Date post: | 15-Feb-2019 |
Category: |
Documents |
Upload: | truongdung |
View: | 216 times |
Download: | 0 times |
2
Privacy …
Il tema della privacy è oggetto di una profonda revisione normativa….
perché è nata la necessità di emanare un Regolamento Europeo in materia di privacy?
3
Privacy …
EVOLUZIONE TECNOLOGICAEVOLUZIONE
TECNOLOGICA
Biometria
Cloud
Geolocalizzazione
Videosorveglianza
GLOBALIZZAZIONEGLOBALIZZAZIONE
Big data
Condivisione di dati
Smart city
Sorveglianza di massa
La rapidità dell’evoluzione tecnologica e la globalizzazione comportano nuove sfide per la
protezione dei dati personali. (Regolamento - considerando n. 6).
4
Tecnologie sempre più invasive e pervasive o “pericolose”
BLUETOOTHBLUETOOTH
RFIDRFID
WIFIWIFI SMARTPHONESMARTPHONE
BIOMETRIABIOMETRIA
VIDEOSORVEGLIANZAVIDEOSORVEGLIANZA
GEOLOCALIZZAZIONE
GEOLOCALIZZAZIONE
CLOUD
COMPUTING
CLOUD
COMPUTING
DOSSIER
SANITARIO
DOSSIER
SANITARIO
SPAMSPAM
5
Cosa si intende con il termine Privacy?
DIRITTO ALLA RISERVATEZZADIRITTO ALLA RISERVATEZZA
DIRITTO ALL’IDENTITÀ PERSONALE
DIRITTO ALL’IDENTITÀ PERSONALE
DIRITTO ALLA PROTEZIONE
DEI DATI PERSONALI
DIRITTO ALLA PROTEZIONE
DEI DATI PERSONALI
7
Regolamento UE 2016/679
• 04 maggio 2016: pubblicato nella Gazzetta Ufficiale dell’Unione Europea n. 119/2016
• 24 Maggio 2016: entrata in vigore
• 25 maggio 2018: applicabilità in tutti i Paesi della UE e abrogazione Direttiva 95/46/CE
Evoluzione della normativa in materia di privacy
1995Direttiva 95/46/CE
1996L. 675/96
2003D. Lgs. 196/2003
2016Regolamento Europeo
8
Trattandosi di un Regolamento e
non di una Direttiva, sarà
immediatamente applicabile senza
necessità di recepimento da parte
degli Stati membri dell’UE.
Regolamento UE 2016/679
9
Ambito di applicazione competenza territoriale
Il regolamento si applica al trattamento dei dati personali di persone fisiche e alla libera
circolazione degli stessi.
Inoltre il presente regolamento è applicato al trattamento di dati personali effettuato da un
titolare o un responsabile
• stabilito nell’Unione Europea
• non stabilito nell’Unione Europea (se il trattamento ha ad oggetto dati personali di
interessati che si trovano nella UE)
Pertanto sono soggetti al regolamento enti/aziende stabiliti sia all’interno che al di fuori
dell’UE che offrono prodotti e servizi all’interno dell’UE (ad esempio un azienda che ha molte
sedi e offre servizi online in tutto il mondo).
10
Ambito di applicazione competenza territoriale
Il regolamento non si applica
• ai dati personali delle persone decedute (gli Stati membri possono prevedere norme
riguardanti il trattamento dei dati personali delle persone decedute);
• ai trattamenti di dati personali effettuati da una persona fisica per l'esercizio di attività a
carattere esclusivamente personale o domestico e quindi senza una connessione con
un'attività commerciale o professionale.
Le attività a carattere personale o domestico dovrebbero comprendere la corrispondenza e gli
indirizzari, o l'uso dei social network e attività online intraprese nel quadro di tali attività.
11
La struttura del Regolamento
La struttura del regolamento comprende:
È possibile scaricare il PDF del Regolamento da
Il testo pubblicato sulla Gazzetta ufficiale dell'Unione europeahttp://eur-lex.europa.eu/legal-content/IT/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.ITA&toc=OJ:L:2016:119:TOC
CAPO I Disposizioni generali
CAPO II Principi
CAPO III Diritti dell'interessato
CAPO IV Titolare del trattamento e responsabile del trattamento
CAPO V Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali
CAPO VI Autorità di controllo indipendenti
CAPO VII Cooperazione e coerenza
CAPO VIII Mezzi di ricorso, responsabilità e sanzioni
CAPO IX Disposizioni relative a specifiche situazioni di trattamento
CAPO X Atti delegati e atti di esecuzione
CAPO XI Disposizioni finali
13
Nell’art. 4 ci sono le definizioni dei termini utilizzati all’interno del regolamento …
Alcune definizioni
«dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile
(«interessato»);
si considera identificabile la persona fisica che può essere identificata, direttamente o
indirettamente, con particolare riferimento a un identificativo come il nome, un numero di
identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici
della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
14
«trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o
senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi
di dati personali, come la raccolta, la registrazione, l'organizzazione, la
strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la
consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o
qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione,
la limitazione, la cancellazione o la distruzione …
…quindi qualunque tipo di operazione sui dati,
dall’inizio (raccolta) alla fine (cancellazione o distruzione)
«limitazione di trattamento»: il contrassegno dei dati personali conservati con
l'obiettivo di limitarne il trattamento in futuro;
«consenso dell'interessato»: qualsiasi manifestazione di volontà libera,
specifica, informata e inequivocabile dell'interessato, con la quale lo stesso
manifesta il proprio assenso, mediante dichiarazione o azione positiva
inequivocabile, che i dati personali che lo riguardano siano oggetto di
trattamento;
Alcune definizioni
15
«titolare del trattamento»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro
organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del
trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati
dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici
applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati
membri;
«responsabile del trattamento»: la persona fisica o giuridica, l'autorità pubblica, il servizio o
altro organismo che tratta dati personali per conto del titolare del trattamento;
«incaricato»: la persona fisica autorizzata a compiere operazioni di trattamento dei dati
personali sotto l'autorità diretta del titolare o del responsabile;
Alcune definizioni
16
«violazione dei dati personali»: la violazione di sicurezza che comporta
accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la
divulgazione non autorizzata o l'accesso ai dati personali trasmessi,
conservati o comunque trattati;
«dati genetici»: i dati personali relativi alle caratteristiche genetiche ereditarie
o acquisite di una persona fisica che forniscono informazioni univoche sulla
fisiologia o sulla salute di detta persona fisica, e che risultano in particolare
dall'analisi di un campione biologico della persona fisica in questione;
«dati biometrici»: i dati personali ottenuti da un trattamento tecnico specifico
relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una
persona fisica che ne consentono o confermano l'identificazione univoca, quali
l'immagine facciale o i dati dattiloscopici;
«dati relativi alla salute»: i dati personali attinenti alla salute fisica o mentale di
una persona fisica, compresa la prestazione di servizi di assistenza sanitaria,
che rivelano informazioni relative al suo stato di salute;
Alcune definizioni
17
Nel Regolamento non esiste più una specifica definizione
• di dati personali “sensibili” o
• di dati personali “giudiziari”
però la definizione è ricavabile dagli articoli generali dedicati a queste categorie di
informazioni.
Art. 9: individua in generale le “categorie particolari di dati personali” nelle informazioni “che
rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o
l'appartenenza sindacale, i dati genetici, i dati biometrici intesi a identificare in modo univoco
una persona fisica, i dati relativi alla salute o alla vita sessuale o all'orientamento sessuale
della persona fisica”.
Art. 10: disciplina il trattamento dei “dati personali relativi alle condanne penali e ai reati o a
connesse misure di sicurezza”.
