Contratto di nomina a responsabile del trattamento dei dati personali v. 2021/22 ai sensi dell'art. 28, Regolamento (UE) 2016/679 Premesso che: con sede in JESOLO (VE ) cogmec| V| E|!|C|8|1|5|0| 0] D [omissis] San Dona di Piave | 16/10/1974 rappresentato da nato/a a ce|P|R|A[{S|M|N/7]4/|R|5|6]|H[{8]|2|{3/C!| Emai (personale del Legale rappresentante) Indirizzo e-mail del Legale rappresentante (di seguito “Titolare” o l"Ente”), affida al Fornitore lo svolgimento dei Servizi; per adempiere le obbligazioni indicate nel Contratto, il Fornitore verrà a conoscenza e tratterà Dati Personali, come di seguito definiti, il cui Titolare è l'Ente sopra citato (a); il GDPR, all'art. 28, stabilisce che i “trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto”; al contempo, ai sensi del GDPR, qualora “un trattamento debba essere effettuato per conto del titolare del trattamento, quest'ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell'interessato”; alla luce di quanto sopra, Titolare intende nominare il Fornitore quale Responsabile del trattamento dei Dati Personali ai sensi dell'art. 28 GDPR. Tutto ciò premesso, si conviene e si stipula quanto segue 1. Definizioni 1.1 Nel Contratto di Nomina, i seguenti termini avranno il significato stabilito nel presente art. 1.1: 1.1.1 Autorità Giudiziaria: autorità giurisdizionale competente; 1.1.2 Codicecivile: oppure c.c., Regio Decreto 16 marzo 1942, n. 262; 1.1.3. Contratto di Nomina: il presente documento, con il quale Titolare nomina il Fornitore responsabile del trattamento ai sensi dell'art. 28 GDPR per lo svolgimento dei Trattamenti necessari all'adempimento dei Servizi oggetto del Contratto; 1.14 Contratto: il contratto sottoscritto dal Titolare e dal Fornitore e indicato nella Premessa a) del presente Contratto di Nomina; 1.1.5. Datadi Cessazione: data di cessazione, per qualsivoglia motivo, degli effetti del presente Contratto di Nomina; 1.1.6 Dati Personali: ai sensi dell'art. 4 del GDPR, i dati personali sono “qualsiasi informazione riguardante una persona fisica identificata o identificabile; si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”. Nel dettaglio, | Dati Personali trattati dal Fornitore nonché le finalità dei Trattamenti al fine di svolgere i Servizi sono indicati all'interno del Registro dei trattamenti del Titolare, riportato nell'Allegato A; 0015470342; 1.1.8. GarantePrivacy: l'autorità che rappresenta l'attuazione, a livello nazionale, di quanto previsto dall'art. 51 del GDPR, deputata alla sorveglianza dell'applicazione del Regolamento al fine di tutelare i diritti e le libertà fondamentali delle persone fisiche coinvolte nel trattamento di dati personali, nonché di agevolare la libera circolazione dei dati personali all'interno dell'Unione. 1.1.9 GDPR: il Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati; 1.1.10 Codice Privacy: il D.Lgs. 196/2003 e s.m.i. (Come da ultimo modificato dal D.Lgs. 101/2018); 1.1,11. Interessati: le categorie di persone fisiche indicate nell'Allegato A a cui si riferiscono i Dati Personali oggetto del Trattamento cui il Fornitore avrà accesso al fine di svolgere i Servizi; 1.1,12 Istruzioni: le istruzioni dettagliate, che il Titolare fornisce al Fornitore per il Trattamento, come riportato nell'Allegato A e nell'Allegato D; 1.1.13 Modifiche: |e modifiche convenute per iscritto tra il Titolare ed il Fornitore per adeguare il contenuto del Contratto di Nomina a eventuali novità della Normativa Privacy che incidono sugli obblighi del Titolare o del Fornitore; 1.1.14 Normativa Privacy: le disposizioni applicabili in materia di protezione dei dati personali previste dal GDPR e da ogni altra previsione normativa in vigore e/o che dovesse essere successivamente emanata, nonché i provvedimenti emanati dal Garante Privacy, dall’Article 29 Working Party e dal Comitato europeo per la protezione dei dati; Contratto di nomina a responsabile del trattamento dei dati personali ai sensi dell'art. 28, Regolamento (UE) 2016/679 Pag.1 di 6 1.1.15 Personale: il personale del Fornitore, ivi inclusi dipendenti, agenti, consulenti, stagisti e collaboratori, coinvolti in relazione allo svolgimento dei Servizi; 1.1.16 Prowedimento: il provvedimento del 27 novembre 2008, comprensivo di successive modifiche, con il quale il Garante Privacy ha dettato misure ed accorgimenti per i titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema. In particolare, ai sensi del paragrafo d., del Provvedimento “ne/ caso di servizi di amministrazione di sistema affidati in outsourcing, il titolare o il responsabile esterno devono conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema". 1.1.17 Registro dei trattamenti: il [omissis] ività di trattamento tenuto dal Fornitore in ossequio a quanto prescritto dal paragrafo 2 dell'art. 30 del GDPR; 1.1.18 Servizi: le prestazioni che il Fornitore deve svolgere in favore del Titolare ai sensi del Contratto, ivi inclusi gli applicativi informatici attraverso i quali tali prestazioni vengono erogate, e indicate nella relativa sezione del Registro dei trattamenti del titolare riportato nell'Allegato A; 1.1.19 Sub-responsabile: soggetti terzi di cui il Fornitore si avvale per l'esecuzione dei Trattamenti dei Dati Personali funzionali all'erogazione dei Servizi oggetto del Contratto, previa autorizzazione del Titolare; 1.1.20 Titolare: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e j mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri; 1.1.21 Trattamenti: | trattamenti di Dati personali che il Fornitore pone in essere, come indicati all'interno del Registro dei trattamenti del Titolare, riportato nell'Allegato A, attenendosi alle eventuali Istruzioni fornite, al fine di eseguire i Servizi oggetto del Contratto. 1.1.22 Violazione dei Dati Personali: ogni violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai Dati Personali. 1.2 Qualora nella lettura ed interpretazione del presente Contratto di Nomina dovessero sorgere dubbi sul significato da attribuire ai termini e alle espressioni utilizzati, dovrà farsi riferimento, ove possibile, al significato attribuito dal GDPR o, in subordine, all’interpretazione più idonea a garantire il rispetto dei principi del GDPR. 2. Oggetto 2.1 Con il presente [omissis] Titolare nomina il Fornitore responsabile del trattamento ai sensi dell'art. 28 GDPR, con specifico riferimento ai Trattamenti dei Dati Personali connessi all'esecuzione dei Servizi. 2.2 | Fornitore accetta la nomina e si impegna a: trattare i Dati Personali esclusivamente al fine di svolgere i Servizi regolati dall'Accordo di erogazione sottoscritto con il Titolare in data 13/01/2022 e secondo le eventuali Istruzioni fornite, salvo che indisponibilità tecniche e/o economiche o che il diritto dell'Unione e/o nazionale impongano al Fornitore di non aderire alle Istruzioni; in tal caso, quest'ultimo informerà il Titolare circa tale obbligo giuridico prima del trattamento, a meno che il diritto dell'Unione e/o nazionale vieti tale informazione per rilevanti motivi di interesse pubblico; informare il Titolare, qualora, ad awiso dello stesso, le Istruzioni violino il GDPR o altre disposizioni, nazionali o dell'Unione, relative alla protezione dei dati personali. 2.3 Per tutta la durate del [omissis] Titolare determinerà le finalità e le modalità da osservare per l'esecuzione dei Trattamenti dei Dati Personali. 2.4 | Titolare dichiara e garantisce che: i Dati Personali conferiti al Responsabile sono esatti e aggiornati e che sussistono tutti i necessari presupposti di legge affinché questi vengano trasmessi al Fornitore per l'esecuzione dei Trattamenti funzionali all'erogazione dei Servizi; i Trattamenti effettuati dal Fornitore per lo svolgimento dei Servizi sono tutti fondati sulle condizioni di liceità del trattamento di cui agli artt. 6 e 9 del GDPR e, in generale, rispettano le condizioni previste dalla Normativa Privacy. In particolare, ove il Trattamento si basi sul consenso dell'Interessato, il Titolare ha acquisito tempestivamente tale consenso e ne conserva prova documentale. Con particolare riferimento ai Trattamenti dei Dati Personali relativi ai minori di età inferiore ai quattordici (14) anni, ove richiesto dalla [omissis] Titolare garantisce di aver acquisito il consenso delle persone esercenti la responsabilità genitoriale ai sensi dell'art. 2-quingquies del Codice Privacy e dell'art. 8 del GDPR e di conservarne prova documentale; comunicherà tempestivamente al Responsabile ogni eventuale modifica e rettifica dei Dati Personali, ogni modifica o cessazione delle condizioni di liceità del trattamento di cui agli artt. 6 e 9 del GDPR, ivi inclusa la revoca del consenso dell'Interessato, nonché qualsiasi richiesta da parte di un Interessato riguardante la cancellazione e/o la rettifica dei Dati Personali o la limitazione o opposizione al trattamento. Contratto di nomina a responsabile del trattamento dei dati personali ai sensi dell'art. 28, Regolamento (UE) 2016/679 Pag. 2 di 6 3. Personale del Fornitore e Riservatezza 3.1 Il Fornitore dichiara e garantisce che, nell'ambito della propria organizzazione, i Dati Personali sono trattati soltanto dal Personale. 3.2 Il Fornitore si impegna a nominare i soggetti di cui al precedente art. 3.1 “Autorizzati al Trattamento”. Attraverso tali nomine, il Responsabile garantisce l'impegno alla riservatezza assunto dal Personale con riferimento al Trattamento dei Dati Personali e fornisce al Personale apposite istruzioni sul Trattamento dei Dati Personali, assicurando che i Dati Personali siano trattati nel rispetto della Normativa Privacy e del presente Contratto di Nomina. 3.3 Nell'ipotesi in cui il Contratto abbia ad oggetto lo svolgimento da parte del Fornitore anche dei servizi di amministrazione di sistema, il Fornitore si impegna ad ottemperare a tutti gli obblighi previsti nel Prowedimento e, in particolare, a: 3.3.1 designare quali amministratori di sistema il/i soggetto/i che, tenuto conto della sua/loro esperienza professionale, in particolare con riferimento alle capacità ed affidabilità dimostrate nello svolgimento delle proprie mansioni, è/sono in possesso dei requisiti richiesti dal Provvedimento per assolvere la funzione di amministratore di sistema e garantire il pieno rispetto delle vigenti disposizioni in materia di trattamento dei dati personali (ivi compreso il profilo relativo alla sicurezza); 3.3.2 fornire al Titolare gli estremi identificativi degli amministratori di sistema designati, al fine di permettere al Titolare stesso di adempiere, a sua volta, alle prescrizioni dettate dal Prowedimento, provvedendo, altresì, ad aggiornare tale elenco ogniqualvolta necessario; 3.3.3 svolgere tutti i controlli sull'operato degli amministratori di sistema designati, nonché sugli accessi logici ai sistemi di elaborazione ed agli archivi elettronici effettuati dagli stessi amministratori di sistema, in conformità alle previsioni del Provvedimento. 4. Sub-responsabili 4.1 Il Titolare autorizza sin da ora ed in via generale il Fornitore ad avvalersi di soggetti terzi per lo svolgimento dei Servizi e, quindi, a subdelegare a soggetti terzi porzioni di trattamento dei Dati Personali, nel rispetto delle disposizioni previste nel presente art. In particolare, il Titolare autorizza sin d'ora il Fornitore a designare quali Sub-responsabili i soggetti terzi individuati nell'Allegato B. 4.2 | Fornitore si impegna a comunicare al Titolare, nelle forme e con le modalità di cui al successivo art. 4.3, il nominativo degli eventuali ulteriori soggetti terzi nominati Sub-responsabili che presentino garanzie idonee a rispettare i requisiti del GDPR, del Contratto di Nomina e a garantire la tutela dei diritti degli Interessati. 4.3 Con cadenza annuale il Fornitore si impegna ad inviare al Titolare l'elenco aggiornato dei soggetti terzi nominati Sub- responsabili. 