1

COLLEGIO GEOMETRI E GEOMETRI LAUREATI DELLA PROVINCIA DI VENEZIA 30172 Mestre (VE) – Viale Ancona n. 43 int. 8 e 9

C.F. 90035280271

REGISTRO DELLA ATTIVITA’ DI

TRATTAMENTO

REGOLAMENTO EUROPEO 2016/679

General Data Protection Regulation

Delibera di Consiglio Direttivo del 02/05/2018

2

3

Collegio dei

Geometri della

Provincia di

Venezia

REGISTRO DELLE ATTIVITA’ DI TRATTAMENTO

Rev. 00

02/05/2018

Pag. 3 di 1

INDICE GENERALE pag

INTRODUZIONE Struttura e Organizzazione dell’azienda e natura dei dati

trattati 4

MAPPATURA DELLE

INFORMAZIONI

Albo

Registro Tirocinanti

Consiglio Direttivo

Consiglio di Disciplina

Personale

Formazione Iscritti

Corrispondenza

Contabilità

Sito web

Sezione di Mediazione

Cassa di Previdenza

Riscossione quote tramite Agenzia delle Entrate

Recupero Crediti tramite studio legale

8

GESTIONE ARCHIVI Analisi dei rischi violazione dei dati 14

MISURE DI

PREVENZIONE

Misure di prevenzione violazione archivio cartaceo

Misure di prevenzione violazione archivio informatico

Trattamento dati affidati all’esterno

La Formazione del personale in materia di privacy

Tempo di conservazione delle informazioni

15

16

18

19

20

DATA BREACH Notifica delle violazioni dei dati 21

ADOZIONE

NORMATIVA Riferimento Normativo GDPR 679/2016

allegato

ALLEGATI

Nomine responsabile e incaricati

Procedure Qualità:

IPO01 Salvataggio dati informatici

IPO02 Manutenzione strumenti informatici

IPO03 Test anti virus

IPO04 Ubicazione archivi

rev 19.04.2018

4

STRUTTURA E ORGANIZZAZIONE DEL COLLEGIO E NATURA DEI DATI TRATTATI

Il Collegio dei Geometri e dei Geometri Laureati della Provincia di Venezia, titolare del

trattamento dei dati, gestisce i dati personali, giuridici e le categorie particolari di dati (dati

sensibili) degli Iscritti all’Albo, dei Tirocinanti, dei dipendenti, fornitori e collaboratori a vario

titolo, con la massima riservatezza.

Le finalità perseguite dal Collegio attengono alla gestione istituzionale dell’Albo dei

Geometri Iscritti, del Registro Tirocinanti; il Collegio collabora con la Cassa di Previdenza ed

Assistenza Geometri per la definizione delle pratiche pensionistiche.

Il Collegio è inoltre Sezione di Mediazione dell’Associazione Nazionale Geometri Consulenti

Tecnici Arbitri e Mediatori.

La natura dei dati trattati dal Collegio appartiene alla fattispecie dei dati personali e

sensibili degli Iscritti Albo e dei Tirocinanti; le operazioni di trattamento dei dati riguardano

in particolare la posizione contributiva, reddituale e previdenziale dei Geometri; in taluni

casi i dati possono essere di natura sanitaria e giuridica. Il Collegio gestisce inoltre i dati

personali dei dipendenti, dei collaboratori, dei consulenti e dei fornitori.

Si specifica che il Collegio Geometri di Venezia, in qualità di ente pubblico non economico,

ai sensi dell'art.18 co.4, Codice Privacy nonché dell'art.6 co.1 lett.e) GDPR 2016/679 ha

l'obbligo di fornire l'informativa ma non deve richiedere il consenso dell'interessato per il

trattamento dei dati personali; per il trattamento dei dati sensibili e/o giudiziari e/o di salute-

medici (dati particolari per il GDPR 2016/679) non ha l'obbligo di ottenere il consenso

dell'interessato ma ha l'obbligo di rendere l'informativa privacy completa del Regolamento

sui dati sensibili e/o giudiziari e/o sanitari-medici.

Il Collegio Geometri e Geometri Laureati in ottemperanza al nuovo Regolamento Europeo

in materia di Privacy – GDPR General Data Protection Regulation UE 2016/679, consapevole

che i dati devono essere considerati “asset” e come tali devono essere tutelati e protetti,

adotta il REGISTRO DELLE ATTIVITA’ DI TRATTAMENTO in cui, dopo attenta analisi delle

informazioni gestite e della base giuridica del loro trattamento, si evidenza:

- La mappatura dei dati personali, la finalità e la valutazione dei rischi di violazione;

- Le procedure tecniche e organizzative adottate per la sicurezza e la protezione;

- La modulistica.

