Presentazione standard di PowerPoint privacy Galasso... · Art. 9: individua in generale le...

PrivacyNuovo Regolamento UE 2016/679

(GDPR – General Data Protection Regulation)

2

Privacy …

Il tema della privacy è oggetto di una profonda revisione normativa….

perché è nata la necessità di emanare un Regolamento Europeo in materia di privacy?

3

Privacy …

EVOLUZIONE TECNOLOGICAEVOLUZIONE

TECNOLOGICA

Biometria

Cloud

Geolocalizzazione

Videosorveglianza

GLOBALIZZAZIONEGLOBALIZZAZIONE

Big data

Condivisione di dati

Smart city

Sorveglianza di massa

La rapidità dell’evoluzione tecnologica e la globalizzazione comportano nuove sfide per la

protezione dei dati personali. (Regolamento - considerando n. 6).

4

Tecnologie sempre più invasive e pervasive o “pericolose”

BLUETOOTHBLUETOOTH

RFIDRFID

WIFIWIFI SMARTPHONESMARTPHONE

BIOMETRIABIOMETRIA

VIDEOSORVEGLIANZAVIDEOSORVEGLIANZA

GEOLOCALIZZAZIONE

GEOLOCALIZZAZIONE

CLOUD

COMPUTING

CLOUD

COMPUTING

DOSSIER

SANITARIO

DOSSIER

SANITARIO

SPAMSPAM

5

Cosa si intende con il termine Privacy?

DIRITTO ALLA RISERVATEZZADIRITTO ALLA RISERVATEZZA

DIRITTO ALL’IDENTITÀ PERSONALE

DIRITTO ALL’IDENTITÀ PERSONALE

DIRITTO ALLA PROTEZIONE

DEI DATI PERSONALI

DIRITTO ALLA PROTEZIONE

DEI DATI PERSONALI

6

IL REGOLAMENTO EUROPEO

7

Regolamento UE 2016/679

• 04 maggio 2016: pubblicato nella Gazzetta Ufficiale dell’Unione Europea n. 119/2016

• 24 Maggio 2016: entrata in vigore

• 25 maggio 2018: applicabilità in tutti i Paesi della UE e abrogazione Direttiva 95/46/CE

Evoluzione della normativa in materia di privacy

1995Direttiva 95/46/CE

1996L. 675/96

2003D. Lgs. 196/2003

2016Regolamento Europeo

8

Trattandosi di un Regolamento e

non di una Direttiva, sarà

immediatamente applicabile senza

necessità di recepimento da parte

degli Stati membri dell’UE.

Regolamento UE 2016/679

9

Ambito di applicazione competenza territoriale

Il regolamento si applica al trattamento dei dati personali di persone fisiche e alla libera

circolazione degli stessi.

Inoltre il presente regolamento è applicato al trattamento di dati personali effettuato da un

titolare o un responsabile

• stabilito nell’Unione Europea

• non stabilito nell’Unione Europea (se il trattamento ha ad oggetto dati personali di

interessati che si trovano nella UE)

Pertanto sono soggetti al regolamento enti/aziende stabiliti sia all’interno che al di fuori

dell’UE che offrono prodotti e servizi all’interno dell’UE (ad esempio un azienda che ha molte

sedi e offre servizi online in tutto il mondo).

10

Ambito di applicazione competenza territoriale

Il regolamento non si applica

• ai dati personali delle persone decedute (gli Stati membri possono prevedere norme

riguardanti il trattamento dei dati personali delle persone decedute);

• ai trattamenti di dati personali effettuati da una persona fisica per l'esercizio di attività a

carattere esclusivamente personale o domestico e quindi senza una connessione con

un'attività commerciale o professionale.

Le attività a carattere personale o domestico dovrebbero comprendere la corrispondenza e gli

indirizzari, o l'uso dei social network e attività online intraprese nel quadro di tali attività.

11

La struttura del Regolamento

La struttura del regolamento comprende:

È possibile scaricare il PDF del Regolamento da

Il testo pubblicato sulla Gazzetta ufficiale dell'Unione europeahttp://eur-lex.europa.eu/legal-content/IT/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.ITA&toc=OJ:L:2016:119:TOC

CAPO I Disposizioni generali

CAPO II Principi

CAPO III Diritti dell'interessato

CAPO IV Titolare del trattamento e responsabile del trattamento

CAPO V Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali

CAPO VI Autorità di controllo indipendenti

CAPO VII Cooperazione e coerenza

CAPO VIII Mezzi di ricorso, responsabilità e sanzioni

CAPO IX Disposizioni relative a specifiche situazioni di trattamento

CAPO X Atti delegati e atti di esecuzione

CAPO XI Disposizioni finali

12

ALCUNE DEFINIZIONI

13

Nell’art. 4 ci sono le definizioni dei termini utilizzati all’interno del regolamento …

Alcune definizioni

«dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile

(«interessato»);

si considera identificabile la persona fisica che può essere identificata, direttamente o

indirettamente, con particolare riferimento a un identificativo come il nome, un numero di

identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici

della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

14

«trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o

senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi

di dati personali, come la raccolta, la registrazione, l'organizzazione, la

strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la

consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o

qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione,

la limitazione, la cancellazione o la distruzione …

…quindi qualunque tipo di operazione sui dati,

dall’inizio (raccolta) alla fine (cancellazione o distruzione)

«limitazione di trattamento»: il contrassegno dei dati personali conservati con

l'obiettivo di limitarne il trattamento in futuro;

«consenso dell'interessato»: qualsiasi manifestazione di volontà libera,

specifica, informata e inequivocabile dell'interessato, con la quale lo stesso

manifesta il proprio assenso, mediante dichiarazione o azione positiva

inequivocabile, che i dati personali che lo riguardano siano oggetto di

trattamento;

Alcune definizioni

15

«titolare del trattamento»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro

organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del

trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati

dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici

applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati

membri;

«responsabile del trattamento»: la persona fisica o giuridica, l'autorità pubblica, il servizio o

altro organismo che tratta dati personali per conto del titolare del trattamento;

«incaricato»: la persona fisica autorizzata a compiere operazioni di trattamento dei dati

personali sotto l'autorità diretta del titolare o del responsabile;

Alcune definizioni

16

«violazione dei dati personali»: la violazione di sicurezza che comporta

accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la

divulgazione non autorizzata o l'accesso ai dati personali trasmessi,

conservati o comunque trattati;

«dati genetici»: i dati personali relativi alle caratteristiche genetiche ereditarie

o acquisite di una persona fisica che forniscono informazioni univoche sulla

fisiologia o sulla salute di detta persona fisica, e che risultano in particolare

dall'analisi di un campione biologico della persona fisica in questione;

«dati biometrici»: i dati personali ottenuti da un trattamento tecnico specifico

relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una

persona fisica che ne consentono o confermano l'identificazione univoca, quali

l'immagine facciale o i dati dattiloscopici;

«dati relativi alla salute»: i dati personali attinenti alla salute fisica o mentale di

una persona fisica, compresa la prestazione di servizi di assistenza sanitaria,

che rivelano informazioni relative al suo stato di salute;

Alcune definizioni

17

Nel Regolamento non esiste più una specifica definizione

• di dati personali “sensibili” o

• di dati personali “giudiziari”

però la definizione è ricavabile dagli articoli generali dedicati a queste categorie di

informazioni.

Art. 9: individua in generale le “categorie particolari di dati personali” nelle informazioni “che

rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o

l'appartenenza sindacale, i dati genetici, i dati biometrici intesi a identificare in modo univoco

una persona fisica, i dati relativi alla salute o alla vita sessuale o all'orientamento sessuale

della persona fisica”.

