Home > Privacy > Clausole contrattuali

• Privacy
• Privacy

Clausole contrattuali

Clausole contrattuali tipo («Incaricati del trattamento»)

Ai sensi dell'articolo 26, paragrafo 2, della direttiva 95/46/CE per il trasferimento di dati personali a responsabili del trattamento residenti in paesi terzi che non garantiscono un livello adeguato di protezione dei dati.

UNICREDIT Produzioni Accentrate Spa (in seguito: "l'importatore"),
con sede legale in Cologno Monzese, Via Volta 1

E

UniCredit S.p.A. (in seguito: "l'esportatore") con sede legale e Direzione Generale in Via Zamboni, 20 – 40126 Bologna

Congiuntamente indicati come Parti

PREMESSO CHE:

1. le Parti hanno prima d'ora stipulato contratti in virtù dei quali ad UPA, sono affidate lavorazioni di carattere amministrativo e contabile;
2. tali lavorazioni vengono attualmente svolte nel territorio nazionale;
3. Unicredit Produzioni Accentrate S.p.a. ha aperto una Filiale in Romania;
4. le Parti concordano sull'opportunità di effettuare talune delle lavorazioni affidate ad UPA presso la Filiale di quest'ultima in Romania;
5. Fermo restando il contenuto di ogni pattuizione già intercorsa fra le Parti, che non sia in contrasto con le presenti clausole, nel qual caso s'intende derogata, le Parti hanno convenuto le seguenti clausole contrattuali (nel prosieguo: "le clausole") al fine di prestare garanzie sufficienti per la tutela della riservatezza, delle libertà e dei diritti fondamentali delle persone con riguardo al trasferimento dall'esportatore all'importatore dei dati personali indicati nell'appendice 1.;

Clausola 1
Definizioni

Ai fini delle presenti clausole:

1. I termini "dati personali", "speciali categorie di dati", "trattamento", "responsabile del trattamento", "incaricato del trattamento", "persona interessata" e "autorità di controllo" hanno la stessa accezione attribuita nella direttiva 95/46/CE, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (nel prosieguo: "la direttiva");
2. per "esportatore" s'intende il responsabile del trattamento che trasferisce i dati personali;
3. "per importatore" s'intende il responsabile del trattamento residente in un paese terzo che s'impegni a ricevere dall'esportatore dati personali al fine di trattarli per conto e secondo le istruzioni dell'esportatore stesso nonché a norma della decisione della Commissione europea del 27 dicembre 2001, n. 2002/16/CE, e che non sia soggetto nel paese terzo ad un sistema che garantisca una protezione adeguata;
4. "per normativa sulla protezione dei dati" s'intende la normativa, applicabile ai responsabili del trattamento nello Stato membro in cui ha sede l'esportatore, che protegge i diritti e le libertà fondamentali delle persone fisiche ed in particolare il diritto alla riservatezza riguardo al trattamento dei dati personali;
5. per "misure tecniche e organizzative di sicurezza" s'intendono le misure intese a proteggere i dati personali da distruzione accidentale o illecita, da perdita accidentale, da alterazione, o da rivelazione e accesso non autorizzati, in particolare ove il trattamento comporti la trasmissione di dati su rete, nonché da qualsiasi altra forma illecita di trattamento.

Clausola 2
Particolari del trasferimento

I particolari del trasferimento, segnatamente le eventuali categorie di dati personali, sono indicati nell'appendice 1 che costituisce parte integrante delle presenti clausole.

Clausola 3
Clausola del terzo beneficiario

Le persone interessate dai dati possono far valere, nei confronti dell'esportatore, la presente clausola nonché le clausole 4, lettere b), c), d), e) ed f), 5, lettere a), b), c), d), e) e g), 6, lettere a) e b), 7, 8, paragrafo 2, 9, 10 e 11 in qualità dei terzi beneficiari.

Le persone interessate dai dati possono far valere, nei confronti dell'importatore, la presente clausola nonché le clausola 5, lettere a), b), c), d), e) e g), 6, lettere a) e b), 7, 8, paragrafo 2, 9, 10 e 11 qualora l'esportatore sia scomparso di fatto o abbia giuridicamente cessato di esistere.

Le parti non si oppongono a che la persona interessata dai dati sia rappresentata da un'associazione o altra organizzazione, ove siffatta rappresentanza corrisponda alla esplicita volontà dell'interessato e sia ammessa dalla legge nazionale.

