Sistema Privacy F.lli Bertoli Elettroimpianti di Bertoli
Giovanni & Mauro SNC. erm_detail-1001265671
Analisi dei Rischi ‘WEB – DATI DI NAVIGAZIONE’
- TITOLARE DEL TRATTAMENTO ED EVENTUALI RESPONSABILI DEL TRATTAMENTO
Il Titolare del Trattamento è F.lli Bertoli Elettroimpianti di Bertoli Giovanni & Mauro SNC. ( ) P.IVA / CF: 02626050278 , Italia , Email: luana@bertolielettroimpianti.it - CONTESTO ANALISI DEI RISCHI
Data definizione Analisi dei Rischi: 03-06-2019
2.1. Executive summary
Con l’introduzione del nuovo Regolamento UE 2016/679, divenuto esecutivo il 25-05-2018, ricade sul titolare la responsabilità dell’adozione di tutte le misure idonee per la
protezione e sicurezza dei dati.
Secondo quanto previsto dall’Art. 32 del Regolamento il Titolare del trattamento deve valutare l’adeguato livello di sicurezza dei trattamenti eseguiti o che intende istituire.
2.2. Obiettivo del documento
Il presente documento ha l’obiettivo di valutare l’adeguato livello di sicurezza ai sensi dell’Art. 32 del GDPR, tenendo conto, in particolare, dei rischi presentati dal
trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati
personali trasmessi, conservati o comunque trattati.
2.3. Definizioni
Di seguito è illustrata la definizione dei principali termini utilizzati all’interno del documento:
l Probabilità [P] valutazione della frequenza di accadimento di una minaccia, in funzione delle vulnerabilità in essere e di eventuali contromisure implementate;
Impatto [I] indicazione della gravità di un incidente che comprometta la riservatezza, l’integrità e la disponibilità di processi, dati, informazioni incluse nel perimetro
di applicazione della normativa Privacy;
l
l Minaccia [M] evento potenziale, accidentale o deliberato, che, nel caso accadesse, produrrebbe un danno per l’interessato;
Vulnerabilità [V] debolezza intrinseca del sistema informativo o del sistema informatico che, qualora si realizzasse una minaccia che la sfrutti, produrrebbe un
danno all’interessato;
l
Rischio Privacy: combinazione di impatto per l’interessato e della probabilità di accadimento di una minaccia che possa compromettere la riservatezza, l’integrità o
la disponibilità di un dato personale ad esso riferito;
l
Contromisure [C] soluzioni organizzative, procedurali o tecnologiche che possono essere implementate al fine di mitigare il Rischio Privacy associato ad ogni
sistema o archivio e quindi diminuire il Rischio;
l
l Soglie di accettazione del rischio definizione del livello massimo di rischio accettato superato il quale si rende necessaria l’implementazione delle contromisure;
Rischio Privacy Residuo: valore determinato dalla combinazione tra il Rischio Privacy e la Vulnerabilità. Tale valore deve essere tenuto entro i limiti determinati
dalle Soglie di accettazione del rischio.
l
2.4. Contesto normativo
Il 27 Aprile 2016 è stato approvato il Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla
libera circolazione di tali dati che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati ).
L’ Art. 32 prevede: - Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia
probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative
adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. - Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita,
dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
2.5. Perimetro di applicazione
Il presente documento si applica ai trattamenti eseguiti dal Titolare del Trattamento.
2.6. Ruoli e responsabilità
Titolare del Trattamento.
2.7. Normative e standard di riferimento
Regolamento Europeo 679/2016
pagina 1 di 3
www.iusprivacy.eu, WRP srl – Via Don Orione 19, 90142 Palermo, C.F./P.I. 05395060824
- INFORMAZIONI SUL TRATTAMENTO
Trattamento WEB – DATI DI NAVIGAZIONE
Nel corso della navigazione su questo sito, le procedure e i sistemi informatici, preposti al suo funzionamento, acquisiscono alcuni dati tecnici, la cui trasmissione è implicita
nell’uso dei protocolli di comunicazione web. Trattasi di informazioni riguardanti l’indirizzo IP, i codici identificativi dei dispositivi utilizzati dall’utente per la fruizione del sito, i
nomi a dominio dei computer utilizzati dagli utenti che si connettono al sito, gli indirizzi in notazione URI (Uniform Resource Identifier) delle risorse richieste, l’orario della
richiesta, il metodo utilizzato nel sottoporre la richiesta al server, la dimensione del file ottenuto in risposta, il codice numerico indicante lo stato della risposta data dal server
(buon fine, errore, ecc.).Dalle informazioni raccolte in forma anonima, si potrebbero ricavare rapporti statistici sull’uso del sito, finalizzati a verificarne il corretto
funzionamento. Tali informazioni vengono cancellate dopo l’elaborazione. I dati potrebbero, tuttavia, essere utilizzati per l’accertamento di responsabilità in caso di reati
informatici ai danni del sito.
