Aggiungi ad una raccolta (s) Aggiungere al salvati
  1. Ingegneria
  2. Informatica
  3. Data mining

Seminario Privacy Deloitte 23 aprile

Focus sulla normativa in evoluzione e sui
principali provvedimenti del Garante per la
protezione dei dati personali: da
adempimento a opportunità
Milano, 23 Aprile 2015
© 2013 Deloitte Touche Tohmatsu Limites
Agenda
Panoramica sull’evoluzione della normativa in materia di privacy e sulle ricadute per la
PMI
La protezione dei dati tra rischi e opportunità per la PMI
Analisi dei principali provvedimenti del Garante applicabili alla realtà di una PMI:
A. Guida pratica e misure di semplificazione per le piccole e medie imprese
B. Lavoro: le linee guida del garante per posta elettronica e internet
C. Amministratori di sistema
D. Cookies
E. Marketing
F. Cloud computing
G. Mobile payments
H. Social network
1
Panoramica sull’evoluzione normativa
L’evoluzione degli strumenti tecnologici
Statico
-2-
Dinamico
Frammentato
© 2013 Deloitte Touche Tohmatsu Limites
Panoramica sull’evoluzione normativa
Il dato personale nell’era del web
Nell’era della connettività globale la privacy di ciascuno di noi è costantemente in pericolo.
I dati e le informazioni personali sono una merce preziosa e i colossi del mondo digitale basano le loro
«fortune» sui pensieri, sui sentimenti e sulle emozioni che disseminiamo quando siamo su un social
network, scriviamo una mail, facciamo una ricerca.
In due o tre anni sarà impossibile dimenticare, perdersi, annoiarsi, restare soli. Vivremo in un mondo più
felice, più trasparente, conosceremo persone nuove e avremo più tempo da dedicare a noi stessi. Sarà,
per la prima volta, una rivoluzione per l'intero pianeta e non solo per una piccola elite. Tutto grazie agli
smartphone che avete già in tasca, ai tablet che si diffonderanno nei prossimi anni e ai super computer
che formano quella nuvola digitale, il "cloud", dove stiamo raccogliendo una grande quantità di
informazioni (Eric Schmidt, Chairman Google, Febbraio 2011)
3
Panoramica sull’evoluzione normativa
Privacy cos’è?
Comprende i diritti e doveri che ciascuna persona fisica o organizzazione deve rispettare nella raccolta,
uso, conservazione, comunicazione e eliminazione di informazioni
Prevede una normativa di riferimento: D.lgs. 196/2003 (Codice in materia di protezione dei dati
personali)
Garantisce il rispetto di diritti fondamentali di ognuno di noi
Accresce la fiducia di tutti i soggetti che interagiscono con l’azienda (i.e. risorse, clienti, fornitori)
Evita danni di immagine
Permette di definire un modello organizzativo interno di gestione
Diritti
Gestione
Doveri
Privacy
Immagine
Norme
Fiducia
4
Panoramica sull’evoluzione normativa: le tappe fondamentali
Anni 70
Anni 80
Anni 90
U.S.A Privacy Act
Principi OECD
Direttiva CE 95/46
Prime Leggi Europee
(Germania – land
Hesse, Svezia)
Convenzione di
Strasburgo 108/81
Legge 675/96 – 1°
Legge sulla Privacy
(abrogata)
Risoluzioni del
Consiglio Europeo
2017?
nuovo Regolamento Europeo in materia di
protezione dei dati personali
Concernente la tutela delle persone fisiche con
riguardo al trattamento dei dati personali
e la libera circolazione di tali dati
5
2000
Carta dei diritti
fondalmentali
dell’Unione Europea
D. Lgs. 196/2003 –
Codice Privacy in vigore
Panoramica sull’evoluzione normativa
I principi ordinatori del Codice Privacy
Principi Generali. Definiscono gli obiettivi di tutela e sono correlate all’esperienza legislativa di
carattere comunitario e Costituzionale (art. 2 della Costituzione Italiana).
Precetti. A carattere specialistico, la cui portata è simile a quella attribuita alle clausole generali del
contratto.
Art. 3
Principio di Necessità
Art. 5
Principio di
Stabilimento
Art. 2
Principio di Finalità
Art. 11
Principi di liceità,
pertinenza,
completezza, non
eccedenza,
proporzionalità
Art. 1
Diritto alla protezione
dei dati personali
Principi Generali Privacy
6
La protezione dei dati: rischio o opportunità?
Dato personale è ogni informazione relativa ad una persona fisica, detta interessato, individuata o
individuabile. Esistono differenti categorie di dato personale come esemplificate nella sottostante tabella.