Clausola 4
Obblighi dell'esportatore

L'esportatore dichiara e garantisce quanto segue:

1. che il trattamento dei dati personali, compreso il loro trasferimento, viene effettuato, e continuerà ad essere effettuato in conformità a tutte le disposizioni pertinenti della normativa sulla protezione dei dati (e verrà comunicato, se del caso, alle competenti autorità dello Stato membro in cui ha sede l'esportatore) nel pieno rispetto delle leggi vigenti in questo Stato;
2. che egli ha prescritto all'importatore -e continuerà a farlo durante l'intero periodo in cui sono prestati i servizi di trattamento dei dati -di elaborare i dati personali trasferiti soltanto per suo conto e in conformità alla normativa sulla protezione dei dati e alle presenti clausole;
3. che l'importatore fornisce sufficienti garanzie per quanto riguarda le misure tecniche e organizzative di sicurezza indicate nell'appendice 2;
4. che alla luce della normativa sulla protezione dei dati, le misure di sicurezza sono idonee a proteggere i dati personali contro la distruzione accidentale o illecita, l'alterazione, e la trasmissione o l'accesso non autorizzati, in particolare qualora il trattamento comprenda la trasmissione di dati su rete, nonché contro ogni altra forma di trattamento illecito, e garantiscono un livello di sicurezza commisurato ai rischi connessi al trattamento ed alla natura dei dati che devono essere protetti, tenuto conto della più recente tecnologia e dei costi d'attuazione;
5. che provvederà all'osservanza delle misure di sicurezza;
6. che, qualora il trasferimento riguardi speciali categorie di dati, le persone interessate sono state o saranno informate, prima del trasferimento o immediatamente dopo lo stesso, che i dati che li riguardano potrebbero essere trasmessi ad un paese terzo che non fornisce una protezione adeguata;
7. di trasmettere all'autorità di controllo la comunicazione presentata dall'importatore ai sensi della clausola 5 b) qualora decida di proseguire il trasferimento o revocare la sospensione;
8. di mettere a disposizione delle persone interessate dai dati, su richiesta, una copia delle clausole del presente accordo recante, anziché l'appendice 2, una descrizione generale delle misure di sicurezza.

Clausola 5
Obblighi dell'importatore

L'importatore dichiara e garantisce quanto segue:

1. che tratterà i dati personali soltanto per conto dell'esportatore e in conformità alle sue istruzioni nonché alle presenti clausole; egli si impegna ad informare prontamente l'esportatore qualora non possa per qualsiasi ragione ottemperare a tale disposizione: in tal caso l'esportatore ha facoltà di sospendere il trasferimento e/o risolvere il contratto;
2. che non ha alcuna ragione di ritenere che la normativa ad esso applicabile impedisca di seguire le istruzioni dell'esportatore o di adempiere agli obblighi contrattuali e che egli comunicherà all'esportatore, non appena ne abbia conoscenza, qualsiasi modificazione di tale normativa che possa pregiudicare le garanzie e gli obblighi previsti dalle presenti clausole; in tal caso l'esportatore ha facoltà di sospendere il trasferimento e/o di risolvere il contratto;
3. che ha applicato le misure tecniche e organizzative di sicurezza indicate nell'appendice 2 prime di effettuare il trattamento dei dati personali trasferiti;
4. che comunicherà prontamente all'esportatore:
    
   1. qualsiasi richiesta giuridicamente vincolante presentata da autorità giudiziarie o di polizia ai fini della rivelazione di dati personali, salvo che la comunicazione sia vietata da norme specifiche, ad esempio da norme di diritto penale miranti a tutelare il segreto delle indagini;
   2. qualsiasi accesso accidentale o non autorizzato e qualsiasi richiesta ricevuta direttamente dalle persone interessate dai dati cui egli non abbia risposto, salvo che sia stato autorizzato a non rispondere;
       
5. che risponderà prontamente e adeguatamente a tutte le richieste dell'esportatore relative al trattamento dei dati personali soggetti a trasferimento e che si conformerà al parere dell'autorità di controllo per quanto riguarda il trattamento dei dati trasferiti;
6. che sottoporrà i propri impianti di trattamento, su richiesta dell'esportatore, al controllo dell'esportatore o di un organismo ispettivo composto da soggetti indipendenti, in possesso delle necessarie qualificazioni professionali, vincolati da obbligo di riservatezza e selezionati dall'esportatore, eventualmente di concerto con l'autorità di controllo;
7. che fornirà, su richiesta, alle persone interessate dai dati, una copia delle clausole del presente allegato recante, anziché l'appendice 2, una descrizione generale delle misure di sicurezza, qualora le persone interessate non siano in grado di ottenerne copia direttamente dall'esportatore.

