IT e Data Security Policy

Ultimo aggiornamento del 04/04/2023

Premessa

Ai sensi di quanto previsto dall’art. 32 del Reg. UE 2016/679 (di seguito, anche GDPR), Dilaxia ha l’obbligo, sia che tratti i dati personali in qualità di Titolare ovvero di Responsabile, di adottare “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”.

Il presente documento ha lo scopo di indicare le misure tecniche ed organizzative, strutturali e tecnologiche, che sono implementate da parte di Dilaxia sulla Suite Forwork, dedicata alla gestione degli adempimenti di cui al D.Lgs 81/2008 in materia di sorveglianza sanitaria e sicurezza sul lavoro, composta dai Software as a Service Medwork, Safework e Trainwork, al fine di garantire un adeguato livello di sicurezza e protezione dei dati personali conservati e trattati tramite l’applicativo.

Forwork Suite

La Suite Forwork - https://www.forwork.com/ è composta dai Software as a Service: Medwork, Trainwork e Safework.

Medwork: la Sorveglianza Sanitaria

Medwork - https://www.medwork.it/ è il software dedicato alla gestione della medicina del lavoro in azienda, di cui al D. lgs 81/2008 e s.m.i.

Trainwork: la Formazione

Trainwork - https://www.trainwork.it/  è il software per la formazione legata alla sorveglianza sanitaria ed alla sicurezza sul lavoro.

Safework: la Sicurezza sul lavoro

Safework - https://www.safework.it/ è il software per la gestione degli adempimenti sulla sicurezza sui luoghi di lavoro.

Misure tecniche

Data Management

Dilaxia si serve di datacenter ubicati esclusivamente in UE.

Amazon Web Services

Il Data Center Amazon Web Services (di seguito, AWS), Fornitore/Responsabile del trattamento di Dilaxia, appartenente alla “Regione EU-west-1" è ubicato in Irlanda.

Per meglio comprendere il significato del termine “Regione”, secondo l’interpretazione data da AWS, si rimanda alla seguente link:

Per comodità di lettura, si riporta di seguito un estratto.  

Attraverso la console del servizio EC2 di AWS, al quale fanno capo i server virtuali acquistati da Dilaxia e utilizzati da quest’ultima per fornire i servizi relativi alla Suite Forwork, è possibile verificare in quale Regione l'ambiente venga eseguito.

AWS garantisce contrattualmente che i dati non vengono trasferiti dalla Regione di archiviazione prescelta attraverso la console di amministrazione in uso di Dilaxia.

Atlas - MongoDb

Il Data Center Atlas, Fornitore/Responsabile di Dilaxia per la gestione dei Database MongoDB, è sito in Irlanda. (Region eu-west-1).

Le specifiche sulla sicurezza e protezione dei sistemi forniti da Atlas sono consultabili all’indirizzo:  

Data Storage

Dilaxia si serve di datacenter ubicatI dati personali e le informazioni inserite nella Suite Forwork vengono trascritte all’interno di un Database MongoDB, ospitato in una infrastruttura Atlas in UE.i esclusivamente in UE.

Sistemi Operativi e Software utilizzati

L’infrastruttura che ospita la Suite Forwork è costituita da:

• Sistema operativo Linux (versione AWS)
• Applicativi Medwork, Safework e Trainwork  
• Web Server NodeJs
• Loopback

All’interno di una infrastruttura separata, è presente il Database Atlas su cui vengono conservati e archiviati informazioni e dati personali.  

Auditing & Penetration Test

  1. DILAXIA, quale sviluppatore della Suite Forwork:  

    a) a cadenza almeno annuale, da mandato ad una terza parte di eseguire una specifica attività di Vulnerability Assessment & Penetration Test.  
    A richiesta del licenziatario, Dilaxia può fornire un estratto dell’ultimo report con i risultati del test di VA/PT effettuato sulla Suite Forwork.  

    b) anche quale Responsabile del trattamento, accetta, così come previsto dall’art. 28, par. 3 lett. h) e 3, GDPR, l’eventuale esecuzione da parte dei licenziatari della Suite Forwork di ispezioni e di audit, riservandosi di verificare caso per caso la praticabilità e/o ragionevolezza degli stessi.
  2. AWS disciplina le modalità per la praticabilità di Penetration Test: http://aws.amazon.com/security/penetration-testing/
    Inoltre, il servizio di sicurezza previsto da AWS invia ad Dilaxia, attraverso un sistema di allert,  qualsiasi tentativo non autorizzato di intrusione.  

Blocco degli Utenti loggati

Nel caso in cui, per motivi di necessità ed urgenza, sia necessario inibire l’accesso alla Suite Forwork di determinati utenti, è possibile utilizzare la seguente procedura:

• Accedere al software con ruolo di Amministratore e recarsi alla sezione Impostazioni > Utenti
• Selezionare gli utenti interessati e de-selezionare il flag “Attivo”

Concluso il motivo/evento che ha comportato il blocco degli utenti, sarà possibile riattivare gli utenti stessi con una procedura analoga ed inversa.