4.4 | Fornitore prende atto e riconosce di essere responsabile anche relativamente ai Trattamenti dei Dati Personali posti in essere dal Sub-responsabile, salvo quanto previsto dall'art. 82, comma 3 del GDPR. 4.5 Il contratto di nomina del Sub-responsabile a responsabile del Fornitore non potrà indicare la possibilità del Sub-responsabile di avvalersi, senza la previa autorizzazione del Titolare, di un ulteriore sub-responsabile per lo svolgimento dei Servizi. 4.6 Il Fornitore si impegna a nominare il Sub-responsabile del trattamento nel rispetto di quanto previsto dell'art. 28 GDPR, vincolandolo, mediante un contratto, agli stessi obblighi imposti dal Titolare al Fornitore in forza del presente Contratto di Nomina. 5. Sicurezza dei Dati Personali 5.1 Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento dei Dati Personali, come anche del rischio per i diritti e le libertà delle persone fisiche, il Titolare ed il Fornitore si impegnano a mettere in atto ed a mantenere per tutta la durata del presente Contratto di Nomina misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, ai sensi della Normativa Privacy. Il Fornitore, in particolare, con il presente Contratto di Nomina conviene con il Titolare che adotterà le misure di sicurezza indicate nell'Allegato D al presente Contratto di Nomina, che il Titolare ha già valutato ai fini del conferimento della designazione del Fornitore quali misure di sicurezza idonee ed adeguate ai fini della protezione dei Dati Personali. 5.2 Il Titolare è consapevole che gli applicativi informatici predisposti dal Responsabile, e attraverso i quali vengono erogati i Servizi, richiedono la definizione di una serie di misure di sicurezza, individuate nell'Allegato D, la cui specifica determinazione è rimessa Ente: 11 CAP 3|O{O|T|O [Località JESOLO Indirizzo pec. ‘e!081500d@pec.istruzione.it _ Indirizzo EMAIL: ViC81500d@istruzione.it All'attenzione di [omissis] [omissis] Responsabile: Gruppo Spaggiari Parma S.p.A. Via Ferdinando Bernini n. 22/A, CAP 43126, Parma (PR) Indirizzo PEC: contratti.spaggiari@legalmail.it All'attenzione della “Funzione Compliance" - [omissis] 17.2 Le Parti si impegnano reciprocamente a comunicare eventuali modifiche occorse ai dati di cui sopra. 18. Legge applicabile e foro competente 18.1 Il presente Contratto di Nomina è regolato dalla legge italiana. 18.2 Per ogni e qualsiasi controversia le parti si incontreranno entro 15 (quindici) giorni dalla contestazione formale per definirla consensualmente. Trascorso tale termine invano, per tutte le controversie, le parti eleggono quale unico foro territorialmente competente il foro di Parma, intendendo derogare espressamente alla competenza di qualsiasi eventuale foro alternativo concorrente Per il Titolare Jesolo — 13/01/2022 Timbro e firma del legale rappresentante [omissis] Responsabile Esterno Parma, (data di validità della firma digitale apposta) Gruppo Spaggiari Parma S.p.A. (firmato digitalmente) ALLEGATI =» = ALLEGATOA- Scheda del Registro dei Trattamenti relative ai Trattamenti effettuati dal Fornitore nello svolgimento dei Servizi. =» = ALLEGATOB- Flenco dei Sub-responsabili autorizzati dal Titolare. =» ALLEGATO C- Flenco delle misure di sicurezza tecniche e organizzative che il Fornitore deve adottare ai sensi dell'art. 5.1 del presente Contratto di Nomina. = = ALLEGATOD- Elenco delle misure di sicurezza tecniche e organizzative relative agli applicativi, rimesse alla valutazione ed alle scelte di merito del Titolare ai sensi dell'art. 5.2 del presente Contratto di Nomina. Gli Allegati indicati sono disponibili online al seguente indirizzo: http://Amww.spaggiari.eu/privacv/privacy.html Contratto di nomina a responsabile del trattamento dei dati personali ai sensi dell'art. 28, Regolamento (UE) 2016/679 Pag. 6 di 6 Destinatari dei dati in qualità di titolari autonomi (es. Banca d'Italia, Amministrazione Finanaziaria, UIF) o di Condizione di liceità del trattamento Categorie di dati personali altro responsabile esterno designato dal Titolare (ove la Società tratto il dato come Responsabile) i on Categorie di l | (art. 6) un Descrizione del Trattamento Categorie di . 5 . Termine ultimo per la Finalità del Trattamento Li . . interessati ; UE Extra UE Tratt. (Sub. Trattamento ove applicabile) interessati . . cancellazione del dato UOC Finanziari / . . ur Sensibili Giudiziari ua Li Finalità della Esecuzione Obbligo di Legittimo Comuni Patrimoniali Nome Finalità della comunicazione Nome o; Consenso . (art. 9) (art. 10) comunicazione contratto legge interesse (cons. (75)) Trattamenti dei dati ai fini dell'erogazione di servizi di consulenza, informazione e Cancellazione alla fine del formazione al Dirigente scolastico e al personale delle Istituzioni scolastiche (e- studenti, docenti decimo anno dal Erogazione dei servizi learning piattaforma "School Academy" "PrivacyForSchool" e "SafetyForSchool" diricenti «colastici perfezionamento del corso 3 connessi al progetto disponibile anche su piattaforma S.O.F.I.A.)), inclusi: ian scolastico Si X (sia esso in presenza o MIUR Rendicontazione esito corso n/a n/a X X "School Academy" - monitoraggio presenze; P terzi ' remoto) e/o dalla - somministrazione esame finale; generazione del dato sulle - rilascio certificazione. soluzioni software Archiviazione e conservazione dei dati (rapporto a carico dall'Ente/Istituto Trattamenti dei dati personali connessi alla gestione esternalizzata del registro scolastico ) elettronico ("ClasseViva" e "RES"), della gestione anagrafiche storiche/attuali (modulo “Alunni 2.0"), della didattica e formazione a distanza c.d. "DaD" (modulo "Aule Namirial S.p.A. Polo Archivistico della Regione Emilia Servizi esternalizzati dagli Virtuali"), della gestione delle presenze (modulo "TuttinClasse" e “ODI Orario Studenti, docenti Romagna (PARER) Enti/Istituti scolastici tramite dinamico Integrato"), gestione degli scrutini (moduli "Scrutinio 10 e Lode" e enitori tutori diri enti X Cancellazione alla fine del PARER (rapporto a carico dall'Ente/Istituto 5 applicativi web Cloud SaaS: "Scrutinio on-line"), gestione dei verbali digitali (modulo "Verdi 2.0"), scelta dei libri di $scolastici corea Si X X X (Enti/Scuole decimo anno dalla scolastico ) n/a n/a XxX "ClasseViva" e testo (modulo "Libri di Testo"), gestione delle modalità di pagamento tasse e enna carcerarie) generazione del dato Enti Pubblici (Regione) "Oggi a Scuola" contributi scolastici (modulo "PagoOnLine"), gestione delle votazioni scolastiche Collegamento degli Enti pubblici (modulo "Quorum"), della modalità gestione dei ruoli profilati per l'operatività su ID.Technology S.r.l. (Regione/Provincia) per estrazione dati "ClasseViva", produzione e stampa di diari personalizzati degli studenti ("Oggi a Scuola"). Collegamento per la gestione delle votazioni scolastiche fove il software è stato acquistato dal Cliente) . . _. x Trattamenti connessi al servizio di Assistenza Tecnica (c.d. "Social Customer Care") . . Erogazione dei servizi di . a 7 Studenti, docenti, ° . sulle piattaforme web Cloud SaaS offerte da Spaggiari da cui: o. ee . . . Assistenza Tecnica (c.d. ) . . o n . genitori, tutori, dirigenti Cancellazione alla fine del veli w * SUpporto alla gestione degli accessi/profilazione delle utenze abilitate all'accesso c. . ul. 13 Social Customer Care") 7 scolastici, personale Si X X X X terzo anno dall'evasione n/a n/a n/a n/a X co . delle piattaforme; . co c o. relativi alle piattaforme web 7 . . . o. . c . scolastico , referenti di della richiesta di assistenza - risoluzione di problematiche segnalate dagli utenti (privati ed Enti pubblici) tramite nn . Cloud Saas . . . . . li persone giuridiche, terzi Chat e/o messaggio vocale lasciato sulla segreteria telefonica dedicata all'assistenza. La . . In pendenza di rapporto, Trattamenti dei dati personali connessi a: . ) . ci . . MIRATE e cancellazione alla fine del . uu. — lagestione ed archiviazione esternalizzata sui server Spaggiari dei documenti di . Servizi esternalizzati di ” . 7 a c 0. . . decimo anno dalla 7 . svariata natura e contenuto (i.e. documenti amministrativi, comunicazioni, Studenti, docenti, . N idr c. gestione documentale dagli. e ci O . . . . di CL . generazione del dato Fornitori servizi di firma digitale e . ie c CL c) informazioni e giustificativi contenenti informazioni relative a dati particolari ex genitori, tutori, dirigenti . . . Erogazione servizi di firma digitale e 14 Enti/Istituti scolastici tramite un . . c À Si X X X X di conservazione digitale . c n/a n/a X X . o. sensibili - e.g. stato di salute, convizione religiose, appartenenza sindacale etc.); scolastici, personale . . conservazione digitale l'applicativo web Cloud Saas: . SI 7 Cancellazione al termine (Namirial S.p.A; PARER) " ia - gestione delle comunicazioni con la P.A;; scolastico SegreteriaDigitale . i . . . . del rapporto contrattuale, - gestione delle pubblicazioni obbligatorie connesse alla gestione in trasparenza previa riconsegna dei dati revista da legge (e.g. appalti etc.) mediante la piattaforma "Segreteria Digitale". . 7 P 88€ (eg. app P 5 6 all'Ente/Istituto scolastico . Trattamenti dei dati personali connessi alla gestione dei progetti di alternanza In pendenza di rapporto, scuola/lavoro tramite l'applicativo web Cloud SaaS "Scuola&Territorio" quali: cancellazione alla fine del L Co . - gestione e conservazione delle comunicazioni tra referenti scolastici e referenti Studenti, docenti, decimo anno dalla Comunicazioni inerenti al progetto di Servizi esternalizzati dagli . . Rage ci. . . . . . o 0. aziendali; genitori, tutori, dirigenti generazione del dato Aziende in convenzione alternanza Enti/Istituti scolastici tramite . . . £ . . . applicativo web Cloud S3aS © gestione e conservazione della documentazione dello specifico progetto di scolastici, personale Si X X n/a n/a X po n alternanza; scolastico , referenti di Cancellazione al termine MIUR Comunicazioni obbligatorie relative al Scuola&Territorio . Vi , ol: . - tenuta e conservazione del "diario di bordo" redatto dallo studente; persone giuridiche, terzi del rapporto contrattuale, progetto - abilitazione dei ruoli (studente, tutor aziendale, tutor scolastico , dirigente scolastico , previa riconsegna dei dati docente, administrator designato dalla scuola). all'istituto scolastico . La . . In pendenza di rapporto, Trattamenti dei dati personali connessi a: . . . ci. . . MIRATE e cancellazione alla fine del - la gestione ed archiviazione esternalizzata sui server Spaggiari dei documenti di decimo anno dalla Servizi esternalizzati dagli svariata natura e contenuto (i.e. documenti amministrativi, comunicazioni prive di dati Studenti, docenti, generazione del dato Enti/Istituti scolastici tramite particolari ex sensibili); dirigenti scolastici, . O $ Si x n/a n/a n/a n/a X l'applicativo web Cloud SaaS: - gestione delle comunicazioni con la PA.; personale scolastico , Cancellazione al termine "PrimaVisioneWeb" - elenco del personale scolastico ed iscritto all'Ente; terzi del rapporto contrattuale, - gestione delle pubblicazioni obbligatorie connesse alla gestione in trasparenza previa riconsegna dei dati prevista da legge (e.g. appalti etc.). all'istituto scolastico . ALLEGATO A GRUPPOSPAGGIARI PARMA Scheda del Registro dei Trattamenti Un futuro ricco di esperienza na Trattamento dati Aggiornato il 11/11/2021 ALLEGATO B Elenco dei Sub-responsabili autorizzati dal Titolare: a) Stardata S.r.l. - Relativamente all'erogazione tecnica dei servizi informatici e manutenzione dell’infrastruttura IT Sede Legale/Luogo del Trattamento: Largo B. Bucciarelli Ducci, 1/A - 43123 Parma (PR) b) Google LLC - Relativamente all'erogazione tecnica del servizio di posta elettronica Sede Legale/Luogo del Trattamento: 1600 Amphitheatre Parkway, Mountain View, CA - 94043 Stati Uniti. o) MailUp - Relativamente all'erogazione