Contesto del Trattamento: La base giuridica per la registrazione al Sito e la fornitura dei servizi connessi è la necessità di esecuzione della Sua richiesta, nel rispetto
dell?articolo 6, paragrafo 1, lettera b), GDPR. Pertanto, non è necessaria l?acquisizione di un Suo preventivo consenso al trattamento.
Finalità del Trattamento: Trattamento ICT
Descrizione del Trattamento: Nel corso della navigazione su questo sito, le procedure e i sistemi informatici, preposti al suo funzionamento, acquisiscono alcuni dati
tecnici, la cui trasmissione è implicita nell’uso dei protocolli di comunicazione web. Trattasi di informazioni riguardanti l’indirizzo IP, i codici identificativi dei dispositivi
utilizzati dall’utente per la fruizione del sito, i nomi a dominio dei computer utilizzati dagli utenti che si connettono al sito, gli indirizzi in notazione URI (Uniform Resource
Identifier) delle risorse richieste, l’orario della richiesta, il metodo utilizzato nel sottoporre la richiesta al server, la dimensione del file ottenuto in risposta, il codice numerico
indicante lo stato della risposta data dal server (buon fine, errore, ecc.).Dalle informazioni raccolte in forma anonima, si potrebbero ricavare rapporti statistici sull’uso del
sito, finalizzati a verificarne il corretto funzionamento. Tali informazioni vengono cancellate dopo l’elaborazione. I dati potrebbero, tuttavia, essere utilizzati per
l’accertamento di responsabilità in caso di reati informatici ai danni del sito.
Obiettivi di Sicurezza: A livello informatico vengono adottate misure idonee quali: l’utilizzo di credenziali di accesso univoche agli asset; misure antivirus e firewall a livello
di Sistema Operativo, atte a garantire uno standard di protezione elevato.
Destinatari del Trattamento:
Destinatario
F.lli Bertoli Elettroimpianti di Bertoli Giovanni & Mauro SNC. ( )
3.1. SOGGETTI CHE ACCEDONO AI DATI PERSONALI E PERCHÈ
Figura Privacy Ruolo Privacy Competenze Luodo di accesso ai dati
F.lli Bertoli Elettroimpianti di Bertoli Giovanni &
Mauro SNC. ( )
Titolare del Trattamento NON DEFINITO NON DEFINITO
3.2. NECESSITÀ E PROPORZIONALITÀ DEL TRATTAMENTO (art. 35, paragrafo 7, lettera b)
Finalità e Condizioni di liceità del trattamento:
Condizione Liceità (art. 6) Finalità (art. 5(1), lettera b) Descrizione Finalità
Legittimo Interesse Manutenzione Tecnologica del sito Analisi dei dati per eseguire l’evoluzione e manutenzione del
sito web
Legittimo Interesse Uso illecito del sito Accertamento di responsabilità in caso di potenziali reati
informatici ai danni del sito e/o degli Interessati al trattamento
Legittimo Interesse Analisi Statistiche Analisi statistiche, anonime, sull’impiego del sito
Qualità dei dati adeguati, pertinenti e limitati a quanto necessario (art. 5(1)c)): Le informazioni richieste sono le minime indispensabili per l’esecuzione del Trattamento.
Quantità dei dati adeguati, pertinenti e limitati a quanto necessario (art. 5(1)c)): Il volume di dati impiegato costituisce minimo necessario per l’esecuzione del
Trattamento.
Periodo limitato di conservazione (art. 5(1), lettera e)): I Suoi dati personali saranno trattati attivamente per il tempo di durata dei sistemi analitici di prime e terze parti.
3.3. GARANZIA DIRITTI INTERESSATI
Diritto di accesso dei dati (artt. 15 e 20): L’applicazione che elabora i dati relativi al trattamento è in possesso di funzione che consente all’operatore di predisporre i dati a
seguito della richiesta di un interessato.