Policy per l'estrazione dei dati dall'applicativo

Sulla base delle logiche con le quali la Suite Forwork  è stata sviluppata, sono state create specifiche funzionalità per l’estrazione, in qualsiasi momento, di informazioni e documenti contenuti nell’applicativo.  

L’estrazione di dati e informazioni dall’applicativo è una operazione sottoposta a logging, cfr. successivo punto 6.3

Log Access attività Utenti

Ogni azione eseguita dall'Utente all’interno dell’ambiente della Suite Forwork, relativa ad una determinata “entità” (Aziende, Lavoratori, Accertamenti, ecc.) è registrata attraverso un sistema di logging.

Tali informazioni verranno mantenute in un applicativo separato, con una relativa funzione di storage, con conservazione almeno semestrale.

Le azioni che vengono registrate sono:

• Login / Logout utente
• Inserimento nuovo elemento
• Modifica elemento esistente
• Cancellazione elemento esistente

Per ogni attività vengono registrati i dati relativi a:

• Utente che ha eseguito l’operazione
• Orario dell’operazione
• Tipologia dell’operazione

Informazioni raccolte

All’interno del file di log sarà possibile trovare le seguenti informazioni:

• Tipologia di operazione eseguita
• Entità interessata
• Utente loggato
• Orario dell’operazione

Cancellazione dei dati e informazioni

Singoli dati o informazioni

La cancellazione di specifiche informazioni o dati da parte dell’Utente attraverso le funzionalità previste dall’applicativo, considerata la finalità di utilizzo della Suite Forwork (assolvimento degli obblighi di cui al D.Lgs n. 81/2008), non è una cancellazione definitiva perché è una operazione reversibile tramite intervento tecnico di Dilaxia: tale intervento soggiace a determinate condizioni.

Database

La cancellazione dell’intera base di dati, strutturata e non strutturata, non può essere eseguita autonomamente da parte del licenziatario ma viene eseguita da parte di Dilaxia, a fronte di preventiva autorizzazione per iscritto da parte del licenziatario dell’applicativo, e comporta:

  • Drop della base dati MongoDB con gli appositi comandi irreversibili messi a disposizione da MongoDB
  • Cancellazione dei backup locali di Atlas tramite appositi software di cancellazione sicura. Il singolo dato verrà definitivamente rimosso anche dai backup a distanza di 7 giorni dalla data di scrittura.
  • Cancellazione degli allegati dal file system tramite appositi software di cancellazione sicura
  • Cancellazione, tramite le procedure previste da Amazon, dei dati conservati su Amazon Glacier (http://docs.aws.amazon.com/amazonglacier/latest/dev/deleting-an-archive.html)

Restituzione dei dati e informazioni

Per quanto attiene ai dati in formato strutturato, il licenziatario ha la possibilità in qualsiasi momento di utilizzare la funzione di download prevista nel SaaS.  

Al termine del rapporto contrattuale con Dilaxia, per qualsiasi causa intervenuto, i dati strutturati sono memorizzati all’interno di un database MongoDB nel formato nativo previsto da tale applicativo.

Gli allegati sono conservati, in forma cifrata, su file system.

I dati, ancorché gestiti da Dilaxia, sono e rimangono di esclusiva proprietà e titolarità del licenziatario che ne può richiedere la restituzione.  

• Per quanto riguarda i dati strutturati, questi potranno essere forniti in un formato di uso comune;
• Invece, per quanto attiene agli allegati (Referti, Giudizi etc.), questi potranno essere forniti in chiaro e con una tabella di corrispondenza file – dato strutturato di afferenza, in un formato di uso comune.  

Infine, in relazione ai dati in formato non strutturato, al termine del rapporto contrattuale con Dilaxia, il Cliente potrà richiedere la restituzione di tali dati. L’attività soggiace ad ulteriori condizioni.

Portabilità dei dati e informazioni

Al termine del rapporto contrattuale con Dilaxia, per qualsiasi causa intervenuto, i dati strutturati di titolarità del licenziatario saranno resi disponibili, a scelta di quest’ultimo, attraverso una delle seguenti modalità:

  1. Download di archivio cifrato via connessione https e consegna separata della chiave di cifratura;  
  1. Spedizione assicurata di supporto fisico con contenuto cifrato e consegna separata della chiave di cifratura.

Migrazione dei dati

Al termine del rapporto contrattuale con Dilaxia, per qualsiasi causa intervenuto, al fine di migrare i dati e le informazioni conservate nella Suite Forwork ad altro sistema applicativo, trasferendo in questo modo l’intera base di dati strutturata e non strutturata, è necessario:

  1. Richiedere estrazione preliminare dei dati strutturati e non strutturati  
  1. Mettere a punto opportune procedure di importazione nel nuovo sistema informativo
  1. Richiedere l’esportazione definitiva dei dati strutturati e non strutturati  
  1. Procedere alla importazione definitiva nel nuovo sistema informativo
  1. Richiedere la cancellazione “sicura” dei dati a Dilaxia  

L’attività di migrazione dei dati ad altro sistema applicativo soggiace ad ulteriori condizioni.  

