DPIA 2019_REV 01 del 20.04.2020_OR.S.A. SINTESI PER SITO[1]

OR.S.A. Settore Ferrovie
Organizzazione Sindacati Autonomi e di Base

Via Magenta, 13
00185 – ROMA (RM)

OR.S.A. Andrea Pelle
Titolare del
Trattamento

Data: 20.04.2020 File: D P I A 2019- REV n. 01/2020.doc

SINTESI

Documento di valutazione
d'impatto sulla protezione dei dati

(Data Protection Impact Assessment – DPIA)
e Registro dei Trattamenti
(in ottemperanza al REGOLAMENTO UE 2016/679)

OR.S.A. Settore Ferrovie
Organizzazione Sindacati Autonomi e di Base

Via Magenta, 13
00185 – ROMA (RM)

Revisione documento:
n. 01 del 20/04/2020

Il titolare del trattamento
Andrea Pelle

OR.S.A. Andrea Pelle
Titolare del
Trattamento

Data: 20.04.2020 File: D P I A 2019- REV n. 01/2020.doc

Indice del documento
Indice del documento ................................................................................................................................... 2
1. Premessa ............................................................................................................................................... 3
1.1 Organi statutari ...................................................................................................................................... 3
1.2 Articolazione, attività istituzionali e caratteristiche dell’Organizzazione ............................................. 3
1.3 Servizi di assistenza fiscale e patronato ................................................................................................. 3
1.4 Nomine e competenze ai fini del Regolamento UE 2016/679 – GDPR ................................................ 4
2. Principali Riferimenti Legislativi ......................................................................................................... 5
3. Composizione del documento .............................................................................................................. 6
4. Identificazione delle Risorse da Proteggere ......................................................................................... 8
4.1 Luoghi Fisici. .................................................................................................................................... 9
4.2 Risorse Hardware. .......................................................................................................................... 10
4.3 Risorse dati. .................................................................................................................................... 10
4.4 Risorse Software ............................................................................................................................. 10
5.1 ANALISI DEI RISCHI SUI LUOGHI FISICI ............................................................................... 11
5.2 ANALISI DEI RISCHI SULLE RISORSE HARDWARE ............................................................ 11
5.3 ANALISI DEI RISCHI SULLE RISORSE DATI ......................................................................... 11
5.4 ANALISI DEI RISCHI SULLE RISORSE SOFTWARE ............................................................. 11
6. Definizione ed attuazione della Politica di Sicurezza ........................................................................ 12
6.1 MISURE DI SICUREZZA DI TIPO FISICO ADOTTATE .......................................................... 12
6.2 MISURE DI SICUREZZA DI TIPO LOGICO ADOTTATE ........................................................ 12
6.3 MISURE DI SICUREZZA DI TIPO ORGANIZZATIVO ADOTTATE ...................................... 12
7. Piano di verifica delle Misure Adottate e Registro dei trattamenti .................................................... 13
8. Piano di Informazione e condivisione degli obiettivi ......................................................................... 14
ALLEGATI ................................................................................................................................................ 15

OR.S.A. Andrea Pelle
Titolare del
Trattamento

Data: 20.04.2020 File: D P I A 2019- REV n. 01/2020.doc

1. Premessa
OR.S.A. Settore Ferrovie Organizzazione Sindacati Autonomi e di Base (in breve OR.S.A. Ferrovie) è
stata costituita 28 Dicembre 2001 quale organizzazione sindacale unica, federale ed inscindibile, che
organizza, tutela e rappresenta unitariamente tutte le categorie professionali dei lavoratori dipendenti che
operano in Società di Infrastrutture, di Trasporto ferroviario e in quelle ad esse collegate.
In ragione del fatto che OR.S.A. Ferrovie in qualità di Organizzazione Sindacale raccoglie e tratta
dati personali relativi ad adesione sindacale, considerati categoria speciale di dati personali ai sensi del
Regolamento UE 2016/679 – GDPR, l’Ente ha ritenuto di effettuare la valutazione dell’impatto dei
trattamento previsti sulla protezione dei dati personali (DPIA), con contestuale mappatura dei
trattamenti effettuati dal Titolare, valutazione del rischio privacy, conduzione del DPIA per i soli
trattamenti individuati come potenzialmente rischiosi, definizione dei trattamenti individuati da notificare
al garante della Privacy, predisposizione del Registro dei rischi Privacy, nomina del Responsabile della
Protezione dei Dati (RPD/DPO).
Il DPIA è dunque lo strumento essenziale per l’applicazione all’interno dell’Ente del nuovo approccio
alla protezione dei dati personali, voluto in sede comunitario, e fortemente incentrato sul principio della
responsabilizzazione e condivisione dei principi e delle procedure di protezione dei dati personali (cd.
accountability principle).
Di seguito si riporta una sintesi del documento conservato integralmente agli atti dell’Organizzazione.
Per ulteriori informazioni di natura istituzionale si rinvia al sito www.sindacatoorsa.it.