Clausola 6
Responsabilità

1. Le parti convengono che le persone interessate dai dati che abbiano subìto un pregiudizio per qualsiasi violazione delle disposizioni di cui alla clausola 3 hanno diritto di ottenere dall'esportatore il risarcimento del danno sofferto.
2. Qualora la persona interessata dai dati non sia in grado di agire in giudizio nei confronti dell'esportatore per violazione di uno degli obblighi di cui alla clausola 3 in quanto l'esportatore sia scomparso di fatto, abbia giuridicamente cessato di esistere o sia divenuto insolvente, l'importatore riconosce alla persona stessa il diritto di agire nei suoi confronti così come se egli fosse l'esportatore.
3. Le parti convengono che se una di esse viene riconosciuta responsabile di una violazione delle clausole commessa dall'altra, quest'ultima, nei limiti della sua responsabilità, è tenuta a indennizzare la prima per ogni costo, onere, danno, spesa o perdita sostenuti. Tale indennizzo è subordinato al fatto che:
    
   1. l'esportatore informi prontamente l'importatore in merito alle istanze presentate;
   2. l'importatore abbia la possibilità di collaborare con l'esportatore nella difesa e nella risoluzione della Controversia.

Clausola 7
Arbitrato e giurisdizione

1. L'importatore dichiara che qualora una persona interessata dai dati faccia valere il diritto del terzo beneficiario ai sensi della clausola 3 e/o chieda il risarcimento dei danni in base alle presenti clausole, egli accetterà la decisione della persona stessa:
    
   1. di sottoporre la controversia alla mediazione di un terzo indipendente o eventualmente dell'autorità di controllo;
   2. di deferire la controversia agli organi giurisdizionali dello Stato membro in cui ha sede l'esportatore.
       
2. L'importatore dichiara che, previo accordo con la persona interessata dai dati, una determinata controversia potrà essere deferita ad un organo arbitrale, sempre che l'importatore stesso risieda in un paese che abbia ratificato la convenzione di New York sull'esecuzione dei lodi arbitrali.
3. Le parti dichiarano che la scelta compiuta dalla persona interessata dai dati non pregiudica i diritti sostanziali o procedurali spettanti alla stessa relativamente ai rimedi giuridici previsti dalla normativa nazionale o internazionale.

Clausola 8
Collaborazione con le autorità di controllo

1. L'esportatore si impegna a depositare una copia del presente contratto presso l'autorità di controllo, qualora questa ne faccia richiesta e qualora il deposito sia prescritto dalla legge nazionale.
2. Le parti dichiarano che l'autorità di controllo ha il diritto di sottoporre a controlli l'importatore nella stessa misura e secondo le stesse modalità previste per l'esportatore dalla normativa nazionale sulla protezione dei dati.

Clausola 9
Legge applicabile

Le presenti clausole sono soggette alla legge Italiana.

Clausola 10
Modifica del contratto

Le parti si impegnano a non alterare o modificare il contenuto delle presenti clausole.

Clausola 11
Obblighi al termine dell'attività di trattamento dei dati personali

1. Le parti convengono che al termine dell'attività di trattamento l'importatore provvede, a scelta dell'esportatore, a restituire a quest'ultimo tutti i dati personali trasferiti e le relative copie o a distruggere tali dati, certificando all'esportatore l'avvenuta distruzione, salvo che gli obblighi di legge impediscano di restituire o distruggere in tutto o in parte i dati personali trasferiti. In questo caso, l'importatore si impegna a garantire la riservatezza dei dati personali trasferiti e ad astenersi dal trattare di proprio iniziativa tali dati.
2. L'importatore si impegna a sottoporre a controllo i propri impianti di trattamento su richiesta dell'esportatore e/o dell'autorità di controllo, ai fini della verifica dell'esecuzione dei provvedimenti di cui al paragrafo 1.

Appendice 1
Alle clausole contrattuali tipo

Esportatore

• Sistemi di pagamento Italia ed Estero -Bonifici domestici (Italia) / Bonifici Estero;
• Anagrafe Estero - Anagrafe Generale Banche e Clientela Istituzionale;
• Spunta Banche - Spunta conti infragruppo, corrispondenti Italia ed estere;
• Certificazioni - Certificazione Bilanci Clienti;
• Anagrafe Italia - Anagrafe Generale Clienti.
   

Importatore

• Sistemi di pagamento Italia ed Estero - Bonifici domestici (Italia) / Bonifici Estero;
• Anagrafe Estero - Anagrafe Generale Banche e Clientela Istituzionale;
• Spunta Banche - Spunta conti infragruppo, corrispondenti Italia ed estere;
• Certificazioni - Certificazioni Bilanci Cliente;
• Anagrafe Italia - Anagrafe Generale Clienti.
   