Access Policy

Accesso al portale web

La policy di accesso alla Suite Forwork ed ai dati ivi contenuti è stringente:

a) Credenziali univoche e password complesse;
b) Scadenza password ogni 3 mesi;
c) Disattivazione temporanea account utente a seguito di 3 tentativi di accesso;
d) Scadenza della password dopo inattività account di 6 mesi.

Two factor Authentication

A richiesta, è possibile attivare la modalità di autenticazione a due fattori per l’accesso alla Suite Forwork.  

Per effettuare il login sarà necessario installare sul proprio smartphone l’applicazione di Google Authenticator.

Dopo aver inserito le proprie credenziali sul portale web di Forwork, verrà richiesto l’inserimento di un codice alfanumerico generato dall’applicazione di Google Authenticator sullo smartphone dell’utente. Questo consentirà un maggiore controllo sugli accessi degli utenti a Forwork.

Accesso da parte di Dilaxia all'ambiente ove sono conservati i dati

La policy di accesso alla Suite Forwork da parte del personale tecnico di Dilaxia è altrettanto stringente:

  1. Ai server che gestiscono l’applicazione si accede unicamente dall’IP pubblico di Dilaxia, associato alla connettività locale dell’azienda;
  2. Per accedere alla base dati, bisogna autenticarsi tramite credenziali personali di accesso.  
  3. Elencazione dei System & Database Admin per il personale con tale funzione, con revisione periodica delle autorizzazioni e permessi.

La su estesa procedura è residuale in quanto il deploy delle nuove funzionalità avviene attraverso il pannello di controllo di AWS senza accedere al server.  

L’accesso da parte del personale tecnico di Dilaxia avviene attraverso un sistema di autenticazione a due fattori.  

Disattivazione degli Utenti

Policy di disattivazione Utenti applicazione

In conformità alle policy di sicurezza applicate ai processi gestionali e operativi del licenziatario, le credenziali di autenticazione degli utenti dell’applicativo, non più autorizzati ad accedervi, sono disattivate autonomamente dal Cliente attraverso l’apposita funzionalità prevista dall’applicativo ovvero, a richiesta, da parte di Dilaxia.  

Le credenziali di autenticazione non utilizzate dall’utente da almeno 6 mesi vengono automaticamente disattivate  

Policy di disattivazione Utenti sistema

In relazione alle policy di sicurezza applicate ai processi gestionali e operativi di Dilaxia, le credenziali di autenticazione dei tecnici che accedono all’ambiente Site Forwork vengono disattivate dalla data di cessazione del rapporto lavorativo.

In questo modo, l’ex dipendente non può più accedere alla rete interna di Dilaxia e, di conseguenza, ai server e ai database legati all’applicazione.

Amministratori di Sistema

Le utenze amministrative (System & Database Administrator) sono gestite da parte di Dilaxia in ossequio alle prescrizioni imposta dal Provvedimento 27 novembre 2008 del Garante per la Protezione dei Dati Personali e s.m.i., con particolare riferimento all'individuazione, qualificazione e designazione scritta dei singoli Amministratori di Sistema e Database e all’assegnazione univoca e sicura di credenziali di autenticazione complesse.

Elenco degli Amministratori di Sistema

Dilaxia è disponibile a fornire un elenco aggiornato dei propri Amministratori di Sistema e Database della Suite Forwork.

Log Access di Dilaxia

L’attività degli Amministratori di Sistema e Database di Dilaxia è tracciata tramite sistema di Access Log, con le seguenti caratteristiche:

a) Completezza
b) Inalterabilità
c) Integrità con possibile verifica ex post
d) Riferimenti temporali (timestamp) e descrizione sintetica dell’evento (log-in e log-out, success or failed).

Cifratura Allegati ed ID Lavoratore

La documentazione medica che può essere caricata all’interno della Suite Forwork viene sottoposta, by default, ad una procedura di cifratura prima di essere salvata sullo storage.

La cifratura dei record viene eseguita dall’applicazione prima di essere salvata sul Database.

Le informazioni relative alle entità collegate ai Dipendenti (Aziende, Accertamenti, Giudizi, ecc.) vengono registrate in tabelle logicamente separate del Database.

Inoltre, i riferimenti ai lavoratori (ID Lavoratore) vengono cifrati all’interno delle tabelle che contengono dati particolari (sanitari).  

Nel caso in cui si verificasse un accesso non autorizzato al Database, non sarebbe in ogni caso possibile ricostruire i collegamenti tra ID Lavoratore ed i rispettivi dati particolari-sanitari, in ragione dell’algoritmo di cifratura che è incluso nel codice dell’applicazione Suite Forwork Suite.

