POLITICA PER LA SICUREZZA DELLE INFORMAZIONI E DEI DATI PERSONALI
R1 Group, con le sei Aziende che ne fanno parte, è presente nel settore ICT nei seguenti ambiti:
La Direzione, e tutto il personale del Gruppo, è impegnata nell’assicurare la riservatezza, l’integrità, la disponibilità e la resilienza degli asset informativi e dei dati personali trattati dall’Organizzazione, al fine di preservare il vantaggio competitivo, la profittabilità, i diritti e le libertà degli interessati e al contempo garantirsi la conformità legale, regolamentare e contrattuale, nonché il conseguente ritorno positivo di immagine sul mercato che l’adozione di una seria tutela della privacy dei propri clienti è in grado di generare.
I requisiti per la sicurezza dei dati e delle informazioni, condivisi da ciascuna Azienda del Gruppo, sono coerenti con gli obiettivi generali e le procedure operative dell’Organizzazione. Il Sistema di Gestione della Sicurezza delle Informazioni (SGSI) e il Modello Organizzativo in materia di Protezione dei Dati Personali adottati, rappresentano lo strumento che consente la condivisione delle informazioni, lo svolgimento di operazioni corrette e la riduzione dei rischi connessi alle informazioni a livelli accettabili.
I piani strategici di R1 Group e il suo quadro di gestione del rischio costituiscono il contesto per l’identificazione, l’analisi, la valutazione e il controllo dei rischi relativi alla sicurezza delle informazioni, attraverso l’implementazione e il mantenimento di un Sistema di Gestione della Sicurezza delle Informazioni comune alle sei Aziende che lo compongono, ma calato ovviamente in ciascuna singola realtà aziendale.
La definizione dei ruoli e delle responsabilità, così come la specifica identificazione dei trattamenti effettuati sui dati personali e la relativa analisi dei rischi a cui gli stessi possono essere soggetti, costituiscono il contesto nel quale il Modello Organizzativo è stato implementato ed è mantenuto aggiornato dinamicamente, in funzione della continua evoluzione del contesto stesso.
Il documento di valutazione e trattamento dei rischi e la dichiarazione di applicabilità (SOA), a cura del Responsabile del SGSI, definiscono le modalità attraverso le quali i rischi relativi alla sicurezza dei dati personali sono tenuti sotto controllo.
Rappresentano ulteriori elementi fondamentali per questa politica, la business continuity, le procedure di salvataggio dei dati, la protezione da malware e intrusioni, il controllo degli accessi ai sistemi e i meccanismi di reporting in occasione di problemi relativi alla sicurezza delle informazioni. Indicatori di controllo per ognuna di tali aree sono definiti nella documentazione del Sistema e supportati da specifiche procedure.
Tutti i soggetti coinvolti appartenenti all’Organizzazione e gli eventuali stakeholders, considerati all’interno del perimetro definito nell’ambito di applicazione del Sistema, nonché i responsabili esterni all’Organizzazione che trattano dati personali per conto dei Titolari e i Titolari autonomi con i quali l’Azienda ha deciso di condividere alcuni dei propri trattamenti, assumono comportamenti conformi a quanto indicato in questa Politica, nel Modello Organizzativo e nel Sistema di Gestione della Sicurezza delle Informazioni che la implementa. Tutte le risorse umane e il personale addetto al trattamento di dati personali è soggetto a nomina formale e riceve in merito la necessaria e opportuna formazione.
Il SGSI e il Modello Organizzativo condiviso sono soggetti a continui e sistematici riesami e miglioramenti e ciascuna Azienda del Gruppo è costantemente impegnata in un efficace mantenimento della relativa certificazione, in base alla norma UNI CEI EN ISO/IEC 27001:2017 e dei requisiti previsti dal Regolamento UE 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali.
La presente politica è periodicamente riesaminata al fine di considerare qualsiasi cambiamento nella valutazione dei rischi e, conseguentemente, nel relativo piano di trattamento.
Roma, 5 settembre 2022