1 55 Table of Contents 57 82

Modello Organizzativo

25 commissione i presidi giudicati idonei dall’organo amministrativo di ASFAP sono le prescrizioni del Codice Etico, che costituiscono per tutti i Destinatari del Modello lo standard di comportamento richiesto dalla Fondazione nella conduzione di ogni attività. Anche a tali categorie si applicano, in caso di adozione ed implementazione di procedure interne le regole del presente paragrafo. Per le altre categorie di Reati 7 vengono elencati di seguito gli ulteriori protocolli idonei ad impedire la commissione dei Reati. 1.1.1 Processi sensibili e procedure idonee a prevenire la realizzazione dei reati di criminalità informatica ed illecito trattamento dei dati ( ex art. 24 bis D.lgs 231/2001) Aree di attività a rischio Il rischio di commissione dei reati informatici e di trattamento illecito dei dati è rilevante solo per quelle aree di attività dell’ente nelle quali si effettuano raccolte di dati informatici di qualunque tipologia connesse all’oggetto sociale di ASFAP nonché legate all’uso di strumenti informatici da parte degli studenti. In particolare: - area amministrativa; - area legata all’attività di insegnamento. La segnalazione di eventuali aree a rischio potrà avvenire in ogni momento e avere come destinatario l’OdV che, se lo riterrà opportuno, segnalerà all’Organo amministrativo la necessità di integrare il Modello con ulteriori procedure. Principi generali Le regole di cui al presente paragrafo riguardano la tutela dell’integrità dei dati informatici, la paternità delle azioni informatiche e dei messaggi provenienti dai PC in uso ai dipendenti di Fondazione ASFAP. Le procedure previste, atte anche ad evitare i reati lesivi della personalità individuale, costituiscono modalità di prevenzione di illeciti relativi alla privacy, ed, inoltre, integrano le misure previste per la diminuzione dei rischi di altri reati informatici. In particolare, le suddette procedure sono create, come premesso, anche per prevenire la commissione dei reati informatici, previsti dall’art. 24 bis del Decreto. Si tratta, infatti, delle modalità di gestione degli accessi ai personal computer ed alla rete aziendale e ad internet, profili centrali nell’identificazione dell’utente. Sono indicate nel prosieguo anche procedure di verifica degli accessi, di visibilità e modificabilità dei dati, nonché di conservazione dei medesimi. 7 Ossia quelle categorie di reati richiamate dal Decreto che sono risultate nella tabella di Risk Analysis della Società con un indice di commissione dal basso in su.

RkJQdWJsaXNoZXIy OTI5NzA=