Backup & Disaster Recovery Policy

Il Piano di Backup della Suite Forwork prevede:

  • Backup di Atlas eseguito:
    - ogni 12 ore con retention di 7 giorni;  
    - ogni settimana con retention di 1 mese;  
    - ogni mese con retention di 1 anno con possibilità di recupero dei dati in tempo reale fino a 90 giorni precedenti  
  • Backup remoto in tempo reale degli allegati sul servizio Amazon S3 (http://aws.amazon.com/s3/);
  • Tutti i file soggetti a backup sono criptati nativamente da Amazon.  

Dilaxia ha inoltre adottato una specifica politica per il ripristino dei dati in caso di evento disastroso.  

In particolare, sono stati definiti:

  • RPO (Recovery Point Objective) -> 12 ore
  • RTO (Recovery Time Objective) -> 2 giorni

Need to Know

In ossequio a quanto previsto dalla normativa applicabile in materia di protezione dei dati personali nonché di quella in materia di salute e sicurezza sul lavoro di cui al D.Lgs n. 81/2008, la Suite Forwork consente, by default, la consultazione dei dati particolari relativi allo stato di salute degli interessati esclusivamente all’utente Medico Competente.  

In caso eccezionali, a fronte di espressa richiesta da parte del licenziatario, la consultazione di dati particolari relativi allo stato di salute degli interessati può essere concessa ad altre tipologie di utenti, che potrebbero avere ruoli applicativi autorizzati alla visione degli stessi.  

Misure organizzative

Ruolo di Dilaxia

DILAXIA, quale sviluppatore della Suite Forwork, in conseguenza delle attività di sviluppo e manutenzione effettuate sull’applicativo, agisce in qualità di Responsabile del trattamento, così come previsto dall’art. 28 del Reg. UE 2016/679, per conte del licenziatario della Suite Forwork.  

Il licenziatario della Suite Forwork può essere qualificato quale Titolare del trattamento, ai sensi dell’art. 4 par. 1 n. 7, del Reg. UE 1026/679, dei dati personali trattati per la gestione degli obblighi derivanti dalla sorveglianza sanitaria ovvero può essere inquadrato quale (primo o altro) Responsabile del trattamento per conto di diversi e autonomi Titolari del trattamento (ci si riferisce, ad esempio, al caso di una Società di servizi sulla medicina del lavoro - responsabile - nei confronti del Datore di lavoro – titolare). In questo caso, Dilaxia ricopre la qualifica di altro (Sub-)Responsabile del trattamento dei dati personali, ai sensi e per gli effetti dell’art. 28, par. 4, Reg. UE 2016/679, trattati dal licenziatario per conto del titolare del trattamento.  

Dilaxia, sebbene non abbia alcuna titolarità dei dati trattati attraverso la Suite Forwork, quale Responsabile o altro Responsabile del trattamento ex art. 28 Reg. UE 2016/679, è in grado di garantire che la Suite Forwork sia tecnicamente adeguata al rispetto dei requisiti di sicurezza e protezione stabiliti dalla normativa applicabile in materia di protezione di dati personali, comunitaria e nazionale, e che sull’applicativo siano implementate adeguate tecnologie di protezione, fisiche e logiche, dei dati ivi contenuti.  

Trattamento di dati personali e particolari

Preliminarmente, è utile distinguere i trattamenti di dati personali comuni (ad es. anagrafica del lavoratore) dal trattamento di dati sanitari (i.e. referti medici) e valutare le responsabilità nascenti da tali trattamenti effettuati attraverso la Suite Forwork da parte del licenziatario, del Medico competente da questo designato e da parte di Dilaxia.  

Il Licenziatario, quale Datore di lavoro, è titolare del trattamento dei dati personali comuni dei propri lavoratori per la gestione degli obblighi di cui al D.Lgs n. 81/2008 nonché di particolari categorie di dati personali afferenti alla sfera sanitaria dell’interessato del lavoratore limitatamente agli eventuali giudizi di inidoneità emessi dal Medico Competente.  

I dati relativi alle cartelle sanitarie e di rischio dei lavoratori non dovrebbero mai finire nella disponibilità di un Datore di lavoro.  

Il Medico Competente, invece, quale professionista in possesso dei requisiti di cui all’art. 38 della citata disposizione normativa, è autonomo titolare dei dati personali particolari (i.e. sanitari) dei lavoratori in quanto unico soggetto legittimato a trattare tale tipologia di dati per le finalità indicate dal D.Lgs n. 81/2008.  

Questo aspetto è stato ribadito dal Garante per la protezione dei dati personali nella propria Relazione annuale del 2019, paragrafo 13.14: “[…] Sulla base di tali valutazioni, il Garante ha tradizionalmente considerato il medico competente un autonomo titolare e, nonostante gli accertamenti volti a verificare l’idoneità̀ alla mansione specifica del dipendente siano obbligatori per legge e svolti a spese e a cura del Datore di lavoro (artt. 39, comma 5 e 41, comma 4, d.lgs. n. 81/2008), essi devono essere effettuati esclusivamente tramite il professionista. Egli è, infatti, l’unico soggetto legittimato a trattare i dati sanitari dei lavoratori per le finalità̀ indicate dalla disciplina di settore, come chiarito dal Garante in un provvedimento […]”.

