ASSISTENZA

POLITICA PER LA SICUREZZA DELLE INFORMAIZONI

PREMESSA

La presente Policy di Sicurezza Informatica integra ed estende il regolamento aziendale precedentemente adottato da ICOM S.R.L.

Il documento recepisce integralmente i principi, le regole operative e le procedure già in essere, ampliandole e rendendole maggiormente strutturate, formalizzate e coerenti con:

  • il Regolamento (UE) 2016/679 (GDPR);
  • le buone pratiche di sicurezza informatica;
  • l’utilizzo di strumenti cloud (Microsoft 365), dispositivi mobili e sistemi di accesso remoto;
  • le esigenze di tutela del patrimonio informativo, tecnologico e reputazionale dell’Azienda.
  • la conformità alla norma ISO/IEC 27001 e ai relativi controlli per la gestione della sicurezza delle informazioni.

La diffusione delle tecnologie informatiche e l’accesso alla rete Internet dai dispositivi aziendali espongono l’Azienda a rischi patrimoniali, operativi, reputazionali e penali. Pertanto, il presente documento disciplina in modo puntuale e vincolante le modalità di utilizzo degli strumenti informatici, i comportamenti richiesti al personale e le responsabilità connesse.
Le disposizioni della presente Policy si aggiungono a quelle previste dal contratto di lavoro, dai mansionari, dalle lettere di incarico e da ogni altra procedura interna.

  1. SICUREZZA DELLE INFORMAZIONI E DATI PERSONALI

 

1.1 Principi generali di trattamento

Il personale può accedere a documenti, banche dati e sistemi informatici esclusivamente in relazione alle credenziali assegnate e nel rispetto dei principi di pertinenza e non eccedenza rispetto alle mansioni svolte.

I dati devono essere:

  • trattati in modo lecito, corretto e trasparente;
  • raccolti e trattati per finalità determinate, esplicite e legittime;
  • esatti e, se necessario, aggiornati;
  • pertinenti, completi e non eccedenti;
  • conservati per il tempo strettamente necessario;
  • cancellati (massivamente o di importanza rilevante) solo previa autorizzazione della Direzione.

 

1.2 Riservatezza delle informazioni

La riservatezza delle informazioni aziendali e dei dati dei Clienti è un principio fondamentale e inderogabile.

Il personale è tenuto a:

  • mantenere il segreto su dati, informazioni e conoscenze acquisite nello svolgimento delle attività;
  • evitare qualsiasi comunicazione a soggetti terzi non autorizzati;
  • adottare la massima cautela nelle comunicazioni verbali, scritte e digitali;
  • segnalare immediatamente smarrimenti, accessi non autorizzati o data breach.

 

  1. UTILIZZO DEI DISPOSITIVI INFORMATICI AZIENDALI

 

2.1 Dispositivi fissi e portatili

I dispositivi assegnati al personale sono strumenti di lavoro di esclusiva proprietà aziendale.

Ogni assegnatario:

  • è responsabile dell’uso corretto del dispositivo;
  • non può modificarne configurazioni hardware o software senza autorizzazione;
  • deve salvare i dati esclusivamente su server o cloud aziendali.

 

I documenti tecnici, procedure operative e informazioni di reparto devono essere archiviati nei percorsi condivisi ICOM (es. SharePoint, server dati) e mai esternamente all’organizzazione aziendale. 

È obbligatoria la pulizia periodica degli archivi digitali, evitando duplicazioni e conservazioni ridondanti. Il desktop del dispositivo deve essere mantenuto ordinato e non deve costituire un’area di archiviazione: è fatto divieto di salvare in modo permanente file o documenti sul desktop, che deve rimanere privo di dati e utilizzato esclusivamente come area temporanea, ove strettamente necessario.

È vietato l’utilizzo di supporti removibili non autorizzati o privi di adeguate misure di sicurezza.

 

  1. CONSEGNA E RESTITUZIONE ASSET

 

All’inizio del rapporto di lavoro, al personale viene consegnato un verbale di consegna degli asset aziendali, che documenta tutti i dispositivi, strumenti, credenziali e materiali forniti. Il personale è tenuto a verificare la correttezza delle informazioni riportate e a sottoscrivere il verbale.

Tutti gli asset aziendali, inclusi dispositivi informatici, dispositivi mobili, supporti di memorizzazione, strumenti di lavoro e altre proprietà aziendali, devono essere restituiti al termine del rapporto di lavoro o in caso di cessazione anticipata per qualsiasi motivo.