Art. 10: disciplina il trattamento dei “dati personali relativi alle condanne penali e ai reati o a

connesse misure di sicurezza”.

Alcune definizioni

18

I dati sono conservati per periodi indefiniti o molto lunghi, spesso “per sempre”.

Il titolare del trattamento, per assicurare che i dati personali non siano conservati più a lungo

del necessario, dovrebbe stabilire un termine per la cancellazione o per la verifica

periodica.

Spesso i dati sono acquisiti e poi successivamente utilizzati per finalità completamente

differenti da quelle dichiarate; ma secondo l’art. 5 del Regolamento i dati personali

a) devono essere trattati in modo lecito, equo e trasparente nei confronti dell’interessato

b) devono essere raccolti per finalità determinate, esplicite e legittime, e

successivamente trattati in modo non incompatibile con tali finalità.

I dati

19

I SOGGETTI COINVOLTI

20

Nel Regolamento le figure tipiche coinvolte …

1. contitolarità del trattamento, cioè quando due o più titolari del trattamento determinano insieme

le finalità e i mezzi del trattamento; va redatto uno specifico accordo interno tra i contitolari che

disciplini in modo trasparente le rispettive responsabilità e rifletta adeguatamente i rispettivi ruoli

e i rapporti dei contitolari con gli interessati. Il contenuto essenziale dell'accordo va messo a

disposizione dell'interessato;

2. la nomina del Responsabile del trattamento va documentata con un “contratto o altro atto

giuridico” (stipulato in forma scritta o anche in formato elettronico) che regoli la materia

disciplinata, la durata, la natura e la finalità del trattamento, il tipo di dati personali e le categorie

di interessati, gli obblighi e i diritti del titolare del trattamento. Il responsabile può a sua volta

designare altri responsabili del trattamento, previa autorizzazione scritta, specifica o generale,

del titolare del trattamento;

3. gli incaricati del trattamento (che il Codice della privacy obbliga a designare per iscritto) non

sono menzionati nel Regolamento che, però, prevede la figura delle “persone autorizzate al

trattamento”, cioè i soggetti che operano sotto la diretta responsabilità del titolare o del

responsabile con apposite istruzioni;

4. il “rappresentante del titolare del trattamento” stabilito nella UE, va designato per iscritto in caso

di trattamenti effettuati da titolari non stabiliti nell’Unione Europea se il trattamento ha ad

oggetto dati personali di interessati che si trovano nella UE.

Privacy: i soggetti coinvolti

21

Privacy: struttura piramidale

TITOLARETITOLARE

RESPONSABILERESPONSABILE

INCARICATOINCARICATO

22

Privacy: relazioni tra gli attori principali

TITOLARE

DELEGA DI FUNZIONI

(atto scritto)

RESPONSABILE

COLUI CHE POSSIEDE I REQUISITI DI PROFESSIONALITÀ ED ESPERIENZA

RICHIAMATI DAL LEGISLATORE

RESPONSABILE

DELEGA DI ESECUZIONE

(atto scritto)

INCARICATO

PERSONA FISICA CHE MATERIALMENTE ESEGUE LE OPERAZIONI DI

TRATTAMENTO DI DATI PERSONALI

23

Titolare del trattamento

Il titolare, a prescindere da qualsiasi nomina "ufficiale", è chi realmente determina le finalità e i

mezzi del trattamento.

Il titolare del trattamento adotta politiche e attua misure adeguate ed efficaci per tutelare i

diritti e le libertà dell'interessato, tenendo conto della natura, dell'ambito di applicazione, del

contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone

fisiche.

Inoltre deve essere in grado di dimostrare l'efficacia delle misure e la conformità delle attività

di trattamento con il regolamento.


24

Data Protection Officer (DPO): Responsabile della protezione dei dati

Figura introdotta dall’art. 37 del Regolamento e designata dal titolare del trattamento e dal

responsabile del trattamento.

Il DPO va segnalato in funzione delle elevate qualità professionali e della conoscenza

specialistica della normativa e delle prassi in materia di protezione dei dati.


25


Il DPO è obbligatorio se


1. il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico

2. le attività principali del titolare del trattamento o del responsabile del trattamento

consistono in trattamenti che richiedono il monitoraggio regolare e sistematico

degli interessati su larga scala;

3. le attività principali del titolare o del responsabile del trattamento consistono nel

trattamento, su larga scala, di categorie particolari di dati (dati personali sensibili,

sanitari, sulla vita o sull’orientamento sessuale, genetici, biometrici) o di dati

relativi a condanne penali e a reati.

26

Larga Scala


INDICATORI

• il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in

percentuale della popolazione di riferimento;

• il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;

• la durata, ovvero la persistenza, dell’attività di trattamento;

• la portata geografica dell’attività di trattamento

27

Larga Scala


Trattamenti su larga scala

• trattamento di dati relativi a pazienti svolto da un ospedale nell’ambito delle ordinarie

attività;

• trattamento di dati relativi agli spostamenti di utenti di un servizio di trasporto pubblico

cittadino (per esempio, il loro tracciamento attraverso titoli di viaggio);

• trattamento di dati relativi alla clientela da parte di una compagnia assicurativa o di una

banca nell’ambito delle ordinarie attività;

• trattamento di dati personali da parte di un motore di ricerca per finalità di pubblicità

comportamentale;

• trattamento di dati (metadati, contenuti, ubicazione) da parte di fornitori di servizi

telefonici / telematici.

28

Larga Scala


Non sono considerati trattamenti su larga scala

• trattamento di dati relativi a pazienti svolto da un singolo professionista sanitario;

• trattamento di dati personali relativi a condanne penali e reati svolto da un singolo

avvocato.

29


• Un gruppo imprenditoriale può nominare un unico DPO (a condizione che sia facilmente

raggiungibile da ciascuno stabilimento).

• Il DPO può essere un dipendente, soggetto interno alla struttura, del titolare o del

responsabile del trattamento oppure un soggetto esterno che assolve i suoi compiti in

base a un contratto di servizi.

• I dati di contatto del Data Protection Officer vanno comunicati al Garante e resi pubblici.

• Va coinvolto in tutte le questioni riguardanti la protezione dei dati personali e deve avere le

risorse necessarie per assolvere ai compiti assegnati.

• Non deve ricevere alcuna istruzione per quanto riguarda l'esecuzione dei compiti affidati

(è figura del tutto autonoma) né è soggetto a potere disciplinare o sanzionatorio per

l'adempimento dei propri compiti.


30


L’art. 39 del Regolamento individua il nucleo minimo dei compiti assegnati al Responsabile

della protezione dei dati (che dunque può essere anche esteso)


DPO

CONSULENZA

VIGILANZA

DPIA

CONTATTO

Informare e consigliare il titolare, il responsabile o

i dipendenti che eseguono il trattamento in merito

agli obblighi derivanti dal Regolamento

Sorvegliare l’osservanza del

Regolamento e Vigilare sui

processi interni

Cooperare e fungere da punto

di contatto con l’autorità di

controllo (Garante privacy)

Fornire, se richiesto, un parere in merito

alla valutazione di impatto sulla protezione

dei dati e sorvegliarne lo svolgimento

31


Ricorrendo i suddetti presupposti, sono tenuti alla nomina, a titolo esemplificativo e non

esaustivo:

istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie;

società di informazioni commerciali; società di revisione contabile; società di recupero crediti;

istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel

settore delle "utilities" (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di

somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura

della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di

analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi

informatici; società che erogano servizi televisivi a pagamento.