1.1 Organi statutari
La composizione degli Organi statutari è indicata sul sito dell’Organizzazione.

1.2 Articolazione, attività istituzionali e caratteristiche dell’Organizzazione
L’Ente svolge le sue attività statutarie oltre che attraverso la Segreteria Generale, anche attraverso
n. 22 articolazioni territoriali a livello regionale, n. 45 articolazioni territoriali a livello provinciale e
n. 8 Settori Nazionali, che rappresentano una organica e intrinseca specificazione di OR.S.A. Ferrovie.
Tutti i dati personali relativi ad adesione sindacale, una parte dei quali i Segretari Nazionali e
Regionali di ciascun settore hanno occasione di trattare, per esclusivi fini interni di consultazione
del dato aggregato per settore o di valutazione di consistenza del settore stesso, sono raccolti
esclusivamente e univocamente da OR.S.A. Ferrovie, a mezzo di propri moduli di adesione
avvalendosi di propri soci nella qualità di attivisti volontari, all’uopo incaricati con specifica lettera di
incarico.
Tutte le indicazioni di riferimento di dette articolazioni sono indicate sul sito dell’Organizzazione.

1.3 Servizi di assistenza fiscale e patronato

Nella elaborazione base del DPIA, OR.S.A. Ferrovie si è valutato che l’Organizzazione offriva ai propri
associati servizi di assistenza fiscale CAF e Patronato, a seguito di convenzione firmata con la
Confederazione Nazionale dell’Artigianato e della Piccola e Media Impresa (C.N.A.). In linea generale i

OR.S.A. Andrea Pelle
Titolare del
Trattamento

Data: 20.04.2020 File: D P I A 2019- REV n. 01/2020.doc

predetti servizi erano svolti, e continuano a essere svolti, presso le sedi territoriali di OR.S.A. ove gli
associati presentano pratiche fiscali e di patronato direttamente a personale associato C.N.A., all’uopo
incaricato dalla stessa Confederazione, che effettuano detti servizi a mezzo di proprie procedure di
trattamento dei dati, nel rispetto delle norme del Regolamento UE 2016/679. Detti incaricati raccolgono,
trattano e trasmettono dati e documenti a C.N.A., con programmi SW e modalità direttamente predisposte
dalla Confederazione, che assicura di effettuare il servizio nel rispetto del Regolamento UE.
In ragione di quanto sopra in sede di monitoraggio ai fini della redazione del DPIA era stato definito che
il trattamento dati personali per tali servizi CAF/ Patronato non rientravano nella competenza di
OR.S.A. Ferrovie e all’uopo, si rinviava alle specifiche lettere di incarico, da parte di C.N.A, agli addetti
e alle istruzioni e procedure emesse dalla stessa Confederazione.
Considerata la situazione di disagio in cui si sono venuti a trovare gli associati a seguito dell’emergenza
Covid 19, anche in ragione dei provvedimenti adottati dall’Agenzia delle Entrate in merito agli
adempimenti e scadenze fiscali, OR.S.A. Ferrovie ha ritenuto di accelerare una procedura, già approvata
dalla Segreteria Generale, al fine di agevolare la presentazione, da parte dei propri associati, dei dati e
documenti necessari alla compilazione del modello 730 e degli adempimenti conseguenti, da parte di
C.N.A..
A tale fine si è ritenuto di consentire agli associati di inviare direttamente i dati e i documenti concernenti
le proprie dichiarazioni fiscali anche telematicamente, quali allegati a e-mail inviate a indirizzi di posta
elettronica che OR.S.A. Ferrovie attiverà nello specifico.
In conseguenza di questa scelta si è reso necessario allineare il DPIA alla diversa modalità di trattamento
dei dati personali di natura fiscale del ricorrente ai servizi di assistenza fiscale - oltre a quelli relativi
all’adesione sindacale che già considerati da tutelare per natura - di cui, diversamente dalla precedente
situazione, OR.S.A. Ferrovie verrà necessariamente a conoscenza, principalmente nelle persone dei
Segretari delle articolazioni territoriali.