- Misure di notifica alle violazioni dei dati personali

La redazione del Registro è il risultato dell’analisi delle procedure esistenti per ciascun

ambito di gestione dei dati personali (Albo, Registro Tirocinanti, Personale del Collegio,

Disciplina, Sezione di Mediazione, Previdenza, Contabilità, Protocollo, Formazione ecc…)

della comparazione dell’esistente con lo standard normativo, della programmazione di

azioni di adeguamento e dal controllo dell’efficacia e dell’efficienza delle azioni realizzate.

NORME DI RIFERIMENTO:

Regio Decreto n. 274 del 1929

5

Decreto Legislativo n. 382 del 1944

Decreto Legislativo n. 137 del 2012

Legge 818/1984

Decreto Legislativo 81/2008 e S.I.

Legge 75/1985 e S.I.

Contratto di Lavoro Enti Pubblici

Ordinanza Ministeriale Esami di Stato

Decreto Legislativo 28/2010 e S.I.

Decreto Presidente della Repubblica n. 600/1937 (normativa sostituto d’imposta)

Codice Deontologico 2007

Linee Guida Procedimenti Disciplinari CNGeGL 2014

Direttive sul praticantato CNGeGL 2015

Convenzione Cipag-Collegio

Regolamento Iscrizione CIPAG

Regolamento Organismo GEOCAM

Regolamento Formazione Continua 2018

Regolamento Contributivo Collegio 2017

Regolamento di Contabilità Collegio 2017

TITOLARE DEL TRATTAMENTO

Il titolare del trattamento è il Collegio Geometri e GL di Venezia C.F. 90035280271 nella

persona del Presidente e rappresentante legale pro-tempore Paolo BISCARO. La sede del

Collegio si trova a Mestre in Viale Ancona 43.

Contatti: tel. 041/985313

email: sede@collegio.geometri.ve.it PEC collegio.venezia@geopec.it

RESPONSABILE INTERNO DEL TRATTAMENTO

Funzionario incaricato Laura Bernardi nomina del 29/12/2015

INCARICATE AL TRATTAMENTO

Gianna Nardo incarico del 01/02/2017

Francesca Simionato incarico del 01/02/2017

Barbara Ziz incarico del 01/02/2017

6

DEFINIZIONE CATEGORIE DI DATI TRATTATI

Dati personali: qualsiasi informazione relativa ad una persona fisica

Particolari categorie di dato: dati che rivelano origine razziale, etnica, opinioni politiche,

convinzioni religiose, filosofiche, appartenenza sindacale, dati biomedici, dati genetici, dati

relativi all’orientamento sessuale (dati sensibili)

Dati relativi a condanne penali e reati: riguardano condanne penali, reati e misure di

sicurezza.

DESCRIZIONE SINTETICA DEL TRATTAMENTO

Finalità perseguita o attività svolta: Attività istituzionale anagrafica di gestione

dell’Albo dei Geometri e GL di Venezia e Registro

Tirocinanti.

Aggiornamento professionale

Categorie di interessati: Iscritti Albo e Registro Tirocinanti, dipendenti,

consulenti, collaboratori e fornitori, cittadino

richiedente informazioni, l'utente che visita il nostro

sito web

NATURA DEI DATI TRATTATI

Sensibili: SI

Personali/identificativi SI

STRUTTURA DI RIFERIMENTO Sede Collegio Geometri e GL della Provincia di Venezia

Viale Ancona 43 Mestre (VE)

ALTRE STRUTTURE IN OUTSOURCING CHE CONCORRONO AL TRATTAMENTO

1. Studio FAVARETTO Commercialista

2. Studio legale MOLIN ANDRICH

3. Consulente del lavoro Studio BONET LESPSCHY & ASSOCIATI

4. Revisore dei conti dott. Luca CORRO’

5. Studio Legale SALVALAIO e ASSOCIATI

6. NEW TRONIC Assistenza Tecnica HW e SW

7. ISI Sviluppo Informatico SRL

8. EQUITALIA Servizi di riscossione S.p.A.

9. 3click – Ing. Mattia CATTELAN

DESCRIZIONE DEGLI STRUMENTI INFORMATICI UTILIZZATI

Cinque personal computer collegati tra di loro tramite la rete informatica su server

“Pubblica”

Accesso alla rete dati “Internet” mediante Gestore FASTWEB

7

ELENCO DEI TRATTAMENTI: ULTERIORI ELEMENTI PER DESCRIVERE I TRATTAMENTI DEI DATI.