Persone interessate dai dati
I dati personali trasferiti interessano le seguenti categorie di persone:

• Clienti della Banca (dell'esportatore) e beneficiario/ordinante dell'operazione;
• Soggetti Bancari.
   

Categorie di dati oggetto di trasferimento
I dati trasferiti interessano le seguenti categorie di dati:

• Dati personali (non sensibili).
   

Speciali categorie di dati
Il trasferimento interessa le seguenti speciali categorie di dati:

• Nessuna categoria speciale di dati è coinvolta nel trasferimento.
   

Operazioni di trattamento
I dati personali trasferiti saranno sottoposti alle seguenti attività principali di trattamento:

• Fornitura Servizi Bancari:

1. Bonifici domestici (Italia) - attività centralizzate di back office amministrativo e contabile, con presidio del regolamento e dell'attività svolta in outsourcing dai service incaricati.
2. Bonifici Estero - Esecuzione bonifico, canalizzazione e ricerche.
3. Anagrafe Estero - tariffazione banche estere e alimentazione anagrafe banche.
4. Conti Reciproci Banche Italia - Gestione spunta conti reciproci banche.
5. Conti reciproci infragruppo - Confronto di tutte le scritture contabili effettuate sui c/c tra le Banche del Gruppo.
6. Gestione Sospesi di Conto Nostro e invio Rilievi - Riconciliazione dei sospesi di Conto Nostro.
7. Certificazione Bilanci - Raccolta della documentazione attestante le posizioni di società, clienti delle Banche del Gruppo, soggette a revisione contabile.
8. Anagrafe Italia - allineamento e manutenzione dell'archivio anagrafico della clientela delle Banche del Gruppo.

Appendice 2
Alle clausole contrattuali tipo

Descrizioni delle misure tecniche e organizzative attuate dall'importatore in conformità alle clausole 4, lettera c), e 5, lettera c) o al documento/legislazione allegata:

In specifica di quanto già espresso all'interno del documento di cui la presente è un allegato, di seguito elenchiamo le specifiche e gli accorgimenti adottati al fine di proteggere e tutelare il trattamento dei dati personali. Le misure adottate a tutela del trattamento dei dati personali sono analoghe in tutte le strutture produttive di UPA; tali misure di Sicurezza vengono quindi estese alle Filiali Estere, dopo verifica della congruità delle stesse, in ottemperanza alle Leggi vigenti nel paese dove avvengono i trattamenti. Le misure a tutela dei trattamenti che vengono qui di seguito elencate rappresentano la situazione al 30 marzo 2005; ogni eventuale ulteriore accorgimento a maggiore tutela verrà espresso in occasione della stesura del prossimo Documento Programmatico sulla Sicurezza di UPA.

Descrizioni delle misure tecniche e organizzative attuate.
Le politiche di sicurezza si basano sul principio che i dati trattati dalla Società (sia come Responsabile sia come Titolare), in tutte le sue forme (cartaceo, elettronico locale o remoto), sono un patrimonio che deve essere protetto durante tutto il ciclo di vita.

Le politiche riguardano:

• la protezione fisica dei dati con l'obiettivo di definire misure atte a predisporre e mantenere un ambiente di lavoro protetto mediante identificazione delle aree critiche;
• controllo e sorveglianza degli accessi, impiego di dispositivi per la protezione dei locali e delle attrezzature;
• la protezione logica delle informazioni, comprendente il controllo degli accessi, il mantenimento della loro integrità e riservatezza, la sicurezza nelle trasmissioni e nelle comunicazioni interne ed esterne;
• le norme e la formazione del personale circa il trattamento, la distruzione, il trasferimento e la custodia dei dati, sia in forma cartacea sia elettronica.
   

Accorgimenti a tutela dei rischi.
Alla luce di quanto sopra espresso, al fine di tutelare nel miglior modo possibile il trattamento di dati personali testimoniamo di seguito gli accorgimenti a tutela dei rischi espressi che possiamo dividere fra:

trattamenti effettuati con strumenti elettronici o comunque automatizzati e trattamenti effettuati senza strumenti elettronici.