1.4 Nomine e competenze ai fini del Regolamento UE 2016/679 – GDPR
Il Rappresentante Legale di OR.S.A. Ferrovie è il Segretario Generale Dr. Andrea Pelle,
(andreapelle@sindacatoorsa.it ) che è anche il Titolare del trattamento dei dati personali
Il Responsabile della gestione del trattamento dei dati personali è il Membro dell’Esecutivo Giuseppe
Maltese, (beppemaltese@sindacatoorsa.it)
Il Responsabile della sicurezza dei sistemi informativi è il Dr. Emanuele Amadio,
(emanueleamadio@sindacatoorsa.it).
L’Ente ha nominato Responsabile della Protezione dei Dati (RPD/DPO) il Dr. Pier Luigi Aymerich,
(aymerich@pec-legal.it)
Addetti al trattamento dati personali sono stati nominati la Signora Lisa Tanduo e il Signor Carlo
Cacciaglia, (sg.orsaferrovie@pec.sindacatoorsa.it).
Gli Atti di Nomina sono conservati agli atti dell’Organizzazione.

OR.S.A. Andrea Pelle
Titolare del
Trattamento

Data: 20.04.2020 File: D P I A 2019- REV n. 01/2020.doc

2. Principali Riferimenti Legislativi
Ø Direttiva 95/46/CE del 24 ottobre 1995 “Regolamento Generale sulla Protezione dei Dati –

RGPD”
Ø Legge 31 dicembre 1996, n. 675 “Tutela delle persone e di altri soggetti rispetto al trattamento

dei dati personali” e successive disposizioni correttive e integrative.
Ø Legge n. 127 del 24 marzo 2001
Ø Decreto legislativo 30 giugno 2003, n. 196
Ø Legge 26 febbraio 2004, n. 45
Ø Legge 27 gennaio 2006, n. 21
Ø Decreto legislativo 30 maggio 2008, n. 109
Ø Legge 20 novembre 2009, n. 166
Ø Legge 4 novembre 2010, n. 183
Ø Regolamento UE 2016/679 del 27 aprile 2016
Ø Comitato Europeo per la Protezione dei Dati del 25 maggio 2018 “WP248, rev. 01”
Ø Delibera 11 ottobre 2018, n. 467 del Garante per la Protezione dei Dati, G.U. n. 269 del