Gli asset devono essere restituiti nello stato originale e non formattati, senza modifiche non autorizzate, senza dati personali o file non aziendali, e privati di eventuali configurazioni temporanee o installazioni non autorizzate. Eventuali anomalie o danni devono essere segnalati tempestivamente alla Direzione e documentati nel verbale di riconsegna.

 

  1. ACCESSO AI DATI AZIENDALI DA REMOTO E FUORI DALL’UFFICIO

 

4.1 Accesso remoto e collegamenti VPN

L’accesso ai dati, ai sistemi informativi e alle risorse aziendali da sedi esterne (Clienti, abitazione, trasferte o altre sedi non aziendali) è consentito esclusivamente tramite strumenti di accesso remoto autorizzati dall’Azienda (VPN aziendale).

È fatto divieto di:

  • utilizzare connessioni non protette o reti pubbliche non sicure senza VPN;
  • accedere ai sistemi aziendali tramite dispositivi non autorizzati;
  • memorizzare localmente dati aziendali su dispositivi personali.

 

L’accesso remoto deve avvenire utilizzando esclusivamente le credenziali personali assegnate e nel rispetto delle politiche di sicurezza e autenticazione previste. MFA?

È inoltre obbligatorio l’utilizzo dell’autenticazione a più fattori (MFA) per tutti gli accessi remoti, al fine di aumentare la protezione delle credenziali e dei dati aziendali.

4.2 Trattamento dei dati al di fuori dell’orario di lavoro

Il trattamento dei dati aziendali al di fuori dell’orario di lavoro è consentito solo in casi eccezionali, per motivate esigenze operative e previa autorizzazione della Direzione.

In tali circostanze il personale è tenuto a:

  • garantire un livello di riservatezza equivalente a quello assicurato in sede;
  • operare in ambienti idonei, evitando la presenza di soggetti non autorizzati;
  • segnalare tempestivamente all’Amministratore di Sistema e alla Direzione qualsiasi anomalia, sospetto accesso non autorizzato o violazione di sicurezza (data breach).

 

  1. UTILIZZO DELLA RETE AZIENDALE

 

L’accesso alla rete aziendale è consentito esclusivamente tramite credenziali personali.

È fatto divieto di:

  • utilizzare la rete per fini non lavorativi;
  • collegare dispositivi personali senza autorizzazione;
  • condividere cartelle o dati per scopi non aziendali;
  • salvare dati riservati su OneDrive personale.

 

  1. GESTIONE DELLE PASSWORD E AUTENTICAZIONE

 

6.1 Principi generali

Le credenziali di autenticazione costituiscono strumenti personali e non delegabili. Ogni utente è responsabile dell’uso corretto delle proprie credenziali e risponde di qualsiasi attività effettuata tramite il proprio account.

È fatto espresso divieto di:

  • condividere password con colleghi, collaboratori o terzi;
  • annotare password su post-it, fogli cartacei o altri supporti non sicuri.

 

6.2 Criteri di sicurezza delle password

Tutte le password devono rispettare i seguenti requisiti minimi:

  • lunghezza non inferiore a otto caratteri;
  • utilizzo di lettere maiuscole, minuscole, numeri e simboli;
  • assenza di riferimenti facilmente riconducibili all’organizzazione.


Le password devono essere mantenute strettamente riservate e non riutilizzate per servizi differenti.

In particolare:

  • la password di accesso al PC/dispositivo e la password di accesso a Microsoft 365 devono essere diverse tra loro;
  • è vietato utilizzare la stessa password per più sistemi o applicazioni.

 

6.3 Credenziali iniziali e gestione delle modifiche

Al momento dell’attivazione dell’account, all’utente viene assegnata una password provvisoria, che deve essere obbligatoriamente modificata al primo accesso.

La password definitiva:

  • deve essere scelta dall’utente;
  • deve rispettare i criteri di sicurezza previsti;
  • deve essere conservata con diligenza e ricordata dall’utente stesso.


In caso di smarrimento o necessità di modifica delle credenziali, solo l’Amministratore di Sistema (ADS) è autorizzato a procedere al ripristino della password.

6.4 Password Manager aziendale

L’Azienda mette a disposizione un Password Manager aziendale (Password Bolt) per la gestione sicura delle credenziali.

Ogni utente dispone di un accesso personale e riservato al Password Manager, nel quale può e deve memorizzare tutte le password necessarie allo svolgimento delle proprie attività lavorative.