Nel caso di trattamenti effettuati con strumenti elettronici o comunque automatizzati:

• il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autenticazione, codice identificativo personale e password per l'utilizzo di elaboratore (sistema dipartimentale, sistema centrale) accessibile in rete, che consentono il superamento della procedura di autenticazione relativa al trattamento del/dei dati personali;
• le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato associato ad una parola chiave riservata conosciuta solamente dal medesimo che è composta da otto o più caratteri con le istruzioni che essa non contenga riferimenti agevolmente riconducibili all'incaricato; essa viene modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. Sono in atto le procedure organizzative necessarie affinché, la parola chiave venga modificata almeno ogni tre mesi;
• ad ogni incaricato sono associate individualmente una o più credenziali per l'autenticazione;
• con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell'incaricato;
• il codice per l'identificazione, laddove utilizzato, non viene assegnato ad altri incaricati neppure in tempi diversi;
• le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica; le stesse sono disattivate anche in caso di perdita della qualità che consente all'incaricato l'accesso ai dati personali;
• sono allo studio le necessarie attività atte a garantire la custodia delle copie delle credenziali di accesso alle procedure informatiche in base alle indicazioni riportate nell'allegato "B" del D.Lgs. 30 giugno 2003 nr. 196.
• le disposizioni sul sistema di autenticazione di cui ai precedenti punti e quelle sul sistema di autorizzazione non si applicano ai trattamenti dei dati personali destinati a diffusione;
• i profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all'inizio del trattamento, in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento;
• nell'ambito dell'aggiornamento periodico, con cadenza almeno annuale, sono aggiornate le liste degli incaricati che vengono custodite e mantenute dagli amministratori gestori dei sistemi informatici facenti capo ad UniCredit Sistemi Informativi S.p.A.(Società del Gruppo che è stata nominata Responsabile da parte di UPA per tutto ciò che concerne i sistemi informativi nel trattamento di dati personali);
• i dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui all'art. 615-quinquies del codice penale, mediante l'attivazione di idonei strumenti elettronici che vengono aggiornati con cadenze almeno semestrali;
• sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza settimanale.
   

Nel caso di trattamenti effettuati senza strumenti elettronici:
agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia, per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati, la lista degli stessi viene aggiornata in base all'attribuzione alle singole unità produttive che identificano le specificità degli incarichi e viene conservata presso l'Unità Organizzativa del Personale della Sede di Cologno Monzese.

La sicurezza fisica
Ha il compito di prevenire accessi fisici non autorizzati, danni o interferenze ai sistemi o con lo svolgimento dei trattamenti dei dati. La stessa si compone delle protezioni perimetrali dei siti e delle aree, di controlli fisici all'accesso, della protezione delle computer room contro a danneggiamenti accidentali o intenzionali.

Criteri tecnici ed organizzativi per la protezione delle aree e dei locali
L'accesso ai grandi edifici di U.P.A. è controllato dal sistema elettronico di controllo accessi regolamentato dalla U.O. Sicurezza della CapoGruppo che autorizza o nega i transiti di persone.
Il sistema garantisce:

• la certezza che solo le persone autorizzate, dotate di apposito badge correttamente rilasciato dagli Uffici preposti, possano accedere alle aree ed ai locali interessati alle misure di sicurezza, protette dal sistema;
• il controllo e la verifica dell'accesso delle persone autorizzate al transito nei predetti locali;
• la segnalazione di ciascun evento legato ai transiti;
• la memorizzazione degli eventi, inerenti al sistema, in appositi registri di auditing;
• il controllo dell'apertura e della chiusura dei vari dispositivi di transito (porte, tornelli, cancelli, bussole, ecc…);
• la protezione dei dati memorizzati, effettuata a mezzo di appositi file-system protetti;
• la protezione dei dati memorizzati in conformità a quanto stabilito dalla legge.
   

I badge gestiti sono realizzati a singola tecnologia (gli accessi sono verificati sulla base delle autorizzazioni presenti sulla banda magnetica) e riportano esclusivamente:

• la fotografia del Personale autorizzato;
• il Nome e Cognome della persona autorizzata;
• il Logo aziendale di U.P.A ed il numero di Matricola del Dipendente;
• le istruzioni (sul verso) per l'eventuale smarrimento.
   

Le infrastrutture impiantistiche e di supporto del predetto sistema, sono collocate in aree ad accesso controllato. Il sistema di controllo accessi, sia a livello client, sia a livello server, è utilizzato solo da personale formalmente incaricato ai sensi del D.Lgs. 196/03 e l'accesso agli elaboratori dedicati del sistema avviene solo tramite l'uso congiunto del "Codice Identificativo Personale" e della relativa "password" composta da almeno otto caratteri.