19.11.2018

OR.S.A. Andrea Pelle
Titolare del
Trattamento

Data: 20.04.2020 File: D P I A 2019- REV n. 01/2020.doc

3. Composizione del documento
Il DPIA è stato compilato in applicazione del Regolamento UE 2016/679 – GDPR del 27 aprile 2016, che
ha modificato e integrato la Direttiva 95/46/CE del 24 ottobre 1995 “Regolamento Generale sulla
Protezione dei Dati – RGPD”.
Per la sua specificità di Organizzazione Sindacale OR.S.A. Ferrovie raccoglie e tratta dati personali
relativi a adesione sindacale. Pertanto in applicazione del disposto della sezione 3 e degli artt. 27 e 35 del
Regolamento UE 2016/679 – GDPR, e con particolare riferimento all’art. 9, comma 2, lettera d, del citato
Regolamento (cit. “il trattamento è effettuato, nell'ambito delle sue legittime attività e con adeguate garanzie, da una
fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o
sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti
con la fondazione, l'associazione o l'organismo a motivo delle sue finalità e che i dati personali non siano comunicati all'esterno
senza il consenso dell'interessato;”) l’Ente ha ritenuto di effettuare la valutazione dell’impatto dei trattamento
previsti sulla protezione dei dati personali (DPIA), con contestuale mappatura dei trattamenti effettuati
dal Titolare, valutazione del rischio privacy, conduzione della DPIA per i soli trattamenti individuati
come potenzialmente rischiosi, definizione dei trattamenti individuati da notificare al garante della
Privacy, predisposizione del Registro dei rischi Privacy, nomina del Responsabile della Protezione dei
Dati (RPD/DPO).
L'articolo 35, comma 1, del GDPR prevede che il processo di DPIA sia obbligatorio quando un
trattamento di dati personali "presenti un rischio elevato per i diritti e le libertà delle persone fisiche". Sul
punto, al fine di assicurare un'interpretazione coerente delle circostanze in cui risulta obbligatorio lo
svolgimento di un DPIA, il cui riferimento di base resta il rispetto dei "diritti e libertà" degli interessati e
riguarda principalmente i diritti alla protezione dei dati e alla vita privata, ma include anche altri diritti
fondamentali quali la libertà di parola, la libertà di pensiero, la libertà di circolazione, il divieto di
discriminazione, il diritto alla libertà di coscienza e di religione.

Al fine della compilazione del presente documento l’Ente ha ritenuto di utilizzare come riferimento, per
quanto applicabili, le indicazioni del precedente D.lgs 196/2003, che all’art. 34 indicava le misure
minime di sicurezza come segue:
“Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate le
seguenti misure minime:
a) autenticazione informatica a mezzo password;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati
e addetti alla gestione o alla manutenzione degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non
consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei
sistemi;
g) tenuta di un aggiornato Documento di Valutazione di Impatto sulla protezione dei dati - DPIA;
h) adozione di tecniche di cifratura o di codici identificativi, se del caso, per determinati trattamenti di
dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.
La nostra Organizzazione Sindacale considera l’approvazione del Regolamento UE 2016/679 – GDPR
del 27 aprile 2016, un ulteriore passaggio della tutela e protezione dei diritti personali così come garantito

OR.S.A. Andrea Pelle
Titolare del
Trattamento

Data: 20.04.2020 File: D P I A 2019- REV n. 01/2020.doc

dall’art.8 della Carta dei Diritti Fondamentali dell’Unione Europea, una conquista civile di grande
importanza atta a garantire la tutela dei dati personali di ciascun individuo.
Il documento procede innanzitutto dalla Identificazione delle Risorse da proteggere, risorse che in
diverso modo operano o comunque svolgono un ruolo significativo nei processi di trattamento dei dati
personali. A questo proposito, tramite l’Analisi dei Rischi, sono state analizzate le minacce e le
vulnerabilità a cui tali risorse sono sottoposte, in modo da potere valutare gli elementi che possono
insidiare la protezione, l’integrità, la conservazione di ogni singolo dato personale trattato.
Valutati i rischi, si è redatto un Piano di Sicurezza, tramite il quale si è provveduto a definire l’insieme
delle misure fisiche, logiche ed organizzative adottate per tutelare le strutture e le risorse preposte al
trattamento dati e quindi ai dati stessi.
Inoltre è stato definito un Piano di Verifiche delle misure adottate tramite il quale si provvederà ad
accertare periodicamente la bontà delle misure individuate e ad apportare gli accorgimenti che si
riveleranno necessari e un conseguente Registro dei Trattamenti, anch’esso soggetto a periodiche
verifiche e aggiornamenti.
Parallelamente alla stesura del Piano di Verifiche è stato redatto un Piano di Informazione e
condivisione degli obiettivi tramite il quale si renderanno edotti gli incaricati del trattamento dei rischi e
dei modi per prevenire i danni.

