominio dei computer utilizzati dagli utenti che si connettono al sito, gli indirizzi in notazione URI (Uniform Resource
    Identifier) delle risorse richieste, l’orario della richiesta, il metodo utilizzato nel sottoporre la richiesta al server, la dimensione del file ottenuto in risposta, il codice numerico
    indicante lo stato della risposta data dal server (buon fine, errore, ecc.).Dalle informazioni raccolte in forma anonima, si potrebbero ricavare rapporti statistici sull’uso del
    sito, finalizzati a verificarne il corretto funzionamento. Tali informazioni vengono cancellate dopo l’elaborazione. I dati potrebbero, tuttavia, essere utilizzati per
    l’accertamento di responsabilità in caso di reati informatici ai danni del sito.
    Obiettivi di Sicurezza: A livello informatico vengono adottate misure idonee quali: l’utilizzo di credenziali di accesso univoche agli asset; misure antivirus e firewall a livello
    di Sistema Operativo, atte a garantire uno standard di protezione elevato.
    Destinatari del Trattamento:
    Destinatario
    F.lli Bertoli Elettroimpianti di Bertoli Giovanni & Mauro SNC. ( )
    3.1. SOGGETTI CHE ACCEDONO AI DATI PERSONALI E PERCHÈ
    Figura Privacy Ruolo Privacy Competenze Luodo di accesso ai dati
    F.lli Bertoli Elettroimpianti di Bertoli Giovanni &
    Mauro SNC. ( )
    Titolare del Trattamento NON DEFINITO NON DEFINITO
    3.2. NECESSITÀ E PROPORZIONALITÀ DEL TRATTAMENTO (art. 35, paragrafo 7, lettera b)
    Finalità e Condizioni di liceità del trattamento:
    Condizione Liceità (art. 6) Finalità (art. 5(1), lettera b) Descrizione Finalità
    Legittimo Interesse Manutenzione Tecnologica del sito Analisi dei dati per eseguire l’evoluzione e manutenzione del
    sito web
    Legittimo Interesse Uso illecito del sito Accertamento di responsabilità in caso di potenziali reati
    informatici ai danni del sito e/o degli Interessati al trattamento
    Legittimo Interesse Analisi Statistiche Analisi statistiche, anonime, sull’impiego del sito
    Qualità dei dati adeguati, pertinenti e limitati a quanto necessario (art. 5(1)c)): Le informazioni richieste sono le minime indispensabili per l’esecuzione del Trattamento.
    Quantità dei dati adeguati, pertinenti e limitati a quanto necessario (art. 5(1)c)): Il volume di dati impiegato costituisce minimo necessario per l’esecuzione del
    Trattamento.
    Periodo limitato di conservazione (art. 5(1), lettera e)): I Suoi dati personali saranno trattati attivamente per il tempo di durata dei sistemi analitici di prime e terze parti.
    3.3. GARANZIA DIRITTI INTERESSATI
    Diritto di accesso dei dati (artt. 15 e 20): L’applicazione che elabora i dati relativi al trattamento è in possesso di funzione che consente all’operatore di predisporre i dati a
    seguito della richiesta di un interessato.
    Diritto di portabilità dei dati (artt. 15 e 20): L’applicazione che elabora i dati è in possesso di funzione che consente all’operatore di esportare in un flusso informatico utile
    alla soddisfazione della richiesta di un interessato.
    Diritto di rettifica e cancellazione (artt. 16, 17, 19): L’applicazione che elabora i dati relativi al trattamento è in possesso di funzione che consente all’operatore di
    rettificare i dati a seguito della richiesta di un interessato.
    Diritto di opposizione e limitazione del trattamento (artt. 18, 19, 21): L’applicazione che elabora i dati relativi al trattamento è in possesso di funzione che consente
    all’operatore di limitare i dati trattati a seguito della richiesta di un interessato.