dei servizi di posta elettronica delle piattaforme Cloud fruite dalla clientela d) Akamai Technologies S.r.l. - Relativamente all'erogazione dei servizi di Content Delivery Network “CDN” Sede Legale/Luogo del Trattamento: Via Uberto Visconti di Modrone 11 - 20122 Milano (MI) Strutture territoriali - Relativamente all'erogazione dei servizi di installazione, intervento tecnico e assistenza delle proprie aree di competenza x Studio di Informatica e Telematica di B. Mina - Installazione, intervento tecnico, formazione e assistenza Sede Legale/Luogo del Trattamento: Via Martinetto, 22 - 12030 Cavallermaggione (CN) Informatics Line S.n.c. - Installazione, intervento tecnico, formazione e assistenza Sede Legale/Luogo del Trattamento: Via Gorizia, 42 - 57029 Livorno (LI) L'Ufficio 2000 di A. Spinelli & C. S.n.c. - Installazione, intervento tecnico, formazione e assistenza Sede Legale/Luogo del Trattamento: Via S. Francesco, 23 - 03023 Ceccano (FR) Infotek S.a.s. di D. Perrotta - Installazione, intervento tecnico, formazione e assistenza Sede Legale/Luogo del Trattamento: Via Pompeo Trogo, 43 - 00136 Roma (Roma) Set Soluzioni S.r.l. - Installazione, intervento tecnico, formazione e assistenza RR Sede Legale/Luogo del Trattamento: Via Ludovico di Breme, 8 - 00137 Roma (RM) Innovativa Servizi Informatici S.r.l. - Installazione, intervento tecnico, formazione e assistenza Sede Legale/Luogo del Trattamento: Via E. Fermi, 24 - 70029 Santeremo in Colle (BA) Information Technology Service S.r.l. - Installazione, intervento tecnico, formazione e assistenza Sede Legale/Luogo del Trattamento: Via Antiniana, 115 - 80078 Pozzuoli (NA) LF Technology S.r.l. - Installazione, intervento tecnico, formazione e assistenza Sede Legale/Luogo del Trattamento: Via Il Circonvallazione, 47A - 89029 Taurianova (RC) Sede Legale/Luogo del Trattamento: Via Grosseto, 2 - 07029 Tempio Pausania (SS) Sede Legale/Luogo del Trattamento: Via Baronia, 28 - 09121 Cagliari (CA) Allegato B del Contratto di nomina a Responsabile del trattamento dei dati personali ai sensi dell'art. 28, Reg. (UE) 2016/679 Pag.1di1 GRUPPOSPAGGIARI PARMA Un futuro ricco di esperienza POLICY DI SICUREZZA SGSI UNI CEI ISO/IEC 27001 Rev. 2.0 del 10/02/2021 Gruppo Spaggiari Parma S.p.A. info@spaggiari.eu * spaggiari@legalmail.it Via F. Bernini, 22/A - 43126 Parma WWw.Spaggiari.eu Cap. Soc. 1.200.000 € interamente versato x RIVACY O A i 0 d Vademecum per il Dirigente Scolastico sulla tutela dei dati personali GRUPPOSPAGGIARIPARMA Sommario INTRO FIGURE E RESPONSABILITÀ FAQ ASPETTI TECNICI OPERATIVI 11 1. Creazione, modifica e disabilitazione delle utenze ............. 13 2. Ruoli e funzioni speciali 22 3. Misure di sicurezza (credenziali - password) 26 CONCLUSIONI 29 INTRO La protezione dei dati è da sempre un tema fondamentale per il Grup- po Spaggiari Parma che dall'inizio della sua “avventura digitale”ha pre- stato una forte attenzione alla gestione degli stessi e alla privacy dei propri utenti. La nostra azienda sviluppa soluzioni web per semplificare la vita di tut- ti i protagonisti della scuola, senza mai dimenticare la protezione dei dati e la prevenzione degli accessi illeciti. Per i nostri dipendenti e collaboratori “preservare e tutelare i dati per- sonali” non è una semplice regola, ma un dogma imprescindibile for- malizzato con ogni singola scuola cliente. Il titolare del trattamento dati (l'Istituzione Scola- stica) deve proteggere al meglio ogni possibile accesso e/o modifica ai dati personali da gesti- re. Tutti gli applicativi web del Gruppo Spaggiari Parma permettono di definire le misure di sicu- rezza fondamentali per prevenire l’ac- cesso illecito. Il titolare (l'Istituzione Scolastica ) deve prestare la massima attenzione alle misure di sicurezza dei propri ap- plicativi e, se alcune policy sull’infra- struttura IT sono garantite dal respon- sabile del trattamento dati (il Gruppo Spaggiari Parma), altre devono essere regolamentate dal titolare stesso. L'obiettivo di questo vademecum per il Dirigen- te Scolastico è quello di descrivere in maniera semplice e chiara come gestire tali misure di sicurezza al meglio. FIGURE E RESPONSABILITÀ Vediamo di seguito in dettaglio quali sono le figure coinvolte nella ge- stione dei dati personali. m Titolare del trattamento: nel settore scolastico questa figura cor- risponde all'autorità pubblica, ovvero l'Istituzione Scolastica che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali gestiti (anagrafiche degli alunni, dei genitori/tutor e del personale scolastico ). m Responsabile esterno deltrattamento dati: tale ruolo è rappresen- tato dalla persona giuridica che tratta dati personali per conto del titolare del trattamento (l'Istituzione Scolastica ). Ogni fornitore di servizi scolastici rilevanti (ad esempio: Gruppo Spaggiari Parma) dovrebbe essere nominato responsabile esterno del trattamento dati tramite un'apposi- ta nomina siglata dai rappresentanti legali dei soggetti coinvolti. m Dirigente Scolastico : tale figura, for- malmente designata, è coinvolta nel trattamento dati in quanto legale rap- presentante dell'Istituzione Scolasti- ca, ed è inizialmente il solo a cui sono garantite funzionalità importanti quali: creazione, modifica e disabilitazione del- le utenze; assegnazione dei ruoli/privilegi e misure di sicurezza delle credenziali/pas- sword fornite. m Responsabile Protezione Dati (RPD) o Data Protection Officer (DPO): è la figura di uno specialista che conosce a fondo i sistemi infor- matici e le normative in materia di protezione dei dati personali. Una figura obbligatoria per un Ente Pubblico che può essere rico- perta sia da personale interno che esterno all’Istituzione Scolastica stessa. FAQ m Chiaccedeai dati personali oltre al titolare e all'interessato? L'accesso ai dati personali è possibile (oltre che per il titolare e l’inte- ressato) solo a seguito di una richiesta di assistenza al nostro Social Customer Care ed al nostro Team di Sviluppo (e per ogni sub-re- sponsabile formalmente designato), e questo tipo di accesso sarà sempre finalizzato a fornire assistenza e tracciato per garantire il massimo della trasparenza ed il rispetto della normativa vigente. m ldatipersonali sono utilizzati per scopi differenti dall'assistenza? No, proprio perché la tutela dei dati personali è per noi fondamen- tale, non utilizzeremo mai i recapiti personali (come, ad esempio, il numero di cellulare) per effettuare operazioni commerciali/marketing. Il nostro database non è condivi- so con nessun soggetto esterno (ad esclusione dei sub-responsabili designati), in modo da garantire la massima sicurezza. m Chirispondein caso di dubbi? Il primo livello di assistenza del So- cial Customer Care è stato formato per rispondere alle domande più frequenti, ma per garantire la massima trasparenza il Gruppo Spaggiari Parma ha nominato una “Funzione Compliance” interna alla propria or- ganizzazione che segue ogni singola fase e po- trà rispondere ad ogni vostro quesito. Di seguito i riferimenti principali: - E-mail: privacy@spaggiari.eu - Telefono: 0521 299411 ASPETTI TECNICI OPERATIVI 1. CREAZIONE, MODIFICA E DISABILITAZIONE DELLE UTENZE Inserimento delle anagrafiche studenti/genitori Il primo step da eseguire per definire gli account di studenti e/o dei genitori è l'inserimento delle anagrafiche. Questa operazione può essere effettuata massivamente importando le anagrafiche dai ge- stionali in uso con l'ausilio di un nostro tecnico/formatore. In alternativa, è possibile inserire anagrafiche in maniera manuale secondo le modalità di seguito distinte in base all'utilizzo dei gestio- nali ClasseViva o Alunni 2.0. m Procedura CLASSEVIVA 1. Accedere al portale web https://web.spaggiari.eu (oppure a https://web.spaggiari.sm in caso ci si colleghi ad un Istituto di San Marino) 2. Dal menù Configurazione e gestione accedere a Anagrafiche e gestione account Gestione degli account per utilizzare il sistema 3. Cliccare in alto a destra su nuovo studente 4. Appare un'interfaccia divisa in tre schede: Dati anagrafici - studente in cui è necessario inserire cognome, nome, data di nascita, genere, luogo di nascita, provincia, codice fiscale, classe, codice (Meccano- grafico) sede, stato di frequenza, data fine frequenza (in caso non più frequentante), attivazione o non attivazione dello studente; Contatti in cui inserire il numero di telefono, cellulare genitore 1, cellulare genitore 2, e-mail, e-mail genitore 1, e-mail genitore 2, indirizzo, CAP, Comune, Provincia; Dati scolastici ovvero numero registro, numero progressivo scuola, scuola di provenienza, fornito di (promozione, idoneità, qualifica), credito III, credito IV, iscritto per (1°, 2?, 3° volta) invio dati SIDI. 5. Una volta inserite le informazioni necessarie, cliccare su Conferma m Procedura ALUNNI 2.0 1. Accedere al portale web https://web.spaggiari.eu (oppure a https://web.spaggiari.sm in caso ci si colleghi ad un Istituto di San Marino) 2. Dal menù Alunni 2.0 accedere a Lista degli alunni Gestione degli alunni 3. Cliccare in alto a destra su Cè Alunno 4. Appare un'interfaccia divisa in varie schede: Anagrafe [omissis] 1 Genitore 2 Altri dati Carriera Campi liberi Per procedere all'inserimento di un alunno in anagrafica, i dati da riportare obbligatoriamente sono contrassegnati dai campi di colore rosa e sono: nome, cognome, data di nascita, sesso e codice fiscale. Tutti gli altri dati possono essere compilati succes- sivamente e, in ogni caso, si tratta di dati facoltativi. 5. Una volta inserite le informazioni necessarie, cliccare su Conferma Inserimento delle anagrafiche del personale scolastico L'inserimento delle anagrafiche può essere effettuato massivamen- te importando le anagrafiche dai gestionali in uso con l'ausilio di un nostro tecnico/formatore o, in alternativa, in maniera manuale secondo le modalità di seguito distinte in base all'utilizzo dei gestio- nali ClasseViva o Alunni 2.0. m Procedura CLASSEVIVA 1. Accedere al portale web https://web.spaggiari.eu (oppure a https://web.spaggiari.sm in caso ci si colleghi ad un Istituto di San Marino) 2. Dal menù Configurazione e gestione accedere a Anagrafiche e gestione account Gestione degli account per utilizzare il sistema 3. Cliccare in alto a destra su nuovo docente Appare un'interfaccia divisa in due schede: Dati anagrafici - docente in cui è necessario inserire cognome, nome, data di nascita, ge- nere, codice fiscale, attivazione o non attivazione del docente; Contatti in cui inserire il numero di telefono 1, telefono 2, e-mail 1, e-mail 2. 4. Una volta inserite le informazioni necessarie, cliccare su Conferma m Procedura ALUNNI 2.0 1. Accedere al portale web https://web.spaggiari.eu (oppure a https://web.spaggiari.sm in caso ci si colleghi ad un Istituto di San Marino) 2. Dal menù Alunni 2.0 accedere a Lista degli account della scuola Gestione degli account 3. Cliccare in alto a destra su è, Account Appare un'interfaccia divisa in tre schede: Anagrafica Contatti Ruoli Anagrafica in cui è necessario inserire cognome, nome, data di nascita, ge- nere, codice fiscale, attivazione o non attivazione del docente; Contatti in cui inserire il numero di telefono 1, telefono 2, e-mail 1, e-mail 2; Ruoli in cui è necessario scegliere il ruolo da attribuire a quell'utente dal menù a tendina proposto. 4. Una volta inserite le informazioni necessarie, cliccare su Conferma Generazione credenziali studenti/genitori 1. Accedere al portale web https://web.spaggiari.eu (oppure a https://web.spaggiari.sm in caso ci si colleghi ad un Istituto di San Marino) È importante per effettuare le operazioni di seguito descritte che siano state precedentemente caricate le anagrafiche degli alunni. 