Alcune definizioni
18
I dati sono conservati per periodi indefiniti o molto lunghi, spesso “per sempre”.
Il titolare del trattamento, per assicurare che i dati personali non siano conservati più a lungo
del necessario, dovrebbe stabilire un termine per la cancellazione o per la verifica
periodica.
Spesso i dati sono acquisiti e poi successivamente utilizzati per finalità completamente
differenti da quelle dichiarate; ma secondo l’art. 5 del Regolamento i dati personali
a) devono essere trattati in modo lecito, equo e trasparente nei confronti dell’interessato
b) devono essere raccolti per finalità determinate, esplicite e legittime, e
successivamente trattati in modo non incompatibile con tali finalità.
I dati
20
Nel Regolamento le figure tipiche coinvolte …
1. contitolarità del trattamento, cioè quando due o più titolari del trattamento determinano insieme
le finalità e i mezzi del trattamento; va redatto uno specifico accordo interno tra i contitolari che
disciplini in modo trasparente le rispettive responsabilità e rifletta adeguatamente i rispettivi ruoli
e i rapporti dei contitolari con gli interessati. Il contenuto essenziale dell'accordo va messo a
disposizione dell'interessato;
2. la nomina del Responsabile del trattamento va documentata con un “contratto o altro atto
giuridico” (stipulato in forma scritta o anche in formato elettronico) che regoli la materia
disciplinata, la durata, la natura e la finalità del trattamento, il tipo di dati personali e le categorie
di interessati, gli obblighi e i diritti del titolare del trattamento. Il responsabile può a sua volta
designare altri responsabili del trattamento, previa autorizzazione scritta, specifica o generale,
del titolare del trattamento;
3. gli incaricati del trattamento (che il Codice della privacy obbliga a designare per iscritto) non
sono menzionati nel Regolamento che, però, prevede la figura delle “persone autorizzate al
trattamento”, cioè i soggetti che operano sotto la diretta responsabilità del titolare o del
responsabile con apposite istruzioni;
4. il “rappresentante del titolare del trattamento” stabilito nella UE, va designato per iscritto in caso
di trattamenti effettuati da titolari non stabiliti nell’Unione Europea se il trattamento ha ad
oggetto dati personali di interessati che si trovano nella UE.
Privacy: i soggetti coinvolti
22
Privacy: relazioni tra gli attori principali
TITOLARE
DELEGA DI FUNZIONI
(atto scritto)
RESPONSABILE
COLUI CHE POSSIEDE I REQUISITI DI PROFESSIONALITÀ ED ESPERIENZA
RICHIAMATI DAL LEGISLATORE
RESPONSABILE
DELEGA DI ESECUZIONE
(atto scritto)
INCARICATO
PERSONA FISICA CHE MATERIALMENTE ESEGUE LE OPERAZIONI DI
TRATTAMENTO DI DATI PERSONALI
23
Titolare del trattamento
Il titolare, a prescindere da qualsiasi nomina "ufficiale", è chi realmente determina le finalità e i
mezzi del trattamento.
Il titolare del trattamento adotta politiche e attua misure adeguate ed efficaci per tutelare i
diritti e le libertà dell'interessato, tenendo conto della natura, dell'ambito di applicazione, del
contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone
fisiche.
Inoltre deve essere in grado di dimostrare l'efficacia delle misure e la conformità delle attività
di trattamento con il regolamento.
Privacy: i soggetti coinvolti
24
Data Protection Officer (DPO): Responsabile della protezione dei dati
Figura introdotta dall’art. 37 del Regolamento e designata dal titolare del trattamento e dal
responsabile del trattamento.
Il DPO va segnalato in funzione delle elevate qualità professionali e della conoscenza
specialistica della normativa e delle prassi in materia di protezione dei dati.
Privacy: i soggetti coinvolti
25
Data Protection Officer (DPO): Responsabile della protezione dei dati
Il DPO è obbligatorio se
Privacy: i soggetti coinvolti
1. il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico
2. le attività principali del titolare del trattamento o del responsabile del trattamento
consistono in trattamenti che richiedono il monitoraggio regolare e sistematico
degli interessati su larga scala;
3. le attività principali del titolare o del responsabile del trattamento consistono nel
trattamento, su larga scala, di categorie particolari di dati (dati personali sensibili,
sanitari, sulla vita o sull’orientamento sessuale, genetici, biometrici) o di dati
relativi a condanne penali e a reati.
26
Larga Scala
Privacy: i soggetti coinvolti
INDICATORI
• il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in
percentuale della popolazione di riferimento;
• il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
• la durata, ovvero la persistenza, dell’attività di trattamento;
• la portata geografica dell’attività di trattamento
27
Larga Scala
Privacy: i soggetti coinvolti
Trattamenti su larga scala
• trattamento di dati relativi a pazienti svolto da un ospedale nell’ambito delle ordinarie
attività;
• trattamento di dati relativi agli spostamenti di utenti di un servizio di trasporto pubblico
cittadino (per esempio, il loro tracciamento attraverso titoli di viaggio);
• trattamento di dati relativi alla clientela da parte di una compagnia assicurativa o di una
banca nell’ambito delle ordinarie attività;
• trattamento di dati personali da parte di un motore di ricerca per finalità di pubblicità
comportamentale;
• trattamento di dati (metadati, contenuti, ubicazione) da parte di fornitori di servizi
telefonici / telematici.
28
Larga Scala
Privacy: i soggetti coinvolti
Non sono considerati trattamenti su larga scala
• trattamento di dati relativi a pazienti svolto da un singolo professionista sanitario;
• trattamento di dati personali relativi a condanne penali e reati svolto da un singolo
avvocato.
29
Data Protection Officer (DPO): Responsabile della protezione dei dati
• Un gruppo imprenditoriale può nominare un unico DPO (a condizione che sia facilmente
raggiungibile da ciascuno stabilimento).
• Il DPO può essere un dipendente, soggetto interno alla struttura, del titolare o del
responsabile del trattamento oppure un soggetto esterno che assolve i suoi compiti in
base a un contratto di servizi.
• I dati di contatto del Data Protection Officer vanno comunicati al Garante e resi pubblici.
• Va coinvolto in tutte le questioni riguardanti la protezione dei dati personali e deve avere le
risorse necessarie per assolvere ai compiti assegnati.
• Non deve ricevere alcuna istruzione per quanto riguarda l'esecuzione dei compiti affidati
(è figura del tutto autonoma) né è soggetto a potere disciplinare o sanzionatorio per
l'adempimento dei propri compiti.
Privacy: i soggetti coinvolti
30
Data Protection Officer (DPO): Responsabile della protezione dei dati
L’art. 39 del Regolamento individua il nucleo minimo dei compiti assegnati al Responsabile
della protezione dei dati (che dunque può essere anche esteso)
Privacy: i soggetti coinvolti
DPO
CONSULENZA
VIGILANZA
DPIA
CONTATTO
Informare e consigliare il titolare, il responsabile o
i dipendenti che eseguono il trattamento in merito
agli obblighi derivanti dal Regolamento
Sorvegliare l’osservanza del
Regolamento e Vigilare sui
processi interni
Cooperare e fungere da punto
di contatto con l’autorità di
controllo (Garante privacy)
Fornire, se richiesto, un parere in merito
alla valutazione di impatto sulla protezione
dei dati e sorvegliarne lo svolgimento
31
Data Protection Officer (DPO): Responsabile della protezione dei dati
Ricorrendo i suddetti presupposti, sono tenuti alla nomina, a titolo esemplificativo e non
esaustivo:
istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie;
società di informazioni commerciali; società di revisione contabile; società di recupero crediti;
istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel
settore delle "utilities" (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di
somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura
della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di
analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi
informatici; società che erogano servizi televisivi a pagamento.