Dato non personale quando sono rimosse le informazioni che rendono individuabile una persona
fisica, ad es. mediante l’adozione di tecniche di anonimizzazione (o pseudoanonimizzazione) che
prevedono la dissociazione completa tra le informazioni e soggetto cui appartengono.
La tabella riporta alcune tipologie di dato, suddivise in base al tipo.
DATI COMUNI
DATI RISCHIOSI
DATI SENSIBILI/GIUDIZIARI
Dati anagrafici (Nome, Cognome, Data
di nascita, Indirizzo di residenza)
Dati e informazioni sparse (data
mining)
Stato di salute e/o informazioni relative
alla vita sessuale
Numero carta di credito
Provvedimenti disciplinari
Opinioni politiche/filosofiche/religiose
Coordinate bancarie
Sondaggi statistici
Adesioni a Sindacati
Numeri telefonici
Immagini da web cam e videosorveglianza
Origine razziale/etnica
Codice Fiscale
Dati Biometrici/Geolocalizzazione
Condanne penali/carichi pendenti
Indirizzo IP dinamici
Informazioni di tipo finanziario
Numeri di targa auto/moto
7
La protezione dei dati: rischio o opportunità?
Privacy vs Security
La privacy delle informazioni può essere considerata come l’applicazione di regole
che governano il trattamento e la manipolazione di dati personali.
La sicurezza delle informazioni è, invece la protezione di qualsiasi tipo di informazione
anche a carattere non personale: Può esserci sicurezza senza privacy ma non può
essereci privacy senza sicurezza!
Privacy
Security
Informativa
consenso
8
Uso
Riservatezza
accesso
Disponibilità
integrità
La protezione dei dati: rischio o opportunità?
Gli obblighi di sicurezza
Sulla base dei principi di Riservatezza, Integrità, Disponibilità è stato modellato l’art. 31 del Codice
Privacy che prevede che siano adottate idonee e preventive misure di sicurezza.
Una misura di sicurezza può definirsi idonea quando è in grado di contrastare efficacemente una
determinata minaccia: l’utilizzo di tecniche di cifratura dei dati personali garantisce maggiore
sicurezza contro la minaccia di accesso non autorizzato ai dati personali.
Trattamento non
conforme alla
finalità della
raccolta
Accesso non
autorizzato
9
Dato
personale
Distruzione o
perdita accidentale
La protezione dei dati: rischio o opportunità?
Misure idonee e misure minime
Trattamento non
conforme alla
finalità della
raccolta
Accesso non
autorizzato
10
Distruzione o
perdita accidentale
MISURE IDONEE
MISURE MINIME
Individuate tramite
l’analisi dei rischi
Specificate
nell’Allegato B al Codice
Analisi dei provvedimenti del Garante
A. Guida pratica e misure di semplificazione per le piccole e medie imprese 1/2
Il Legislatore ed il Garante Privacy hanno, nel tempo, sancito una serie di misure tese a snellire gli
aspetti burocratici discendenti dall’applicazione della normativa. In particolare :
la fine dell’ obbligo di redazione del DPS (sostituito da un’autocertificazione scritta) nel caso di
trattamento dei dati personali per finalità amministrative e contabili (Provvedimento del 27.11.08
"Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all'Allegato B al
Codice in materia di protezione dei dati personali“),
L’eliminazione dei riferimenti alle persone giuridiche che non sono più considerate soggetti per i quali
operano le tutele previste dal Codice Privacy (Decreto legge 6 dicembre 2011, n. 201, convertito, con
modificazioni, dalla legge 22 dicembre 2011, n. 214)
L’eliminazione dell’obbligo di redigere il DPS e dei correlati adempimenti (cfr. Decreto legge 9 febbraio
2012, n. 5, convertito, con modificazioni, dalla legge 4 aprile 2012, n. 35)
L’eliminazione dell’obbligo di prestare l’informativa nel caso di CV inviati spontaneamente dagli
interessati (Decreto legge 13 maggio 2011, n. 70, convertito, con modificazioni, dalla legge 12 luglio
2011, n. 106)
La trasformazione da opt-in ad opt-out per quanto concerne il marketing effettuato tramite telefono o
posta cartacea (Decreto legge 13 maggio 2011, n. 70, convertito, con modificazioni, dalla legge 12 luglio
2011, n. 106
- 11 -
Analisi dei provvedimenti del Garante
B. Lavoro: le linee guida del garante per posta elettronica e internet 1/2
Gli strumenti informatici (Internet, posta elettronica, blackberry, smartphone) messi a
disposizione dall’azienda per svolgere l’attività lavorativa possono essere oggetto di controllo
da parte del datore di lavoro.