2. Dal menù generale, cliccare su Configurazione e gestione e successivamente su Account e password per i genitori Genera credenziali accesso per i genitori Innanzitutto è necessario scegliere, tramite una spunta, l'anno scolastico per il quale generare gli account di accesso. Nel campo “Tipo di account”è possibile distinguere il tipo di ac- count che si andrà a generare. Cliccare su “Studente” se si vuole generare una password di tipo Studente, su “Genitore 1“ se si vuole generare una password per i genitori, “Genitore 2” solo nel caso venga espressamente richie- sta una seconda password dalla famiglia. E possibile spuntare una sola casella per creare la credenziale per una persona. Nel rettangolo “Classi/Nomi” indicare la classe di interesse. In caso di più classi si possono digitare le classi in ordine verticale. È possibile impostare l'oggetto e il testo del messaggio da con- segnare manualmente agli interessati con le proprie credenziali. Scelti i parametri predefiniti, cliccare quindi in alto a destra sul tasto "974 2. Controlla Attenzione! Se non è la prima volta che state procedendo a genera- re le credenziali per gli utenti interessati, è necessario spuntare “Forza generazione password per gli studenti selezionati”. Appariranno i risultati relativi alla propria ricerca e, dopo aver verificato e spuntato l’'utente/gli utenti e/o la classe/le classi di interesse, procedere cliccando in alto a destra sull'icona SO 3. Esegui 9. Comparirà un primo messaggio di controllo “Verranno imposta- te password e prodotte lettere di comunicazione per:” con il numero e il tipo di credenziali che si è richiesto di creare. 10. Confermare quindi l'operazione, se questi risultano corretti. 11. Ad operazione completata è possibile scaricare sia le stampe da consegnare all'utente, sia il file Excel con tutte le credenziali pro- dotte, cliccando su QUI Generazione credenziali personale scolastico 1. Accedere al portale web https://web.spaggiari.eu (oppure a https://web.spaggiari.sm in caso ci si colleghi ad un Istituto di San Marino) È importante per effettuare le operazioni di seguito descritte che siano state precedentemente caricate le anagrafiche del personale. 2. Dal menù generale, cliccare su Configurazione e gestione poi accedere alla voce Account e password per i docenti Genera credenziali accesso per i docenti 3. Per creare una password singola, digitare il nominativo di una persona di interesse nel riquadro “Cerca per nome/cognome”. 4. Per generare credenziali per più personale, lasciare il campo “Cerca per nome/cognome"” vuoto. 5. Di seguito cliccare in alto a destra sull'icona 7974 2. Controlla 6. Dopo aver assegnato il tipo di utente che si andrà a creare attra- verso la spunta di una delle voci disponibili (Docente, Dirigente, Segreteria, Collaboratore, ATA, Allenatore, Utente WiFi, Tutor/ Educatore) e aver spuntato l’utente/gli utenti di interesse, cliccare sull'icona in alto a destra 3. Esegui 7. Comparirà un primo messaggio di controllo “Verranno imposta- te password e prodotte lettere di comunicazione per:” con il numero di credenziali che si è richiesto di creare. 8. Confermare l'operazione, se questi risultano corretti. Conferma operazione 9. Adoperazione completata è possibile scaricare sia le stampe da consegnare all'utente sia il file Excel con tutte le credenziali pro- dotte, cliccando su QUI Modifica e disabilitazione account Per modificare o disattivare un account personale (sia studenti, ge- nitori che personale scolastico ), accedere al portale web https://web.spaggiari.eu (oppure a https://web.spaggiari.sm in caso ci si colleghi ad un Istituto di San Marino) Dal menù generale, cliccare su “Configurazione e gestione”, poi ac- cedere alla voce “Anagrafiche e gestione account”. Ricercare l'utente interessato inserendo il nome o il cognome nell'ap- posito campo di ricerca, di seguito cliccare sull'icona di modifica corri- spondente. Da qui è possibile modificare tutti i dati precedentemente inseriti negli appositi campi, oppure rendere l'account non attivo, se- lezionando “NON ATTIVO” nella scheda “Dati anagrafici” e poi “Con- fermare”. Attenzione! Se l'istituto utilizza il gestionale web Alunni 2.0, le modifiche e le disabilitazioni dei vari account (studente, genitore o personale della scuola) dovranno essere effettuate all'interno dello stesso gestionale, alle voci di menù indicate a pagg. 14 e 16. 2. RUOLI E FUNZIONI SPECIALI Altro tema particolarmente importante per il Dirigente Scolastico è la definizione dei ruoli e di conseguenza delle abilitazioni/privilegi garantiti ad ogni utente creato. Quest'attività permette di rilascia- re l'accesso alla base dati scolastica regolamentando i privilegi per ogni singolo utente in base al proprio ruolo. [omissis] procedura tecnica per impostare i ruoli, elen- chiamo di seguito le funzioni principali: DIRIGENTE Questo ruolo identifica l'utente come “Dirigente Scolastico ” e assegna i privilegi più elevati presenti nel registro elettronico, compresa la visione del cruscotto del Dirigente ed altre funzioni accessibili solamente a questo utente. Questo ruolo va imposta- to solamente per il Dirigente Scolastico . VICEPRESIDE Questo ruolo consente all'utente di accedere alle stesse scher- mate del Dirigente, ma con privilegi di modifica ridotti e viene generalmente impostato per i collaboratori del Dirigente. DSGA Questo ruolo attribuisce diritti di “utente amministratore” Viene normalmente impostato per il personale di segreteria che gesti- sce la configurazione dei programmi. DOCENTE Questo ruolo attribuisce diritti di “docente” Viene impostato au- tomaticamente alla creazione delle password dei docenti. SEGRETERIA Questo ruolo attribuisce diritti di “utente amministratore” Viene normalmente impostato per il personale di segreteria che gesti- sce la configurazione dei programmi. m COLLABORATORE Questo ruolo attribuisce all'utente le funzioni di inserimento as- senze e giustificazione. Se assegnato insieme al ruolo di ammini- stratore bacheca, permette all'utente di accedere solamente alla bacheca. m PERSONALE ATA Questo ruolo permette l'accesso alle comunicazioni in bacheca, qualora attivata. Inoltre permette la visione della prenotazione delle aule. m TUTOR Questo ruolo permette l'accesso alla pagina dedicata al persona- le non docente che ha funzioni di tutor per alcuni alunni. Funzioni speciali Come anticipato, esistono abilitazioni particolari che consentono a determinati utenti di gestire in maniera più particolareggiata le va- rie funzioni dei software: AMMINISTRATORE BACHECA Questo ruolo permette di amministrare la bacheca. Gli utenti con ruolo “Segreteria” possiedono sempre questo ruolo. AMMINISTRATORE AULE Questo ruolo permette la gestione della prenotazione aule se at- tribuito a utenti “Collaboratore”o “Personale ATA" AMMINISTRATORE CMS Questo ruolo permette di creare, modificare e pubblicare tutto all'interno del sito della scuola. Gli utenti con ruolo “Dirigente” “Vicepreside” e “DSGA” possiedono sempre questo ruolo. UTENTE NORMALE CMS Questo ruolo permette di operare come l'amministratore tranne per le funzioni abilitate solo per la segreteria (amministrazione trasparente, albo online e comunicati). UTENTE SOLO TRASPARENZE CMS Questo ruolo permette di pubblicare ciò che concerne ammini- strazione trasparente, albo online e comunicati. Gli utenti con ruolo “Segreteria” dovranno quindi avere attiva questa funzione. GESTORE PAGINE PERSONALI CMS Questo ruolo è definito per il redattore scolastico che può creare i contenuti pagine e le news, ma non può pubblicarli né quindi collegarli alle sezioni in homepage. ADMIN SCUOLA E TERRITORIO L'abilitazione a questa funzione consente al docente di disporre di tutte le autorizzazioni necessarie per la gestione totale della piattaforma. Gli utenti con ruolo “Dirigente”, “Vicepreside” e “Se- greteria” possiedono sempre questo ruolo. DOCENTE SCUOLA E TERRITORIO Questo ruolo permette, al tutor/referente di Alternanza scuola-la- voro di una classe, di eseguire operazioni di gestione e abbina- mento esperienze in stage per gli studenti delle sole classi in cui insegna. m DOCENTE SUPERVISORE SCUOLA E TERRITORIO Questo ruolo, rispetto alla funzione precedente, caratterizza il docente abilitato come supervisore che ha la possibilità di ge- stire gli abbinamenti in stage e le esperienze di tutti gli studenti della scuola. m TUTORCORSI ONLINE Questo ruolo permette di visualizzare le statistiche degli utenti all'interno dei videocorsi e dà la possibilità di scaricare gli attestati. Per impostare questi ruoli a singoli account è necessario accedere al portale web https://web.spaggiari.eu (oppure a https://web.spaggiari.sm in caso ci si colleghi ad un Istituto di San Marino) Posizionarsi sulla voce “Configurazione e gestione”e poi cliccare su “Amministra le opzioni e i ruoli”. Da qui sarà possibile assegnare i ruoli, precedentemente descritti, al personale scolastico , oltre che impostare i permessi per abilitare i docenti a determinate opzioni, impostare i plessi da far loro visualiz- zare e abilitare o disabilitare gli account. Per definire un ruolo è sufficiente ricercare l'utente indicato, cliccare su “Modifica ruolo”in corrispondenza dell'interessato, poi spuntare, nell'interfaccia successiva, il/i ruolo/i che dovrà avere attivo/i (mas- simo 3) ed eventuali funzioni speciali che gli si vorrà abilitare in base alle competenze specifiche. 7 3. MISURE DI SICUREZZA (CREDENZIALI - PASSWORD) Il primo passo per proteggere la privacy online è la creazione di una password sicura, ovvero una password che non possa essere scoper- ta da un programma o da una persona in un breve lasso di tempo. Impostare livelli di sicurezza maggiori a quelli impostati di default può prevenire problematiche legate alla diffusione e/o cancellazio- ne di dati personali particolari/sensibili. Suggerimenti per creare una password sicura: Creare una password di minimo dieci caratteri, contenente alme- no una maiuscola, almeno una minuscola, almeno un numero e almeno un carattere speciale tra quelli elencati:“1$?#=*+-.,;:° Includere caratteri all'apparenza simili in sostituzione di altri ca- ratteri (ad esempio il numero “0” per la lettera “O0”o il carattere “$” per la lettera “S”). Creare un acronimo univoco (ad esempio “PDRM” per “Piazza Delle Repubbliche Marinare”). Includere sostituzioni fonetiche o grafiche (ad esempio “6 arriva- to” per “Sei arrivato” o “Arrivo + tardi” per “Arrivo più tardi”). Da evitare: Non utilizzare le stesse password per più account. Non usare una password già utilizzata in un esempio di come si sceglie una buona password. Non utilizzare una password contenente dati personali (nome, data di nascita, ecc.). Non usare parole o acronimi che si possono trovare nel dizionario. Non usare sequenze di tasti sulla tastiera (asdf) o sequenze di numeri (1234). Non creare password di soli numeri, di sole lettere maiuscole o di sole lettere minuscole. Non usare ripetizioni di caratteri (aa11). Suggerimenti per tenere al sicuro la password: m Non comunicare a nessuno la password (inclusi colleghi, part- ner, collaboratori, ecc.). m Nonlasciare la password scritta in posti facilmente raggiungibili da altri. m Noninviare mai la password per e-mail. Verificare periodicamente la password corrente e cambiarla con una nuova. Il Dirigente può definire il livello di sicurezza della password inserita dal singolo utente nella gestione del proprio profilo, tramite delle apposite opzioni a sua disposizione. Per gestire queste opzioni è necessario accedere al portale web https://web.spaggiari.eu (oppure a https://web.spaggiari.sm in caso ci si colleghi ad un Istituto di San Marino) Posizionarsi sulla voce “Configurazione e gestione”e poi cliccare su “Amministra le opzioni e i ruoli”. Da qui cliccare sulla voce “Opzio- ni”in alto a destra e posizionarsi sulla sezione “Sicurezza”. Di seguito sono descritte le opzioni a disposizione: Scadenza della password: m Il parametro _92_ [omissis] durata massima (in giorni) di validità