Privacy: i soggetti coinvolti
33
Tra i principi di maggiore rilevanza meritano un particolare approfondimento
• Il principio di accountability (responsabilizzazione del titolare)
• Il principio della privacy by design e della privacy by default
• Il principio della trasparenza
Principi privacy
34
Nel nuovo Regolamento uno dei principi più importanti è l’accountability, ovvero la
responsabilizzazione dei Titolari del trattamento.
ACCOUNTABILITY = significa che, in forza del Regolamento, il titolare del trattamento deve
mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di
dimostrare, che il trattamento è stato effettuato conformemente al Regolamento.
L’art. 5 specifica che il Titolare è il soggetto competente a garantire il rispetto dei principi
applicabili al trattamento di dati personali, quali quelli di
• liceità, correttezza e trasparenza,
• limitazione delle finalità,
• minimizzazione,
• esattezza,
• limitazione della conservazione,
• integrità e riservatezza
e deve essere in grado di comprovarlo («responsabilizzazione»).
Accountability (art. 24)
35
Liceità
Accountability (art. 24)
TRATTAMENTO
• è lecito quando è conforme alla legge, ai regolamenti e alla normativa comunitaria
DATO PERSONALE
• deve essere ottenuto, raccolto ed elaborato correttamente
INTERESSATO
• non deve essere indotto a fornire informazioni con indicazioni parziali per quanto attiene le finalità di trattamento o all’ambito di divulgazione dei dati
36
Qualità ed esattezza dei dati
Accountability (art. 24)
il titolare deve garantire l’attendibilità dei dati
chi tratta i dati deve garantirne l’esattezza e l’aggiornamento
in caso di incertezza del dato occorre valutarne la cancellazione
37
Pertinenza
Accountability (art. 24)
PERTINENZA i dati devono avere una stretta relazione con le finalità perseguite
NON ECCEDENZA l’esistenza di un nesso logico tra l’informazione e la finalità perseguita
COMPLETEZZA un’informazione incompleta potrebbe rivelarsi errata
38
Giusta durata del trattamento
Accountability (art. 24)
dati devono essere conservati per un periodo di tempo non superiore a quello necessario per
raggiungere gli scopi per i quali essi sono raccolti
una conservazione eccedente espone l’interessato a rischi di abusi e danni
se il dato non serve più rispetto alle finalità è preferibile distruggerlo o renderlo anonimo
39
Il principio della privacy by design o di «protezione dei dati personali fin dalla progettazione»
prevede che il titolare del trattamento debba tenere in considerazione la protezione della
riservatezza dei dati personali degli interessati cui il trattamento si riferisce, sin dall’ideazione
e dalla progettazione delle attività di trattamento che intende porre in essere.
Come?
• Applicando misure tecniche e organizzative adeguate volte ad attuare in modo efficace i
principi di protezione dei dati e
• integrando nel trattamento le necessarie garanzie per tutelare i diritti degli interessati.
Quindi tale adempimento va effettuato sia al momento di determinare i mezzi del trattamento
(es: progettazione di device) sia all'atto del trattamento stesso.
Privacy by design (art. 25)
40
Il principio della privacy by default o di «protezione dei dati personali per impostazione
predefinita»
prevede che il titolare del trattamento effettui il trattamento dei soli dati personali degli
interessati nella misura e per il tempo necessari a raggiungere le specifiche finalità del
trattamento, implementando, all’interno degli ambienti (dei sistemi informatici e delle
infrastrutture di rete utilizzate per tale trattamento) le misure tecniche idonee a proteggere i
dati personali degli interessati.
In particolare, dette misure devono garantire che, per impostazione predefinita, non siano resi
accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della
persona fisica (che ad esempio consapevolmente disponga il settaggio del servizio
scegliendo di condividere con i terzi i dati personali oggetto di trattamento nell’ambito della
operatività del servizio).
Privacy by default (art. 25)
41
Certificazione (artt. 42 e 43)
Il titolare può ottenere una certificazione ad hoc, prevista dal Regolamento in base ad una
specifica procedura, per dimostrare la conformità ai principi di privacy by design e by default.
Art. 42: … l’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli
e marchi di protezione dei dati allo scopo di dimostrare la conformità al presente regolamento
dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento…
3) La certificazione è volontaria ……
4) La certificazione ai sensi del presente articolo non riduce la responsabilità del titolare del
trattamento o del responsabile del trattamento riguardo alla conformità al presente…
C100: Al fine di migliorare la trasparenza e il rispetto del presente regolamento dovrebbe
essere incoraggiata l’istituzione di meccanismi di certificazione e sigilli nonché marchi di
protezione dei dati che consentano agli interessati di valutare rapidamente il livello di
protezione dei dati dei relativi prodotti e servizi.
42
Certificazione (artt. 42 e 43)
L’unico schema riconosciuto da ACCREDIA* di certificazione per la protezione dei dati
personali è
ISDP©10003:2015 DATA PROTECTION
Certificazione dei processi per la tutela delle persone fisiche con riguardo al trattamento dei
dati personali e la libera circolazione degli stessi - Reg. EU 679/2016.
Attraverso il certificato di conformità rilasciato dietro attestazione di una parte terza
indipendente, quale un Organismo accreditato, l'organizzazione può dimostrare di aver
ottemperato a tutti i requisiti e controlli di sicurezza richiesti dalla normativa internazionale
nell'ambito della protezione dei dati personali trattati, con particolare riferimento alla corretta
gestione dei rischi.
* ACCREDIA è l’unico organismo nazionale autorizzato dallo Stato a svolgere attività di accreditamento,
ossia l'unico ente riconosciuto in Italia ad attestare che gli organismi di certificazione ed ispezione abbiano
le competenze per valutare la conformità dei prodotti, dei processi e dei sistemi agli standard di riferimento.
43
Trasparenza
Qualsiasi trattamento di dati personali dovrebbe essere lecito e corretto.
Per le persone fisiche dovrebbero essere trasparenti
• le modalità con cui sono raccolti, utilizzati, consultati o altrimenti trattati dati personali che
li riguardano
• nonché la misura in cui (come) i dati personali sono o saranno trattati.
Il principio della trasparenza impone che le informazioni e le comunicazioni relative al
trattamento di tali dati personali siano facilmente accessibili e comprensibili e che sia utilizzato
un linguaggio semplice e chiaro.
45
L’informativa diventa sempre di più uno strumento di trasparenza riguardo al trattamento dei
dati personali e all’esercizio dei diritti.
Gli interessati devono sapere se i loro dati sono trasmessi al di fuori dell’UE, e con quali
garanzie, o che hanno il diritto di revocare il consenso a determinati trattamenti (es.:
marketing diretto).
Il Regolamento sancisce a carico dei titolari del trattamento obblighi di informativa
prevedendo numerose informazioni aggiuntive da fornire agli interessati.
L’Informativa va resa per iscritto o con altri mezzi, anche elettronici.
Se richiesto dall'interessato, le informazioni possono essere fornite oralmente, purché sia
comprovata con altri mezzi l'identità dell'interessato.