È fatto divieto di:

  • salvare password in chiaro;
  • memorizzare password nei browser;
  • utilizzare strumenti di archiviazione delle credenziali non autorizzati dall’Azienda.

 

6.5 Password dei clienti e credenziali di terzi

L’utilizzo e la gestione di password riferite a Clienti o a sistemi di terze parti sono consentiti solo se strettamente necessario e previa autorizzazione della Direzione.

In tali casi:

  • le password devono essere trasmesse esclusivamente tramite doppio canale di comunicazione (es. e-mail & chiamata telefonica, e-mail & WhatsApp);
  • le credenziali devono essere inserite nel Password Manager aziendale (ITPortal);
  • è vietata qualsiasi conservazione informale o non tracciata delle stesse.

 

  1. DISPOSITIVI MOBILI

 

7.1 Protezione dei dispositivi mobili

I dispositivi mobili devono essere protetti tramite sistemi di blocco sicuri (PIN complessi, biometria o equivalenti) ed essere custoditi con la massima diligenza, evitando di lasciarli incustoditi o accessibili a soggetti non autorizzati. I dispositivi aziendali devono essere utilizzati esclusivamente per finalità lavorative.

I dispositivi mobili aziendali sono gestiti tramite Microsoft Intune, quale sistema di Mobile Device Management (MDM), al fine di garantire il rispetto delle misure di sicurezza aziendali. Attraverso tale strumento, l’Amministratore di Sistema (ADS) è autorizzato a:

  • applicare criteri di sicurezza e configurazioni obbligatorie;
  • gestire da remoto i dispositivi;
  • procedere, se necessario, al blocco o alla cancellazione dei dati aziendali (wipe remoto).


In caso di smarrimento, furto o sospetto utilizzo non autorizzato del dispositivo, è obbligatoria la segnalazione immediata all’ADS e alla Direzione, al fine di consentire l’attivazione tempestiva delle misure di sicurezza previste.

7.2 Supporti di memorizzazione removibili (USB, hard disk esterni)

L’utilizzo di supporti di memorizzazione removibili (quali chiavette USB, hard disk esterni o dispositivi analoghi) è consentito esclusivamente per esigenze lavorative e previa autorizzazione della Direzione.

Tali supporti possono contenere solo file temporanei, strettamente necessari allo svolgimento delle attività autorizzate, e non devono essere utilizzati come strumenti di archiviazione permanente.

Il personale è tenuto a:

  • prestare la massima attenzione nella custodia dei supporti removibili;
  • evitare la perdita, il furto o l’accesso da parte di soggetti non autorizzati;
  • cancellare i dati presenti sui supporti al termine dell’utilizzo;
  • rispettare eventuali ulteriori misure di sicurezza definite dall’Azienda.

 

Particolare attenzione deve essere riservata ai dati personali, che devono essere trattati e protetti in conformità alle disposizioni del GDPR.

L’uso improprio o non autorizzato di supporti di memorizzazione removibili costituisce violazione delle presenti disposizioni.

 

  1. BLOCCO SCHERMO E CLEAN DESK POLICY

 

È obbligatorio bloccare qualsiasi device utilizzato per l’accesso a sistemi o dati aziendali quando la postazione viene temporaneamente lasciata incustodita, indipendentemente dalla durata dell’allontanamento, per garantire la riservatezza, l’integrità e la disponibilità delle informazioni.

I documenti cartacei devono essere archiviati correttamente e non lasciati incustoditi. La scrivania deve essere mantenuta ordinata e priva di materiale non necessario, evitando di utilizzare superfici di lavoro come aree di archiviazione temporanea o permanente. Eventuali dati sensibili vanno conservati in armadi a chiave.

I supporti di memorizzazione removibili, quali chiavette USB o hard disk esterni, devono essere custoditi con la massima attenzione e utilizzati esclusivamente per attività lavorative autorizzate.

I documenti cartacei non più necessari devono essere distrutti mediante distruggidocumenti garantendo che non possano essere ricostruiti.

L’adozione di queste misure contribuisce a garantire la sicurezza delle informazioni e la protezione del patrimonio aziendale, nel rispetto delle disposizioni del GDPR e delle buone pratiche di sicurezza informatica.