di una password prima di dover es- sere cambiata. Vi invitiamo a prestare attenzione a questo para- metro ed a indicare la scadenza più congrua per il vostro ente. È necessario inserire, tramite l'apposito menu a tendina corrispon- dente, i giorni di scadenza, disponibili ad intervalli di 10 giorni; se non si vuole impostare nessuna scadenza inserire il valore 0. Lunghezza della password: m L'opzione “Lunghezza minima della password” permette di de- finire il numero di caratteri necessari affinché una password sia accettata. Questa impostazione è collegata alla complessità della password ed è uno dei più importanti parametri per pro- teggere l’accesso ad un sistema. È necessario inserire il limite minimo di lunghezza della password tramite l'apposito menu a tendina corrispondente. Se non si vuole inserire nessun limite indicare il valore 0. Memorizzazione delle password utilizzate: Il campo “Forza che la password sia diversa”, se attivato, obbliga l'utente a variare ad ogni cambio la password precedentemen- te utilizzata. La rotazione della password è necessaria per ren- dere più difficile l'identificazione e prevenirne il riutilizzo se la password è stata carpita. È necessario inserire il valore 0 se non si vuole abilitare l'opzione o il valore 1 se l'opzione deve essere abilitata. Complessità della password: “La password deve essere composta di numeri e lettere”: que- sta impostazione forza l'utente a utilizzare una combinazione di caratteri. Esistono quattro tipi di caratteri catalogati in funzione della loro complessità: le lettere maiuscole, le lettere minuscole, i numeri e i caratteri speciali come “&, %, !, +, -, @, ?, £, *” e “$" Per soddisfare i requisiti di complessità imposti, una password deve contenere almeno tre di queste categorie. In caso contrario l'utente riceverà un messaggio di errore in cui si precisa che la password definita non soddisfa i requisiti di complessità. È ne- cessario inserire il valore 0 se non si vuole abilitare l'opzione o il valore 1 se l'opzione deve essere abilitata. Creazione di password per i genitori: L'opzione “Genera password sempre diverse per i genitori” nella gestione massiva delle credenziali da parte della Segreteria per- mette di generare automaticamente password sempre differen- ti per gli utenti. È necessario inserire il valore 0 se non si vuole abilitare l'opzione o il valore 1 se l'opzione deve essere abilitata. Una volta definiti i livelli di sicurezza, scorrere la pagina verso il bas- so e cliccare sul pulsante “Salva”. CONCLUSIONI Il nostro vademecum è giunto al termine, ma la formazione per un Dirigente Scolastico non finisce mai! È possibile approfondire l'argomento visitando i seguenti siti: m hitp://www.garanteprivacy.it (sito del Garante della Privacy Italiano) m hitp://www.garanteprivacy.it/regolamentoue (link diretto del Garante sul nuovo GDPR) m http://www.agid.gov.it/ (AGID Agenzia per l’Italia Digitale, l'autorità che fornisce ogni det- taglio tecnico su temi informatici) Il Gruppo Spaggiari Parma resta al fianco delle Istituzioni Scolastiche con ulteriori canali di approfondimento. La trasparenza e la corretta gestione dei dati perso- nali sono due tematiche centrali per la “Scuola del futuro, oggi” Per questo la nostra azienda fornisce al Dirigente Scolastico e al suo Staff diversi strumenti di informazione e formazione in costante aggiornamento: canali tematici online, riviste specializzate e manuali pro- fessionali. Questa guida gratuita, dunque, è solo un primo fondamentale step informativo e formativo che il Gruppo Spaggiari Parma of- fre al Dirigente Scolastico per adempiere alle molteplici pratiche introdotte dalla nuova nor- mativa sulla privacy. 1° edizione maggio 2018 Finito di stampare maggio 2018 Gruppo Spaggiari Parma S.p.A. © Copyright by Gruppo Spaggiari Parma S.p.A. Via F. Bernini, 22A - 43126 Parma Tel. 0521/29.92 - Fax 0521/29.16.57 E-mail: info@spaggiari.eu WWW.Spaggiari.eu Tutti i diritti, di riproduzione, o adattamento (totale o parziale, con qualsiasi mezzo compresi i microfilm e le copie fotostatiche) sono riservati. Eventuali autorizzazioni devono essere rilasciate per iscritto dall'Editore. La realizzazione di un libro comporta per l'Autore e la Casa Editrice un attento lavoro di revisione e controllo sulle informazioni contenute nel testo, sull'iconografia e sul rapporto che intercorre tra testo e immagine. Nonostante il continuo miglioramento delle procedure di controllo è quasi impossibile pubblicare un libro del tutto privo di errori o refusi. Per questa ragione ringraziamo fin d'ora i lettori che li vorranno indicare alla Casa Editrice, al seguente indirizzo: Via Bernini, 22A - 43126 Parma Fax 0521/29.16.57 E-mail: info@spaggiari.eu BEI POLICY DI SICUREZZA eee -\|:.!I REVISIONI APPROVAZIONE REV. PAG. MOD. TIPO / NATURA DELLA MODIFICA DATA VISTO Prima stesura 0.0 21/05/2018 Direzione aziendale _ Review del layout grafico 10 18/07/2019 DIFEZIONE al Revisione del formato grafico del documento e della aziendale struttura societaria. Introduzione delle Certificazioni ottenute dal provider 20 10/02/2021 Direzione 21 Aggiunta del Cap. dedicato alle certificazioni fornite dal aziendale carrier che ospita l’infrastruttura IT. Indice INÉPO......... 5 MISSION... 5 Obiettivi .............. 5 | sistemi critici... 6 Aggiornamento del documento................... 6 Gruppo Spaggiari Parma S.p.A... T La riorganizzazione ............... 9 [omissis] .............. 10 [omissis] ............ 10 [omissis] .................... 11 [omissis] ........... 12 Data Center Rozzano (Ml). . . . . . . . . . 12 Dispositivi di protezione................... 14 Dispositivi antintrusione al Data Center....................... 15 [omissis] ............ 16 Rivelazione fumi e sistemi antincendio .................. 16 Sistemi di condizionamento e controllo della tempe-ratura ..................... 17 Sistemi antiallagamento ................... 17 Certificazioni Data Center Rozzano (MI) ............... 17 Data Center Arezzo (AR). . . . . . . . . . 18 Dispositivi di protezione................... 19 [omissis] ............ 20 Rivelazione fumi e sistemi antincendio .................. 20 Sistemi di condizionamento e controllo della temp-eratura [omissis] ............. 20 Certificazioni Data Center Arezzo (AR) ................ 21 Informazioni di contatto .................... 22 Informazioni sulla società ................. 22 BEI POLICY DI SICUREZZA eee -\|:.!I EEE « POLICY DI SICUREZZA ln Intro Il presente documento descrive le policy di sicurezza e le infrastrutture antintrusione utilizzate nei Data Center a disposizione di Gruppo Spaggiari Parma S.p.A. Questo manuale, disponibile per la propria clientela, vuole essere un ulteriore dimostrazione di trasparenza e di affidabilità nelle infrastrutture aziendali nate per la gestione e la protezione dei dati sensibili. Tale documento non è da intendersi come sostitutivo del più corposo “Manuale Operativo per la Sicurezza delle Informazioni’, ma parte integrante dello stesso. Mission Una delle “Mission” dei Sistemi Informativi aziendali è certamente quello di garantire un servizio affidabile e sicuro, ma non solo, ulteriore compito del Reparto IT è stimolare e supportare lo studio, l’analisi e la creazione di procedure alternative, per favorirne l'integrazione con gli altri processi aziendali informatici. Obiettivi Lo scopo del presente documento è di presentare alcune linee guida quale strumento utile alla stesura delle procedure sostitutive, nell’intento di fornire un supporto ed un aiuto pratico a chi deve sviluppare procedure informatiche critiche aziendali; le linee guida sono di natura informativa e programmatica e non precettiva, in quanto si è ben consapevoli della complessità e vastità dell’organizzazione aziendale; dei diversi assetti, degli aspetti organizzativi e funzionali delle sue strutture interne, dell’eterogeneità ed infine delle professioni in essa operanti. Questo documento risulterà inoltre un utile strumento di sensibilizzazione in termini di sicurezza in quanto: dà evidenza delle attività svolte dagli organi Dirigenti; tutela chi assume le decisioni dando prova della propria diligenza; fissa la conoscenza sviluppata in azienda trasformando adempimenti dovuti per legge in valore aggiunto ed infine permette di formalizzare le policy privacy (corretta gestione e manutenzione). BEI POLICY DI SICUREZZA eee -\|:.!I | sistemi critici Il presente documento analizzerà quindi ogni policy ideata per prevenire ogni possibile criticità dell’infrastruttura IT, proprio per questo è necessario già nella premessa definire al meglio quali sono le attività “critiche” secondo l’Azienda. =» L'Azienda definisce come “Mission Critical’ i servizi critici o le attività di supporto al Business (interne o in outsourcing) senza i quali l’organizzazione non può raggiungere i propri obiettivi. Si ricorda infine che secondo l'Agenzia per l'Italia Digitale Ag/D i sistemi "critici" non possono essere sostituiti da nulla di alternativo (solo da qualcosa di identico). Per definizione quindi i sistemi critici non prevedono nessuna procedura sostitutiva. [omissis] presente documento sarà disponibile sia in forma cartacea presso l'Area Cloud&Infrastrutture di Gruppo Spaggiari Parma S.p.A. sia sotto forma digitale. L'aggiornamento dello stesso sarà compito ed obbligo della stessa Area Cloud& Infrastrutture aziendale, in modo da poter revisionare la documentazione sulla sicurezza proposta con le soluzioni più aggiornate alla data di sottoscrizione. Sarà possibile richiedere una copia digitale del presente documento scrivendo all'indirizzo e-mail: it@spaggiari.eu. Ultimo Aggiornamento (Data — Ora — Autore): 10/02/2021 — 11:33 — L. Todesco EEE « POLICY DI SICUREZZA ln Gruppo Spaggiari Parma S.p.A. Il Gruppo Spaggiari Parma S.p.A. lavora nel mondo della scuola dal 1926. Siamo da sempre focalizzati su questo mercato e l'abbiamo seguito in tutte le sue evoluzioni. Tradizione e innovazione, da sempre La storia della Spaggiari è sempre stata improntata ad un mix equilibrato di tradizione e innovazione. Ogni società/attività che ha aggregato nel tempo è stata fortemente innovativa all'esordio ed ha dimostrato di sapersi rinnovare garantendo una perfetta sintesi di tradizione e innovazione. 1926 - Spaggiari Registri e stampati dal 1926 progetta, produce e distribuisce registri e stampati per il mondo della scuola. Questa è stata per tantissimi anni l’attività principale e, con un catalogo di oltre 2000 prodotti e con oltre 1000 lavori personalizzati all'anno, serve con continuità più di 6000 scuole. 1949 - Spaggiari Casa Editrice pubblica manuali, libri e riviste di aggiornamento tecnico- professionale per il DSGA e il personale di segreteria. In particolare, il Bergantini, giunto alla 71a edizione, ha contribuito a formare intere generazioni di personale amministrativo; Pais, inoltre, rivista fondata e gestita in collaborazione con FNADA ANQUAP, aggiorna e informa oltre 2000 scuole. 1980 - Infoschool, Sisdata e Soluzione negli anni Ottanta hanno creato i primi software di gestione delle segreterie scolastiche e del mondo educativo; da allora sono stati protagonisti dei più importanti cambiamenti tecnologici che si sono susseguiti negli anni. In particolare, ClasseViva (2009), il sistema di registro elettronico in cloud computing è stato preso a modello dal Ministero dell'Istruzione, Università e Ricerca (MIUR) per formulare la legge di Spending Review. 1991 - Edizioni Junior, editore storico della rivista Bambini, creata e diretta da Loris edita e pubblica numerosi testi universitari per le facoltà di pedagogia, psicologia e scienze della formazione. 