OR.S.A. Andrea Pelle
Titolare del
Trattamento

Data: 20.04.2020 File: D P I A 2019- REV n. 01/2020.doc

4. Identificazione delle Risorse da Proteggere
Le risorse coinvolte nel trattamento dei dati personali sono state divise in alcune categorie:

• Luoghi Fisici. Sono stati analizzati tutti i luoghi ove fisicamente si svolge il trattamento dei dati
o si trovano i sistemi di elaborazione o i luoghi ove si conservano i dati.

• Risorse hardware. Sono state analizzate le apparecchiature elettroniche che sono coinvolte nelle
operazioni di trattamento. Tra queste particolare rilievo hanno: il server della rete locale di
OR.S.A. Ferrovie, ove sono conservati i dati in formato elettronico, ed terminali da cui vengono
eseguiti i programmi che elaborano i trattamenti.

• Risorse dati. Sono stati analizzati tutti gli archivi contenenti dati personali trattati dalla società
siano essi in formato elettronico che in formato cartaceo.

• Risorse software. Sono stati analizzati i software applicativi mediante i quali vengono effettuati i
trattamenti automatizzati.

OR.S.A. Andrea Pelle
Titolare del
Trattamento

Data: 20.04.2020 File: D P I A 2019- REV n. 01/2020.doc

4.1 Luoghi Fisici.
I luoghi fisici in cui avvengono i trattamenti sono i seguenti:

1. gli uffici della sede della Segreteria Generale, Via Magenta 13, II piano, 00185 Roma
2. n. 19 uffici delle Sedi Regionali (di cui 2 Sedi delle Province Regionali di Trento e Bolzano)
3. n. 45 uffici delle Sedi Provinciali
4. n. 8 uffici sedi delle Settori Nazionali, ubicati in Via Magenta 13, II piano, 00185 Roma, a

eccezione dell’ufficio di S.A.L.P.A.S – Sindacato Autonomo Lavoratori Partecipate Appalti e
Servizi ubicato in Via di Porta San Lorenzo, n. 8 in Roma, presso la Segreteria Regionale
OR.S.A. Ferrovie Lazio

La sede legale della Organizzazione è ubicata in via Magenta 13 - 00185 Roma, ove avviene il
trattamento diretto dei dati (raccolta, gestione, conservazione) mentre presso le sedi regionali e
provinciali avviene la raccolta diretta delle adesioni al Sindacato e solo presso alcune di esse la raccolta
delegata dei dati per le attività di CAF/ Patronato per conto di C.N.A. in ragione della Convezione
sottoscritta dalle parti in data 14.02.2018.
In linea generale la raccolta di dati e documenti personali ai fini CAF/ Patronato avviene presso le sedi
territoriali di OR.S.A. ove gli associati presentano pratiche fiscali e di patronato direttamente a personale
associato C.N.A., all’uopo incaricato dalla stessa Confederazione, che effettuano detti servizi a mezzo di
proprie procedure di trattamento dei dati, nel rispetto delle norme del Regolamento UE 2016/679. Detti
incaricati raccolgono, trattano e trasmettono dati e documenti a C.N.A., con programmi SW e modalità
direttamente predisposte dalla Confederazione, che assicura di effettuare il servizio nel rispetto del
Regolamento UE.
In questa fattispecie tali servizi CAF/ Patronato esulano dalla competenza di OR.S.A. Ferrovie e all’uopo,
si rinvia alle specifiche lettere di incarico, da parte di C.N.A, agli addetti e alle istruzioni e procedure
emesse dalla stessa Confederazione.
Come già rappresentato al cap. 1.3 la situazione di disagio generata dall’emergenza Covid 19, anche in
ragione dei provvedimenti adottati dall’Agenzia delle Entrate in merito agli adempimenti e scadenze
fiscali, ha indotto OR.S.A. Ferrovie ad accelerare una procedura, già approvata dalla Segreteria Generale,
per agevolare la presentazione, da parte dei propri associati, dei dati e documenti necessari alla
compilazione del modello 730 e degli adempimenti conseguenti, da parte di C.N.A..
Gli associati potranno inviare direttamente i propri dati e i documenti concernenti le dichiarazioni fiscali
anche telematicamente, quali allegati a e-mail inviate a indirizzi di posta elettronica che OR.S.A. Ferrovie
attiverà nello specifico, sotto la supervisione del RSI.
Gli indirizzi e-mail dedicate a questo servizio saranno attivati presso le sedi territoriali e le attività di
trattamento saranno effettuate a cura dei Segretari Regionali e Provinciali, o da incaricati da questi
delegati, a seguito di specifica comunicazione della Segreteria Nazionale, contenente idonee istruzioni e
precisi ambiti di mandato, di cui all’allegato n. 14 della presente revisione 01/2020 del DPIA.
I Segretari Regionali Provinciali riceveranno e, dunque, verranno necessariamente a conoscenza, dati
personali del ricorrente ai servizi di assistenza fiscale - oltre a quelli relativi all’adesione sindacale, già
considerati nel richiamato Regolamento UE, da tutelare per natura – e dovranno trasferire detti dati e
documenti all’incaricato, delegato da C.N.A., che opererà con proprie procedure e mezzi messi a
disposizione dall’Ente convenzionato, nel rispetto delle norme del Regolamento UE 2016/679 – GDPR,
in quanto il trattamento dati personali per tali servizi CAF/ Patronato esulano dalla competenza di
Or.S.A. Ferrovie e all’uopo, si rinvia alle specifiche lettere di incarico da parte di C.N.A.