Informativa
46
Il titolare del trattamento deve inserire obbligatoriamente nell’informativa privacy anche le
seguenti informazioni aggiuntive sul trattamento:
1. i dati di contatto del titolare, del responsabile del trattamento e del responsabile della
protezione dei dati personali (ove applicabile);
2. la finalità e la base giuridica del trattamento;
3. qualora il trattamento si basi sulla necessità di perseguire un legittimo interesse del
titolare del trattamento o di terzi, la specificazione di quali siano i legittimi interessi
perseguiti dal titolare del trattamento o da terzi;
4. gli eventuali destinatari dei dati personali;
5. l’intenzione di trasferire dati personali a un paese terzo o a un'organizzazione
internazionale;
6. il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati
per determinare tale periodo;
7. l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento l'accesso ai
dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento
che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
Informativa
47
Il titolare del trattamento deve inserire obbligatoriamente nell’informativa privacy anche le
seguenti informazioni aggiuntive sul trattamento:
8. l'esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la
liceità del trattamento basata sul consenso prestato prima della revoca;
9. il diritto di proporre reclamo al Garante privacy;
10. Se la comunicazione di dati personali è un obbligo o un requisito necessario per la
conclusione di un contratto e se l’interessato ha l’obbligo di fornirli nonché le
conseguenze della mancata comunicazione di tali dati;
11. l’eventuale esistenza di un processo decisionale automatizzato, compresa la profilazione
e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza
e le conseguenze previste di tale trattamento per l'interessato;
12. informare l’interessato, prima del trattamento, se si intende trattare i dati personali per
una finalità diversa da quella per cui essi sono stati raccolti.
Informativa
48
Se i dati non sono stati ottenuti presso l’interessato, il titolare del trattamento fornisce
all’interessato anche le seguenti informazioni:
1. la fonte da cui hanno origine i dati personali e, se del caso, l'eventualità che i dati
provengano da fonti accessibili al pubblico;
2. le categorie di dati personali oggetto del trattamento;
3. fornire le informazioni all’interessato entro un mese dall’ottenimento dei dati o alla prima
comunicazione se destinati alla comunicazione con l’interessato, oppure non oltre la
prima comunicazione se è prevista la comunicazione ad altro destinatario.
Informativa
49
Il Regolamento fonda sul «consenso dell'interessato» la principale precondizione (salvo le
deroghe) di liceità del trattamento.
Il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il
quale l'interessato manifesta l'intenzione libera, specifica, informata e inequivocabile di
accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante
dichiarazione scritta, anche attraverso mezzi elettronici, o orale.
Ciò potrebbe comprendere la selezione di un'apposita casella in un sito web o qualsiasi altro
comportamento che indichi chiaramente in tale contesto che l'interessato accetta il
trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l'inattività o la
preselezione di caselle.
Consenso
50
Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse
finalità; qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte
queste.
Il titolare del trattamento deve poter dimostrare che l'interessato ha prestato il consenso al
trattamento dei propri dati personali. Se il consenso dell'interessato è prestato nel contesto di
una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso deve
essere presentata in modo chiaramente distinguibile dalle altre materie, in forma
comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro, pena
l’invalidità del consenso prestato.
Si presume che il consenso non sia stato liberamente espresso
• se non è possibile esprimere un consenso separato a distinti trattamenti di dati personali,
nonostante sia appropriato nel singolo caso, o
• se l’esecuzione di un contratto, compresa la prestazione di un servizio, è subordinata al
consenso sebbene esso non sia necessario per tale esecuzione.
L'interessato ha poi il diritto di revocare il proprio consenso (e tale informazione è uno dei
nuovi elementi obbligatori dell’informativa privacy) in qualsiasi momento (anche se la revoca
non pregiudica la liceità del trattamento fino a quel momento effettuato), con modalità di
esecuzione della revoca del consenso facili come la sua prestazione originaria.
Consenso
52
I diritti dell’interessato
Il Regolamento ha da un lato ribadito e dall'altro introdotto tutta una serie di diritti in capo
all'interessato volti a garantire una sempre più ampia tutela dello stesso
• diritto alla trasparenza del trattamento
• diritto di accesso ai dati
• diritto di rettifica dei dati personali
• diritto alla limitazione nonché di opposizione al trattamento
• diritto all'oblio
• diritto alla portabilità dei dati
• diritto al risarcimento
53
Trasparenza
Informazioni rapide, esatte, chiare e semplici, intelligibili e facilmente accessibili devono
essere fornite dai titolari del trattamento agli interessati sia prima (attraverso l'informativa) che
dopo il trattamento, nel momento in cui i medesimi interessati intendono consultarli per far
valere i propri diritti.
Accesso ai propri dati
Il diritto di accesso ai propri dati consiste nel poter ottenere in qualunque momento sia la
conferma che i propri dati siano soggetti ad un trattamento, sia costanti informazioni e/o
aggiornamenti circa le finalità del trattamento, le categorie di dati personali in questione, il loro
periodo di conservazione nonché l'esistenza e l'applicazione di un processo decisionale
automatizzato (profilazione inclusa).
Rettifica dei dati
Il diritto alla rettifica dei dati viene nuovamente riproposto e avvalorato: il titolare deve
correggere tutte le eventuali inesattezze dei dati personali riguardanti l'interessato senza
ingiustificato ritardo.
Anche in caso di incompletezza dei dati, l'interessato ha il diritto di ottenere l'integrazione
degli stessi.
I diritti dell’interessato
54
Limitazione di trattamento e opposizione
L'art. 18 prevede il diritto di limitazione di trattamento solo nei seguenti casi
• l'interessato contesta l'esattezza dei dati personali, per il periodo necessario al titolare del
trattamento per verificare l'esattezza di tali dati personali;
• il trattamento è illecito e l'interessato si oppone alla cancellazione dei dati personali e
chiede invece che ne sia limitato l'utilizzo;
• i dati personali sono necessari all'interessato per l'accertamento, l'esercizio o la difesa di
un diritto in sede giudiziaria;
• l'interessato si è opposto al trattamento in attesa della verifica in merito all'eventuale
prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell'interessato.
Se il trattamento è limitato, i dati sono trattati, salvo che per la conservazione, soltanto con il
consenso dell'interessato o per l'accertamento, l'esercizio o la difesa di un diritto in sede
giudiziaria.
L'interessato gode inoltre del diritto di opposizione: in base alla sua situazione particolare,
ciascun soggetto può infatti opporsi in qualsiasi momento al trattamento dei dati personali che
lo riguardano; in special modo quando i dati sono trattati per finalità di marketing diretto.
I diritti dell’interessato
55
Diritto all’oblio
L’art. 17 del Regolamento introduce in capo agli interessati il diritto alla cancellazione (o diritto
all'oblio).
L'interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati
personali che lo riguardano senza ingiustificato ritardo e il titolare ha l'obbligo di cancellare i
dati personali.
I diritti dell’interessato
56
Diritto all’oblio
Tale diritto alla cancellazione è tuttavia subordinato alla sussistenza di uno dei seguenti
motivi:
• i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o
trattati;
• l'interessato revoca il consenso e non sussiste altro fondamento giuridico per il
trattamento;
• l'interessato si oppone al trattamento e non sussiste altro fondamento giuridico per
continuare lo stesso;
• i dati sono stati trattati illecitamente;
• i dati devono essere cancellati per legge;
• i dati sono stati forniti da un minore.
L'art. 17 conclude prevedendo delle situazioni particolari nelle quali il diritto all'oblio non è
riconosciuto:
• per l'esercizio del diritto alla libertà di espressione e di informazione;
• per l’adempimento di un obbligo legale;
• per motivi di interesse pubblico nel settore della sanità pubblica;
• a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici;
• per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria.
I diritti dell’interessato
57
Diritto alla portabilità dei dati
L’art. 20 del Regolamento 2016/679 introduce il diritto alla portabilità dei dati.
Per portabilità si intende, in questo ambito, la possibilità di trasferire i dati personali da un
titolare ad un altro.