32

PRINCIPI

33

Tra i principi di maggiore rilevanza meritano un particolare approfondimento

• Il principio di accountability (responsabilizzazione del titolare)

• Il principio della privacy by design e della privacy by default

• Il principio della trasparenza

Principi privacy

34

Nel nuovo Regolamento uno dei principi più importanti è l’accountability, ovvero la

responsabilizzazione dei Titolari del trattamento.

ACCOUNTABILITY = significa che, in forza del Regolamento, il titolare del trattamento deve

mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di

dimostrare, che il trattamento è stato effettuato conformemente al Regolamento.

L’art. 5 specifica che il Titolare è il soggetto competente a garantire il rispetto dei principi

applicabili al trattamento di dati personali, quali quelli di

• liceità, correttezza e trasparenza,

• limitazione delle finalità,

• minimizzazione,

• esattezza,

• limitazione della conservazione,

• integrità e riservatezza

e deve essere in grado di comprovarlo («responsabilizzazione»).

Accountability (art. 24)

35

Liceità


TRATTAMENTO

• è lecito quando è conforme alla legge, ai regolamenti e alla normativa comunitaria

DATO PERSONALE

• deve essere ottenuto, raccolto ed elaborato correttamente

INTERESSATO

• non deve essere indotto a fornire informazioni con indicazioni parziali per quanto attiene le finalità di trattamento o all’ambito di divulgazione dei dati

36

Qualità ed esattezza dei dati


il titolare deve garantire l’attendibilità dei dati

chi tratta i dati deve garantirne l’esattezza e l’aggiornamento

in caso di incertezza del dato occorre valutarne la cancellazione

37

Pertinenza


PERTINENZA i dati devono avere una stretta relazione con le finalità perseguite

NON ECCEDENZA l’esistenza di un nesso logico tra l’informazione e la finalità perseguita

COMPLETEZZA un’informazione incompleta potrebbe rivelarsi errata

38

Giusta durata del trattamento


dati devono essere conservati per un periodo di tempo non superiore a quello necessario per

raggiungere gli scopi per i quali essi sono raccolti

una conservazione eccedente espone l’interessato a rischi di abusi e danni

se il dato non serve più rispetto alle finalità è preferibile distruggerlo o renderlo anonimo

39

Il principio della privacy by design o di «protezione dei dati personali fin dalla progettazione»

prevede che il titolare del trattamento debba tenere in considerazione la protezione della

riservatezza dei dati personali degli interessati cui il trattamento si riferisce, sin dall’ideazione

e dalla progettazione delle attività di trattamento che intende porre in essere.

Come?

• Applicando misure tecniche e organizzative adeguate volte ad attuare in modo efficace i

principi di protezione dei dati e

• integrando nel trattamento le necessarie garanzie per tutelare i diritti degli interessati.

Quindi tale adempimento va effettuato sia al momento di determinare i mezzi del trattamento

(es: progettazione di device) sia all'atto del trattamento stesso.

Privacy by design (art. 25)

40

Il principio della privacy by default o di «protezione dei dati personali per impostazione

predefinita»

prevede che il titolare del trattamento effettui il trattamento dei soli dati personali degli

interessati nella misura e per il tempo necessari a raggiungere le specifiche finalità del

trattamento, implementando, all’interno degli ambienti (dei sistemi informatici e delle

infrastrutture di rete utilizzate per tale trattamento) le misure tecniche idonee a proteggere i

dati personali degli interessati.

In particolare, dette misure devono garantire che, per impostazione predefinita, non siano resi

accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della

persona fisica (che ad esempio consapevolmente disponga il settaggio del servizio

scegliendo di condividere con i terzi i dati personali oggetto di trattamento nell’ambito della

operatività del servizio).

Privacy by default (art. 25)

41

Certificazione (artt. 42 e 43)

Il titolare può ottenere una certificazione ad hoc, prevista dal Regolamento in base ad una

specifica procedura, per dimostrare la conformità ai principi di privacy by design e by default.

Art. 42: … l’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli

e marchi di protezione dei dati allo scopo di dimostrare la conformità al presente regolamento

dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento…

3) La certificazione è volontaria ……

4) La certificazione ai sensi del presente articolo non riduce la responsabilità del titolare del

trattamento o del responsabile del trattamento riguardo alla conformità al presente…

C100: Al fine di migliorare la trasparenza e il rispetto del presente regolamento dovrebbe

essere incoraggiata l’istituzione di meccanismi di certificazione e sigilli nonché marchi di

protezione dei dati che consentano agli interessati di valutare rapidamente il livello di

protezione dei dati dei relativi prodotti e servizi.

42

Certificazione (artt. 42 e 43)

L’unico schema riconosciuto da ACCREDIA* di certificazione per la protezione dei dati

personali è

ISDP©10003:2015 DATA PROTECTION

Certificazione dei processi per la tutela delle persone fisiche con riguardo al trattamento dei

dati personali e la libera circolazione degli stessi - Reg. EU 679/2016.

Attraverso il certificato di conformità rilasciato dietro attestazione di una parte terza

indipendente, quale un Organismo accreditato, l'organizzazione può dimostrare di aver

ottemperato a tutti i requisiti e controlli di sicurezza richiesti dalla normativa internazionale

nell'ambito della protezione dei dati personali trattati, con particolare riferimento alla corretta

gestione dei rischi.

* ACCREDIA è l’unico organismo nazionale autorizzato dallo Stato a svolgere attività di accreditamento,

ossia l'unico ente riconosciuto in Italia ad attestare che gli organismi di certificazione ed ispezione abbiano

le competenze per valutare la conformità dei prodotti, dei processi e dei sistemi agli standard di riferimento.

43

Trasparenza

Qualsiasi trattamento di dati personali dovrebbe essere lecito e corretto.

Per le persone fisiche dovrebbero essere trasparenti

• le modalità con cui sono raccolti, utilizzati, consultati o altrimenti trattati dati personali che

li riguardano

• nonché la misura in cui (come) i dati personali sono o saranno trattati.

Il principio della trasparenza impone che le informazioni e le comunicazioni relative al

trattamento di tali dati personali siano facilmente accessibili e comprensibili e che sia utilizzato

un linguaggio semplice e chiaro.

44

INFORMATIVA E CONSENSO

45

L’informativa diventa sempre di più uno strumento di trasparenza riguardo al trattamento dei

dati personali e all’esercizio dei diritti.

Gli interessati devono sapere se i loro dati sono trasmessi al di fuori dell’UE, e con quali

garanzie, o che hanno il diritto di revocare il consenso a determinati trattamenti (es.:

marketing diretto).

Il Regolamento sancisce a carico dei titolari del trattamento obblighi di informativa

prevedendo numerose informazioni aggiuntive da fornire agli interessati.

L’Informativa va resa per iscritto o con altri mezzi, anche elettronici.

Se richiesto dall'interessato, le informazioni possono essere fornite oralmente, purché sia

comprovata con altri mezzi l'identità dell'interessato.

Informativa

46

Il titolare del trattamento deve inserire obbligatoriamente nell’informativa privacy anche le

seguenti informazioni aggiuntive sul trattamento:

1. i dati di contatto del titolare, del responsabile del trattamento e del responsabile della

protezione dei dati personali (ove applicabile);

2. la finalità e la base giuridica del trattamento;

3. qualora il trattamento si basi sulla necessità di perseguire un legittimo interesse del

titolare del trattamento o di terzi, la specificazione di quali siano i legittimi interessi

perseguiti dal titolare del trattamento o da terzi;

4. gli eventuali destinatari dei dati personali;

5. l’intenzione di trasferire dati personali a un paese terzo o a un'organizzazione

internazionale;

6. il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati

per determinare tale periodo;

7. l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento l'accesso ai

dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento

che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;

Informativa

47

Il titolare del trattamento deve inserire obbligatoriamente nell’informativa privacy anche le

seguenti informazioni aggiuntive sul trattamento:

8. l'esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la

liceità del trattamento basata sul consenso prestato prima della revoca;

9. il diritto di proporre reclamo al Garante privacy;

10. Se la comunicazione di dati personali è un obbligo o un requisito necessario per la

conclusione di un contratto e se l’interessato ha l’obbligo di fornirli nonché le

conseguenze della mancata comunicazione di tali dati;

11. l’eventuale esistenza di un processo decisionale automatizzato, compresa la profilazione

e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza

e le conseguenze previste di tale trattamento per l'interessato;

12. informare l’interessato, prima del trattamento, se si intende trattare i dati personali per

una finalità diversa da quella per cui essi sono stati raccolti.