    Consultazione preventiva dell’autorità di controllo (art. 36): NO
    pagina 2 di 3
Sistema Privacy

www.iusprivacy.eu, WRP srl – Via Don Orione 19, 90142 Palermo, C.F./P.I. 05395060824

  1. IMPATTO PRIVACY
    livello riservatezza integrita disponibilita conseguenze
    2 – Medio I dati devono essere riservati, ma
    un’eventuale loro diffusione non ha
    elevati impatti sulle libertà e i diritti
    degli interessati.
    I dati non sono oggetto di transazioni
    di tipo economico, finanziario o
    sanitarie con impatti sulle libertà e i
    diritti degli interessati.La mancanza di
    integrità dei dati non ha elevati impatti
    sulle libertà e i diritti degli interessati.
    L’indisponibilità dei dati, oltre i tempi
    ritenuti accebili, comporta riflessi per
    le libertà e i diritti degli interessati, non
    particolarmente rilevanti.
    Gli individui possono andare incontro
    a significativi disagi, che saranno in
    grado di superare nonostante alcune
    difficoltà (costi aggiuntivi, rifiuto di
    accesso ai servizi aziendali, paura,
    mancanza di comprensione, stress,
    disturbi fisici di lieve entità, ecc.).
  2. MINACCE E MISURE DI SICUREZZA
    5.1. Accesso non autorizzato all’asset
    Minaccia: Accesso NON autorizzato di alcuni utenti ad un servizio e/o a dati personali (Esecuzione di interrogazioni massive o improprie).
    Probabilità Minaccia: 1 – Basso
  • la minaccia si può verificare con frequenza inferiore rispetto a quanto riportato dalle ricerche più note;- in caso di attacco deliberato, i
    dati sono poco appetibili, non ci sono riflessi per le libertà e i diritti degli interessati, pertanto i tentativi di attacco, o non sono iniziati, o
    sono condotti da malintenzionati scarsamente preparati da un punto di vista tecnico e con scarse risorse a disposizione.- in caso di
    attacco non deliberato, l’ambito è poco complesso e quindi è difficile commettere errori;- in caso di eventi naturali, gli studi dimostrano
    che la minaccia può verificarsi molto raramente.
    Contromisure: Definizione dei ruoli e degli ambiti operativi
    (A.9.1.1 – Politica di controllo degli accessi) C.1 – I diritti specifici di controllo degli accessi sono assegnati a ciascun ruolo (coinvolto
    nel trattamento di dati personali) in base al principio della stretta pertinenza e necessità per il ruolo di accedere e conoscere i dati.
    1.
    Livello Contromisura: 3- Quasi adeguato
    Il controllo è applicato periodicamente in modo adeguato con rilievi di efficacia.
    Livello di Rischio: Rischio Privacy: 2 (Rischio Privacy Inerente = Livello d’Impatto * Probabilità Minaccia;)
    Vulnerabilità: 2 (Vulnerabilità = COSTANTE – Livello delle Contromisure adottate;)
    Rischio Privacy Residuo: 4 (Rischio Privacy Residuo = Rischio Privacy Inerente * Vulnerabilità;)
    LEGENDA:
    Rischio Basso: < 20 Rischio Medio: >= 20 e <= 40 Rischio Alto: > 40
    Rischio Residuo Analisi:4
    Soglia:20
    Merito del Giudizio: Rischio Basso
  1. Relazione Esito del Titolare/Responsabile del Trattamento, Responsabile della Protezione dei Dati
    Il rischio residuo finale è coerente con le soglie considerate accettabili gli esiti di valutazione in quanto non comportano rischi di livello ALTO o superiore per i diritti e le libertà
    degli interessati.
    Data: 18/06/2019
    Il Titolare del Trattamento
    F.lli Bertoli Elettroimpianti di Bertoli Giovanni & Mauro SNC. ( )
    P.IVA / C.F. 02626050278
    pagina 3 di 3