BANCA DATI

UBICAZIONE FISICA DEI

SUPPORTI DI

MEMORIZZAZIONE

TIPOLOGIA DEI

DISPOSITIVI DI

ACCESSO

TIPOLOGIA DI

INTERCONNESSIONE

Cartacea

Vedi allegato IPO04

Ubicazione archivi

Archivio – Segreteria –

Stanza del Funzionario –

Stanza del Presidente

Schedari, cassetti ed

armadi contenenti

fascicoli e documenti

(chiusura a chiave

contenuta in

cassaforte)

Custodia con chiavi in

cassaforte

Rete Informatica

“Pubblica”

1) Segreteria P n° 1

2) Segreteria P n° 2

3) Segreteria P n° 3

4) Segretario P n° 4

5) Funzionario P n° 5

User ID e Password

Vedi allegato IPO01

procedura gestione

UserID e Password

Rete informatica

Pubblica su Server

COMPETENZE E RESPONSABILITÀ DELLE STRUTTURE PREPOSTE AI TRATTAMENTI.

STRUTTURA TRATTAMENTI EFFETTUATI DALLA STRUTTURA

Titolare del trattamento

Responsabile interno delegato al

trattamento dei dati:

Funzionario del Collegio nominato dal

Consiglio Direttivo dei Geometri della

Provincia di Venezia.

Deleghe interne:

Sig.ra Gianna NARDO

Sig.ra Francesca Simionato

Sig.ra Barbara Ziz

Collegio Geometri e GL di Venezia -Presidente pro

tempore Paolo Biscaro

Responsabilità e supervisione delle attività di

archiviazione, consultazione, aggiornamento e

cancellazione dati degli iscritti, dei fornitori, dei

dipendenti, dei collaboratori.

Attività di consultazione, aggiornamento e

cancellazione dati degli iscritti e tirocinanti; attività

amministrativo-contabile, attività di consulenza in

materia pensionistica; accesso agli archivi informatici e

cartacei per attività istituzionale.

8

MAPPATURA DEI DATI TRATTATI

ALBO

DATI BASE

GIURIDICA

FINALITA’ DATO

SENSIBILE

ARCHIVIO

Anagrafici Iscritti

Obbligo di

Legge

Consenso

Iscrizione e

variazioni Albo e

Cipag

No Cartaceo/informatico

Attestato o Requisito

Prevenzione Incendi

Iscrizione Elenchi

Speciali Ministero

dell’Interno

No Cartaceo/informatico

Pagamento quote Verifica Morosità No Cartaceo/informatico

Provvedimenti

disciplinari

Rispetto

deontologia

professionale

Si Cartaceo/informatico

Certificati medici

per esenzione

formazione

continua

Verifica formazione

obbligatoria

Si Cartaceo

Sospensioni morosità Rispetto

regolamento

contributivo

No Cartaceo/informatico

Parcelle Liquidazione No Cartaceo

Attestati formazione

Aggiornamento

obbligatorio

No Cartaceo

REGISTRO TIROCINANTI

DATI BASE

GIURIDICA

FINALITA’ DATO

SENSIBILE

ARCHIVIO

Anagrafici iscritto

Obblighi di

Legge

Iscrizione e

reperibilità

No Cartaceo/informatico

Dati Dante Pratica

(se iscritto ns. albo)

Tenuta Registro

Tirocinanti

No Cartaceo/informatico

Dati Dante Pratica

(se Iscritto altro

Albo/Ordine)

Tenuta Registro

Tirocinanti No Cartaceo

Iscrizione Cipag Versamento

contributi

previdenziali

No Cartaceo/informatico

Quote iscrizione

(sollecito pag.ti)