Informativa

48

Se i dati non sono stati ottenuti presso l’interessato, il titolare del trattamento fornisce

all’interessato anche le seguenti informazioni:

1. la fonte da cui hanno origine i dati personali e, se del caso, l'eventualità che i dati

provengano da fonti accessibili al pubblico;

2. le categorie di dati personali oggetto del trattamento;

3. fornire le informazioni all’interessato entro un mese dall’ottenimento dei dati o alla prima

comunicazione se destinati alla comunicazione con l’interessato, oppure non oltre la

prima comunicazione se è prevista la comunicazione ad altro destinatario.

Informativa

49

Il Regolamento fonda sul «consenso dell'interessato» la principale precondizione (salvo le

deroghe) di liceità del trattamento.

Il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il

quale l'interessato manifesta l'intenzione libera, specifica, informata e inequivocabile di

accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante

dichiarazione scritta, anche attraverso mezzi elettronici, o orale.

Ciò potrebbe comprendere la selezione di un'apposita casella in un sito web o qualsiasi altro

comportamento che indichi chiaramente in tale contesto che l'interessato accetta il

trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l'inattività o la

preselezione di caselle.

Consenso

50

Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse

finalità; qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte

queste.

Il titolare del trattamento deve poter dimostrare che l'interessato ha prestato il consenso al

trattamento dei propri dati personali. Se il consenso dell'interessato è prestato nel contesto di

una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso deve

essere presentata in modo chiaramente distinguibile dalle altre materie, in forma

comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro, pena

l’invalidità del consenso prestato.

Si presume che il consenso non sia stato liberamente espresso

• se non è possibile esprimere un consenso separato a distinti trattamenti di dati personali,

nonostante sia appropriato nel singolo caso, o

• se l’esecuzione di un contratto, compresa la prestazione di un servizio, è subordinata al

consenso sebbene esso non sia necessario per tale esecuzione.

L'interessato ha poi il diritto di revocare il proprio consenso (e tale informazione è uno dei

nuovi elementi obbligatori dell’informativa privacy) in qualsiasi momento (anche se la revoca

non pregiudica la liceità del trattamento fino a quel momento effettuato), con modalità di

esecuzione della revoca del consenso facili come la sua prestazione originaria.

Consenso

51

DIRITTI DELL’INTERESSATO

52

I diritti dell’interessato

Il Regolamento ha da un lato ribadito e dall'altro introdotto tutta una serie di diritti in capo

all'interessato volti a garantire una sempre più ampia tutela dello stesso

• diritto alla trasparenza del trattamento

• diritto di accesso ai dati

• diritto di rettifica dei dati personali

• diritto alla limitazione nonché di opposizione al trattamento

• diritto all'oblio

• diritto alla portabilità dei dati

• diritto al risarcimento

53

Trasparenza

Informazioni rapide, esatte, chiare e semplici, intelligibili e facilmente accessibili devono

essere fornite dai titolari del trattamento agli interessati sia prima (attraverso l'informativa) che

dopo il trattamento, nel momento in cui i medesimi interessati intendono consultarli per far

valere i propri diritti.

Accesso ai propri dati

Il diritto di accesso ai propri dati consiste nel poter ottenere in qualunque momento sia la

conferma che i propri dati siano soggetti ad un trattamento, sia costanti informazioni e/o

aggiornamenti circa le finalità del trattamento, le categorie di dati personali in questione, il loro

periodo di conservazione nonché l'esistenza e l'applicazione di un processo decisionale

automatizzato (profilazione inclusa).

Rettifica dei dati

Il diritto alla rettifica dei dati viene nuovamente riproposto e avvalorato: il titolare deve

correggere tutte le eventuali inesattezze dei dati personali riguardanti l'interessato senza

ingiustificato ritardo.

Anche in caso di incompletezza dei dati, l'interessato ha il diritto di ottenere l'integrazione

degli stessi.


54

Limitazione di trattamento e opposizione

L'art. 18 prevede il diritto di limitazione di trattamento solo nei seguenti casi

• l'interessato contesta l'esattezza dei dati personali, per il periodo necessario al titolare del

trattamento per verificare l'esattezza di tali dati personali;

• il trattamento è illecito e l'interessato si oppone alla cancellazione dei dati personali e

chiede invece che ne sia limitato l'utilizzo;

• i dati personali sono necessari all'interessato per l'accertamento, l'esercizio o la difesa di

un diritto in sede giudiziaria;

• l'interessato si è opposto al trattamento in attesa della verifica in merito all'eventuale

prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell'interessato.

Se il trattamento è limitato, i dati sono trattati, salvo che per la conservazione, soltanto con il

consenso dell'interessato o per l'accertamento, l'esercizio o la difesa di un diritto in sede

giudiziaria.

L'interessato gode inoltre del diritto di opposizione: in base alla sua situazione particolare,

ciascun soggetto può infatti opporsi in qualsiasi momento al trattamento dei dati personali che

lo riguardano; in special modo quando i dati sono trattati per finalità di marketing diretto.


55

Diritto all’oblio

L’art. 17 del Regolamento introduce in capo agli interessati il diritto alla cancellazione (o diritto

all'oblio).

L'interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati

personali che lo riguardano senza ingiustificato ritardo e il titolare ha l'obbligo di cancellare i

dati personali.


56

Diritto all’oblio

Tale diritto alla cancellazione è tuttavia subordinato alla sussistenza di uno dei seguenti

motivi:

• i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o

trattati;

• l'interessato revoca il consenso e non sussiste altro fondamento giuridico per il

trattamento;

• l'interessato si oppone al trattamento e non sussiste altro fondamento giuridico per

continuare lo stesso;

• i dati sono stati trattati illecitamente;

• i dati devono essere cancellati per legge;

• i dati sono stati forniti da un minore.

L'art. 17 conclude prevedendo delle situazioni particolari nelle quali il diritto all'oblio non è

riconosciuto:

• per l'esercizio del diritto alla libertà di espressione e di informazione;

• per l’adempimento di un obbligo legale;

• per motivi di interesse pubblico nel settore della sanità pubblica;

• a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici;

• per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria.


57

Diritto alla portabilità dei dati

L’art. 20 del Regolamento 2016/679 introduce il diritto alla portabilità dei dati.

Per portabilità si intende, in questo ambito, la possibilità di trasferire i dati personali da un

titolare ad un altro.

A condizione che il trattamento si basi sul consenso o su un contratto e che non vengano lesi

diritti e libertà altrui, l'interessato gode quindi del diritto di trasmettere i propri dati ad un

titolare del trattamento diverso da quello a cui li ha forniti inizialmente, senza alcun

impedimento da parte di quest'ultimo.

Se tecnicamente fattibile, la trasmissione di tali dati deve essere fatta direttamente da un

titolare all'altro. Per rendere il tutto effettivamente possibile, è poi previsto il diritto in capo

all'interessato di ricevere i propri dati in un formato strutturato, di uso comune e leggibile da

dispositivo automatico.