A livello normativo, possono essere richiamati quali riferimenti:
Il Decreto Legislativo n. 196/2003 con specifico riguardo agli artt. 114 (controllo a
distanza
Le linee guida del Garante per posta elettronica e Internet Deliberazione del 1 marzo
2007
La legge n. 300/1970 (Statuto dei Lavoratori)
Gli articoli del Codice Civile 2086 (Direzione e gerarchia nell'impresa), 2104(Diligenza
del prestatore di lavoro), 2105 (Obbligo di fedeltà)
12
Analisi dei provvedimenti del Garante
B. Lavoro: le linee guida del garante per posta elettronica e internet 2/2
13
Analisi dei provvedimenti del Garante
C. Amministratori di sistema 1/2
Gli Amministratori di Sistema assumono un ruolo rilevante all’interno di un sistema di Data Governance
(cfr. figura sotto), in quanto sono incaricati di svolgere attività che richiedono un accesso privilegiato ai
dati:
progettazione, sviluppo e gestione di infrastruttura di rete, server, software e servizi applicativi di
base;
governo della sicurezza e della protezione dei dati e delle risorse;
supporto tecnico informatico software e hardware.
In particolare, gli AdS hanno le seguenti responsabilità principali all’interno del sistema di governo:
riportano al Titolare eventuali anomalie riscontrate su malfunzionamenti o rischi di sicurezza;
rispondono delle attività svolte e delle conseguenze derivanti da un malfunzionamento della rete;
supportano nel quotidiano gli incaricati per gli aspetti di tipo tecnico informatico
Interessati (Clienti,
Prospect, Dipendenti,
Fornitori)
Titolare del
Trattamento
Garante per la
Protezione
dei dati personali
Privacy Leader –
IT Leader
Responsabili
interni del
trattamento
Incaricati del
trattamento
14
Responsabili
(esterni)
del trattamento
Amministratori di
sistema
© 2013 Deloitte Touche Tohmatsu Limites
Analisi dei provvedimenti del Garante
C. Amministratori di sistema 2/2
Il Provvedimento del Garante in materia di Amministratori di Sistema (2009) prevede una
serie di misure di carattere organizzativo, tecnico-organizzativo e tecnico quali:
La valutazione delle caratteristiche soggettive degli amministratori di sistema.
La Designazione individuali. Nominare gli amministratori di sistema individualmente,
evidenziando per ciascuno gli ambiti di operatività. E’ necessario garantire, con
appropriati strumenti di controllo accessi, l’effettiva corrispondenza tra la persona fisica e
l’utenza definita a sistema
Il mantenimento di un elenco degli amministratori di sistema.
La conservazione dell’elenco degli amministratori di sistema dei servizi in outosourcing
la Verifica delle attività degli amministratori di sistema.
La registrazione degli accessi logici ai sistemi di elaborazione e agli archivi elettronici da
parte degli amministratori di sistema.
15
© 2013 Deloitte Touche Tohmatsu Limites
Analisi dei provvedimenti del Garante
D. Cookies
Ai sensi della Direttiva 2009/ 136/CE (art. 5, comma 3) come recepita dall’art. 122 del
Codice Privacy, ciascuna azienda deve seguire i seguenti step:
quando un navigatore accede alla home page (o ad un’altra pagina di un sito web)
deve trovare un banner ben visibile in cui sia indicato chiaramente se viene fatto uso di
cookie per monitorare l’utente e per inviargli pubblicità mirata e se tali dati vengono
condivisi con altri soggetti.
Il breve avviso (banner) deve riportare un link che indirizzi a una informativa più ampia
sull’uso dei cookie inviati dal sito, dove è possibile negare il consenso alla loro
installazione
Il sito può utilizzare cookie tecnici, ovvero quelli necessari ad accedere a un servizio
(ad esempio la posta elettronica o l’home banking). Al gestore del sito è consentito
utilizzare un cookie tecnico per tracciare l’utente al fine di non riproporre il banner con
l’informativa breve alla sua seconda visita.
- 16 -
Analisi dei provvedimenti del Garante
E. Marketing & Profiling
Ogni singola attività di Marketing (o di profiling) deve essere opportunamente
regolamentata attraverso:
Ruoli e responsabilità interni ed esterni devono essere definiti in una catena di
comando chiara e comprensibile (Titolare – responsabile – Incaricati).
Per ogni singolo canale di contatto deve essere implementata un’informativa e
raccolto uno specifico ed esplicito consenso.
Il consenso se espresso oralmente, deve essere poi documentato per iscritto
tenendo traccia da parte di chi, dove e quando sia stato ottenuto il consenso.