Tenuta Registro

Tirocinanti No Cartaceo/informatico

Istanza esami di

stato

Esame di accesso

alla libera

professione

No Cartaceo

Esito prove d’esame Affissione e

Comunicazione

esito esame

No Cartaceo/informatico

9

CONSIGLIO DIRETTIVO

DATO BASE

GIURIDICA

FINALITA’ DATO

SENSIBILE

ARCHIVIO

Angrafica e dati

contatto componenti

Obblighi di

Legge

Funzionament

o dell’organo

No Cartaceo/informatico

Iscrizioni e

cancellazioni

geometri

Tenuta Albo e

Registro

Tirocinanti

No Cartaceo/informatico

Approvazione fatture Gestione

Collegio

No Cartaceo/informatico

Provvedimenti

amministrativi di

sospensione

Recupero

crediti

No Cartaceo/informatico

Dati candidati ed Eletti

CD

Nomina

Organo

No Cartaceo

Bilancio Approvazione No Cartaceo/Informatico

Quote associative

Albo e Registro

Tirocinanti

Gestione

Collegio

No Cartaceo/Informatico

Delibere Consiglio Indirizzo

amministrativo

e politico

No/Si Cartaceo/Informatico

Proposta nominativi

per Consiglio di

Disciplina

Nomina

Organo

No Cartaceo/Informatico

CONSIGLIO DISCIPLINA

DATI BASE

GIURIDICA

FINALITA’ DATO

SENSIBILE

ARCHIVIO

Angrafica e dati

contatto

componenti

Obbligo di

Legge

Funzionamento

dell’organo

No Cartaceo/Informatico

Anagrafici

dell’esponente

Reperibilità No

Cartaceo

Esposto – presunto

illecito

Procedimento

disciplinare

Si Cartaceo/Informatico

Memorie attinto Difesa No Cartaceo/Informatico

Incolpazione Aperura

procedimento

No Cartaceo/Informatico

Provvedimento Chiusura

procedimento

No Cartaceo/Informatico

Verbali Consiglio

Disciplina

Valutazione

Disciplinare

si Cartaceo/Informatico

Notifica Comunicazione

esito procedimento

No Cartaceo/Informatico

10

PERSONALE

DATI BASE

GIURIDICA

FINALITA’ DATO SENSIBILE ARCHIVIO

Anagrafici

dipendenti,

Contratto di

lavoro Enti

Pubblici

Consenso

Consenso

Consenso

Consenso

Obbligo di

Legge

Reperibilità NO Cartaceo

Dati INPS e INAIL Busta paga SI Cartaceo/Informatico

Dati reddituali Modello CUD

gestione

paghe

No

Informatico

Dati familiari Detrazioni

fiscali

No Cartaceo

Iscrizione Sindacato Costo azienda Si Cartaceo

Certificati Malattia Assenze orario

e retribuzione

Si Cartaceo/informatico

Certificati

Maternità

Assenza orario

e retribuzione

Si Cartaceo

Incarichi extra

contrattuali

Assegnazioni di

responsabilità

No Cartaceo

Richiesta ferie

permessi

Assenza orario

e retribuzione

No Cartaceo

Richieste anticipo

TFR

Retribuzione Si Cartaceo

Richieste prestiti

ente previdenziale

Accesso al

credito

agevolato

No Cartaceo

Attestati corsi di

formazione

Formazione

interna

No Cartaceo

Certificati visite

mediche

Idoneità del

lavoratore

Si Cartaceo

FORMAZIONE ISCRITTI

DATI BASE

GIURIDICA

FINALITA’ DATO SENSIBILE ARCHIVIO

Crediti Formativi Obbligo di

Legge

Consenso

Interesse

legittimo

Obbligo di

Legge

Consenso

Formazione

obbligatoria

No Informatico

Istanza di deroga Esenzione

attività

formativa

Si Cartaceo/Informatico

Delibera di

deroga

Autorizzazione No Cartaceo/Informatico

Curriculum

Certificato

Riepilogo

formazione

No Informatico

Attestati Adempimento

corsi obbligatori

No Cartaceo/informatico

Curriculum

Docenti

Organizzazione

Corsi

No Cartaceo/informatico

11

CORRISPONDENZA

DATI BASE

GIURIDICA

FINALITA’ DATO SENSIBILE ARCHIVIO

Contatto enti,

cittadini

Consenso

Interesse

legittimo

Istituzionali,

Informative

No/Si Cartaceo

Protocollo Informatico

CONTABILITA’ FORNITORI

DATO BASE

GIURIDICA

FINALITA’ DATO SENSIBILE ARCHIVIO

Anagrafici

(Reversali-

mandati-fatture

PA)

Obbligo di

Legge

Applicazione

normative

contabili

vigenti

NO

Cartaceo/informatico

Reddituali

(Certificazioni

Uniche)