Perimetro di sicurezza fisica
La sicurezza fisica a protezione dei grandi siti é basata su perimetri definiti, ottenuti attraverso l'uso di una serie di barriere disposte strategicamente in relazione agli accessi. I requisiti e il posizionamento di ogni barriera di sicurezza sono conformi alle specifiche diramate in materia dall'U.O. Sicurezza della Capogruppo. La sicurezza del perimetro è comunque proporzionata al valore delle attività e dei servizi posti sotto protezione ed in particolare:

• le barriere fisiche, sono tali da impedire lo scavalcamento (come per es. le porte comandate da badge);
• le funzioni e gli equipaggiamenti di supporto come stampanti, scanner, fax, fotocopiatrici ecc., sono posizionati in modo da minimizzare il rischio di accesso non autorizzato alle informazioni riservate trattate con i richiamati dispositivi;
• gli equipaggiamenti informatici aziendali vengono custoditi all'interno di aree separate da quelle in cui sono ubicati i computer gestiti da terzi;
• quando non presidiate, le aree vengono chiuse e controllate periodicamente;
• il personale che fornisce servizi di supporto e di manutenzione è autorizzato all'accesso nelle aree laddove necessario. Il suo accesso viene inoltre limitato, anche temporalmente, e le sue attività controllate.
   

Controllo degli accessi fisici
Nelle grandi Sedi di U.P.A. italiane ed estere sono stati attivati i sistemi di controllo degli accessi che sono rispondenti alle specifiche diramate in materia dall'U.O. Sicurezza della Capogruppo:

• i visitatori delle aree vengono preventivamente autorizzati e vengono registrati agli ingressi ed alle uscite dai locali. Il loro accesso é consentito solo per i compiti specifici e limitati alle attività di competenza;
• tutti i dipendenti di imprese esterne, consulenti e/o visitatori che operano all'interno dell'edificio, vengono invitati ad indossare in modo ben visibile il badge assegnato;
• l'accesso alle aree viene revocato agli impiegati o agli esterni che lasciano gli incarichi per i quali era previsto l'ingresso alle aree stesse.
   

Sicurezza delle sale Computer
I locali dedicati ad ospitare elaboratori e/o apparecchiature di trasmissione dati, destinati ad attività critiche, dispongono di un idoneo grado di sicurezza fisica. La progettazione dei siti tiene conto dei possibili rischi derivanti da accessi illeciti, fuoco, allagamento, esplosioni, rivolte civili ed altre forme di disastri naturali o dovuti all'uomo. Anche i rischi derivanti dalle installazioni confinanti sono stati tenuti in considerazione. Sono state adottate le seguenti misure:

• le strutture di maggiore importanza sono state, laddove possibile, posizionate lontano da aree alle quali i visitatori possano avere accesso;
• gli edifici non presentano indicazioni specifiche riguardanti la loro destinazione d'uso;
• non ci sono indicazioni, sia all'interno sia all'esterno, che permettano di identificare la presenza di specifiche attività a rischio;
• le indicazioni nei corridoi e gli elenchi telefonici interni non contengono informazioni riguardanti il posizionamento degli strumenti informatici;
• i materiali infiammabili e pericolosi sono conservati in modo sicuro e lontano dai siti protetti;
• gli accessori ed i materiali di consumo per gli elaboratori, laddove possibile, non vengono conservati all'interno delle sale computer fino al momento del bisogno;
• i dispositivi di memoria di massa ed i backup di norma vengono conservati a distanza di sicurezza per evitare i danni risultanti da un incidente nel sito principale;
• sono installati equipaggiamenti di sicurezza appropriati, come rilevatori di fumo e di fiamme, allarmi antincendio, attrezzature per l'estinzione e uscite di sicurezza; tali equipaggiamenti vengono controllati periodicamente seguendo le istruzioni dei costruttori e dei responsabili preposti; il personale è stato istruito all'uso di tali equipaggiamenti;
• le procedure di emergenza sono documentate e regolarmente testate;
• le porte e le finestre non sorvegliate sono chiuse.
   

Rimozione di dotazioni aziendali
Gli equipaggiamenti, i dati ed il software non possono essere portati al di fuori dei luoghi di lavoro, senza un'esplicita autorizzazione dei responsabili preposti.

Alienazione sicura degli equipaggiamenti
I dati e le informazioni possono essere compromessi attraverso un'alienazione poco accorta degli equipaggiamenti che li contengono. Per questo motivo tutti gli equipaggiamenti che contengono supporti di memoria di massa (es. hard disk) vengono controllati per assicurarsi che siano stati cancellati tutti i dati e i software licenziati. I dispositivi di memoria alienati che contengono dati personali o informazioni classificate sono sottoposti ad un processo di cancellazione tale da eliminare i rischi di recupero fraudolento dei dati stessi.