Diritto di portabilità dei dati (artt. 15 e 20): L’applicazione che elabora i dati è in possesso di funzione che consente all’operatore di esportare in un flusso informatico utile
alla soddisfazione della richiesta di un interessato.
Diritto di rettifica e cancellazione (artt. 16, 17, 19): L’applicazione che elabora i dati relativi al trattamento è in possesso di funzione che consente all’operatore di
rettificare i dati a seguito della richiesta di un interessato.
Diritto di opposizione e limitazione del trattamento (artt. 18, 19, 21): L’applicazione che elabora i dati relativi al trattamento è in possesso di funzione che consente
all’operatore di limitare i dati trattati a seguito della richiesta di un interessato.
Consultazione preventiva dell’autorità di controllo (art. 36): NO
pagina 2 di 3
www.iusprivacy.eu, WRP srl – Via Don Orione 19, 90142 Palermo, C.F./P.I. 05395060824
- IMPATTO PRIVACY
livello riservatezza integrita disponibilita conseguenze
2 – Medio I dati devono essere riservati, ma
un’eventuale loro diffusione non ha
elevati impatti sulle libertà e i diritti
degli interessati.
I dati non sono oggetto di transazioni
di tipo economico, finanziario o
sanitarie con impatti sulle libertà e i
diritti degli interessati.La mancanza di
integrità dei dati non ha elevati impatti
sulle libertà e i diritti degli interessati.
L’indisponibilità dei dati, oltre i tempi
ritenuti accebili, comporta riflessi per
le libertà e i diritti degli interessati, non
particolarmente rilevanti.
Gli individui possono andare incontro
a significativi disagi, che saranno in
grado di superare nonostante alcune
difficoltà (costi aggiuntivi, rifiuto di
accesso ai servizi aziendali, paura,
mancanza di comprensione, stress,
disturbi fisici di lieve entità, ecc.). - MINACCE E MISURE DI SICUREZZA
5.1. Accesso non autorizzato all’asset
Minaccia: Accesso NON autorizzato di alcuni utenti ad un servizio e/o a dati personali (Esecuzione di interrogazioni massive o improprie).
Probabilità Minaccia: 1 – Basso
- la minaccia si può verificare con frequenza inferiore rispetto a quanto riportato dalle ricerche più note;- in caso di attacco deliberato, i
dati sono poco appetibili, non ci sono riflessi per le libertà e i diritti degli interessati, pertanto i tentativi di attacco, o non sono iniziati, o
sono condotti da malintenzionati scarsamente preparati da un punto di vista tecnico e con scarse risorse a disposizione.- in caso di
attacco non deliberato, l’ambito è poco complesso e quindi è difficile commettere errori;- in caso di eventi naturali, gli studi dimostrano
che la minaccia può verificarsi molto raramente.
Contromisure: Definizione dei ruoli e degli ambiti operativi
(A.9.1.1 – Politica di controllo degli accessi) C.1 – I diritti specifici di controllo degli accessi sono assegnati a ciascun ruolo (coinvolto
nel trattamento di dati personali) in base al principio della stretta pertinenza e necessità per il ruolo di accedere e conoscere i dati.
1.
Livello Contromisura: 3- Quasi adeguato
Il controllo è applicato periodicamente in modo adeguato con rilievi di efficacia.
Livello di Rischio: Rischio Privacy: 2 (Rischio Privacy Inerente = Livello d’Impatto * Probabilità Minaccia;)
Vulnerabilità: 2 (Vulnerabilità = COSTANTE – Livello delle Contromisure adottate;)
Rischio Privacy Residuo: 4 (Rischio Privacy Residuo = Rischio Privacy Inerente * Vulnerabilità;)
LEGENDA:
Rischio Basso: < 20 Rischio Medio: >= 20 e <= 40 Rischio Alto: > 40
Rischio Residuo Analisi:4
Soglia:20
Merito del Giudizio: Rischio Basso
- Relazione Esito del Titolare/Responsabile del Trattamento, Responsabile della Protezione dei Dati
Il rischio residuo finale è coerente con le soglie considerate accettabili gli esiti di valutazione in quanto non comportano rischi di livello ALTO o superiore per i diritti e le libertà
degli interessati.
Data: 18/06/2019
Il Titolare del Trattamento
F.lli Bertoli Elettroimpianti di Bertoli Giovanni & Mauro SNC. ( )
P.IVA / C.F. 02626050278
pagina 3 di 3