A condizione che il trattamento si basi sul consenso o su un contratto e che non vengano lesi
diritti e libertà altrui, l'interessato gode quindi del diritto di trasmettere i propri dati ad un
titolare del trattamento diverso da quello a cui li ha forniti inizialmente, senza alcun
impedimento da parte di quest'ultimo.
Se tecnicamente fattibile, la trasmissione di tali dati deve essere fatta direttamente da un
titolare all'altro. Per rendere il tutto effettivamente possibile, è poi previsto il diritto in capo
all'interessato di ricevere i propri dati in un formato strutturato, di uso comune e leggibile da
dispositivo automatico.
L'esercizio di tale diritto è però, come ogni diritto, soggetto ad alcune limitazioni: non si
applica al trattamento necessario per l'esecuzione di un compito di interesse pubblico o
connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento.
I diritti dell’interessato
58
Diritto al risarcimento
Infine l'articolo 82 del Regolamento prevede un generale diritto al risarcimento.
"Chiunque subisca un danno materiale o immateriale causato da una violazione del presente
regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal
responsabile del trattamento".
Se vi sono più titolari del trattamento responsabili del danno, essi sono tutti responsabili in
solido per l'intero ammontare del danno nei confronti dell'interessato, salvo poi poter proporre
un azione di regresso.
I diritti dell’interessato
60
La sicurezza nel trattamento dei dati è uno dei principi fondamentali del trattamento
(art. 5 del Regolamento).
Art. 32 – Sicurezza del trattamento
Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto,
del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e
gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile
del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un
livello di sicurezza adeguato al rischio che comprendono, tra le altre:
1. la pseudonimizzazione e la cifratura dei dati personali;
2. la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità
e la resilienza dei sistemi e dei servizi di trattamento;
3. la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati
personali in caso di incidente fisico o tecnico;
4. una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure
tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Le misure di sicurezza nel trattamento dei dati personali
61
Definizione di “Sicurezza”
Sicurezzainsieme delle
misure di carattere
organizzativo e
tecnologico atte a
garantire
Riservatezza: informazioni accessibili solo a chi è
autorizzato a conoscerli, quindi non accessibili a chi non è
autorizzato
Integrità: i dati devono essere trattati in modo che siano
protetti da manomissioni e modifiche non autorizzate, quindi
bisogna tutelare l’accuratezza e la completezza dei dati
Disponibilità: la risorsa/il dato deve essere sempre
agevolmente disponibile a chi vi può lecitamente accedere
Principale obiettivo di un sistema di sicurezza è la salvaguardia delle informazioni. Per
ciascun sistema informativo automatizzato, per gli strumenti elettronici, per gli archivi e
documenti cartacei bisogna garantire Riservatezza, Integrità e Disponibilità.
62
“Sicurezza”
Eventi che causano la perdita di Riservatezza, Integrità e Disponibilità:
• Rottura di un hard disk
• Virus
• Assenza o comunicazione di password
• Profili mal configurati
• Perdita di chiavetta USB
• Sostituzione o furto di un PC
• Assenza dell’incaricato
• Furto di documenti
• Pubblicazione illecita su Internet
• Accesso non autorizzato a dati giudiziari
• Dimissioni di un dipendente
• Attivazione di collegamento remoto
• Introduzione di un nuovo programma applicativo o di un nuovo server
• Nuova normativa
• Violazione di dati
• Nuova vulnerabilità software e hardware
• Nuova versione di un sistema operativo
63
Cambia la prospettiva, non c’è più distinzione tra misure minime e idonee esistono solo
misure adeguate da applicare, decise dal titolare del trattamento a seguito dell’analisi dei
rischi.
Misure di sicurezza
OBBLIGO DI ADOTTARE MISURE TECNICHE E
ORGANIZZATIVE ADEGUATE ALLA
VALUTAZIONE DEI RISCHI
OBBLIGO DI ADOTTARE MISURE TECNICHE E
ORGANIZZATIVE ADEGUATE ALLA
VALUTAZIONE DEI RISCHI
MISURE MINIME
PREDEFINITE
MISURE MINIME
PREDEFINITE
D. Lgs. 196/2003
GDPR 2016/679
Si passa dall’adozione di misure di sicurezza prestabilite (Allegato B del D. Lgs. 196/2003) ad
un approccio basato sulla valutazione dei rischi e l’adozione di idonee policy «proporzionate»
alle attività di trattamento.
Il titolare ed il responsabile devono quindi adottare adeguate misure tecniche ed
organizzative, per assicurare un livello di sicurezza adeguato ai rischi e ridurre al minimo i
rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o
di trattamento non consentito o non conforme alle finalità della raccolta.
64
Analisi dei rischi
Identificare i rischi
Analizzare i rischi in termini di verosimiglianza e conseguenze
Ponderare e trattare i rischi
R = PROBABILITÀ × GRAVITÀ
In azienda, l’adozione delle misure di sicurezza va modulata in relazione ai beni da
proteggere ed alle minacce possibili a tali beni, dunque in base ad una preliminare analisi dei
rischi.
66
L’obbligo di notifica al Garante di una avvenuta violazione di dati personali (definita
formalmente quale “violazione di sicurezza che comporta accidentalmente o in modo illecito la
distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali
trasmessi, conservati o comunque trattati”;) diventa obbligo generale per tutti i titolari del
trattamento, indipendentemente dal fatto che siano o meno fornitori di servizi di
comunicazione elettronica.
In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione al
Garante senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è
venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti
un rischio per i diritti e le libertà delle persone fisiche.
Qualora la notifica non sia effettuata entro 72 ore, è corredata dei motivi del ritardo.
La notifica della violazione dei dati personali
(“Data Breach”)
67
La notifica deve almeno:
1. descrivere la natura della violazione dei dati personali compresi, ove possibile, le
categorie e il numero approssimativo di interessati in questione nonché le categorie e il
numero approssimativo di registrazioni dei dati personali in questione;
2. comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di
altro punto di contatto presso cui ottenere più informazioni;
3. descrivere le probabili conseguenze della violazione dei dati personali;
4. descrivere le misure adottate o di cui si propone l'adozione da parte del titolare del
trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per
attenuarne i possibili effetti negativi.
Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i
diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione
anche all'interessato, senza ingiustificato ritardo, descrivendola con un linguaggio semplice
e chiaro, salve circostanze al verificarsi delle quali non è richiesta la comunicazione
all'interessato.
La notifica della violazione dei dati personali
(“Data Breach”)
68
Esempi di violazioni
• Perdita di dati
• Furto di dati (non necessariamente in formato elettronico, possono essere anche in
formato cartaceo)
• Alterazione di cartelle cliniche
• Alterazione di cartelle esattoriali
• Alterazione di verbali relativi al Codice della Strada
• Invio di dati all’esterno
• Intercettazione di dati
• Accesso abusivo al sistema
La notifica della violazione dei dati personali
(“Data Breach”)
69
Un caso reale di violazione dei dati personali
(“Data Breach”)
WIND TRE dovrà comunicare per
iscritto a oltre 5mila clienti di aver
subito un attacco informatico lo
scorso 20 marzo 2017, che ha
consentito di visualizzare e
acquisire in chiaro le user id e le
password necessarie per l’accesso
al loro profilo online e al rischio di
furto dati fra cui nominativo, codice
fiscale, numero di telefono, mail,
indirizzo e fatture degli ultimi sei
mesi per chi li ha richiesti.
Lo ha stabilito il Garante Privacy nel
suo provvedimento n. 226 dell’11
maggio scorso, a tutela di tutte le
vittime dell’attacco informatico,
potenzialmente esposte al rischio di
furti di identità e di accessi non
autorizzati ai dati personali….