 

  1. POSTA ELETTRONICA AZIENDALE

 

9.1 Strumento aziendale e proprietà

La posta elettronica è uno strumento aziendale e deve essere utilizzata esclusivamente per finalità lavorative.
Ad ogni dipendente viene assegnata una casella e-mail intestata nomecognome@azienda.it, gestita in autonomia ma di proprietà dell’Azienda. La casella deve essere conservata ordinatamente, evitando accumulo di messaggi non necessari, e rispettando le procedure di sicurezza aziendali per la gestione e l’archiviazione delle comunicazioni

L’Azienda può utilizzare caselle e-mail condivise che vengono assegnate/configurate dall’ADS su indicazione della Direzione.

9.2 Risponditore automatico e assenze

In caso di assenza temporanea o ferie, è necessario attivare il risponditore automatico.

  • Nei casi di ferie o assenze programmate superiori a un giorno, il dipendente è tenuto ad attivare autonomamente il risponditore automatico.
  • Per assenze non programmate, l’attivazione può essere effettuata dall’Amministratore di Sistema (ADS) su indicazione della Direzione o dell’ufficio gestione del personale.

 

9.3 Deleghe di gestione della posta

Le autorizzazioni alle deleghe per la gestione della posta elettronica sono formalmente registrate in un file aziendale che ne definisce i dettagli e le autorizzazioni:

  • tale documento (“DeleghePostaElettronica”) è consultabile previa richiesta alla Direzione, al fine di verificare chi ha accesso alle caselle di posta;
  • l’attivazione di una delega avviene esclusivamente in caso di necessità, per consentire la gestione della casella durante assenze prolungate o situazioni particolari, in riferimento al documento aziendale di cui sopra.

 

9.4 Sicurezza e utilizzo corretto

  • L’accesso alla posta deve avvenire solo da dispositivi aziendali autorizzati. L’utilizzo da dispositivi personali non autorizzati è vietato;
  • tutte le caselle sono protette tramite Multi-Factor Authentication (MFA), obbligatoria per garantire la sicurezza degli account;
  • è vietato utilizzare caselle di posta personali (es. Gmail o altri servizi non aziendali) per archiviare, inviare o ricevere dati aziendali o informazioni riservate;
  • tutte le comunicazioni devono essere gestite in modo riservato e non possono essere trasmesse a soggetti terzi non autorizzati, nemmeno tramite chat, messaggi o piattaforme esterne;
  • è vietato trasferire informazioni riservate o dati sensibili tramite canali non sicuri o verso destinatari non autorizzati.

 

9.5 Dimissioni, licenziamento e chiusura della casella

In caso di dimissioni o licenziamento, la casella e-mail sarà temporaneamente attivata con risponditore automatico. Successivamente, la casella verrà chiusa secondo le tempistiche concordate con la Direzione, in base alla posizione e alle responsabilità ricoperte.

Alcune caselle e-mail sono integrate con MailStore per la conservazione e archiviazione dei messaggi. In caso di cessazione del rapporto di lavoro, l’accesso alla posta archiviata potrà essere consultato solo per un periodo limitato, strettamente necessario per motivi operativi o contenziosi, e sempre nel rispetto delle normative aziendali e della privacy.

9.6 Monitoraggio e log

L’Azienda mantiene log e registri di accesso e utilizzo della posta elettronica ai fini di sicurezza, controllo e conformità alle normative vigenti. Il personale è tenuto a collaborare in caso di verifiche o audit interni.

 

  1. UTILIZZO DI INTERNET

 

La navigazione Internet dai dispositivi aziendali è consentita esclusivamente per finalità lavorative e in coerenza con gli obiettivi dell’Azienda. L’utilizzo di Internet deve rispettare i principi di sicurezza, riservatezza e tutela del patrimonio informativo aziendale.

È vietato:

  • accedere a chat, forum, social network o siti non professionali durante l’orario di lavoro, salvo casi autorizzati dalla Direzione per esigenze operative;
  • trasferire, condividere o pubblicare informazioni riservate o dati dei Clienti su siti web, piattaforme esterne o strumenti non autorizzati;
  • utilizzare strumenti di anonimizzazione o VPN non aziendali per eludere le misure di sicurezza;
  • accedere a contenuti illegali, offensivi o in violazione di diritti di copyright.

 

La Direzione autorizza a scaricare, installare o utilizzare software o applicazioni necessari allo svolgimento delle proprie attività lavorative, gestiti secondo procedure interne e limitati ai programmi approvati dalla Direzione stessa.