Sicurezza logica
Il campo di applicazione della sicurezza logica riguarda la protezione di dati, applicazioni, sistemi e reti sia in relazione al loro corretto funzionamento ed utilizzo, sia in relazione alla loro gestione e manutenzione nel tempo. Il Gruppo UniCredito Italiano ha affidato l'impostazione e la gestione della Sicurezza Logica alla Società del Gruppo UniCredit Servizi Informativi S.p.A. (U.S.I.), che cura anche le principali attività operative inerenti. U.P.A. per quanto di sua pertinenza, ha recepito le linee guida del Gruppo nella gestione della sicurezza logica tali informazioni sono a disposizione presso la Sede di Cologno in quanto allegate al D.P.S.S. di U.P.A..

Controllo degli accessi ai sistemi di elaborazione
I sistemi utilizzati dal Gruppo e quindi anche da U.P.A. sono in gestione e sotto la responsabilità di UniCredit Servizi Informativi S.p.A., che ne garantisce il rispetto dei controlli previsti come specificato nel suo D.P.S.S. I sistemi utilizzati dal Gruppo e quindi anche da U.P.A. consentono:

• l'accesso solo tramite una validazione (logon) effettuata sulla base di un Codice Identificativo Personale (Account Utente) ed una relativa password, sia nella circostanza che l'utente venga autenticato a livello locale, sia che l'autenticazione avvenga in un contesto di sicurezza di dominio;
• l'assegnazione di un Codice Identificativo Personale univoco, non riutilizzabile;
• la creazione di password di lunghezza adeguata in relazione al bene da proteggere e comunque maggiore o uguale a 8 (otto) caratteri/numeri;
• la possibilità di modificare autonomamente, a cura degli utenti, la password per ogni Account Utente abilitato al logon;
• è in corso di attivazione la procedura che costringa il cambio password ogni tre mesi;
• la protezione di file e directory del computer tramite apposite "permission", assegnate agli utenti ovvero a gruppi di utenti.
   

Software antivirus
Tutti i computer sono dotati di idonei programmi antivirus ed aggiornati periodicamente. Su tutti i P.C. è stato installato il programma antivirus "Normanav" che si auto-aggiorna giornalmente all'accesso in rete da parte dei Dipendenti.

Controllo del software
I Sistemi Operativi e le applicazioni vengono costantemente aggiornati non appena viene scoperto un errore che comprometta la sicurezza del sistema. I programmi e le patch ai richiamati sistemi vengono opportunamente verificati in punto autenticità, integrità e correttezza (es.: verifica della firma elettronica applicata ai programmi o alle patch) prima dell'installazione negli ambienti effettivi.

Strumenti per la disponibilità dei dati
I dati e le informazioni trattate sono sottoposte ad una serie di rischi che ne minacciano continuamente la disponibilità. Questi rischi possono essere derivati sia da mal funzionamenti hardware, sia da danneggiamenti perpetrati da intrusori informatici ovvero da errori involontari degli amministratori dei sistemi. Sono ridotti al minimo gli effetti, spesso disastrosi, di tali eventi, in quanto sono stati predisposti una serie di accorgimenti tecnologici, come i backup dei dati ed i sistemi RAID (Redundant Array of Independent Disks), atti alla creazione di sistemi di archiviazione a tolleranza d'errore. Per questo si è previsto l'utilizzo di apparecchiature che si avvicinino il più possibile alla garanzia di ridondanza ed affidabilità/disponibilità di memorizzazione di dati. Questa operatività viene gestita da U.S.I.

Sicurezza dei file server, dei printer server e mail server
Ogni risorsa trattata dai server viene protetta da accessi illeciti o non autorizzati, da alterazioni o modifiche, tramite opportune "permission" applicate alle risorse gestite come già dettagliato. Locali ove sono custoditi i Server

I server sono ubicati, laddove i vincoli tecnico/operativi lo permettono, in locali che rispettano i requisiti di sicurezza indicati per i siti destinati agli elaboratori o alle apparecchiature di trasmissione dati.

Gestione incidenti
In caso di attacco, incidente, rilevamento di virus, rilevamento di lacune di sicurezza, o qualsivoglia altro evento che impatti negativamente sulla sicurezza dei sistemi del Gruppo UniCredito Italiano, l'incaricato o chiunque rilevi tali eventi deve darne immediata notizia telefonica all'help desk di U.S.I., o via fax / e-mail al responsabile del sistema informativo (U.S.I.) coinvolto, cui compete tra l'altro disporre per:

• l'immediata sospensione del collegamento dell'eventuale sito Web coinvolto ed alla messa a disposizione delle competenti strutture di controllo dell'elaboratore interessato;
• la conservazione in luogo sicuro dei "log-file", inerenti al sistema coinvolto, da tenere a disposizioni delle predette strutture su supporti non alterabili (es.: Compact Disk);
• la conservazione in luogo sicuro dei "backup" precedenti all'attacco, alla contaminazione o all'incidente del sistema coinvolto;
• la redazione di un rapporto tecnico riservato, in cui vengano dettagliatamente riepilogati ogni utile elemento, la classificazione del sito, gli eventi ed i dettagli inerenti all'attacco o all'incidente, da trasmettere poi alle competenti strutture di controllo;
• la trasmissione via e-mail, in modalità sicura (es.: documento Word protetto da password), della copia del predetto rapporto alla U.O. Sicurezza della Capogruppo, che alimenterà una apposita banca dati per successive analisi di rischio.
   