Applicazione

normative

vigenti

NO

Cartaceo/informatico

Anagrafica e dati

bancari Fornitori

Gestione

Pagamenti

No Cartaceo/informatico

SITO WEB

DATO BASE

GIURIDICA

FINALITA’ DATO SENSIBILE ARCHIVIO

Anagrafica Iscritti

PEC eventuali

provvedimenti

sanzionatori

Obbligo di

Legge

Consenso

Applicazione

normative

SI

Cartaceo/informatico

Indirizzi IP utente Accesso alle

informazioni

NO

Informativa Cookie

Il Collegio assolve attività di prestazione di servizi a favore di Enti Terzi sulla base di

specifiche convenzioni-contratti:

- Organismo GEOCAM di cui il Collegio è Sezione territoriale incaricata del

trattamento (Convenzione 2012)

- Cipag per la presentazione delle pratiche pensionistiche (Convenzione Cipag-

Collegio)

12

SEZIONE DI MEDIAZIONE GEOCAM

DATI BASE

GIURIDICA

FINALITA’ DATO SENSIBILE ARCHIVIO

Anagrafici parte

istante, parte

chiamata e legali

Consenso

Regolamento

Organismo

GEOCAM

Reperibilità No Cartaceo/informatico

Anagrafici

mediatore

Reperibilità -

Incarico

No Cartaceo/informatico

Copia documenti

identità parte

istante parte

chiamata e legali

Controllo

identità

Si cartaceo

Istanza di

mediazione,

adesione e

documenti

allegati

Conciliazione Si Cartaceo/informatico

Ricevute bonifico Verifica

Pagamento

Tariffa

No Cartaceo/Informatico

Verbali Esito

conciliazione

Si Cartaceo/informatico

Questionario Valutazione

obbligatoria

No Cartaceo

PREVIDENZA – CASSA GEOMETRI

DATI BASE

GIURIDICA

FINALITA’ DATO SENSIBILE ARCHIVIO

Anagrafici

Regolamento

attuativi CIPAG

Convenzione

Collegio/CIPAG

Iscrizione albo NO Cartaceo/informatico

Reddituali Iscrizione albo NO Cartaceo/informatico

Pensionistici Rispetto

Convenzione

SI Cartaceo/informatico

Stato di salute

(assistenza

straordinarie)

Rispetto

Convenzione

SI Cartaceo/informatico

13

RISCOSSIONE QUOTE ALBO tramite AGENZIA DELLE ENTRATE

DATO BASE

GIURIDICA

FINALITA’ DATO

SENSIBILE

ARCHIVIO

Anagrafici

(emissione ruoli)

Convenzione

Collegio/Agenzie

delle Entrate

Applicazione

Regolamento

Contributivo

NO

Cartaceo/informatico

Patrimoniali

(recupero crediti

fermi

amministrativi

ipoteche

sequestri)

Applicazione

Convenzione

vigente

SI

Cartaceo/informatico

RECUPERO CREDITI tramite STUDIO LEGALE

DATO BASE

GIURIDICA

FINALITA’ DATO SENSIBILE ARCHIVIO

Anagrafici

(diffide-decreti

ingiuntivi)

Interesse

legittimo

Applicazione

Regolamento

Contributivo

SI

Cartaceo/informatico

Patrimoniali

(recupero crediti

ipoteche – esiti

azioni

investigative)

Applicazione

Regolamento

Contributivo

SI

Cartaceo/informatico

GESTIONE E INDIVIDUAZIONE ARCHIVI

L’archivio Informatico è contenuto nella cartella Public (\\NAS12CE90) (Y:) Il back up della

cartella PUBBLICA verrà eseguito giornalmente mediante GOOGLE DRIVE. L’informativa di

protezione del server cloud è consultabile nel sito:

L’ubicazione degli archivi cartacei è specificata nell’apposita procedura IPO 04 contenuta

nel Manuale delle Istruzioni Operative del Sistema di Qualità “Ubicazione archivi Collegio”.

Le procedure di sicurezza e protezione degli archivi sono illustrate nelle procedure IPO 01 –

IPO 02 - IPO 03

14

ANALISI DEI RISCHI VIOLAZIONE DEI DATI

Documento revisionato in data 02/05/2018

A) COMPORTAMENTO DEGLI OPERATORI:

RISCHI SI/NO DESCRIZIONE DELL’IMPATTO SULLA SICUREZZA

(GRAVITÀ: ALTA/MEDIA/BASSA)

Sottrazione di credenziali di

autenticazione SI

Bassa – Le credenziali sono custodite in buste chiuse

in cassaforte e modificate ogni sei mesi

Carenza di consapevolezza,

disattenzione o incuria. SI

Bassa

Comportamenti sleali o

fraudolenti SI

Bassa

Errore materiale SI Medio

B) EVENTI RELATIVI AGLI STRUMENTI:

RISCHI SI/NO DESCRIZIONE DELL’IMPATTO SULLA SICUREZZA

(GRAVITÀ: ALTA/MEDIA/BASSA)

Azione di Virus informatici o di

programmi suscettibili di recare

danno.