1998 - Spaggiari Distribuzione gestisce un catalogo di oltre 20.000 prodotti in pronta consegna utili per ogni necessità della scuola. Attraverso la propria piattaforma logistica cura oltre 50.000 spedizioni all'anno per oltre 500.000 righe d’ordine. Un’innovativa piattaforma cloud, progettata e gestita in proprio, integra in tempo reale scuole, reti commerciali, buyer, fornitori, produzione, logistica e spedizioni. 2001 - Italiascuola.it, società creata e gestita in collaborazione con l'Associazione nazionale Presidi (ANP) offre servizi di consulenza e formazione in presenza e online per Dirigenti, DSGA e alte professionalità. BEI POLICY DI SICUREZZA eee -\|:.!I Oltre 1600 scuole sono abbonate al servizio di consulenza online e oltre 3000 scuole hanno partecipato ad almeno un evento formativo organizzato da Italiascuola.it sul territorio nazionale. 2013 - Nel 2013 è stata avviata una profonda trasformazione, che si è completata nei primi mesi del 2014 dando vita al Gruppo Spaggiari [omissis] ività del Gruppo sono state ripensate e aggregate in cinque Divisioni che collaborano per selezionare e creare prodotti, contenuti, servizi e progetti sempre più integrati e innovativi. Le attività operative, dall'assistenza clienti alla produzione, dagli acquisti alla logistica, dall'avvio di progetti alla consulenza direzionale sono state riorganizzate per poter offrire al cliente la massima qualità di prodotto e di servizio. L'organizzazione commerciale di relazione con la scuola e con le comunità scolastiche è stata integrata per offrire assistenza e proattività in ognuna delle fasi della relazione commerciale. Il Gruppo potrà così soddisfare l'esigenza delle scuole di avere al proprio fianco un partner qualificato in grado di assolvere alle proprie necessità. 2017 - Nel maggio del 2017 Gruppo Spaggiari Parma S.p.A. assieme a Cooperativa Sociale Coopselios danno vita alla nuova società Bambini S.r.l. destinata al sistema di educazione e d'struzione preadolescenziale, sia in ambito nazionale, che internazionale, con particolare attenzione all'innovazione tecnologica, al pensiero creativo e divergente, ai processi partecipativi e di condivisione. Nel dicembre 2017 Gruppo Spaggiari Parma S.p.A. ha partecipato all'acquisizione di Soluzione S.r.l. unipersonale, società brianzola specializzata in servizi informatici, nell'ottica di rafforzare la propria posizione nel mercato delle scuole paritarie laiche e religiose. A partire dalla fine del 2017 è stata avviata una profonda riorganizzazione aziendale, che si è completata nel 2018. La nuova organizzazione ha permesso di definire tutti i prodotti e servizi offerti in tre Aree Strategiche d'Affari (ASA) per rispondere al meglio alle nuove esigenze del mercato. 2018 - Al termine del 2018 si concretizza un processo di scissione che esternalizza da Gruppo Spaggiari Parma S.p.A. alcune funzioni aziendali nella nuova holding industriale Finedit Finanziaria Editoriale S.r.l. al fine di assicurare una maggiore agilità e sviluppo organizzativo ad altre realtà aziendali accomunate dal rapporto con l'impresa emiliana. 2019 - Nell'aprile 2019 Gruppo Spaggiari Parma S.p.A. partecipa alla creazione di una nuova società dedicata al mondo assicurativo scolastico : nasce così ABZ Broker and Consulting S.r.I., rivolta al mondo education e a tutti i suoi protagonisti (Dirigenti scolastici, Docenti, operatori, famiglie e studenti), destinata a migliorare i processi interni di ogni Istituto con soluzioni innovative ed attente a garantire protezione e serenità in ogni fase scolastica . EEE « POLICY DI SICUREZZA ln Nel dicembre 2019 SOGI Scuola S.r.l., software-house veronese specializzata nel campo educativo dell'istruzione per gli adulti e nella formazione professionale in tutto il territorio nazionale, entra nell’ecosistema di Gruppo Spaggiari Parma S.p.A. ampliando i servizi offerti nel mondo scolastico al fine di offrire soluzioni personalizzate per ogni esigenza. 2020 - Nel dicembre 2020 entra a far parte dell'ecosistema di Gruppo Spaggiari Parma S.p.A. la società di consulenza EuService S.r.l. realtà romana incentrata sulla Gestione dei dati personali e sulla Sicurezza sul lavoro all’interno del settore scolastico nazionale. La riorganizzazione A partire dalla fine del 2017 è stata avviata una profonda riorganizzazione aziendale, che si è completata nel 2018. La nuova organizzazione permetterà di definire tutti i prodotti e servizi offerti in tre Aree Strategiche d’Affari (ASA) per rispondere al meglio alle nuove esigenze del mercato. Il nuovo assetto societario, che ha coinvolto ogni figura e ruolo aziendale, ha permesso maggiore agilità e precisione organizzativa al fine di garantire puntualità e professionalità alla propria rete. Oggi i ricavi sono un mix bilanciato di: MI infrastrutture & Tecnologie (Hardware, Software, Sistemi, Cloud, App) 37% MI Prodotti & Servizi (Stampati, Badge, Libri, Riviste, Servizi, ...) 37% LL] Contenuti & Consulenza (Know-how didattico e gestionale) 26% Nella direzione di tale riorganizzazione, Gruppo Spaggiari Parma vuole aiutare il Dirigente Scolastico a guidare la propria comunità verso un futuro migliore, migliorando gli ambienti della scuola, sia fisici sia virtuali. Costruire un ecosistema digitale totalmente integrato e supportare la crescita professionale e umana di tutto il personale della Scuola, ponendo la Scuola al centro della comunità educativa (Enti, Lavoro, ...). BEI POLICY DI SICUREZZA eee -\|:.!I [omissis] problema della sicurezza di funzionamento, e cioè la continuità operativa e la disponibilità di dati, oltre che su un impianto infrastrutturale adeguato si basa anche su un'architettura informatica che permetta di salvare i dati in modo sicuro e ripristinarli quando necessario, correlato alla continuità di funzionamento vi è quindi il problema di come dar fronte a disastri che minino la disponibilità dei dati aziendali e la continuità di elaborazione degli stessi. Poiché attacchi esterni, guasti hardware o errori nelle applicazioni responsabili di crash dei sistemi e conseguente indisponibilità delle informazioni non possono essere del tutto evitati, la capacità di un'azienda a contenere tali minacce dipende dal suo stato di preparazione. Molti disastri possono essere evitati con un'attenta pianificazione, implementazione e sperimentazione di un adeguato piano di emergenza. A prescindere dalle sue dimensioni Gruppo Spaggiari Parma S.p.A. ha predisposto degli interventi significativi per assicurare una continuità operativa capace di affrontare eventuali eventi calamitosi, grandi o piccoli che siano. Nel documento saranno descritte le politiche di sicurezza adottate differenziando ovviamente le policy Logiche da quelle Fisiche, per queste ultime saranno infatti ulteriormente differenziati i vari Data Center di Milano (presso il comprensorio TIM S.p.A. sito a Rozzano) ed Arezzo (Datacenter IT1 Aruba S.p.A.). [omissis] Sicurezza Logica si occupa dell'integrità, disponibilità, e riservatezza delle informazioni aziendali, ed è pertanto una componente estremamente critica nel processo di produzione del business. Devono essere definite adeguate policy di autenticazione ai sistemi, in grado di garantire riservatezza ed integrità dei dati trattati. Gruppo Spaggiari Parma S.p.A. sfrutta le tecnologie più avanzate per garantire un alto livello di servizio in termini di tempestiva installazione di patch di sicurezza, gestione dei sistemi di Firewalling (in configurazione Fail-Over), Intrusion Detection, sistemi di accesso remoto con VPN, sistemi di autenticazione sia standard che avanzati (questi ultimi dotati di certificati digitali, doppie chiavi di accesso e Token-Card RSA Security). 10 EEE « POLICY DI SICUREZZA ln La gestione della sicurezza logica dei dati viene garantita attraverso diverse policy studiate e adottate ad hoc per ogni attività, sono elencate di seguito le principali: =m Policy perl'accesso ai dati (restrizioni in base ad utenti, gruppi e postazioni); = Regole perl'accesso alla rete dall'esterno; =» Policy dedicate per l'amministrazione remota dei Server tramite VPN; = Policy di accesso ad Internet; =» Continuo aggiornamenti software Antivirus e relativo Database; =» Monitoraggio giornaliero dei software e delle postazioni; =» Analisi del traffico di rete (Network based); =» Intrusion Detection System (ISS Real Secure); =» Backupe Restore dei dati ove necessario. Trattamento dei dati Uno dei temi più importanti nella sicurezza logica, oltre che la protezione di dati dall'accesso abusivo, è sicuramente il trattamento degli stessi. L'importanza delle politiche di sicurezza aziendale adottate in materia di trattamento dei dati riguarda due principali settori, quello interno (inteso come sezione interna all'azienda, per semplificare idealmente identificato nella Lan aziendale) e quello esterno (inteso come l'insieme degli accessi provenienti dall'esterno della rete aziendale e quindi dall'esterno della Lan protetta). [omissis] trattamento dei dati interni nella Lan aziendale deve obbligatoriamente subire un trattamento differente da chi effettua accessi dall'esterno di tale rete. Le policy interne sono solitamente meno restrittive che verso l'esterno ed anche in questo caso si conferma tale regola. Attraverso l'utilizzo di appositi profili informatici e l'adozione di un Domain Controller è possibile assegnare specifiche autorizzazioni agli utenti e a gruppi di utenti (suddivisi in base al loro ruolo o al settore di appartenenza). POLICY ESTERNE Per quanto riguarda l’accesso ai dati dall'esterno, le policy di sicurezza risultano molto più elevate rispetto alle precedenti. Le connessioni remote vengono infatti garantite attraverso connessioni VPN crittografate. La VPN (acronimo di rete privata virtuale) è una connessione point-to-point che permette di stabilire una connessione sicura tra un pc client dell'utente ed un Server remoto aziendale utilizzando la rete pubblica di Internet. 11 BEI POLICY DI SICUREZZA eee -\|:.!I Il Server di accesso remoto risponde alla chiamata proveniente dall'esterno richiedendo ovviamente un’autenticazione, solo se il client fornisce tali dati (delineati dall'Area Cloud&Infrastrutture aziendale solo ed esclusivamente a dipendenti che ne necessitano) viene stabilito un tunneling dove i dati vengono incapsulati, o racchiusi, in un'intestazione in modo da crittografarli e garantirne la riservatezza. Si ricorda che una volta stabilita la connessione VPN nominale 2FA con autenticazione SHA 1 e cifratura a 256 bit, l'utente esterno sarà comunque soggetto alle policy di trattamento dati definite all’interno della Lan aziendale (garantendo ulteriormente la riservatezza e la sensibilità dei dati). Sicurezza Fisica Lo scopo principale della Sicurezza Fisica nel settore IT è quello di proteggere i beni coinvolti nel funzionamento del processo aziendale. In particolare, occorre definire le politiche di salvaguardia sia dei beni, che di tutti gli impianti coinvolti nel processo di produzione del business. Le soluzioni adottate nei due Data Center sono differenti in quanto sia la loro dimensione che le loro caratteristiche risultano completamente diverse. Per questo in questo capitolo non saranno elencate tutte le policy in maniera indistinta, ma saranno proposte le soluzioni adottate nelle due location differenziandole e definendole in maniera particolareggiata. Data Center Rozzano (MI) Il Data Center principale di Gruppo Spaggiari Parma S.p.A. si trova in housing presso la Sede TIM S.p.A. di Via Toscana 3 a Rozzano (Milano). Tale Sala Server rappresenta il vero core dell’azienda da cui fornisce attività di data-collection delle vendite, sistemi a supporto dell’Assurance e soprattutto servizi SaaS Cloud per la propria clientela. Quest'infrastruttura tecnologica d'avanguardia rappresenta un asset di grande importanza strategica per Gruppo Spaggiari Parma S.p.A. Il Data Center di TIM S.p.A. rappresenta l'adeguata risposta alle ns. esigenze in quanto presenta strutture altamente industrializzate dotate dei più moderni sistemi, impianti e risorse professionali frutto di massicci investimenti e di una esperienza pluriennale nei servizi alle imprese che assicurano elevati standard qualitativi ed una capacità complessiva di oltre 5 Gbit/s (la struttura ha ottenuto certificazioni di livello Rating 3 — former Tier III Facility). 