Dilaxia, quale sviluppatore dell’applicativo Suite Forwork, è Responsabile del trattamento, ai sensi e per gli effetti dell’art. 28 del Reg. UE 2016/679, dei dati personali dei lavoratori (anagrafiche, giudizi di idoneità/inidoneità etc.) per conto del Titolare-Datore di lavoro per finalità di gestione, manutenzione e sviluppo del software in esecuzione del contratto di licenza del SaaS.  

Al contempo, Dilaxia è Responsabile del trattamento dei dati personali comuni e sanitari dei lavoratori per conto di un diverso e autonomo titolare: il Medico Competente designato dal Datore di lavoro.  

Il Medico Competente, pertanto, quale autonomo titolare del trattamento dei dati sanitari dei lavoratori che si devono sottoporre a sorveglianza sanitaria in ossequio agli obblighi in capo al Datore di lavoro di cui al D.Lgs n. 81/2008, e quale soggetto tenuto ad applicare e rispettare la normativa in materia di protezione dei dati personali, è il soggetto dal quale può discendere la legittimazione del Responsabile del trattamento-Dilaxia a trattare i dati personali sanitari dei lavoratori del Datore di lavoro.

Dilaxia, pertanto, riveste il duplice ruolo di Responsabile del trattamento per conto del licenziatario-Datore di lavoro per le attività di gestione e manutenzione del SaaS, con esclusione di quella porzione di dati (sanitari) e funzionalità di cui la titolarità è in capo al Medico Competente. Per queste ultime funzionalità e informazioni, Dilaxia riveste un ulteriore ruolo di Responsabile del trattamento per conto del Medico Competente.  

Data Processing Agreement - Medico Competente

Al fine di agevolare la ripartizione delle responsabilità nascenti dal trattamento di dati personali da parte dei soggetti utilizzatori del SaaS Forwork, in ottica di accountability, Dilaxia ha voluto introdurre una specifica funzionalità all’interno del proprio applicativo.  

Al primo accesso dell’”Utenza Medico Competente” viene sottoposto al Medico Competente, e da quest’ultimo accettato tramite apposita spunta, un Data Processing Agreement ex art. 28 Reg. UE 2016/679 con il quale il MC designa Dilaxia quale Responsabile del trattamento dei dati sanitari dei lavoratori per le finalità di gestione e conservazione della cartella sanitaria e di rischio associata all’anagrafica del lavoratore.

Interpello 4/2019 - Ministero del Lavoro

In relazione al quesito posto dalla Federazione Nazionale degli Ordini dei Medici Chirurghi e degli Odontoiatri (FNOMCeO) nell’Interpello 4/2019 depositato avanti al Ministero del Lavoro, «è giustificata la richiesta al Medico Competente di inserire dati sanitari in un data base aziendale complesso? Non sarebbe più opportuno limitare l’inserimento al giudizio di idoneità ed alle limitazioni, lasciando ad altri files, nelle uniche disponibilità del Medico, i dati più “personali”? E’ lecito che l’Amministrazione di sistema sia lo stesso Datore di lavoro od un lavoratore dipendente dallo stesso individuato?”, per quanto attiene all’accesso da parte di Dilaxia ai dati sanitari conservati e trattati nella propria infrastruttura informatica in qualità di Amministratore del sistema, l’interpretazione dell’Interpello 4 deve muovere dalla riflessione sul fatto che il Titolare dei dati sanitari del lavoratore non è il Datore di Lavoro, bensì il Medico Competente dallo stesso designato (cfr. Punto 8.1.1).  

Dilaxia è conforme a quanto indicato nell’interpello 4/2019 del Ministero del Lavoro nella misura in cui non è Responsabile del trattamento con funzioni di Amministratore del Sistema (interno o esterno) per conto del Datore di lavoro per i trattamenti attinenti ai dati sanitari dei lavoratori in quanto la titolarità su tali dati compete esclusivamente al Medico Competente.

Dilaxia è altresì conforme all’interpello citato perché consente l’accesso ai dati sanitari dei lavoratori unicamente al Medico Competente designato dal Datore di lavoro.

Il Datore di lavoro (ovvero un lavoratore dipendente da quest’ultimo designato AdS) non ha accesso ai dati sanitari dei propri lavoratori in quanto questo non è consentito dalle logiche dell’applicativo Suite Forwork.  