OR.S.A. Andrea Pelle
Titolare del
Trattamento

Data: 20.04.2020 File: D P I A 2019- REV n. 01/2020.doc

Le istruzioni ai Segretari Regionali e Provinciali richiedono di prestare massima attenzione alla
protezione degli armadi, del locale, del personal computer e della casella di posta elettronica ove sono
realizzate le attività di raccolta e trasmissione dei dati personali ai fini CAF/ Patronato, vigilando
sull'accesso delle persone autorizzate, nel rispetto delle misure di sicurezza di tipo fisico, logico e
organizzativo indicate da OR.S.A. Ferrovie nel presente DPIA, prevenendo ogni
comunicazione/diffusione oltre quelle destinate alla C.N.A. e limitando ogni tipologia di trattamento dati
alle necessità per l'adempimento dei compiti da assolvere.
Le citate istruzioni contemplano, inoltre, l’obbligo di informare, senza ingiustificato ritardo e comunque
non oltre le 72 ore dal momento in cui se ne è avuta conoscenza (art. 33 del GDPR), le eventuali
violazioni dei dati personali (data breach) onde possano esser messe in atto nuove misure di sicurezza atte
a circoscrivere gli effetti negativi dell’evento e a ripristinare la situazione precedente e la previsione di
avvalersi della assistenza e supervisione delle problematiche di natura informatica del Responsabile
Servizi Informatici di OR.S.A. Ferrovie, al quale dovranno essere comunicate, affinché ne conservi copia
protetta, le credenziali informatiche personali di accesso a strumenti elettronici in cui si conservano i dati
di adesione.
Il trattamento dei dati particolari da parte dei Settori Nazionali, per la parte di loro competenza avviene,
invece, presso la sede di Via Magenta 13, in Roma, secondo le misure di protezione, integrità e
conservazione di ogni singolo dato personale trattato adottate da OR.S.A. Ferrovie, così come descritte
nel presente DPIA. Quanto in precedenza vale anche per il trattamento dati effettuato presso la sede di
S.A.L.P.A.S – Sindacato Autonomo Lavoratori Partecipate Appalti e Servizi in Via di Porta San Lorenzo,
n. 8, in Roma, in quanto sede della Segreteria Regionale OR.S.A. Ferrovie Lazio.
Tutte le notizie relative alle sedi regionali e provinciali, incluso l’elenco dei responsabili, e le attività
svolte sono reperibili sul sito dell’Organizzazione.
Per quanto attiene ai dati personali dei soggetti interessati trattati presso i datori di lavoro ovvero le
società consulenti, in relazione agli incarichi conferiti, si rimanda alle specifiche misure adottate dai
predetti enti interessati, in particolari per le informazioni relative alle trattenute effettuate sulle buste paga
dagli impianti e/o dalle aziende per l’adesione sindacale.
Per il dettaglio delle schede di rilevazione dei luoghi fisici in cui avvengono i trattamenti si rinvia al
DPIA integrale agli atti dell’Organizzazione.