 

È obbligatorio:

  • prestare attenzione a link sospetti e siti non sicuri, evitando di inserire credenziali aziendali o dati sensibili;
  • rispettare le indicazioni fornite dall’Amministratore di Sistema (ADS) in merito a filtri web, firewall e altre misure di protezione;
  • segnalare tempestivamente eventuali anomalie, virus, tentativi di phishing o comportamenti sospetti riscontrati durante la navigazione.

 

  1. PROTEZIONE ANTIVIRUS

 

Tutti i dispositivi aziendali, inclusi PC, laptop e server devono essere protetti da software antivirus e anti-malware autorizzati dall’Azienda.

Il personale è tenuto a:

  • non disattivare o modificare le impostazioni dei software di protezione installati sui dispositivi aziendali;
  • eseguire aggiornamenti del sistema operativo e del software antivirus secondo le indicazioni fornite dall’Amministratore di Sistema (ADS);
  • non aprire allegati, link o file sospetti ricevuti tramite e-mail, chat o altre piattaforme di comunicazione;
  • segnalare immediatamente all’ADS qualsiasi anomalia, comportamento strano del dispositivo, messaggi di avviso del software antivirus o sospetto accesso non autorizzato;
  • evitare l’uso di supporti di memorizzazione esterni non autorizzati, in quanto possono contenere malware;
  • non scaricare o installare software o applicazioni provenienti da fonti non certificate dall’Azienda.

 

  1. ACCESSO AGLI UFFICI, POSTAZIONI E SISTEMI

L’accesso agli uffici è consentito esclusivamente al personale autorizzato. I visitatori esterni possono accedere solo se accompagnati e sistemati nelle aree dedicate (sale corsi e riunioni), sotto la supervisione del personale aziendale, previa registrazione tramite app Visitors disponibile nelle reception.

È vietato accedere a uffici o postazioni non presidiati dal titolare o senza preventiva autorizzazione. Tutto il personale è tenuto a supervisionare e prevenire accessi non autorizzati, segnalando immediatamente eventuali anomalie alla Direzione.

Gli accessi logici sono registrati nei log di sistema, al fine di garantire la tracciabilità e la sicurezza delle attività.

 

  1. CANALE ISO27001 E COMUNICAZIONI UFFICIALI

 

Tutte le informazioni relative alla sicurezza, alle certificazioni e alla conformità alla ISO 27001 sono centralizzate sul canale SharePoint aziendale dedicato, attraverso il quale vengono fornite indicazioni operative e aggiornamenti.

Comunicazioni ufficiali relative alla certificazione e alla gestione della sicurezza saranno inviate tramite l’indirizzo e-mail certificazioni@icomservice.it.

Il personale è tenuto a seguire le indicazioni pubblicate sul canale SharePoint e a utilizzare esclusivamente strumenti autorizzati dall’Azienda per la gestione dei dati e delle informazioni di certificazione.

 

  1. INTELLIGENZA ARTIFICIALE

 

L’utilizzo di strumenti di Intelligenza Artificiale (IA) è consentito attraverso Copilot (M365) e ChatGPT esclusivamente per finalità tecniche, informative o operative strettamente collegate alle attività lavorative.

È vietato:

  • inserire negli strumenti di IA dati personali, dati dei Clienti, informazioni riservate o qualsiasi contenuto classificato come sensibile:
  • condividere risultati generati dall’IA contenenti dati aziendali o di terzi senza preventiva autorizzazione;
  • utilizzare strumenti di IA non autorizzati dall’Azienda. 

 

Il personale è tenuto a:

  • verificare sempre la correttezza e l’affidabilità dei contenuti generati dagli strumenti di IA prima del loro utilizzo o della loro condivisione;
  • non memorizzare dati aziendali o sensibili su strumenti esterni o su servizi cloud non aziendali;
  • segnalare tempestivamente all’Amministratore di Sistema (ADS) e alla Direzione eventuali anomalie, risultati sospetti o possibili rischi di esposizione dei dati;
  • utilizzare gli strumenti di IA esclusivamente in ambienti sicuri, evitando accessi da dispositivi personali o da reti non protette.


Controlli e responsabilità

L’Azienda si riserva il diritto di monitorare l’utilizzo degli strumenti di IA per finalità di sicurezza, conformità normativa e tutela del patrimonio informativo.