L'esercizio di tale diritto è però, come ogni diritto, soggetto ad alcune limitazioni: non si

applica al trattamento necessario per l'esecuzione di un compito di interesse pubblico o

connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento.


58

Diritto al risarcimento

Infine l'articolo 82 del Regolamento prevede un generale diritto al risarcimento.

"Chiunque subisca un danno materiale o immateriale causato da una violazione del presente

regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal

responsabile del trattamento".

Se vi sono più titolari del trattamento responsabili del danno, essi sono tutti responsabili in

solido per l'intero ammontare del danno nei confronti dell'interessato, salvo poi poter proporre

un azione di regresso.


59

Misure di sicurezza e

analisi dei rischi

60

La sicurezza nel trattamento dei dati è uno dei principi fondamentali del trattamento

(art. 5 del Regolamento).

Art. 32 – Sicurezza del trattamento

Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto,

del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e

gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile

del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un

livello di sicurezza adeguato al rischio che comprendono, tra le altre:

1. la pseudonimizzazione e la cifratura dei dati personali;

2. la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità

e la resilienza dei sistemi e dei servizi di trattamento;

3. la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati

personali in caso di incidente fisico o tecnico;

4. una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure

tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Le misure di sicurezza nel trattamento dei dati personali

61

Definizione di “Sicurezza”

Sicurezzainsieme delle

misure di carattere

organizzativo e

tecnologico atte a

garantire

Riservatezza: informazioni accessibili solo a chi è

autorizzato a conoscerli, quindi non accessibili a chi non è

autorizzato

Integrità: i dati devono essere trattati in modo che siano

protetti da manomissioni e modifiche non autorizzate, quindi

bisogna tutelare l’accuratezza e la completezza dei dati

Disponibilità: la risorsa/il dato deve essere sempre

agevolmente disponibile a chi vi può lecitamente accedere

Principale obiettivo di un sistema di sicurezza è la salvaguardia delle informazioni. Per

ciascun sistema informativo automatizzato, per gli strumenti elettronici, per gli archivi e

documenti cartacei bisogna garantire Riservatezza, Integrità e Disponibilità.

62

“Sicurezza”

Eventi che causano la perdita di Riservatezza, Integrità e Disponibilità:

• Rottura di un hard disk

• Virus

• Assenza o comunicazione di password

• Profili mal configurati

• Perdita di chiavetta USB

• Sostituzione o furto di un PC

• Assenza dell’incaricato

• Furto di documenti

• Pubblicazione illecita su Internet

• Accesso non autorizzato a dati giudiziari

• Dimissioni di un dipendente

• Attivazione di collegamento remoto

• Introduzione di un nuovo programma applicativo o di un nuovo server

• Nuova normativa

• Violazione di dati

• Nuova vulnerabilità software e hardware

• Nuova versione di un sistema operativo

63

Cambia la prospettiva, non c’è più distinzione tra misure minime e idonee esistono solo

misure adeguate da applicare, decise dal titolare del trattamento a seguito dell’analisi dei

rischi.

Misure di sicurezza

OBBLIGO DI ADOTTARE MISURE TECNICHE E

ORGANIZZATIVE ADEGUATE ALLA

VALUTAZIONE DEI RISCHI

OBBLIGO DI ADOTTARE MISURE TECNICHE E

ORGANIZZATIVE ADEGUATE ALLA

VALUTAZIONE DEI RISCHI

MISURE MINIME

PREDEFINITE

MISURE MINIME

PREDEFINITE

D. Lgs. 196/2003

GDPR 2016/679

Si passa dall’adozione di misure di sicurezza prestabilite (Allegato B del D. Lgs. 196/2003) ad

un approccio basato sulla valutazione dei rischi e l’adozione di idonee policy «proporzionate»

alle attività di trattamento.

Il titolare ed il responsabile devono quindi adottare adeguate misure tecniche ed

organizzative, per assicurare un livello di sicurezza adeguato ai rischi e ridurre al minimo i

rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o

di trattamento non consentito o non conforme alle finalità della raccolta.

64

Analisi dei rischi

Identificare i rischi

Analizzare i rischi in termini di verosimiglianza e conseguenze

Ponderare e trattare i rischi

R = PROBABILITÀ × GRAVITÀ

In azienda, l’adozione delle misure di sicurezza va modulata in relazione ai beni da

proteggere ed alle minacce possibili a tali beni, dunque in base ad una preliminare analisi dei

rischi.

65

VIOLAZIONE DEI DATI

DATA BREACH

66

L’obbligo di notifica al Garante di una avvenuta violazione di dati personali (definita

formalmente quale “violazione di sicurezza che comporta accidentalmente o in modo illecito la

distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali

trasmessi, conservati o comunque trattati”;) diventa obbligo generale per tutti i titolari del

trattamento, indipendentemente dal fatto che siano o meno fornitori di servizi di

comunicazione elettronica.

In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione al

Garante senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è

venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti

un rischio per i diritti e le libertà delle persone fisiche.

Qualora la notifica non sia effettuata entro 72 ore, è corredata dei motivi del ritardo.

La notifica della violazione dei dati personali

(“Data Breach”)

67

La notifica deve almeno:

1. descrivere la natura della violazione dei dati personali compresi, ove possibile, le

categorie e il numero approssimativo di interessati in questione nonché le categorie e il

numero approssimativo di registrazioni dei dati personali in questione;

2. comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di

altro punto di contatto presso cui ottenere più informazioni;

3. descrivere le probabili conseguenze della violazione dei dati personali;

4. descrivere le misure adottate o di cui si propone l'adozione da parte del titolare del

trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per

attenuarne i possibili effetti negativi.

Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i

diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione

anche all'interessato, senza ingiustificato ritardo, descrivendola con un linguaggio semplice

e chiaro, salve circostanze al verificarsi delle quali non è richiesta la comunicazione

all'interessato.


(“Data Breach”)

68

Esempi di violazioni

• Perdita di dati

• Furto di dati (non necessariamente in formato elettronico, possono essere anche in

formato cartaceo)

• Alterazione di cartelle cliniche

• Alterazione di cartelle esattoriali

• Alterazione di verbali relativi al Codice della Strada

• Invio di dati all’esterno

• Intercettazione di dati

• Accesso abusivo al sistema


(“Data Breach”)

69

Un caso reale di violazione dei dati personali

(“Data Breach”)

WIND TRE dovrà comunicare per

iscritto a oltre 5mila clienti di aver

subito un attacco informatico lo

scorso 20 marzo 2017, che ha

consentito di visualizzare e

acquisire in chiaro le user id e le

password necessarie per l’accesso

al loro profilo online e al rischio di

furto dati fra cui nominativo, codice

fiscale, numero di telefono, mail,

indirizzo e fatture degli ultimi sei

mesi per chi li ha richiesti.

Lo ha stabilito il Garante Privacy nel

suo provvedimento n. 226 dell’11

maggio scorso, a tutela di tutte le

vittime dell’attacco informatico,

potenzialmente esposte al rischio di

furti di identità e di accessi non

autorizzati ai dati personali….

70

TRASFERIMENTO DI DATI

71

Qualunque trasferimento di dati personali verso un paese terzo o un'organizzazione

internazionale può avere luogo soltanto se il titolare del trattamento e il responsabile del

trattamento rispettano le condizioni esplicitate dal Regolamento:

1. trasferimento sulla base di una decisione di adeguatezza (ove la Commissione UE

abbia deciso che il paese terzo o l'organizzazione internazionale in questione

garantiscono un livello di protezione adeguato; in tal caso il trasferimento non necessita di

autorizzazioni specifiche);

2. trasferimento soggetto a garanzie adeguate (il titolare o il responsabile del trattamento

può trasferire dati personali solo se ha fornito garanzie adeguate, come ad esempio: le

norme vincolanti d'impresa, le clausole contrattuali standard, l’esistenza di un codice di

condotta, l’esistenza di un meccanismo di certificazione, specifiche clausole contrattuali).