Compliance della Suite Forwork

Forwork Suite è conforme alla normativa vigente in tema di sicurezza nei luoghi di lavoro di cui al D.lg. 81/08 e s.m.i., alla normativa in materia di protezione dei dati personali di cui al Regolamento UE 2016/679 e al D.Lgs n. 196/2003 e s.m.i., nonché - nello specifico - ai principi di privacy by design e by default rispetto alla:

  1. Adeguatezza, pertinenza e minimizzazione delle informazioni richieste;
  2. Separazione logica dei dati personali comuni dai dati particolari;
  3. Gestione profilata degli utenti e controllo degli accessi;  
  4. Salvataggio e backup dei dati;
  5. All’art. 53 D. D.lg. 81/08 e s.m.i.;
  6. Adeguatezza delle misure di sicurezza, tecniche ed organizzative, ex art. 32 GDPR.

Registro Pubblico del Software presso SIAE

La Suite Forwork è registrata presso il Registro Pubblico Speciale per i Programmi per Elaboratore istituito presso la Società Italiana degli Autori ed Editori (SIAE).  

Numero Registrazione: D000015304 del 04/07/2021.  

ISO 9001:2015

Dilaxia è certificata ISO 9001:2015 - Sistemi di Gestione della Qualità nei seguenti campi di applicazione:

  1. Progettazione e sviluppo di soluzioni software
  2. Erogazione prodotti in ambito software
  3. Progettazione, realizzazione e manutenzione di infrastrutture informatiche
  4. Servizi di consulenza e formazione nel settore informatico, a corredo dei servizi erogati

Ente Certificatore: Bureau Veritas Italia S.p.A.  

Modello Organizzativo Privacy di Dilaxia

In aggiunte alle misure organizzative a protezione dei dati personali trattati quali, a titolo esemplificativo ma non esaustivo, redazione del Registro delle attività di trattamento, sottoscrizione Data processing Agreement con responsabili e profili autorizzativi con il personale tecnico, così come stabilite dalla normativa applicabile in materia, Dilaxia ha adottato le seguenti ulteriori misure:

Team Compliance interno

Dilaxia si è dotata di figure professionali specializzate in ambito giuridico ed informatico che formano il Team Legal, Privacy & Compliance.

Il team può essere contattato scrivendo a privacy@dilaxia.com

Data Protection Officer

Dilaxia, al fine di sorvegliare sull’osservanza del rispetto dei principi sulla protezione dei dati personali nei propri processi di trattamento di dati personali in Azienda, ha ritenuto strategico dotarsi di un Data Protection Officer, con le competenze di cui agli artt. 37 e seg. Reg. UE 2016/679.

Il DPO è contattabile all'indirizzo dpo@dilaxia.com

Diritti degli interessati

Dilaxia è in grado di gestire e riscontrare, nei termini previsti dalla normativa applicabile in materia di protezione dei dati personali, le richieste che dovessero prevenire dagli interessati coinvolti nel trattamento dei dati personali.  

È stato implementato un canale di comunicazione dedicato: privacy@dilaxia.com

Responsabili di Dilaxia

Dilaxia si serve dei servizi di:

  1. Amazon (Amazon Web Services).  
  2. Atlas (Mongo DataBase)
  3. Fornitori esterni, per lo sviluppo di determinate funzionalità limitate a particolari sezioni dell’applicativo (eventuale).  

Ogni Fornitore è stato qualificato quale Responsabile/Sub-Responsabile del trattamento, ai sensi e per gli effetti dell’art. 28 del Reg. UE 2016/679, attraverso la sottoscrizione di specifici accordi (Data Processing Agreement).  

Breach Management

Responsabilità sui dati personali trattati

Il modello di responsabilità per le soluzioni basate sui servizi AWS è il seguente:

Immagine che contiene screenshotDescrizione generata automaticamente

In estrema sintesi:

  • Il licenziatario della Suite Forwork è responsabile del primo strato: “Customer Data”, pertanto è l’utilizzatore del tool che deve garantire la genuinità del dato personale e/o particolare inserito e poi conservato nella Suite Forwork ;
  • Dilaxia è responsabile per i sottostanti strati blu: Platform, Applications (Logic and Storage), Operating System, Encryption, Network Traffic Protection,  
  • AWS, Sub-Responsabile, è responsabile degli strati arancioni: compute, storage, database, networking, global infrastructure

Quali sono le procedure di notifica degli incidenti di sicurezza AWS?

AWS informa attraverso la Service Health Dashboard delle eventuali interruzioni temporanee di servizio o perdita di dati (https://status.aws.amazon.com/#EU_block).  

Dilaxia ha inoltre sottoscritto il relativo feed RSS che la informa delle eventuali interruzioni di servizio o perdita di dati sulla zona di riferimento, in modo attivo.

Quali sono le procedure di comunicazione del data breach da parte di Dilaxia?

Dilaxia, nel proprio ruolo di Responsabile o Sub-Responsabile del trattamento dei dati personali, ha l’obbligo di informare senza indebito ritardo il Titolare o il Responsabile del trattamento dopo essere venuto a conoscenza di un evento di violazione dei dati personali.  