Diffusione della cultura della sicurezza delle informazioni
Sono stati previsti interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare, sono stati i principali obiettivi della formazione programmata. Già al momento dell'ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali il processo formativo è previsto con le modalità di seguito indicate.

Assicurare la migliore sicurezza dei sistemi informativi presenta particolari problematiche d'ordine culturale, sociale ed organizzativo oltre che legale e tecnico, per questo è stato necessario elaborare ed attuare specifici processi di formazione, sensibilizzazione e corresponsabilizzazione. Per raggiungere i suoi obiettivi il programma di formazione rivolto a tutti i dipendenti, già completato, è stato concepito in modo tale da:

• rendere consapevoli i partecipanti dell'importanza delle scelte aziendali;
• coinvolgere i partecipanti sulle problematiche inerenti la sicurezza;
• responsabilizzare i partecipanti sulle attività da eseguire per garantire il mantenimento di un livello di sicurezza accettabile.
   

Distribuzione dei compiti e delle responsabilità
La struttura aziendale, articolata in una Direzione, Unità Organizzative,Comparti, Product Unit, Aree, Uffici e Reparti, è definita dall'apposito Regolamento societario che individua le competenze anche in materia di trattamento di dati personali con riferimento a determinate categorie di soggetti.

Tutto il Personale dipendente di UniCredit Produzioni Accentrate S.p.A. ha ricevuto la nomina ad "incaricato" ai sensi dell'art. 30 del Codice sulla privacy.
Ogni incaricato è tenuto ad osservare scrupolosamente le istruzioni inserite nella relativa lettera di nomina.

Le attività che ciascun incaricato può svolgere, nonché l'accesso alle banche dati, sono poste in relazione (per ciascuna persona fisica o per classi omogenee di persone dedicate ad attività simili) all'appartenenza -documentata per iscritto a cura della direzione Risorse Umane-ad una determinata Unità Organizzativa o Direzione.
La documentata preposizione delle persone fisiche alle varie Aree/Unità organizzative/Funzioni aziendali/Direzioni, costituisce quindi "designazione degli incaricati al trattamento", ai sensi del comma 2 dell'articolo 30 del Codice sulla privacy.
La designazione ad una determinata Unità Organizzativa e la "mappatura" dei trattamenti effettuati nell'ambito di ciascuna Unità Organizzativa determina l'ambito del trattamento consentito all'incaricato.
Sono stati individuati e nominati responsabili interni da parte del Titolare del trattamento dei dati personali; essi sono la "Responsabile dell'U.O. Personale", per quanto attiene i dati personali e particolari dei dipendenti; il "Responsabile dell'U.O. Logistica e Sicurezza sul Lavoro", per quanto attiene gli altri trattamenti della Società; e la "Responsabile dell'U.O. Organizzazione" per quanto attiene la sicurezza logica ed informatica. Unitamente all'atto scritto di Nomina, si è provveduto alla precisazione della ripartizione delle aree di presidio.
A presidio dell'area informatica, e nell'ambito delle sinergie di Gruppo, è stata nominata Responsabile UniCredit Sistemi Informativi S.p.a.

Video-sorveglianza
Il trattamento dei dati personali effettuato mediante l'impianto di video-sorveglianza dello stabile di U.P.A. - Bucarest - Splaiul Unirii 76, sect.4, è conforme al provvedimento del Garante per la tutela dei dati personali del 29/11/2000 ed al "testo unico" D.Lgs. 196/03 .

Controlli e verifiche sulle misure di Sicurezza
Le verifiche ed i controlli sulla corretta applicazione delle misure di sicurezza ed in riferimento esplicito a quelle previste dal Codice sulla privacy, sono contemplate nel Sistema complessivo dei controlli interni di cui la Società è dotata.
Tali verifiche hanno l'obiettivo di accertare la piena conformità, dei trattamenti svolti da UniCredit Produzioni Accentrate S.p.A., in relazione a quanto stabilito dal Codice sulla privacy (Artt. da 33 a 36).