Trasferimento dei dati fuori dell’Unione Europea

72

Se non è applicabile nessuna delle condizioni prima illustrate, il trasferimento o un complesso

di trasferimenti di dati personali sono ammessi solo se:

a) il consenso informato dell’interessato;

b) il trasferimento è necessario all'esecuzione di un contratto ovvero all'esecuzione di misure

precontrattuali adottate su istanza dell'interessato;

c) il trasferimento sia necessario per importanti motivi di interesse pubblico o per accertare,

esercitare o difendere un diritto in sede giudiziaria;

d) il trasferimento sia necessario per tutelare gli interessi vitali dell'interessato o di altre

persone, qualora l'interessato si trovi nell'incapacità fisica o giuridica di prestare il proprio

consenso;

e) il trasferimento sia effettuato a partire da un registro pubblico.

Trasferimento dei dati fuori dell’Unione Europea

73

PROFILAZIONE E

VALUTAZIONE D’IMPATTO

74

Il Regolamento introduce una definizione e una regolamentazione del particolare

trattamento rappresentato dalla profilazione dell’interessato (“qualsiasi forma di

trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per

valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare

o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute,

le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli

spostamenti di detta persona fisica”).

In linea generale la profilazione appare sostanzialmente vietata (“L'interessato ha il diritto

di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato,

compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo

analogo significativamente sulla sua persona”) a meno che non vi siano circostanze

specifiche, tra le quali il chiaro consenso informato dell’interessato.

I trattamenti di profilazione rappresentano poi uno dei presupposti che rendono obbligatoria

la valutazione preventiva di impatto sulla protezione dei dati.

I trattamenti di profilazione

75

Valutazione d’impatto sulla protezione dei dati (art. 35)

Data Protection Impact Assessment (DPIA)

Quando il trattamento (per natura, oggetto, contesto e finalità), in particolare se prevede l'uso

di nuove tecnologie, presenta un rischio elevato per i diritti e le libertà degli interessati, il

titolare del trattamento effettua una valutazione d’impatto, del trattamento previsto, sulla

protezione dei dati personali per determinare, in particolare, l'origine, la natura, la particolarità

e la gravità di tale rischio.

Se la valutazione indica che i trattamenti presentano un rischio elevato che il titolare del

trattamento non può attenuare (mediante misure opportune in termini di tecnologia disponibile

e costi di attuazione), prima del trattamento si dovrebbe consultare l'autorità di controllo.

La valutazione d’impatto è richiesta in particolare nei seguenti casi:

• valutazione sistematica e globale di aspetti della personalità dell’interessato o volta ad

analizzarne o prevederne in particolare la situazione economica, l’ubicazione, lo stato di

salute, le preferenze personali, l’affidabilità o il comportamento, basata su un trattamento

automatizzato e da cui discendo misure che hanno effetti giuridici o significativamente

incidono sull’interessato;

• il trattamento, su larga scala, di categorie particolari di dati personali di cui all'art. 9, o di

dati relativi a condanne penali e a reati di cui all'art. 10;

• la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

76

SANZIONI

77

Il Regolamento conferma la responsabilità risarcitoria per il c.d. “danno da trattamento”, l’art.

82 prescrive difatti che

“Chiunque subisca un danno materiale o immateriale causato da una violazione del presente

regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o

dal responsabile del trattamento”.

Inoltre chiarisce i meccanismi di ripartizione della responsabilità risarcitoria tra titolare e

responsabile del trattamento, e tra contitolari del trattamento (con la previsione specifica di

azioni di regresso reciproche) così come i meccanismi di esonero.

Il nuovo apparato sanzionatorio

78

L’art. 83 del Regolamento regola le condizioni di determinazione delle sanzioni e per

l’applicazione delle sanzioni amministrative pecuniarie fissa i seguenti importi:

1. fino a 10.000.000 EUR, o per le imprese fino al 2 % del fatturato mondiale totale

annuo dell'esercizio precedente, nel caso di violazione di determinati obblighi posti dal

Regolamento (ad es.: obblighi del titolare o del responsabile del trattamento);

2. fino a 20.000.000 EUR, o per le imprese fino al 4 % del fatturato mondiale totale

annuo dell'esercizio precedente, nel caso di violazione degli obblighi più stringenti posti

dal Regolamento (anche nel semplice caso di inosservanza degli ordini del Garante).

Le autorità di controllo hanno una serie di poteri correttivi (previsti dall’art. 58); tali poteri

prevedono fra gli altri la possibilità di limitare o vietare un trattamento.

Le conseguenze economiche di una disposizione di questo tipo potrebbero essere anche più

grave di quelle derivanti da una sanzione amministrativa: l’impossibilità di effettuare un

trattamento potrebbero comportare, ad esempio, la sospensione dell’erogazione di un servizio

verso i clienti.

Il nuovo apparato sanzionatorio

79

DISCIPLINARE RELATIVO

ALL’UTILIZZO DEI DATI

80

Nell’ambiente lavorativo si gestiscono una serie di “informazioni”, proprie e di terzi,

generalmente utilizzate per poter erogare i servizi che vengono contrattualmente

richiesti.

Tali informazioni possono essere considerate dati personali quando sono riferite a

persone fisiche e, per la loro gestione (o trattamento) sia in forma cartacea che

digitale, è necessario che l’azienda adotti una serie di misure di sicurezza.

Altre informazioni, invece, pur non essendo dati personali, sono in tutto e per tutto

“informazioni riservate”, ovvero informazioni tecniche, commerciali, contrattuali, di

business o di altro genere per le quali l’organizzazione è chiamata a garantire la

riservatezza, per esempio per un accordo di non divulgazione o per una più ampia

tutela del patrimonio aziendale.

Introduzione

81

In questo esempio di disciplinare si specifica che con i termini

• “dati” deve intendersi l’insieme più ampio di informazioni di cui un dipendente o

un collaboratore può venire a conoscenza e di cui deve garantire la riservatezza

e la segretezza e non solo i “dati personali” intesi a norma di legge;

• “dati cartacei” ovvero informazioni su supporto cartaceo;

• “dati digitali” ovvero informazioni che vengono memorizzate o semplicemente

transitano attraverso apparecchiature digitali.

Introduzione

82

In linea generale ogni dato è da considerarsi riservato e non deve essere

comunicato o diffuso a nessuno (anche una volta interrotto il rapporto lavorativo

con l’organizzazione stessa o qualora parte delle informazioni siano di pubblico

dominio) salvo specifica autorizzazione esplicita.

Anche tra colleghi, oppure tra dipendenti e collaboratori esterni, è necessario

adottare la più ampia riservatezza nella comunicazione dei dati conosciuti,

limitandosi solo a quei casi che si rendono necessari per espletare al meglio

l’attività lavorativa richiesta.

Premesso che i comportamenti che normalmente si adottano nell’ambito di un

rapporto di lavoro devono sempre ispirarsi al principio di diligenza e correttezza,

l’azienda deve adottare un Disciplinare Interno per evitare che condotte

inconsapevoli possano innescare problemi o minacce alla sicurezza dei dati

o delle attrezzature aziendali.

Introduzione

83

Gli Incaricati sono responsabili del controllo e della custodia, per l'intero ciclo necessario

allo svolgimento delle operazioni di trattamento, dei documenti contenenti dati.