Dilaxia, al fine di garantire una tempestiva gestione di ogni eventuale evento di violazione di sicurezza sui dati personali trattati, ha implementato specifiche politiche interne e procedure operative.  

Qui di seguito si riporta brevemente una sintesi della procedura di Data Breach Management attualmente adottata da Dilaxia:

Operazioni preliminari

Dilaxia ha individuato nel Team Privacy quale Responsabile interno all’azienda deputato alla gestione delle Violazioni dei dati personali (Data Breach) -  privacy@dilaxia.com

Per Data Breach o Violazione dei Dati Personali si intende una “violazione di sicurezza che comporta - accidentalmente o in modo illecito - la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.  

Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali.

Dilaxia ha istruito il personale dipendente che, ogni qualvolta si presenti il sospetto che si sia verificata una violazione di dati, deve tempestivamente inoltrare una segnalazione al Team di lavoro dedicato alla gestione dell’evento.  

Qui di seguito, a titolo esemplificativo ma non esaustivo, vengono illustrate le principali casistiche di Data Breach:

  1. l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;
  2. il furto o la perdita di dispositivi informatici contenenti dati personali;
  3. la deliberata alterazione di dati personali;
  4. l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.;  
  5. la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;
  6. la divulgazione non autorizzata dei dati personali.
  7. Sospetto di accesso non autorizzato nel proprio PC
  8. Comportamento anomalo del proprio PC o dispositivo informatico

Operazioni procedurali

Il Team, ricevuta la segnalazione, valuta preliminarmente se la segnalazione possa avere i contorni e le caratteristiche di una violazione dei dati personali trattati da Dilaxia

Il Team in caso l’indagine preliminare dia esito negativo può chiudere la procedura.  

Nel caso in cui l’evento possegga le caratteristiche di un Data Breach, deve procedere come segue:

  1. Coinvolgere il Responsabile di funzione avviando un’analisi finalizzata alla raccolta delle informazioni concernenti l'incidente, all’uopo utilizzando la “Scheda Evento Data Breach”, contenente tutte le informazioni necessarie all’analisi.
  2. Coinvolgere il Data Protection Officer
  3. Il Team, analizzato l’evento, produce una relazione sulle conseguenze del Breach evidenziando all’interno del documento le azioni correttive e/o migliorative che verranno intraprese.  
  4. Il Team dovrà annotare l’evento all’interno del Registro delle violazioni, ex art. 33 GDPR.

Data Protection Impact Assessment

La Valutazione di Impatto Privacy (Data Protection Impact Assessment), ai sensi dell’art. 35 GDPR e deve essere redatta allorquando il trattamento di dati personali presenti un rischio concreto ed elevato per i diritti e le libertà degli interessati coinvolti.  

Ai sensi dell’art. 35, par. 3, GDPR, la DPIA si rende necessaria e obbligatoria in presenza delle seguenti tipologie di trattamento:  

  1. di una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato;  
  2. di un trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali e a reati;  
  3. di una sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

In ottica di accountability ed a seguito dell’attività di audit e assessment svolta sui propri processi di trattamento, Dilaxia ha deciso di predisporre una DPIA inerente al trattamento di dati particolari appartenenti alla sfera sanitaria dell’interessato conseguente allo sviluppo della Suite Forwork per la sorveglianza sanitaria in azienda.  

Il trattamento di dati particolari conseguente all’utilizzo della Suite Forwork da parte di Dilaxia consiste nell’accesso e consultazione, conservazione e archiviazione per finalità di sviluppo e manutenzione dell’applicativo.  

I dati particolari trattati afferiscono alla sfera sanitaria dell’interessato (referti medici) in relazione agli obblighi imposti al Datore di lavoro in materia di sorveglianza sanitaria obbligatoria ex D.Lgs n. 81/08.  

La redazione della DPIA si è reso necessario in ossequio all’art. 35, c. 3 lett. b), GDPR alla luce della numerosità dei soggetti coinvolti nel trattamento ed il carattere c.d. sensibile dei dati trattati, nonché strategico per Dilaxia al fine di valutare l’adeguatezza delle misure, tecniche e organizzative, atte a garantire la sicurezza e protezione di tali tipologie di dato personale.  

Al fine di stabilire se un trattamento sia effettuato su “larga scala”, il WP29 ha predisposto i seguenti criteri:

  • Il numero di soggetti interessati in proporzione alla popolazione di riferimento;
  • Il volume dei dati e la tipologia di quest’ultimi (cfr. immagini soggetti minorenni);
  • La durata e persistenza del trattamento;
  • La dislocazione geografica di trattamento.  

In questo senso, per il numero degli interessati coinvolti (due/trecentomila lavoratori), per la durata e la persistenza del trattamento e per la tipologia di dati trattati (dati personali comuni e dati particolari afferenti allo stato di salute dell’interessato) si è ritenuto obbligatorio e oltremodo utile redigere una DPIA al fine di condurre un’analisi sui potenziali rischi derivanti dal trattamento di tali dati in relazione ai possibili e gravi pregiudizi per i diritti e le libertà degli interessati coinvolti, conseguenti vieppiù ad eventuali incidenti di sicurezza che dovessero verificarsi sugli stessi o sui sistemi informativi utilizzati.