12 EEE « POLICY DI SICUREZZA ln In questa sezione saranno dettagliati i vari sistemi di sicurezza fisica a disposizione nel Data Center di Rozzano (Milano). Le policy di sicurezza fisica sono suddivise in base al loro settore ed al loro grado di importanza: = Dispositivi di protezione =» Dispositivi antintrusione al Data Center =m Sistemadi Alimentazione =» Rivelazione fumi e sistemi antincendio =» Sistemidi condizionamento e controllo della temperatura =» Sistemiantiallagamento. Il fornitore di housing TIM S.p.A. garantisce inoltre l'applicazione dello standard UNI quindi la definizione ed implementazione di un Sistema di Gestione per la Sicurezza delle Informazioni (SGSI), assicurando il controllo dei fattori legati alla tutela delle informazioni, per quanto riguarda gli aspetti tecnologici, operativi, procedurali e umani, proponendo un approccio integrato e sistematico per poter perseguire gli obiettivi di sicurezza prefissati. Tale standard vuole quindi rappresentare non solo una certezza sulla protezione dei dati, ma un ulteriore certificazione capace di garantire ulteriormente serietà ed impegno verso la propria clientela. Dal 6 ottobre 2003, la struttura di TIM S.p.A. si è inoltre certificata anche per le estensioni linee guida della propria sicurezza delle informazioni e perseguirne la conformità. Il provider dal 2019 è infine stato qualificato dall’Agenzia per l’Italia Digitale AgiD come fornitore laaS e Cloud Services Provider per la Pubblica Amministrazione, a riprova della bontà della propria infrastruttura e dei servizi offerti. 13 BEI POLICY DI SICUREZZA eee -\|:.!I Dispositivi di protezione [omissis] : Doppia recinzione esterna con grigliato metallico, strutturata in modo da facilitarne l'ispezione visiva da parte del personale di guardiania, che delimita fisicamente il perimetro esterno e per altezza, spessore; Un cancello esterno, la cui apertura è a cura del personale di sorveglianza; La portineria è realizzata con adeguate protezioni strutturali e presenta la porta di accesso posizionata verso l’interno dell’area protetta; è, inoltre, dotata di passa- documenti per lo svolgimento delle operazioni di controllo in condizioni di massima sicurezza; Ingresso esterno ad accesso singolo regolamentato da un sistema di tornelli a lettura badge. [omissis] : Barriere di allarme antintrusione e/o sistemi di video analisi avanzata, consentono il monitoraggio di eventuali intrusioni nelle aree esterne adiacenti le sale sistemi offrendo una corretta affidabilità; Un sistema di telecamere con videoregistrazione, barriere laser fence e a raggi infrarossi per la supervisione e il controllo del perimetro delle sedi e/o per la verifica ed il controllo delle aree adiacenti le sale sistemi, in alcuni casi la tecnologia utilizzata è il sistema di video analisi avanzata. [omissis] : Presidio di sorveglianza 24 ore al giorno per tutti i giorni dell’anno, presso la portineria centrale che supervisiona i transiti, identifica i visitatori ed eventualmente autorizza l’accesso all’interno della struttura; All'interno del presidio operano gli addetti alla sorveglianza che verificano la regolarità dei transiti con badge, nonché presiedono la gestione di tutte le operazioni richieste per l’accesso degli automezzi e dei visitatori al fine di garantire, nel rispetto delle procedure di sicurezza, l’integrazione tra i vari sistemi di protezione adottati e l'attivazione degli interventi previsti dalle procedure in vigore; Un badge definitivo assegnato al personale eventualmente appartenente ad una rete temporanea di impresa (RTI) previa autorizzazione attraverso sistema informatico eRAS contenente data inizio e fine validità dell'accesso ed estremi di un documento di riconoscimento della persona. Tale autorizzazione dovrà essere autorizzata da Responsabile del Centro Servizi. 14 EEE « POLICY DI SICUREZZA ln Nel caso in cui il badge venga dimenticato potrà essere richiesto alla portineria un badge visitatore dietro la consegna di un documento; = Un badge provvisorio giornaliero assegnato dal personale di portineria, a seguito della consegna di un documento di riconoscimento e la conferma della visita da parte del Responsabile di riferimento. = L'RTI implementa una politica di sicurezza degli accessi estremamente rigida e selettiva: possono accedere alle sedi solamente le persone precedentemente e preventivamente autorizzate attraverso opportuni aggiornamenti dei registri elettronici (white list), integrati con i sistemi di tornelli a lettori di badge; l'autorizzazione e l'inserimento alla white list è soggetta ad una verifica di una black list. Dispositivi antintrusione al [omissis] Sala Server del Data Center di Rozzano (Milano) è protetta da diverse misure antintrusione. Saranno elencate di seguito le soluzioni adottate ed i relativi dettagli. = Il Security Operation Center (SOC) fornito dal provider costituisce l'elemento per gli ambiti “Delivery ed esercizio di soluzioni di sicurezza ICT. Esercizio di soluzioni VOIP, fonia e dati? è composto da circa 100 specialisti che operano con un presidio H24 7x7 in due Control Room dislocate rispettivamente a Milano e Roma, ha il mandato di assicurare le attività di prevenzione e contrasto delle minacce informatiche allo scopo di mantenere il livello di sicurezza dei servizi interni e di quelli erogati alla clientela, in linea con gli obiettivi prefissati. =» l’accesso avviene tramite porte (porte tipo REI 120) costruite in modo da resistere ad elevate sollecitazioni meccaniche e termiche; =» le finestree le vetrate sono dotate di apparati di sicurezza passiva (grate in ferro, vetri blindati, resistenti ad oltre 500 Joule) e/o sistemi attivi in grado di rilevare eventuali effrazioni; =» Sono utilizzati dei sensori istallati su porte e finestre (sensori magnetici, avvisatori ottici acustici e sensori RTA) collegati ad un sistema di segnalazione degli allarmi di tipo locale e remoto; =» le areedicarico e scarico merci sono fisicamente separate dagli altri punti di accesso normalmente utilizzati dal personale interno ed esterno. Inoltre, per consentire un efficace monitoraggio degli accessi fisici e delle risorse è previsto l'utilizzo di un registro degli accessi fisici conservato in modo protetto. 15 BEI POLICY DI SICUREZZA eee -\|:.!I È previsto un inventario di tutti i sistemi e gli apparati appartenenti all’infrastruttura IT, situati all’interno dei Data Center. = A tutela delle misure specifiche per le apparecchiature e per l’accesso fisico è presente un presidio armato H24 7x7 con personale di vigilanza, con ronde da parte del personale di vigilanza, intensificate nelle ore notturne. [omissis] continuità elettrica è garantita da 4 catene di UPS, una da 3x800KkVA e tre da 4x400kVA ciascuno, tutte in configurazione ridondante N+1. Tali catene sono in grado di mantenere l'intera infrastruttura a pieno regime per mezz'ora. Il sistema di batterie di backup UPS permette di gestire un blackout di oltre mezz'ora, ma normalmente entrano in funzione solo per non creare disservizio durante l'entrata in funzione dei Gruppi Elettrogeni (in ridondanza N+1) capaci di partire in meno di un minuto. Ogni Sala Server è inoltre fornita di sistemi ridondati di Gruppi di Continuità UPS ed in ogni rack è presente un modulo capace di fornire ogni potenza ed assorbimento degli apparati installati. La configurazione descritta permette di erogare in media 4500 W per ogni rack, ma in caso di esigenze di potenza superiore a tale valore, la soluzione è stata progettata ad hoc per gestire punte fino a 5 kW su un singolo rack. Per ogni armadio sono presenti oltre 20 prese ridondate da 220V. L'intero sistema elettrico è sottoposto ad un test mensile per garantire funzionalità e affidabilità. Rivelazione fumi e sistemi antincendio Tutti gli ambienti della sede sono dotati di rilevatori antifumo (centrale CERBERUS CT 10-03 a copertura delle sale del Data Center) e antincendio con attivazione dei relativi impianti di spegnimento automatico degli incendi a saturazione di ambiente con estinguente chimico gassoso FM-200. La peculiarità del FM-200 (a prevalenza di azoto) è quella di essere un gas inerte, tollerabile dall'organismo dell’uomo, e pertanto, da un lato permette che l'evacuazione delle persone sia fatta in maniera ordinata senza rischi di ressa, dall’altro non danneggia i sistemi ed è efficace nello spegnimento della fiamma. 16 EEE « POLICY DI SICUREZZA ln Sistemi di condizionamento e controllo della tempe- ratura Gli impianti sono concepiti per poter smaltire tutta l’energia elettrica degradata in calore, al fine di garantire, sia in estate che in inverno, le seguenti condizioni ambientali: =» Temperatura 18 - 24 gradi °C; =» Umidità relativa: controllata (30-70%); =» Ricambi d'aria pari a 0.5 volumi/ora. Sistemi antiallagamento Sono previste delle sonde di rivelazione presenza liquidi nel sottopavimento in prossimità dei raccordi, delle valvole e delle derivazioni principali dell'impianto di distribuzione dell’acqua. Certificazioni Data Center Rozzano (MI) Sono riportate di seguito le certificazioni emesse da un Ente qualificato terzo sulle conformità rispettate dalla Sede TIM S.p.A. ove risiede il core dell’infrastruttura IT aziendale. Per visionare il certificato aggiornato cliccare sulla rispettiva immagine. i__ DINV:GL i MANAGEMENT SYSTEM CERTRIGNIE x 9111.TEL9 CERTIFICATE 51 [omissis] SISTEMA QUALITÀ! DI Cartitcato ca at || == Data prima envissione;Initialdateé === Vabdità/tal A REN INcERT e eee See DE MIE «08 arse io TELECOM ITALIA S.p.A. Sì cortifica che Îl sistema di Gest gestione di/This in to certifyveti that the management ge! system of VIA GAETANO NEGRI 1 - 20123 MILANO {MI} — SZ=TIM TIM S.p.A. CLIENTELA AFFARI Sede Legale: Via Gaetano Negri, 1 - 20123 Milano (MI) - Italy UNITA! OPERATIVE! GRERATTVE LITE {Riferimento al Certificato No,/ Reference to Certificate No. CERT-003-2003-AIS-ROM-SINCERT) VIA TONALE 11 - 20125 MILANO (MI) È conforme ai requisiti della norma per ll Sistema di Gestione) vai Has baen found to conform to the Management System standard: . ie n x Questa certificazione è valida This certificate ls valid VIENIRERNI HOME TERE RA RR per il seguente campo applicativo; for the following scope: modalità TaaS (In rulce) ce (Iaas) service 27018:2014., Network Services, Unified Metwork Services, Unified Communication & Communication & Collal arauan Services, Salubseation Services, ICT Security & Mobile ICT Security & MobileS {Settore EA: 35- 33) (EA Sector: 35- 33) In accordo con la Dichiarazione di Applicabilità, di ArrorA a Ni: the Statementof Applicabilit versione del 31 luglio 2017 of 31 July 2017 PARET CEMTIFIGATICAI CURRENT ISSUE EH 1996-07-25 2019-01-29. 