Adottare una “politica della scrivania pulita”; i principali benefici sono:

1) una buona impressione a clienti, fornitori o esterni che visitano l’organizzazione;

2) la riduzione della possibilità che informazioni confidenziali possano essere viste da

persone non abilitate a conoscerle;

3) la riduzione che documenti confidenziali possano essere sottratti all’organizzazione.

Non lasciare in vista sulla propria scrivania dati cartacei quando ci si allontana dalla

postazione, anche momentaneamente, oppure quando è previsto un incontro con un

soggetto non abilitato alla conoscenza dei dati in essi contenuti.

Prima di lasciare la propria postazione, per esempio per una riunione, sarà cura degli

Incaricati riporre in luogo sicuro (armadio, cassettiera, archivio, …) i dati cartacei ad esso

affidati, affinché gli stessi non possano essere visti da terzi non autorizzati (es. addetti alle

pulizie, colleghi) o da terzi (visitatori, clienti) presenti nell’ente.

A fine giornata deve essere previsto il riordino della scrivania e la corretta archiviazione di

tutte le pratiche d’ufficio, in modo da lasciare la scrivania completamente sgombra.

Postazione lavorativa

84

Ove possibile, si invita ad evitare la stampa di documenti digitali, anche ai fini di

ridurre l’inquinamento ed il consumo delle risorse in ottica ecologica.

È necessario rimuovere immediatamente ogni foglio stampato, da una stampante o

da un’apparecchiatura fax, per evitare che siano prelevati o visionati da soggetti

non autorizzati.

Ove possibile, è buona norma eliminare i documenti cartacei, soprattutto quelli

contenenti dati sensibili, attraverso apparecchiature trita documenti.

Postazione lavorativa

85

L'utilizzo dei dispositivi fisici e la gestione dei dati ivi contenuti devono svolgersi nel

rispetto della sicurezza e dell'integrità del patrimonio dati aziendale.

L’incaricato deve quindi eseguire le operazioni seguenti:

1. se si allontana dalla propria postazione dovrà mettere in protezione il suo

device affinché persone non autorizzate non abbiano accesso ai dati protetti;

2. bloccare il suo device prima delle pause e, in generale, ogni qualvolta abbia

bisogno di allontanarsi dalla propria postazione;

3. chiudere la sessione (Logout) e spegnere il PC a fine giornata.

Obblighi dell’incaricato

86

Il computer consegnato all’incaricato è uno strumento di lavoro e contiene tutti i

software necessari a svolgere le attività affidate.

Ogni utilizzo non inerente all’attività lavorativa può contribuire ad innescare

disservizi, rallentamenti del sistema, costi di manutenzione e, soprattutto, minacce

alla sicurezza.

L’accesso all’elaboratore è protetto da password che deve essere custodita

dall’incaricato con la massima diligenza e non divulgata.

Per necessità aziendali gli amministratori di sistema potranno accedere, con le

regole indicate nel documento disciplinare, sia alle memoria di massa locali di rete

(repository e backup) che ai server aziendali nonché, previa comunicazione al

dipendente, accedere al computer.

Corretto utilizzo del computer aziendale

87

In particolare l’Incaricato deve adottare le seguenti misure:

1. utilizzare solo ed esclusivamente le aree di memoria della rete aziendale ed ivi

creare e registrare file e software o archivi dati, senza pertanto creare altri files

fuori dalle unità di rete;

2. spegnere il computer, o curarsi di effettuare il logout, ogni sera prima di lasciare

gli uffici o in caso di assenze prolungate, poiché lasciare un elaboratore

incustodito connesso alla rete può essere causa di utilizzo da parte di terzi

senza che vi sia la possibilità di provarne in seguito l’indebito uso;

3. mantenere sul computer esclusivamente i dispositivi di memorizzazione,

comunicazione o altro (come ad esempio masterizzatori) disposti

dall’organizzazione;

4. non dare accesso al proprio computer ad altri utenti, a meno di necessità

stringenti e sotto il proprio costante controllo.

Corretto utilizzo del computer aziendale

88

All’incaricato è vietato:

1. La gestione, la memorizzazione (anche temporanea) o il trattamento di file, documenti e/o

informazioni personali dell’incaricato o comunque non afferenti alle attività lavorative.

2. Modificare le configurazioni già impostate sul personal computer.

3. Utilizzare programmi e/o sistemi di criptazione senza la preventiva autorizzazione scritta

dell’organizzazione.

4. Installare alcun software, né installare alcuna versione diversa, anche più recente, rispetto

alle applicazioni o al sistema operativo presenti sul personal computer consegnato, senza

l’espressa autorizzazione dell’organizzazione.

5. Aggiungere o collegare dispositivi hardware (ad esempio hard disk, driver, ecc.) o

periferiche (macchine fotografiche, smartphone, chiavi USB ecc.) diversi da quelli

consegnati, senza l’autorizzazione espressa dell’organizzazione.

6. Creare o diffondere, intenzionalmente o per negligenza, programmi idonei a danneggiare

il sistema informatico dell’organizzazione (quali per esempio virus, malware, ecc…).

7. Accedere, rivelare o utilizzare informazioni non autorizzate o comunque non necessarie

per le mansioni svolte.

8. Effettuare in proprio, o da altri soggetti non espressamente autorizzati dell’organizzazione,

attività manutentive.

Divieti Espressi sull’utilizzo del COMPUTER

89

La prima caratteristica di una password è la segretezza, e quindi non si deve svelare ad altri

soggetti.

La divulgazione delle proprie password o la trascuratezza nella loro conservazione può

causare gravi danni al proprio lavoro, a quello dei colleghi e dell‘organizzazione nel suo

complesso.

Nel tempo anche la password più sicura perde la sua segretezza; per questo motivo è buona

norma cambiarla con una certa frequenza.

Altra buona norma è quella di non memorizzare la password su supporti facilmente

intercettabili da altre persone, il miglior luogo in cui conservare una password è la propria

memoria.

Nell'ambito delle attività riguardanti la tutela della sicurezza della infrastruttura tecnologica,

l‘organizzazione potrebbe effettuare analisi periodiche sulle password degli Incaricati al fine di

verificarne la solidità, le policy di gestione e la durata, informandone preventivamente gli

Incaricati stessi. Nel caso in cui l'audit abbia, tra gli esiti possibili, la decodifica della

password, questa viene bloccata e all'Incaricato richiesto di cambiarla.

Le password

90

L’Incaricato, per una corretta e sicura gestione delle proprie password, deve

rispettare le regole seguenti:

1. le password sono assolutamente personali e non vanno mai comunicate ad

altri;

2. occorre cambiare immediatamente una password non appena si abbia alcun

dubbio che sia diventata poco "sicura";

3. le password devono essere lunghe almeno 8 caratteri e devono contenere

anche lettere maiuscole, caratteri speciali e numeri;

4. le password non devono essere memorizzate su alcun tipo di supporto, quali ad

esempio Post-it (sul monitor o sotto la tastiera) o agende condivise (cartacee,

posta elettronica,…);

5. le password devono essere sostituite almeno nei tempi indicati dalla normativa,

a prescindere dall'esistenza di un sistema automatico di richiesta di

aggiornamento password.

Regole per la corretta gestione delle password

91

Per una corretta gestione delle password, non si devono utilizzare:

1. nome e cognome propri, e loro parti;

2. lo username assegnato;

3. l’indirizzo di posta elettronica (e-mail);

4. parole comuni (in Inglese e in Italiano);

5. date, mesi dell'anno e giorni della settimana;

6. parole banali e/o di facile intuizione, ad es. pippo, security, nome azienda…;

7. ripetizioni di sequenze di caratteri (es. abcabcabc);

8. password già impiegate in precedenza.