 

  1. CONTROLLO E MONITORAGGIO DEI LOG

 

L’Azienda adotta sistemi di registrazione e monitoraggio (log) relativi all’utilizzo delle infrastrutture IT, degli applicativi e degli strumenti informatici aziendali, al fine di garantire la sicurezza delle informazioni, la continuità operativa e la protezione del patrimonio aziendale.

I log possono riguardare, a titolo esemplificativo e non esaustivo:

  • accessi ai sistemi informativi;
  • autenticazioni e tentativi di accesso;
  • utilizzo di applicativi aziendali;
  • attività svolte sugli account utente;
  • eventi di sicurezza e anomalie di sistema;
  • utilizzo della rete e delle risorse condivise.


Modalità di Controllo

Il monitoraggio viene effettuato secondo i seguenti criteri:

  1. Controllo in forma aggregata
    I dati di log sono normalmente analizzati in forma aggregata e anonima, al fine di individuare anomalie, eventi di sicurezza, comportamenti anomali o potenziali vulnerabilità del sistema.
  2. Controllo su singolo utente
    L’analisi dei log riferibili a uno specifico utente può essere effettuata esclusivamente nei seguenti casi:
    • presenza di fondati sospetti di violazione delle policy aziendali;
    • esigenze di sicurezza informatica;
    • richiesta dell’Autorità competente;
    • necessità di tutela del patrimonio aziendale o di accertamento di comportamenti illeciti.

Tali verifiche sono svolte nel rispetto della normativa vigente in materia di protezione dei dati personali e delle disposizioni applicabili in ambito lavoristico.

I log sono conservati per un periodo definito e proporzionato alle finalità di sicurezza e compliance, decorso il quale vengono cancellati o anonimizzati.

 

  1. PROCEDURA DISCIPLINARE

 

La violazione delle disposizioni contenute nella presente Policy di Sicurezza Informatica costituisce inadempimento degli obblighi contrattuali e può comportare l’applicazione di provvedimenti disciplinari secondo quanto previsto dal Codice Civile, dal Contratto Collettivo Nazionale di Lavoro (CCNL) applicabile e dalle procedure interne dell’Azienda.

In particolare, le violazioni possono includere, a titolo esemplificativo ma non esaustivo:

  • uso non autorizzato dei dispositivi aziendali;
  • divulgazione o trattamento improprio di dati aziendali o dei Clienti;
  • mancata osservanza delle regole di accesso remoto, gestione delle password o utilizzo della posta elettronica;
  • inosservanza delle procedure di sicurezza relative a dispositivi mobili, supporti rimovibili o navigazione Internet;
  • mancata restituzione degli asset aziendali o alterazioni non autorizzate.


Le conseguenze delle violazioni possono comprendere:

  • provvedimenti disciplinari graduati secondo il CCNL, fino al licenziamento per giusta causa nei casi più gravi;
  • azioni civili per il risarcimento di eventuali danni patrimoniali o economici derivanti dall’infrazione;
  • azioni penali in caso di violazioni che costituiscano reato, in conformità alla normativa vigente.

 

  1. ALLINEAMENTO FORMALE AL GDPR

 

La presente Policy è redatta e applicata in conformità al Regolamento (UE) 2016/679 (GDPR).

Art. 5 – Principi applicabili al trattamento dei dati personali

Il trattamento dei dati personali avviene nel rispetto dei principi di:

  • liceità, correttezza e trasparenza;
  • limitazione delle finalità;
  • minimizzazione dei dati;
  • esattezza e aggiornamento;
  • limitazione della conservazione;
  • integrità e riservatezza.

 

Tutto il personale è tenuto ad attenersi rigorosamente a tali principi nello svolgimento delle proprie mansioni.

Art. 24 – Responsabilità del Titolare del trattamento

ICOM S.R.L., in qualità di Titolare del trattamento, adotta misure tecniche e organizzative adeguate a garantire e dimostrare che i trattamenti sono effettuati conformemente al GDPR. La presente Policy costituisce parte integrante di tali misure.

Art. 29 – Trattamento sotto l’autorità del Titolare

Il personale autorizzato al trattamento dei dati personali opera esclusivamente su istruzione del Titolare e nel rispetto delle procedure aziendali, delle lettere di incarico e delle presenti disposizioni.

Art. 32 – Sicurezza del trattamento

L’Azienda implementa misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio, incluse:

  • autenticazione sicura;
  • controllo degli accessi;
  • protezione dei dispositivi;
  • procedure di gestione degli incidenti.

 

Prima versione 00 – Approvata DA in data 05/11/2025