SI

Media. Nonostante la presenza di antivirus (NOD32)

rinnovato annualmente, questo può sempre

accadere.

Spamming o tecniche di

sabotaggio. SI

Bassa

Malfunzionamento

indisponibilità o degrado degli

strumenti.

SI

Media

Accessi esterni non autorizzati. SI Bassa

15

C) DANNI DOVUTI AD EVENTI FISICI:

MISURE DI PREVENZIONE VIOLAZIONE ARCHIVIO CARTACEO

Documento revisionato in data 02/05/2018

MISURE

DESCRIZIONE DEI

RISCHI

CONTRASTATI

TRATTAMENTI

INTERESSATI

MISURE GIÀ IN

ESSERE

STRUTTURA O

PERSONE

ADDETTE

ALL’ADOZIONE

Chiusura a

chiave archivi

cartacei

Accesso non

autorizzato

Tutti i dati oggetto

del trattamento

Conservazione

chiavi degli

archivi in

cassaforte

Ogni sera la

Segreteria

RISCHI SI/NO DESCRIZIONE DELL’IMPATTO SULLA SICUREZZA

(GRAVITÀ: ALTA/MEDIA/BASSA)

Accessi non autorizzati a

locali/reparti ad accesso

ristretto.

SI

Media. Un ordine di servizio del Presidente del

25/03/2016 vieta l’accesso ai locali della Segreteria,

Archivio e della stanza del Funzionario a tutti coloro

che non dispongano di specifica autorizzazione del

Presidente o del Segretario

Sottrazioni di strumenti

contenenti dati. SI

Media

Eventi distruttivi naturali o

artificiali (movimenti tellurici,

scariche atmosferiche,

incendi, allagamenti,

condizioni ambientali),

nonché dolosi, accidentali o

dovuti ad incuria.

SI

Medio impatto per eventi naturali.

Medio per danneggiamenti di tipo doloso.

Medio per eventi dovuti ad incuria.

Guasto ai sistemi

complementari (impianto

elettrico, impianto di

climatizzazione).

SI

Medio poiché nonostante la manutenzione

possono comunque verificarsi.

Errori umani nella gestione

della sicurezza fisica SI

Media

16

MISURE DI PREVENZIONE VIOLAZIONE ARCHIVIO INFORMATICO

PROCEDURA DI SALVATAGGIO DATI SENSIBILI E GESTIONE STRUMENTI INFORMATICI

Documento revisionato in data 02/05/2018

La struttura di rete prevede che tutti i dati di sistema (sistema operativo e db active directory) ed i

dati applicativi (posta, dati contabilità e dati applicativo “collgeometri” e documenti) siano salvati

nel NAS che è composto da due HARD DISK in RAID 1. Il primo è quello dove vengono salvati tutti i

dati ed è possibile accedervi da Windows. Il secondo è la copia backup del primo, serve in caso il

primo abbia problemi.

Successivamente viene eseguito un backup automatico sul Cloud di Google Drive.

Esiste inoltre il cestino di rete all’interno del NAS (dove si trovano le cartelle Pubblica Fondazione e

Pubblica Collegio) che contiene tutto quello che vi viene inserito, per 180 giorni (utile in caso di

cancellazione involontaria).

In caso di problematiche tecniche riguardanti i dati archiviati l’incaricato dovrà contattare il

responsabile dell’assistenza individuato nella persona dell’ing. Mattia Cattelan della 3 Click di Mestre

per il ripristino della funzionalità del sistema.

GESTIONE USER ID E PASSWORD

Ad ogni operatore è richiesto l’aggiornamento della propria PASSWORD con cadenza semestrale.

Essa dovrà contenere almeno 8 caratteri alfanumerici e dovrà essere comprensiva di maiuscole,

minuscole e numeri.

Non dovrà contenere il proprio nome o cognome.

Le password saranno archiviate in busta chiusa e tenute sotto chiave. Nel caso di utilizzo delle

credenziali di accesso da parte di un operatore diverso dal titolare del pc, motivato dall’assenza di

quest’ultimo, comporterà, al suo rientro, il rinnovo immediato della password di accesso.