4.2 Risorse Hardware.
Per il dettaglio delle risorse hardware utilizzate per i trattamenti, incluse le schede delle risorse si rinvia al
DPIA integrale conservato agli atti dell’Organizzazione.

4.3 Risorse dati.
Per il dettaglio degli archivi e le banche dati contenenti i dati personali trattati si rinvia al DPIA integrale
agli atti dell’Organizzazione.

4.4 Risorse Software
Per il dettaglio delle risorse SW utilizzate per i trattamenti, incluse le schede delle risorse, si rinvia al
DPIA integrale agli atti dell’Organizzazione.

OR.S.A. Andrea Pelle
Titolare del
Trattamento

Data: 20.04.2020 File: D P I A 2019- REV n. 01/2020.doc

5.1 ANALISI DEI RISCHI SUI LUOGHI FISICI
Per il dettaglio dell’analisi dei rischi sui luoghi fisici, si rinvia al DPIA integrale conservato agli atti
dell’Organizzazione.

5.2 ANALISI DEI RISCHI SULLE RISORSE HARDWARE
Per il dettaglio dell’analisi dei rischi sulle risorse HW, si rinvia al DPIA integrale conservato agli atti
dell’Organizzazione.

5.3 ANALISI DEI RISCHI SULLE RISORSE DATI
Per il dettaglio dell’analisi dei rischi sulle risorse dati, si rinvia al DPIA integrale conservato agli atti
dell’Organizzazione.

5.4 ANALISI DEI RISCHI SULLE RISORSE SOFTWARE
Per il dettaglio dell’analisi dei rischi sulle risorse SW, si rinvia al DPIA integrale conservato agli atti
dell’Organizzazione.

OR.S.A. Andrea Pelle
Titolare del
Trattamento

Data: 20.04.2020 File: D P I A 2019- REV n. 01/2020.doc

6. Definizione ed attuazione della Politica di Sicurezza
Al fine di assicurare l’integrità dei dati trattati ed impedirne la comunicazione e/o diffusione non
autorizzata, la nostra Organizzazione ha elaborato una precisa Politica di Sicurezza basata sull’adozione
di misure di tipo fisico, logico ed organizzativo. Tali misure avranno il compito di garantire sia i minimi
requisiti di sicurezza contemplati dal Regolamento UE 2016/679 sia un livello idoneo di sicurezza
relativamente alle tipologie dei nostri dati trattati, alle modalità di trattamento ed agli strumenti utilizzati.

6.1 MISURE DI SICUREZZA DI TIPO FISICO ADOTTATE

Per il dettaglio delle misure di sicurezza di tipo fisico adottate, si rinvia al DPIA integrale agli atti
dell’Organizzazione.

6.2 MISURE DI SICUREZZA DI TIPO LOGICO ADOTTATE
Per il dettaglio delle misure di sicurezza di tipo fisico adottate, si rinvia al DPIA integrale agli atti
dell’Organizzazione.

6.3 MISURE DI SICUREZZA DI TIPO ORGANIZZATIVO ADOTTATE

Per il dettaglio delle misure di sicurezza di tipo organizzativo adottate, si rinvia al DPIA integrale agli atti
dell’Organizzazione.

OR.S.A. Andrea Pelle
Titolare del
Trattamento

Data: 20.04.2020 File: D P I A 2019- REV n. 01/2020.doc

7. Piano di verifica delle Misure Adottate e Registro dei
trattamenti
La bontà delle misure adottate deve essere periodicamente verificata.
Durante queste operazioni di verifica, da effettuarsi al più ogni sei mesi, sarà data particolare importanza
a:

• Verificare la bontà delle misure di anti-intrusione adottate.
• Corretto utilizzo delle parole chiave e dei profili di accesso degli incaricati. Prevedere la

disattivazione dei codici di accesso non utilizzati per più di sei mesi.
• Aggiornamento dei dispositivi antivirus
• Aggiornamento dei programmi software che trattano i dati personali.
• Integrità dei dati e delle loro copie di backup.
• Bontà di conservazione dei documenti cartacei
• Accertamento della distruzione dei supporti magnetici che non possono più essere riutilizzati
• Accertamento del livello di formazione degli incaricati. Prevedere sessioni di aggiornamento

anche in relazione all’evoluzione tecnica e tecnologica avvenuta in azienda.
Di queste verifiche sarà redatto un verbale che verrà allegato al documento programmatico sulla
sicurezza.
Il Registro Attività dei Trattamenti ex art. 30, comma 1 della GDPR è conservato agli atti
dell’Organizzazione.
Si annota che in data 20 aprile 2020 è stata adottata la revisione 01/2020, adeguando contestualmente il
Registro dei Trattamenti, in ragione della necessità di aggiornare il DPIA alle scelte assunte da OR.S.A.
Ferrovie in relazione alla variazione di trattamento dei dati personali a causa dell’emergenza Covid 19.

OR.S.A. Andrea Pelle
Titolare del
Trattamento

Data: 20.04.2020 File: D P I A 2019- REV n. 01/2020.doc

8. Piano di Informazione e condivisione degli obiettivi
Il DPIA è lo strumento essenziale per l’applicazione all’interno dell’Ente del nuovo approccio alla
protezione dei dati personali, Regolamento UE 2016/679 – GDPR, voluto in sede comunitario, e
fortemente incentrato sul principio della responsabilizzazione e condivisione dei principi e delle
procedure di protezione dei dati personali (cd. accountability principle). In ragione di ciò saranno
portate a conoscenza di tutti gli incaricati, sia a livello centrale che sul territorio, le informazioni e i nuovi
principi che regolano le politiche di accountability approvate da OR.S.A. Ferrovie e contestualmente gli
incaricati saranno edotti sui “rischi individuati e sui modi per prevenire i danni”
Idonea informativa che ha considerato i seguenti punti, è stata trasmessa agli incaricati insieme con la
lettera di incarico:

• Una analisi e aggiornata delle vigenti disposizioni di legge, con riferimenti anche alle normative
europee

• Disposizioni legislative in tema di tutela dei dati e criminalità informatica
• Analisi delle norme in materia di protezione dei dati personali con particolare riferimento al

Regolamento UE 2016/679 – GDPR
• Analisi e spiegazione dei ruoli: titolare, responsabile, incaricato, amministratore di sistema,

custode delle password, interessato
• Panoramica sugli adempimenti ex Regolamento UE 2016/679 – GDPR: notificazione, rapporti

con gli interessati, rapporti con il Garante.
• L’Ufficio del Garante.
• Misure minime ed appropriate di sicurezza con particolare riferimento a: criteri logici, fisici ed

organizzativi per la protezione dei sistemi informativi, prevenzione e contenimento del danno,
strumenti di protezione hardware e software (in particolare antivirus e misure antihacker),
contenitori di sicurezza, sistemi anti-intrusione, importanza e modalità di realizzazione delle
operazioni di backup, etc.

Detta informativa è stata illustrata ai Segretari Regionali e Provinciali e ai Segretari dei Settori
Nazionali nel corso iniziative di responsabilizzazione e condivisione dei principi e delle procedure
di protezione dei dati personali all’uopo organizzate dalla Segreteria Nazionale, unitamente alle
rispettive comunicazioni relative al rispetto, nell’ambito delle funzioni, compiti e mansioni
attribuiti da Statuto, della normativa vigente e dei regolamenti interni in materia di tutela dei dati
personali.
Coerentemente con l’evoluzione degli strumenti tecnici adottati da OR.S.A. Ferrovie e/o dall’insorgere di
nuove disposizioni legislative in materia, si provvederà ad aggiornare detta informativa, curando di
sensibilizzare gli incaricati sull’importanza di più idoneamente conformarsi alle norme di sicurezza
predisposte e per recepire eventuali suggerimenti in materia derivanti dalla constatazione della presenza
di minacce o vulnerabilità riscontrate.