71
Qualunque trasferimento di dati personali verso un paese terzo o un'organizzazione
internazionale può avere luogo soltanto se il titolare del trattamento e il responsabile del
trattamento rispettano le condizioni esplicitate dal Regolamento:
1. trasferimento sulla base di una decisione di adeguatezza (ove la Commissione UE
abbia deciso che il paese terzo o l'organizzazione internazionale in questione
garantiscono un livello di protezione adeguato; in tal caso il trasferimento non necessita di
autorizzazioni specifiche);
2. trasferimento soggetto a garanzie adeguate (il titolare o il responsabile del trattamento
può trasferire dati personali solo se ha fornito garanzie adeguate, come ad esempio: le
norme vincolanti d'impresa, le clausole contrattuali standard, l’esistenza di un codice di
condotta, l’esistenza di un meccanismo di certificazione, specifiche clausole contrattuali).
Trasferimento dei dati fuori dell’Unione Europea
72
Se non è applicabile nessuna delle condizioni prima illustrate, il trasferimento o un complesso
di trasferimenti di dati personali sono ammessi solo se:
a) il consenso informato dell’interessato;
b) il trasferimento è necessario all'esecuzione di un contratto ovvero all'esecuzione di misure
precontrattuali adottate su istanza dell'interessato;
c) il trasferimento sia necessario per importanti motivi di interesse pubblico o per accertare,
esercitare o difendere un diritto in sede giudiziaria;
d) il trasferimento sia necessario per tutelare gli interessi vitali dell'interessato o di altre
persone, qualora l'interessato si trovi nell'incapacità fisica o giuridica di prestare il proprio
consenso;
e) il trasferimento sia effettuato a partire da un registro pubblico.
Trasferimento dei dati fuori dell’Unione Europea
74
Il Regolamento introduce una definizione e una regolamentazione del particolare
trattamento rappresentato dalla profilazione dell’interessato (“qualsiasi forma di
trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per
valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare
o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute,
le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli
spostamenti di detta persona fisica”).
In linea generale la profilazione appare sostanzialmente vietata (“L'interessato ha il diritto
di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato,
compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo
analogo significativamente sulla sua persona”) a meno che non vi siano circostanze
specifiche, tra le quali il chiaro consenso informato dell’interessato.
I trattamenti di profilazione rappresentano poi uno dei presupposti che rendono obbligatoria
la valutazione preventiva di impatto sulla protezione dei dati.
I trattamenti di profilazione
75
Valutazione d’impatto sulla protezione dei dati (art. 35)
Data Protection Impact Assessment (DPIA)
Quando il trattamento (per natura, oggetto, contesto e finalità), in particolare se prevede l'uso
di nuove tecnologie, presenta un rischio elevato per i diritti e le libertà degli interessati, il
titolare del trattamento effettua una valutazione d’impatto, del trattamento previsto, sulla
protezione dei dati personali per determinare, in particolare, l'origine, la natura, la particolarità
e la gravità di tale rischio.
Se la valutazione indica che i trattamenti presentano un rischio elevato che il titolare del
trattamento non può attenuare (mediante misure opportune in termini di tecnologia disponibile
e costi di attuazione), prima del trattamento si dovrebbe consultare l'autorità di controllo.
La valutazione d’impatto è richiesta in particolare nei seguenti casi:
• valutazione sistematica e globale di aspetti della personalità dell’interessato o volta ad
analizzarne o prevederne in particolare la situazione economica, l’ubicazione, lo stato di
salute, le preferenze personali, l’affidabilità o il comportamento, basata su un trattamento
automatizzato e da cui discendo misure che hanno effetti giuridici o significativamente
incidono sull’interessato;
• il trattamento, su larga scala, di categorie particolari di dati personali di cui all'art. 9, o di
dati relativi a condanne penali e a reati di cui all'art. 10;
• la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
77
Il Regolamento conferma la responsabilità risarcitoria per il c.d. “danno da trattamento”, l’art.
82 prescrive difatti che
“Chiunque subisca un danno materiale o immateriale causato da una violazione del presente
regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o
dal responsabile del trattamento”.
Inoltre chiarisce i meccanismi di ripartizione della responsabilità risarcitoria tra titolare e
responsabile del trattamento, e tra contitolari del trattamento (con la previsione specifica di
azioni di regresso reciproche) così come i meccanismi di esonero.
Il nuovo apparato sanzionatorio
78
L’art. 83 del Regolamento regola le condizioni di determinazione delle sanzioni e per
l’applicazione delle sanzioni amministrative pecuniarie fissa i seguenti importi:
1. fino a 10.000.000 EUR, o per le imprese fino al 2 % del fatturato mondiale totale
annuo dell'esercizio precedente, nel caso di violazione di determinati obblighi posti dal
Regolamento (ad es.: obblighi del titolare o del responsabile del trattamento);
2. fino a 20.000.000 EUR, o per le imprese fino al 4 % del fatturato mondiale totale
annuo dell'esercizio precedente, nel caso di violazione degli obblighi più stringenti posti
dal Regolamento (anche nel semplice caso di inosservanza degli ordini del Garante).
Le autorità di controllo hanno una serie di poteri correttivi (previsti dall’art. 58); tali poteri
prevedono fra gli altri la possibilità di limitare o vietare un trattamento.
Le conseguenze economiche di una disposizione di questo tipo potrebbero essere anche più
grave di quelle derivanti da una sanzione amministrativa: l’impossibilità di effettuare un
trattamento potrebbero comportare, ad esempio, la sospensione dell’erogazione di un servizio
verso i clienti.
Il nuovo apparato sanzionatorio
80
Nell’ambiente lavorativo si gestiscono una serie di “informazioni”, proprie e di terzi,
generalmente utilizzate per poter erogare i servizi che vengono contrattualmente
richiesti.
Tali informazioni possono essere considerate dati personali quando sono riferite a
persone fisiche e, per la loro gestione (o trattamento) sia in forma cartacea che
digitale, è necessario che l’azienda adotti una serie di misure di sicurezza.
Altre informazioni, invece, pur non essendo dati personali, sono in tutto e per tutto
“informazioni riservate”, ovvero informazioni tecniche, commerciali, contrattuali, di
business o di altro genere per le quali l’organizzazione è chiamata a garantire la
riservatezza, per esempio per un accordo di non divulgazione o per una più ampia
tutela del patrimonio aziendale.
Introduzione
81
In questo esempio di disciplinare si specifica che con i termini
• “dati” deve intendersi l’insieme più ampio di informazioni di cui un dipendente o
un collaboratore può venire a conoscenza e di cui deve garantire la riservatezza
e la segretezza e non solo i “dati personali” intesi a norma di legge;
• “dati cartacei” ovvero informazioni su supporto cartaceo;
• “dati digitali” ovvero informazioni che vengono memorizzate o semplicemente
transitano attraverso apparecchiature digitali.
Introduzione
82
In linea generale ogni dato è da considerarsi riservato e non deve essere
comunicato o diffuso a nessuno (anche una volta interrotto il rapporto lavorativo
con l’organizzazione stessa o qualora parte delle informazioni siano di pubblico
dominio) salvo specifica autorizzazione esplicita.
Anche tra colleghi, oppure tra dipendenti e collaboratori esterni, è necessario
adottare la più ampia riservatezza nella comunicazione dei dati conosciuti,
limitandosi solo a quei casi che si rendono necessari per espletare al meglio
l’attività lavorativa richiesta.
Premesso che i comportamenti che normalmente si adottano nell’ambito di un
rapporto di lavoro devono sempre ispirarsi al principio di diligenza e correttezza,
l’azienda deve adottare un Disciplinare Interno per evitare che condotte
inconsapevoli possano innescare problemi o minacce alla sicurezza dei dati
o delle attrezzature aziendali.