La prima versione della DPIA è stata redatta il 15 febbraio 2019 dal Team Privacy e viene aggiornato e verificato a cadenza prestabilita.

La seconda revisione della DPIA è occorsa in data 23 giugno 2020.

La terza revisione della DPIA è del 26 agosto 2022.

L’attività afferente alla DPIA si è concretizzata in un’analisi specifica inerente ai rischi rilevati per i diritti e le libertà degli interessati finalizzata alla mitigazione degli stessi.  

Sono stati analizzati i diversi elementi che compongono il rischio rilevato, tra le quali le forme in cui viene effettuato il trattamento dei dati, il contesto e le finalità, le misure di sicurezza e le eventuali azioni che mitigano le possibilità di avveramento.  

La Valutazione contiene gli elementi stabiliti dall’Art. 35, c. 7, GDPR e pertanto:

  1. una descrizione sistematica dei trattamenti e delle finalità previsti;
  2. una valutazione sulla necessità e proporzionalità dei trattamenti in relazione alle finalità
  3. una valutazione sui rischi per gli interessati
  4. le misure previste per affrontare i rischi rilevati.

La Valutazione di Impatto Privacy è stata condotta anche attraverso Utopia, software dedicato alla privacy compliance sviluppato e di proprietà di Dilaxia: https://www.utopiathesoftware.com/  

Indice di rischio

Dal grafico si evince che il rischio più impattante (A), considerata la probabilità di accadimento e la gravità in caso di effettiva realizzazione, è quello afferente all’accesso illegittimo ai dati.

Il rischio di cui all’accesso illegittimo ai dati, di per sé quello con un indice di rischiosità più importante, è mitigato sia come probabilità di accadimento che per la gravità che ne potrebbe derivare in caso di realizzazione dalle misure di sicurezza implementate a protezione della Suite Forwork. La probabilità di accadimento è conseguente ad una possibile condotta illecita da parte di dipendenti di Dilaxia, dei fruitori finali dell’applicativo ovvero di un attacco informatico ad opera di terzi.  

Ai dipendenti di Dilaxia sono state impartite precise policy di accesso e fruizione dei dati nonché specifici profili autorizzativi e obblighi di riservatezza.  

Il rischio di un possibile accesso non autorizzato al sistema da parte di terzi alla pagina web di log-in risulta mitigato dalle policy di scadenza, non ripetibilità e complessità delle credenziali di acceso nonché dai risultati (nulli) dei test di VA/PT eseguiti nel tempo.  

L’accesso ai server dell’applicazione è stato configurato mediante profili autorizzativi di System Admin che prevedono credenziali di accesso che hanno le caratteristiche di complessità previste dalle policy interne di Dilaxia.  

Il personale tecnico di Dilaxia, sviluppatori e sistemisti, garantiscono specifiche qualifiche professionali ed elevati standard di sviluppo supportati da una costante e continuativa formazione.  

Un eventuale accesso illegittimo è stato pertanto valutato sia che esso possa derivare da un’azione dolosa o colposa umana, da parte di soggetti interni a Dilaxia che esterni quali gli utilizzatori dell’applicativo, sia da un attacco informatico da fonte umana o non umana.  

È stata inoltre presa in analisi la possibile verificazione di bug di sistema, quali eventi imprevedibili, all’applicativo Suite Forwork .  

A mitigazione di eventuali bug che dovessero occorrere all’applicativo, Dilaxia ha introdotto una ulteriore fase di test mediante l’attività di una figura professionale di Quality Assurance dedicata e di Delivery Management.  

In questo senso, il rischio maggiormente impattante è, per i motivi sopra esposti, basso considerate le adeguate misure di sicurezza e protezione implementate da Dilaxia a mitigazione dello stesso.

Calcolo dell'indice di rischio

Indice Probabilità (P):  
Basso: 1          Medio: 2           Alto: 3           Elevato: 4

Indice Gravità (G):
Basso: 1          Medio: 2           Alto: 3           Elevato: 4

Indice di rischio (G*P):
Trascurabile: 1          Basso: 2           Medio: 3-8           Elevato: 9-16

Risultati

Conclusioni

Dilaxia S.p.A., attraverso l’implementazione delle su estese misure tecniche e organizzative, vuole garantire ai licenziatari dei propri software un elevato standard di sicurezza delle informazioni e protezione dei dati personali trattati attraverso i propri applicativi digitali.  

Il presente documento esprime il livello di compliance e competitività di Dilaxia S.p.A. e dei propri prodotti SaaS nel rispetto dei principi di accountability, privacy by design e by default di cui al Regolamento Europeo 2016/679 e al D.Lgs n. 196/2003 e s.m.i.