2020-11-07 17 MEI POLICY DI SICUREZZA Data Center Arezzo (AR) Il Data Center di Disaster Recovery di Gruppo Spaggiari Parma S.p.A. si trova in housing presso il principale Data Center IT1 di Aruba S.p.A. (ad Arezzo). Questa installazione rappresenta la sicurezza per la continuità di servizio dei servizi SaaS Cloud forniti alla propria clientela. Quest'infrastruttura tecnologica d'avanguardia rappresenta un'adeguata risposta alle esigenze di Disaster Recovery in quanto presenta strutture, impianti e risorse professionali frutto di investimenti e di una esperienza pluriennale nei servizi alle imprese che assicurano elevati standard qualitativi (la struttura ha ottenuto certificazioni di livello Rating 4 — former Tier IV). In ogni modo si tratta di servizi di alta qualità erogati da un carrier diverso da quello che fornisce il servizio principale (e quindi diversamente soggetto a problematiche tecniche) e comunque locato in una posizione geograficamente separata (oltre 100 km dal Data Center principale). In questa sezione saranno dettagliati i vari sistemi di sicurezza fisica a disposizione nel Data Center IT1 Aruba (Arezzo). Le policy di sicurezza fisica sono suddivise in base al loro settore ed al loro grado di importanza: = Dispositivi di protezione = Dispositivi antintrusione al Data Center =m Sistemadi Alimentazione =» Rivelazione fumi e sistemi antincendio =» Sistemidi condizionamento e controllo della temperatura Il fornitore di housing Aruba S.p.A. garantisce inoltre l'applicazione dello standard per la Sicurezza delle Informazioni (SGSI), assicurando il controllo dei fattori legati alla tutela delle informazioni, per quanto riguarda gli aspetti tecnologici, operativi, procedurali e umani, proponendo un approccio integrato e sistematico per poter perseguire gli obiettivi di sicurezza prefissati. 18 EEE « POLICY DI SICUREZZA ln Tale standard vuole quindi rappresentare non solo una certezza sulla protezione dei dati, ma un ulteriore certificazione capace di garantire ulteriormente serietà ed impegno verso la propria clientela. Dal 21 settembre 2018, la struttura di Aruba S.p.A. si è inoltre certificata anche per le conformità. Il provider dal 29 marzo 2019 è infine stato qualificato dall'Agenzia per l’Italia Digitale AgiD come fornitore laaS e Cloud Services Provider per la Pubblica Amministrazione, a riprova della bontà della propria infrastruttura e dei servizi offerti. Dispositivi di protezione [omissis] : = Recinzione esterna con grigliato metallico, strutturata in modo da facilitarne l'ispezione visiva da parte del personale di guardiania, che delimita fisicamente il perimetro esterno; = lasala dati è realizzata ad un livello superiore a quello stradale, in modo da prevenire possibili infiltrazioni idriche; =» La portineria è realizzata con adeguate protezioni strutturali e presenta la porta di accesso posizionata verso l'interno dell’area protetta; è, inoltre, dotata di passa- documenti per lo svolgimento delle operazioni di controllo in condizioni di massima sicurezza; =» Ingresso esterno ad accesso singolo regolamentato da un sistema di tornelli a lettura badge. [omissis] : =» Barriere di allarme antintrusione e/o sistemi di video analisi avanzata, consentono il monitoraggio di eventuali intrusioni nelle aree esterne adiacenti le sale sistemi offrendo una corretta affidabilità; = Unsistemaditelecamere con videoregistrazione, barriere laser fence e a raggi infrarossi per la supervisione e il controllo del perimetro delle sedi e/o per la verifica ed il controllo delle aree adiacenti le sale sistemi, in alcuni casi la tecnologia utilizzata è il sistema di video analisi avanzata. 19 BEI POLICY DI SICUREZZA eee -\|:.!I [omissis] : =» Presidio di sorveglianza 24 ore al giorno per tutti i giorni dell’anno, presso la portineria centrale che supervisiona i transiti, identifica i visitatori ed eventualmente autorizza l’accesso all’interno della struttura; = Un badge definitivo assegnato al personale eventualmente appartenente ad una rete temporanea di impresa (RTI) previa autorizzazione attraverso sistema informatico Aruba (https://assistenza.aruba.it/it) contenente data inizio e fine validità dell'accesso ed estremi di un documento di riconoscimento della persona; = Unbadge provvisorio giornaliero assegnato dal personale di portineria, a seguito della consegna di un documento di riconoscimento e la conferma della visita da parte del Responsabile di riferimento. [omissis] continuità elettrica è garantita da 4,5 Mega Watt di potenza elettrica, completamente ridondata grazie a due Power Center Separati. Ogni Power Center ha la capacità di alimentare separatamente il data center, anche a pieno carico, ed è dotato di sistemi UPS a doppia conversione (ridondanza tipo 2N). Gli impianti di potenza e le batterie a servizio dei sistemi UPS si trovano in edifici dedicati e fisicamente separati tra di loro e rispetto all'edificio del Data Center, corredati anche di generatori di energia elettrica autonomi, con uno stoccaggio di carburante in grado di fornire energia per 48 ore a pieno carico senza fare rifornimento. Rivelazione fumi e sistemi antincendio Il Data Center è dotato di sistemi di rilevazione ed estinzione incendi automatico a gas inerte, innocuo per le persone e per i sistemi informatici ed impianto di rilevazione allagamento. Sistemi di condizionamento e controllo della temp- eratura [omissis] Grande attenzione è stata posta nell’ottimizzazione del Data Center per quanto riguarda gli aspetti di risparmio energetico. 20 EEE « POLICY DI SICUREZZA ln Tutto il sistema di condizionamento delle sale dati è realizzato con macchine ad espansione diretta di gas ad alta efficienza, collegate tra di loro in rete e ottimizzate da un sistema in grado di regolare la potenza di raffreddamento erogata. La struttura è dotata anche di sistema free-cooling. Utilizzando l’aria proveniente dall'esterno, opportunamente filtrata e corretta dal punto di vista di temperatura e umidità, è possibile ridurre al minimo lutilizzo del sistema a pompa di calore per il raffreddamento e con esso il consumo di energia elettrica e l’impatto ambientale. Gli armadi rack che ospitano i server sono dotati di un innovativo sistema di compartimentazione dell’aria fredda che garantisce la massima efficienza energetica ed il comfort degli operatori. Certificazioni Data Center Arezzo (AR) Sono riportate di seguito le certificazioni emesse da un Ente qualificato terzo sulle conformità rispettate dalla Sede Aruba S.p.A. ove risiede il sito secondario dell’infrastruttura IT aziendale. Per visionare il certificato aggiornato cliccare sulla rispettiva immagine. VE CIAU CASE Certification Certification \ 1828, Allegato al Certificato di Conformità n° JT268394/A Allegato al Certificato di Conformità ARUBA SPA N° 1IT257061/A Sede Legale a Operativa: ARUBA SPA Via San Clemente, 53 - 24036 PONTE SAN PIETRO (BG) Sede Legale e Operativa: Bureau Veritas Italia Spa certifica che il sistema di gestione Via San Clemente, 53 - 24036 PONTE SAN PIETRO (BG) dell'organizzazione sopra indicata è stato valutato e giudicato conforme ai requisiti della norma di sistema di gestione seguente Bureau Veritas Italia spa certifica che il sistema di gestione Norma dell'organizzazione sopra indicata è stato valutato e giudicato conforme ai requisiti della norma di sistema di gestione seguente Norma SEDE LEGALE E OPERATIVA | Scopo | Progettazione, sviluppo ad erogazione di software e servizi Elenco Siri hl di: 24036, PONTE SAN - Data Canter (Server Dedicati, Servar Virtuali, Colocatian, | - Soluzioni Cloud oriented in modalità laaS, SaaS a PaaS | SITO OPERATIVO + Posta sttronica convenzionale a corificata (PEC) | a o, - Firma digilale a firma qualificata, firma grafomebica e 52011 BIEGIENA (AR) — | altre soluzioni tecnologiche di firma elettronica avanzata, firma remota, servizi di Certification a ERA personalizzazionedi carte a microprocessore [omissis] Via Seno RATIO 8 Conservazione digitale sostitutiva SITOGobeti Viu OPERATIVO [Informatica ; 52100 Arezzo {AR} a . Raciun sDisaster Recoveny o malativa assistenza speciali 52100 AREZZO (AR) - Backupe Disaster Recovery - e e manutenzione di server, postazioni di lavoro, Î reti informatiche @ relativi apparati a sistemi di sicurezza SITO OPERATIVO Via Piero Gobetti,i) 96 Emissione e gestione di “Identità Digitale” &n dalle relative xcredenziali di autanticazione per l'accesso ai servizi "SPID" |: FR100 AREZZO ARI in qualità di Identity Provider ia per l'accesso al servizi °SPID' in qualità di kdentity ii » Rev. N. 1 del: 03 aprile 2018 Rav. N.1 del: 20 aprile 2018 FE pr Technical Manager dall'organismodi cenificazione: Veritas dalia SpA. Viale Monza, 7, - 20128 Miano, dalla dell'argarismo di certificazione: Borta Vertni italia SpA, Viale Monra, 37, POTFI Milano, Malo Per controllare la validità di questo certificato consultare ll sito Itinera Buraavarita a\coriicato È possibile visionare tutte le certificazioni acquisite da Aruba S.p.A. al fine di assicurare efficacia ed efficienza delle proprie strutture Data Center selezionando il seguente link: Certificazioni Gruppo Aruba S.p.A. 21 BEI POLICY DI SICUREZZA eee -\|:.!I Informazioni di contatto In questo capitolo sono riportati i contatti telefonici ed e-mail di alcuni dipendenti dell’Area Cloud&Infrastrutture di Gruppo Spaggiari Parma S.p.A. Tali recapiti sono da ritenersi indispensabili in caso di Disaster e/o Emergency Hardware o Software. Tali contatti sono i principali da utilizzare per richiedere maggiori dettagli e/o delucidazioni sul presente documento e sul sistema di Sicurezza Informatica [omissis] presente elenco risulterà inoltre necessario sia in caso di Disaster sia per attivare le corrette procedure di Escalation dettagliate nel “Manuale Operativo per la Sicurezza delle Informazionî'. Resp. Area Cloud&Infrastrutture Manutentore Reti & HW Tel. +39 0521 299420 Tel. +39 0521 299420 Mobile +39 334 6658952 Mobile +39 335 1217281 taruffi@spaggiari.eu culmone@spaggiari.eu Informazioni sulla società Gruppo Spaggiari Parma S.p.A. Via Bernini 22/A, 43126 — Parma (PR) Tel. 0521 2992 Fax 0521 291657 WWW. Spaggiari. eu 22 Elenco dei Sub-responsabili autorizzati dal Titolare: a) Stardata S.r.l. - Relativamente all'erogazione tecnica dei servizi informatici e manutenzione dell’infrastruttura IT Sede Legale/Luogo del Trattamento: Largo B. Bucciarelli Ducci, 1/A - 43123 Parma (PR) b) Google LLC - Relativamente all'erogazione tecnica del servizio di posta elettronica Sede Legale/Luogo del Trattamento: 1600 Amphitheatre Parkway, Mountain View, CA - 94043 Stati Uniti. o) MailUp - Relativamente all'erogazione dei servizi di posta elettronica delle piattaforme Cloud fruite dalla clientela d) Akamai Technologies S.r.l. - Relativamente all'erogazione dei servizi di Content Delivery Network “CDN” Sede Legale/Luogo del Trattamento: Via Uberto Visconti di Modrone 11 - 20122 Milano (MI) Strutture territoriali - Relativamente all'erogazione dei servizi di installazione, intervento tecnico e assistenza delle proprie aree di competenza x Studio di Informatica e Telematica di B. Mina - Installazione, intervento tecnico, formazione e assistenza Sede Legale/Luogo del Trattamento: Via Martinetto, 22 - 12030 Cavallermaggione (CN) Informatics Line S.n.c. - Installazione, intervento tecnico, formazione e assistenza Sede Legale/Luogo del Trattamento: Via Gorizia, 42 - 57029 Livorno (LI) L'Ufficio 2000 di A. Spinelli & C. S.n.c. - Installazione, intervento tecnico, formazione e assistenza Sede Legale/Luogo del Trattamento: Via S. Francesco, 23 - 03023 Ceccano (FR) Infotek S.a.s. di D. Perrotta - Installazione, intervento tecnico, formazione e assistenza Sede Legale/Luogo del Trattamento: Via Pompeo Trogo, 43 - 00136 Roma (Roma) Set Soluzioni S.r.l. - Installazione, intervento tecnico, formazione e assistenza RR Sede Legale/Luogo del Trattamento: Via Ludovico di Breme, 8 - 00137 Roma (RM) Innovativa Servizi Informatici S.r.l. - Installazione, intervento tecnico, formazione e assistenza Sede Legale/Luogo del Trattamento: Via E. Fermi, 24 - 70029 Santeremo in Colle (BA) Information Technology Service S.r.l. - Installazione, intervento tecnico, formazione e assistenza Sede Legale/Luogo del Trattamento: Via Antiniana, 115 - 80078 Pozzuoli (NA) LF Technology S.r.l. - Installazione, intervento tecnico, formazione e assistenza Sede Legale/Luogo del Trattamento: Via Il Circonvallazione, 47A - 89029 Taurianova (RC) Sede Legale/Luogo del Trattamento: Via Grosseto, 2 - 07029 Tempio Pausania (SS) Sede Legale/Luogo del Trattamento: Via Baronia, 28 - 09121 Cagliari (CA) Allegato B del Contratto di nomina a Responsabile del trattamento dei dati personali ai sensi dell'art. 28, Reg. (UE) 2016/679 Pag.1di1