Introduzione
83
Gli Incaricati sono responsabili del controllo e della custodia, per l'intero ciclo necessario
allo svolgimento delle operazioni di trattamento, dei documenti contenenti dati.
Adottare una “politica della scrivania pulita”; i principali benefici sono:
1) una buona impressione a clienti, fornitori o esterni che visitano l’organizzazione;
2) la riduzione della possibilità che informazioni confidenziali possano essere viste da
persone non abilitate a conoscerle;
3) la riduzione che documenti confidenziali possano essere sottratti all’organizzazione.
Non lasciare in vista sulla propria scrivania dati cartacei quando ci si allontana dalla
postazione, anche momentaneamente, oppure quando è previsto un incontro con un
soggetto non abilitato alla conoscenza dei dati in essi contenuti.
Prima di lasciare la propria postazione, per esempio per una riunione, sarà cura degli
Incaricati riporre in luogo sicuro (armadio, cassettiera, archivio, …) i dati cartacei ad esso
affidati, affinché gli stessi non possano essere visti da terzi non autorizzati (es. addetti alle
pulizie, colleghi) o da terzi (visitatori, clienti) presenti nell’ente.
A fine giornata deve essere previsto il riordino della scrivania e la corretta archiviazione di
tutte le pratiche d’ufficio, in modo da lasciare la scrivania completamente sgombra.
Postazione lavorativa
84
Ove possibile, si invita ad evitare la stampa di documenti digitali, anche ai fini di
ridurre l’inquinamento ed il consumo delle risorse in ottica ecologica.
È necessario rimuovere immediatamente ogni foglio stampato, da una stampante o
da un’apparecchiatura fax, per evitare che siano prelevati o visionati da soggetti
non autorizzati.
Ove possibile, è buona norma eliminare i documenti cartacei, soprattutto quelli
contenenti dati sensibili, attraverso apparecchiature trita documenti.
Postazione lavorativa
85
L'utilizzo dei dispositivi fisici e la gestione dei dati ivi contenuti devono svolgersi nel
rispetto della sicurezza e dell'integrità del patrimonio dati aziendale.
L’incaricato deve quindi eseguire le operazioni seguenti:
1. se si allontana dalla propria postazione dovrà mettere in protezione il suo
device affinché persone non autorizzate non abbiano accesso ai dati protetti;
2. bloccare il suo device prima delle pause e, in generale, ogni qualvolta abbia
bisogno di allontanarsi dalla propria postazione;
3. chiudere la sessione (Logout) e spegnere il PC a fine giornata.
Obblighi dell’incaricato
86
Il computer consegnato all’incaricato è uno strumento di lavoro e contiene tutti i
software necessari a svolgere le attività affidate.
Ogni utilizzo non inerente all’attività lavorativa può contribuire ad innescare
disservizi, rallentamenti del sistema, costi di manutenzione e, soprattutto, minacce
alla sicurezza.
L’accesso all’elaboratore è protetto da password che deve essere custodita
dall’incaricato con la massima diligenza e non divulgata.
Per necessità aziendali gli amministratori di sistema potranno accedere, con le
regole indicate nel documento disciplinare, sia alle memoria di massa locali di rete
(repository e backup) che ai server aziendali nonché, previa comunicazione al
dipendente, accedere al computer.
Corretto utilizzo del computer aziendale
87
In particolare l’Incaricato deve adottare le seguenti misure:
1. utilizzare solo ed esclusivamente le aree di memoria della rete aziendale ed ivi
creare e registrare file e software o archivi dati, senza pertanto creare altri files
fuori dalle unità di rete;
2. spegnere il computer, o curarsi di effettuare il logout, ogni sera prima di lasciare
gli uffici o in caso di assenze prolungate, poiché lasciare un elaboratore
incustodito connesso alla rete può essere causa di utilizzo da parte di terzi
senza che vi sia la possibilità di provarne in seguito l’indebito uso;
3. mantenere sul computer esclusivamente i dispositivi di memorizzazione,
comunicazione o altro (come ad esempio masterizzatori) disposti
dall’organizzazione;
4. non dare accesso al proprio computer ad altri utenti, a meno di necessità
stringenti e sotto il proprio costante controllo.
Corretto utilizzo del computer aziendale
88
All’incaricato è vietato:
1. La gestione, la memorizzazione (anche temporanea) o il trattamento di file, documenti e/o
informazioni personali dell’incaricato o comunque non afferenti alle attività lavorative.
2. Modificare le configurazioni già impostate sul personal computer.
3. Utilizzare programmi e/o sistemi di criptazione senza la preventiva autorizzazione scritta
dell’organizzazione.
4. Installare alcun software, né installare alcuna versione diversa, anche più recente, rispetto
alle applicazioni o al sistema operativo presenti sul personal computer consegnato, senza
l’espressa autorizzazione dell’organizzazione.
5. Aggiungere o collegare dispositivi hardware (ad esempio hard disk, driver, ecc.) o
periferiche (macchine fotografiche, smartphone, chiavi USB ecc.) diversi da quelli
consegnati, senza l’autorizzazione espressa dell’organizzazione.
6. Creare o diffondere, intenzionalmente o per negligenza, programmi idonei a danneggiare
il sistema informatico dell’organizzazione (quali per esempio virus, malware, ecc…).
7. Accedere, rivelare o utilizzare informazioni non autorizzate o comunque non necessarie
per le mansioni svolte.
8. Effettuare in proprio, o da altri soggetti non espressamente autorizzati dell’organizzazione,
attività manutentive.
Divieti Espressi sull’utilizzo del COMPUTER
89
La prima caratteristica di una password è la segretezza, e quindi non si deve svelare ad altri
soggetti.
La divulgazione delle proprie password o la trascuratezza nella loro conservazione può
causare gravi danni al proprio lavoro, a quello dei colleghi e dell‘organizzazione nel suo
complesso.
Nel tempo anche la password più sicura perde la sua segretezza; per questo motivo è buona
norma cambiarla con una certa frequenza.
Altra buona norma è quella di non memorizzare la password su supporti facilmente
intercettabili da altre persone, il miglior luogo in cui conservare una password è la propria
memoria.
Nell'ambito delle attività riguardanti la tutela della sicurezza della infrastruttura tecnologica,
l‘organizzazione potrebbe effettuare analisi periodiche sulle password degli Incaricati al fine di
verificarne la solidità, le policy di gestione e la durata, informandone preventivamente gli
Incaricati stessi. Nel caso in cui l'audit abbia, tra gli esiti possibili, la decodifica della
password, questa viene bloccata e all'Incaricato richiesto di cambiarla.
Le password
90
L’Incaricato, per una corretta e sicura gestione delle proprie password, deve
rispettare le regole seguenti:
1. le password sono assolutamente personali e non vanno mai comunicate ad
altri;
2. occorre cambiare immediatamente una password non appena si abbia alcun
dubbio che sia diventata poco "sicura";
3. le password devono essere lunghe almeno 8 caratteri e devono contenere
anche lettere maiuscole, caratteri speciali e numeri;
4. le password non devono essere memorizzate su alcun tipo di supporto, quali ad
esempio Post-it (sul monitor o sotto la tastiera) o agende condivise (cartacee,
posta elettronica,…);
5. le password devono essere sostituite almeno nei tempi indicati dalla normativa,
a prescindere dall'esistenza di un sistema automatico di richiesta di
aggiornamento password.