Il consenso va espresso singolarmente per le distinte finalità sull’uso dei dati
personali (ad esempio uno per il marketing, uno diverso per la profilazione o per la
comunicazione dei dati ad altri soggetti)
Non è necessario acquisire un ulteriore consenso per inviare al consumatore offerte
promozionali, via posta tradizionale o e-mail, relative a prodotti/servizi analoghi a quelli
forniti in precedenza (il cosiddetto soft spam).
- 17 -
Analisi dei provvedimenti del Garante
F. Cloud Computing
1/2
Il Cloud come nuovo paradigma dello storage e dello sharing di dati ed informazioni
azinendali richiede un’analisi preliminare per un corretto bilanciamento tra rischi e
vantaggi.
Sistema
Business
Mission
critical
Core
No core
No cloud
Community
Private
- 18 -
Public
Hybrid
18
On mission
critical
No mission
critical
Analisi dei provvedimenti del Garante
F. Cloud Computing
2/2
Privacy
Controllo da parte
degli utenti sulle
risorse del Cloud
Retention e
cancellazione dati
Flussi transazionali
Cloud
Accessi da parte di
terzi
Clasuole contrattuali
Misure di sicurezza
Subfornitura/
Offshoring
19
Analisi dei provvedimenti del Garante
G. Mobile payments
Con uno specifico Provvedimento (Provvedimento generale in materia di trattamento dei dati
personali nell'ambito dei servizi di mobile remote payment - 22 maggio 2014) il Garante è
intervenuto sul tema dei c.d. Mobile Payments.
Il Provvedimento, entrato in vigore il 1 aprile 2015 stabilisce, a carico dei soggetti coinvolti nella
fornitura del servizio, una serie di misure a tutela della privacy.
- 20 -
Analisi dei provvedimenti del Garante
H. Social Network 1/2
Enterprise 2.0
“l’utilizzo combinato dei quattro trend
contribuirà ad aumentare in modo tangibile il
fatturato delle aziende nei prossimi 3-5 anni,
innovando prodotti/servizi per iniziative di
business che coinvolgeranno i consumatori
finali o altre aziende”. L’executive
management aziendale si attenderà quindi di
sfruttare le tecnologie It per far crescere il
business mantenendo a livelli accettabili il
rischio d’impresa, con l’aspettativa, di un
Fatturato guidato dall’It (It-led)”
(Fonte: Peter Sondegaard , Senior Vice President e capo
della ricerca worldwide di Gartner, Zerounoweb, 14/07/2011)
21
Analisi dei provvedimenti del Garante
H. Social Network 1/2
L’invio di messaggi promozionali agli utenti dei social network (Facebook), in privato o
pubblicamente sulla loro bacheca virtuale, è subordinato al rispetto delle regole
previste dal Codice della privacy, in primis quella di aver acquisito lo specifico e
preventivo consenso del destinatario.
La medesima disciplina è applicabile ai messaggi promozionali inviati utilizzando
strumenti o servizi digitali come Skype, WhatsApp, Viber, Messenger, etc.
Un’impresa può inviare offerte commerciali ai propri “follower” sui social network (utenti
che decidono di “seguire” le relative vicende, novità o commenti della società) quando
la loro iscrizione manifesta chiaramente l’interesse a ricevere messaggi
concernenti il marchio, prodotto o servizio offerto. Ovviamente la maggior parte dei
social network consentono ai loro utenti di bloccare l’invio di messaggi da parte di un
determinato “contatto” o di segnalare quest’ultimo come spammer.
- 22 -
© 2013 Deloitte Touche Tohmatsu Limites
Documenti correlati
Scuola, monito del Garante stop info personali online
Scuola, monito del Garante stop info personali online
Roberto Lattanzi (1964), dottore di ricerca in diritto civile, dirige il
Roberto Lattanzi (1964), dottore di ricerca in diritto civile, dirige il
Trasparenza della PA Analisi e casi pratici dalle nuove Linee G
Trasparenza della PA Analisi e casi pratici dalle nuove Linee G
tutela della privacy e diritto di accesso
tutela della privacy e diritto di accesso
Marketing e privacy: imprese avvertite
Marketing e privacy: imprese avvertite
Leggi la sintesi
Leggi la sintesi
corso breve di diritto - Liceo "Jacopone da Todi"
corso breve di diritto - Liceo "Jacopone da Todi"
Social Network e privacy
Social Network e privacy
scarica scheda di registrazione
scarica scheda di registrazione
Marketing: ripartono i lavori per il codice deontologico Riprendono i
Marketing: ripartono i lavori per il codice deontologico Riprendono i
PROGRAMMA Ore 10.00 - Saluti Laura Boldrini Presidente della
PROGRAMMA Ore 10.00 - Saluti Laura Boldrini Presidente della
Corso del Testo Unico, Privacy e sicurezza dati
Corso del Testo Unico, Privacy e sicurezza dati
Scarica