Alcuni esempi di password assolutamente da evitare:

1. username = "luigibianchi", password = "luigi" o " luigibianchi ";

2. la propria data di nascita o quella di un parente;

3. Parole o sequenze comuni tipo “Password”, “Qwerty123”, “12345678”.

Regole per la corretta gestione delle password

92

I virus possono essere trasmessi tramite scambio di file via internet, via mail, scambio di supporti

removibili, filesharing, …

L‘organizzazione impone su tutte le postazioni di lavoro l'utilizzo di un sistema antivirus

correttamente installato, attivato continuamente e aggiornato automaticamente con frequenza

almeno quotidiana.

L’incaricato, da parte sua, deve impegnarsi a controllare il corretto funzionamento e aggiornamento

del sistema antivirus installato sul proprio computer, e, in particolare, deve rispettare le regole

seguenti:

1. Comunicare all’ente ogni anomalia o malfunzionamento del sistema antivirus;

2. Comunicare all’ente eventuali segnalazioni di presenza di virus o file sospetti.

Inoltre, all’incaricato:

1. è vietato accedere alla rete aziendale senza antivirus attivo e aggiornato sulla propria

postazione;

2. è vietato ostacolare l'azione dell'antivirus aziendale;

3. è vietato disattivare l’antivirus senza l’autorizzazione espressa dell’organizzazione anche e

soprattutto nel caso sia richiesto per l’installazione di software sul computer;

4. è vietato aprire allegati di mail provenienti da mittenti sconosciuti o di dubbia provenienza o

allegati di mail di persone conosciute ma con testi inspiegabili o in qualche modo strani.

L’incaricato, inoltre, deve contattare i sistemi informativi o il personale addetto prima di procedere a

qualsiasi attività potenzialmente in conflitto con quanto sopra.

Antivirus

93

La connessione alla rete internet dal dispositivo che si ha in dotazione è ammessa

esclusivamente per motivi attinenti allo svolgimento dell’attività lavorativa.

L’utilizzo per scopi personali è permesso con moderazione e con gli accorgimenti di cui al

presente documento disciplinare.

Misure preventive per ridurre navigazioni illecite

L’organizzazione potrà adottare idonee misure tecniche preventive volte a ridurre navigazioni

a siti non correlati all’attività lavorativa attraverso filtri e black list.

Alcuni Divieti Espressi concernenti Internet

È vietato all’Incaricato scaricare software (anche gratuiti) se non espressamente autorizzato.

È vietata ogni forma di registrazione a siti i cui contenuti non siano legati all’attività lavorativa.

È vietato accedere dall’esterno alla rete interna dell’organizzazione, salvo con le specifiche

procedure previste dall’organizzazione stessa.

Internet

94

L’utilizzo della posta elettronica aziendale è connesso allo svolgimento dell’attività lavorativa.

Gli Incaricati assegnatari delle caselle di posta elettronica sono responsabili del corretto

utilizzo delle stesse e periodicamente devono effettuare «pulizia» delle stesse.

Nel caso di assenza prolungata sarebbe buona norma attivare il servizio di risposta

automatica (messaggio fuori sede).

Avvisare l’organizzazione quando si ricevono messaggi con allegati files eseguibili e/o di

natura incomprensibile o non conosciuta.

1. È vietato utilizzare l’indirizzo di posta elettronica contenente il dominio dell’organizzazione

per iscriversi in siti per motivi non attinenti all’attività lavorativa, senza espressa

autorizzazione scritta dell’organizzazione.

2. È vietato creare, archiviare o spedire, anche solo all’interno della rete aziendale,

messaggi pubblicitari o promozionali o comunque allegati (filmati, immagini, musica o

altro) non connessi con lo svolgimento della propria attività lavorativa.

3. È vietato trasmettere messaggi a gruppi numerosi di persone (es. a tutto un ufficio o ad

un’intera divisione) senza l’autorizzazione necessaria.

4. È vietato utilizzare il servizio di posta elettronica per trasmettere a soggetti esterni

dell’organizzazione informazioni riservate o comunque documenti aziendali, se non nel

caso in cui ciò sia necessario in ragione delle mansioni svolte.

Posta elettronica

95

Device mobili (computer portatile, tablet, cellulare,…) possono venire concessi in uso

dall’organizzazione.

L’Incaricato è responsabile dei device e deve custodirli con diligenza, sia durante gli

spostamenti che durante l’utilizzo nel luogo di lavoro.

Ai device mobili si applicano le regole di utilizzo previste per i computer connessi in rete.

Sui device mobili è vietato installare applicazioni (anche gratuite) se non espressamente

autorizzate dall’ente.

I device mobili utilizzati all’esterno (convegni, visite in azienda, ecc…), in caso di

allontanamento, devono essere custoditi in un luogo protetto.

In caso di perdita o furto dei device mobili deve far seguito la denuncia alle autorità

competenti.

Allo scopo si deve avvisare immediatamente l’organizzazione che provvederà, se del caso, ad

occuparsi delle procedure connesse alla privacy. Anche di giorno, durante l’orario di lavoro,

all’Incaricato non è consentito lasciare incustoditi i device mobili.

All’Incaricato è vietato lasciare i device mobili incustoditi e a vista (dentro l’auto, sala d’attesa,

ecc…).

Uso di altri device aziendali

96

A seguito di una cessazione del rapporto lavorativo o di consulenza dell’Incaricato

con l’azienda o, comunque, al venir meno della permanenza dei presupposti per

l’utilizzo dei device aziendali o di dati cartacei aziendali, gli incaricati hanno i

seguenti obblighi:

1. procedere immediatamente alla restituzione dei device in uso e dei dati cartacei

in loro possesso;

2. divieto assoluto di formattare o alterare o manomettere o distruggere i device

assegnati o rendere inintelligibili i dati in essi contenuti tramite qualsiasi

processo;

3. divieto assoluto di alterare o manomettere o distruggere i dati cartacei assegnati

o renderli inintelligibili tramite qualsiasi processo.

Restituzione dei device e dei dati cartacei

97

Ogni Device ed ogni memoria esterna affidati agli incaricati (computer, notebook,

tablet, smartphone, chiavette usb, hard disk, ecc…), al termine del loro utilizzo,

dovranno essere restituiti all’organizzazione che provvederà a distruggerli o a

ricondizionarli seguendo le norme di legge in vigore al momento.

In particolare l’organizzazione provvederà a cancellare o a rendere inintelligibili i

dati negli stessi memorizzati.

Distruzione dei Device

98

CONCLUSIONI

99

Cosa fare …

APPROCCIO PROATTIVO: CONOSCENZA DELLE REGOLE

ATTIVITÀ DI SENSIBILIZZAZIONE ALLA TEMATICA PRIVACY

FORMAZIONE PER GLI ATTORI PRINCIPALI CHE TRATTANO DATI

RICORSO ALL’ASPETTO MOTIVAZIONALE E NON DETERRENTE DELLA SANZIONE

PERSEGUIRE IL FLUIDO E CORRETTO FUNZIONAMENTO

100

Azioni da mettere in atto …

DEFINZIONE DI UN

ORGANIGRAMMA PRIVACY

RIPARTIZIONE DI COMPITI E

RESPONSABILITÀ

STUDIO, CONFRONTO E

DIFFUSIONE SULLE AZIONI DA

ADOTTARE

ALLINEAMENTO TRA REGOLE E

COMPORTAMENTI FORMALI

101

Privacy deve essere intesa come…

IMPOSIZIONE NORMATIVA

OPPORTUNITÀ

Date post:	15-Feb-2019
Category:	Documents
Upload:	truongdung
View:	216 times
Download:	0 times

Presentazione standard di PowerPoint privacy Galasso... · Art. 9: individua in generale le...

Documents