Regole per la corretta gestione delle password
91
Per una corretta gestione delle password, non si devono utilizzare:
1. nome e cognome propri, e loro parti;
2. lo username assegnato;
3. l’indirizzo di posta elettronica (e-mail);
4. parole comuni (in Inglese e in Italiano);
5. date, mesi dell'anno e giorni della settimana;
6. parole banali e/o di facile intuizione, ad es. pippo, security, nome azienda…;
7. ripetizioni di sequenze di caratteri (es. abcabcabc);
8. password già impiegate in precedenza.
Alcuni esempi di password assolutamente da evitare:
1. username = "luigibianchi", password = "luigi" o " luigibianchi ";
2. la propria data di nascita o quella di un parente;
3. Parole o sequenze comuni tipo “Password”, “Qwerty123”, “12345678”.
Regole per la corretta gestione delle password
92
I virus possono essere trasmessi tramite scambio di file via internet, via mail, scambio di supporti
removibili, filesharing, …
L‘organizzazione impone su tutte le postazioni di lavoro l'utilizzo di un sistema antivirus
correttamente installato, attivato continuamente e aggiornato automaticamente con frequenza
almeno quotidiana.
L’incaricato, da parte sua, deve impegnarsi a controllare il corretto funzionamento e aggiornamento
del sistema antivirus installato sul proprio computer, e, in particolare, deve rispettare le regole
seguenti:
1. Comunicare all’ente ogni anomalia o malfunzionamento del sistema antivirus;
2. Comunicare all’ente eventuali segnalazioni di presenza di virus o file sospetti.
Inoltre, all’incaricato:
1. è vietato accedere alla rete aziendale senza antivirus attivo e aggiornato sulla propria
postazione;
2. è vietato ostacolare l'azione dell'antivirus aziendale;
3. è vietato disattivare l’antivirus senza l’autorizzazione espressa dell’organizzazione anche e
soprattutto nel caso sia richiesto per l’installazione di software sul computer;
4. è vietato aprire allegati di mail provenienti da mittenti sconosciuti o di dubbia provenienza o
allegati di mail di persone conosciute ma con testi inspiegabili o in qualche modo strani.
L’incaricato, inoltre, deve contattare i sistemi informativi o il personale addetto prima di procedere a
qualsiasi attività potenzialmente in conflitto con quanto sopra.
Antivirus
93
La connessione alla rete internet dal dispositivo che si ha in dotazione è ammessa
esclusivamente per motivi attinenti allo svolgimento dell’attività lavorativa.
L’utilizzo per scopi personali è permesso con moderazione e con gli accorgimenti di cui al
presente documento disciplinare.
Misure preventive per ridurre navigazioni illecite
L’organizzazione potrà adottare idonee misure tecniche preventive volte a ridurre navigazioni
a siti non correlati all’attività lavorativa attraverso filtri e black list.
Alcuni Divieti Espressi concernenti Internet
È vietato all’Incaricato scaricare software (anche gratuiti) se non espressamente autorizzato.
È vietata ogni forma di registrazione a siti i cui contenuti non siano legati all’attività lavorativa.
È vietato accedere dall’esterno alla rete interna dell’organizzazione, salvo con le specifiche
procedure previste dall’organizzazione stessa.
Internet
94
L’utilizzo della posta elettronica aziendale è connesso allo svolgimento dell’attività lavorativa.
Gli Incaricati assegnatari delle caselle di posta elettronica sono responsabili del corretto
utilizzo delle stesse e periodicamente devono effettuare «pulizia» delle stesse.
Nel caso di assenza prolungata sarebbe buona norma attivare il servizio di risposta
automatica (messaggio fuori sede).
Avvisare l’organizzazione quando si ricevono messaggi con allegati files eseguibili e/o di
natura incomprensibile o non conosciuta.
1. È vietato utilizzare l’indirizzo di posta elettronica contenente il dominio dell’organizzazione
per iscriversi in siti per motivi non attinenti all’attività lavorativa, senza espressa
autorizzazione scritta dell’organizzazione.
2. È vietato creare, archiviare o spedire, anche solo all’interno della rete aziendale,
messaggi pubblicitari o promozionali o comunque allegati (filmati, immagini, musica o
altro) non connessi con lo svolgimento della propria attività lavorativa.
3. È vietato trasmettere messaggi a gruppi numerosi di persone (es. a tutto un ufficio o ad
un’intera divisione) senza l’autorizzazione necessaria.
4. È vietato utilizzare il servizio di posta elettronica per trasmettere a soggetti esterni
dell’organizzazione informazioni riservate o comunque documenti aziendali, se non nel
caso in cui ciò sia necessario in ragione delle mansioni svolte.
Posta elettronica
95
Device mobili (computer portatile, tablet, cellulare,…) possono venire concessi in uso
dall’organizzazione.
L’Incaricato è responsabile dei device e deve custodirli con diligenza, sia durante gli
spostamenti che durante l’utilizzo nel luogo di lavoro.
Ai device mobili si applicano le regole di utilizzo previste per i computer connessi in rete.
Sui device mobili è vietato installare applicazioni (anche gratuite) se non espressamente
autorizzate dall’ente.
I device mobili utilizzati all’esterno (convegni, visite in azienda, ecc…), in caso di
allontanamento, devono essere custoditi in un luogo protetto.
In caso di perdita o furto dei device mobili deve far seguito la denuncia alle autorità
competenti.
Allo scopo si deve avvisare immediatamente l’organizzazione che provvederà, se del caso, ad
occuparsi delle procedure connesse alla privacy. Anche di giorno, durante l’orario di lavoro,
all’Incaricato non è consentito lasciare incustoditi i device mobili.
All’Incaricato è vietato lasciare i device mobili incustoditi e a vista (dentro l’auto, sala d’attesa,
ecc…).
Uso di altri device aziendali
96
A seguito di una cessazione del rapporto lavorativo o di consulenza dell’Incaricato
con l’azienda o, comunque, al venir meno della permanenza dei presupposti per
l’utilizzo dei device aziendali o di dati cartacei aziendali, gli incaricati hanno i
seguenti obblighi:
1. procedere immediatamente alla restituzione dei device in uso e dei dati cartacei
in loro possesso;
2. divieto assoluto di formattare o alterare o manomettere o distruggere i device
assegnati o rendere inintelligibili i dati in essi contenuti tramite qualsiasi
processo;
3. divieto assoluto di alterare o manomettere o distruggere i dati cartacei assegnati
o renderli inintelligibili tramite qualsiasi processo.
Restituzione dei device e dei dati cartacei
97
Ogni Device ed ogni memoria esterna affidati agli incaricati (computer, notebook,
tablet, smartphone, chiavette usb, hard disk, ecc…), al termine del loro utilizzo,
dovranno essere restituiti all’organizzazione che provvederà a distruggerli o a
ricondizionarli seguendo le norme di legge in vigore al momento.
In particolare l’organizzazione provvederà a cancellare o a rendere inintelligibili i
dati negli stessi memorizzati.
Distruzione dei Device
99
Cosa fare …
APPROCCIO PROATTIVO: CONOSCENZA DELLE REGOLE
ATTIVITÀ DI SENSIBILIZZAZIONE ALLA TEMATICA PRIVACY
FORMAZIONE PER GLI ATTORI PRINCIPALI CHE TRATTANO DATI
RICORSO ALL’ASPETTO MOTIVAZIONALE E NON DETERRENTE DELLA SANZIONE
PERSEGUIRE IL FLUIDO E CORRETTO FUNZIONAMENTO
100
Azioni da mettere in atto …
DEFINZIONE DI UN
ORGANIGRAMMA PRIVACY
RIPARTIZIONE DI COMPITI E
RESPONSABILITÀ
STUDIO, CONFRONTO E
DIFFUSIONE SULLE AZIONI DA
ADOTTARE
ALLINEAMENTO TRA REGOLE E
COMPORTAMENTI FORMALI