ISTITUZIONE REGISTRO DEGLI ACCESSI AI PC

E’ istituito il Registro in cui si traccia il nome e cognome, la data e la motivazione dell’accesso ad un

PC diverso da quello assegnato.

MANUTENZIONE STRUMENTI INFORMATICI

Controlli funzionali per la manutenzione degli strumenti

1. Controllo presenza virus informatici per ogni supporto esterno rimovibile

2. Controllo presenza virus informatici per ogni file scaricato via internet

3. Update via internet del software antivirus installato

4. Controllo collegamenti di alimentazione (prese di corrente) ogni 60 giorni

5. Costante disponibilità di circolazione dell’aria attorno alla macchina

N.B. I punti 2 e 3 vengono eseguiti in automatico dal server

Controlli di processo per l’ottimizzazione delle prestazioni degli strumenti (riduzione del rapporto:

minuti di stand-by della macchina/minuti attività totali)

1. Mantenere sempre libero 1/10 dello spazio totale disponibile su disco fisso (condizione

minima)

2. Installazione di software compatibili con la configurazione della macchina

3. Installazione degli aggiornamenti dei software installati ogni volta siano disponibili

4. Disinstallazione dei software inutilizzati

17

5. Controllo di conflitti fra software

6. Controllo ed eliminazione di file inutilizzati presenti su disco fisso

7. Evitare azioni non compatibili con le attività dei software utilizzati

INSTALLAZIONE E MANUTENZIONE ANTIVIRUS

L’antivirus installato è il NOD32. L’installazione ha una validità annuale.

Il software prima della scadenza avvisa il termine di funzionamento entro il quale effettuare la nuova

installazione.

Il responsabile interno contatterà immediatamente la NEW TRONIC per effettuare l’ordine

dell’antivirus. La NEW TRONIC è incaricata in quanto responsabile esterno degli aggiornamenti

software, ad eseguire l’installazione nei PC degli incaricati.

Gli aggiornamenti vengono eseguiti in automatico dal sw antivirus.

18

TRATTAMENTI DEI DATI AFFIDATI ALL’ESTERNO

Documento revisionata in data 02/05/2018

DESCRIZIONE SINTETICA

DELL’ATTIVITÀ ESTERNALIZZATA

TRATTAMENTI DI DATI

INTERESSATI SOGGETTO ESTERNO

DESCRIZIONE DEI

CRITERI E DEGLI

IMPEGNI ASSUNTI

PER LE ADOZIONI

DELLE MISURE

Assistenza e Gestione archivi

informatici e accesso dati

Albo Registro Tirocinanti e

Formazione

Dati anagrafici iscritti

Albo e Tirocinanti,

formazione continua

ISI Sviluppo

Informatico SRL

Nomina

contrattuale di

responsabile

esterno

Fatturazione

Dati commerciali e

contabili.

Studio

Commercialista

dott. Favaretto

Nomina di

responsabile

esterno

Tutela Legale Dati inerenti alla tutela

legale.

Studio Legale

avv. Andrich

Nomina di

responsabile

esterno.

Tutela Legale Dati inerenti alla tutela

legale e recupero

morosità

Studio Legale

Salvalaio e Associati

Nomina di

responsabile

esterno.

Consulente del Lavoro

Dati inerenti alla

gestione dei dipendenti

Consulente del

Lavoro

Studio Bonet

Lepschy & Associati

Nomina di

responsabile

esterno.

Revisione dei conti Dati inerenti ai bilanci

finanziari Revisore dei conti

dott. Luca Corrò

Nomina di

responsabile

esterno.

Consulente informatico Dati inerenti a gestione

Albo 3Click

Ing.Cattelan

Mattina

Nomina di

responsabile

esterno

Consulente informatico Dati inerenti a

dipendenti, fornitori e

iscritti albo

New TRONIC

tramite dipendente

incaricato:

Giacomo Favetta

Nomina di

responsabile

esterno.

Riscossione Quote Albo Dati identificativi degli

iscritti Albo Equitalia Servizi di

riscossione

Nomina di

responsabile

esterno.

19

LA FORMAZIONE

DESCRIZIONE SINTETICA DEGLI

INTERVENTI FORMATIVI

CLASSI DI INCARICO O

TIPOLOGIE DI INCARICATI

INTERESSATI

TEMPI

Intervento di Brenta System per

verifica procedura salvataggio

Corso di aggiornamento Legge

196/2003

Segreteria, relazioni con il

pubblico, amministrazione.

Tutto il personale dipendente

Eseguito il 19 dicembre 2016

Intervento formativo sul GDPR

679/2016 e novità introdotte e

sulla necessità di adeguamento

entro il 25/05/2018.

A cura dell’avv. Diego Moras

Presidente - Segreteria Eseguito il 11 aprile 2018

20

TEMPO DI CONSERVAZIONE DELLA DOCUMENTAZIONE DEL COLLEGIO

TIPO DI DOCUMENTO DURATA

CONSERVAZIONE NOTE

Contabilità 10 anni Conservare documentazione

più importante anni precedenti

Ritenute d’acconto 10 anni

Specifiche liquidate 10 anni

Verbali consiglio Tutti gli anni

Verbali elezioni Consiglio Direttivo Tutti gli anni

Verbali assemblee iscritti Tutti gli anni

Esami di abilitazione Tutti gli anni

Corrispondenza CNGeGL. 10 anni Conservare documentazione

più importante anni precedenti

Corrispondenza comuni vari 10 anni Conservare documentazione

più importante anni precedenti

Corrispondenza CIPAG. 10 anni Conservare documentazione

più importante anni precedenti

Commissioni di lavoro 10 anni Conservare documentazione

più importante anni precedenti

Corrispondenza in uscita 10 anni

Pratiche CIPAG Mod.17 10 anni

Comunicazioni Anagrafe Tributaria 10 anni

Corso prevenzione Incendi Tutti gli anni

Corsi di formazione vari Tutti gli anni

Eventi e congressi vari Tutti gli anni

Fascicoli ex iscritti albo Tutti gli anni

Fascicoli ex praticanti Tutti gli anni

Visure catastali 10 anni

Esattoria – ruoli anni vecchi 10 anni

Corrispondenza in ingresso 10 anni

Fascicoli dipendenti-ex dipendenti Tutti gli anni

Contributi INPS – INAIL dipendenti Tutti gli anni

Fascicoli consulente lavoro Tutti gli anni

Fascicoli ex fornitori 10 anni

21

NOTIFICA DELLE VIOLAZIONI

Documento del 02/05/2018

Il GDPR disciplina “la violazione dei dati” prevedendo espressamente un obbligo di notifica

e comunicazione in capo al titolare, in presenza di violazioni di dati personali che possano

compromettere le libertà e i diritti dei soggetti interessati.

L’art. 33 impone al titolare di notificare la violazione all’autorità di controllo entro 72 ore dal

momento in cui ne viene a conoscenza. Il tempo di riferimento da cui iniziano a decorrere

i termini della notifica viene individuato quindi nel momento in cui il titolare acquisisce

consapevolezza dell’avvenuta violazione.

PROCEDURA ORGANIZZATIVA INTERNA

1) Identificazione della violazione: l’incaricato del trattamento che rilevi o venga informato

di una violazione dei dati ne dà immediata comunicazione al responsabile interno del

trattamento che a sua volta immediatamente informa il titolare;

2) Valutazione del Rischio: il titolare ed il responsabile valutano se la violazione del dato può

compromettere la/le libertà e i diritti del/i soggetto/i interessato/i;

3) Comunicazione al Garante e all’interessato: in caso di rischio elevato, senza indugio il

titolare dovrà notificare la garante e all’interessato/i le seguenti informazioni:

- descrizione della natura della violazione dei dati personali compresi, ove possibile, le

categorie e il numero approssimativo di interessati in questione nonché le categorie e il

numero approssimativo di registrazioni dei dati personali in questione;

- comunicazione del nome e i dati di contatto del responsabile della protezione dei dati o

di altro punto di contatto presso cui ottenere più informazioni;

- descrizione delle probabili conseguenze della violazione dei dati personali;

- descrizione le misure adottate o di cui si propone l’adozione da parte del titolare del

trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per

attenuarne i possibili effetti negativi.

La notifica ha la funzione di allertare l’autorità e consentire la predisposizione di misure di

tutela immediate ai soggetti coinvolti. Elemento centrale della procedura di notificazione

è quindi la sua tempestività.

La notifica al Garante avviene a mezzo PEC utilizzando il modulo apposito (di cui si allega

copia ALL A) in attesa di nuove precisazioni del garante.

Il responsabile del trattamento effettuerà la notifica all’interessato salvo che il titolare ed il

responsabile stesso verifichino che non incorrano i casi di esenzione previsti dall’art. 34

comma 3 (si allega l’apposito modulo ALL B).