Il nuovo ruolo della comunicazione interna

1
La Privacy Formazione del personale interno
Autore TECNOCHORA SPA - AREA INFORMATION
TECHNOLOGY
Materiale riservato. Proprietà di Tecnochora spa.
Vietata la riproduzione e lutilizzo non
autorizzato.
2
Privacy che significa ?
Conciliare le esigenze di riservatezza del
singolo individuo con quelle di una società che,
senza circolazione delle informazioni, sarebbe
destinata a regredire in modo inesorabile
3
La legislazione Comunitaria e nazionale

• Direttiva del Consiglio dellUnione Europea del
  24 ottobre 1995 n . 95/46
• "tutela delle persone fisiche con riguardo al
  trattamento dei dati personali, nonché alla
  libera circolazione di tali dati".
• Legge 31 dicembre 1996 n. 675, "Tutela delle
  persone e di altri soggetti rispetto al
  trattamento dei dati personalientrata in vigore
  in data 8 maggio 1997, seguita da numerosi
  provvedimenti di modifica ed integrazione
• Decreto Legislativo 30 giugno 2003, n196
• Codice in materia di protezione dei dati
  personali
• entrato in vigore il 1gennaio 2004 abrogando la
  precedente normativa

4
I dati personali

• Il D.Lgs196/2003 disciplina il trattamento di
  dati personali, anche detenuti allestero,
  effettuato da chiunque è stabilito in Italia o in
  un paese non della Comunità Europea ma utilizza
  strumenti situati in Italia
• Larticolo 4 del Nuovo Testo Unico definisce i
  dati personali come "qualunque informazione
  relativa a persona fisica, giuridica, ente od
  associazione, identificati o identificabili,
  anche indirettamente, mediante riferimento a
  qualsiasi altra informazione, ivi compreso un
  numero di identificazione personale

5
La gestione della Privacy in azienda

• Gestione della privacy
• attività sistematica messa in atto da
  unorganizzazione al fine di offrire al suo
  interno o a terzi evidenze sul suo grado di
  affidabilità nel rispetto dei requisiti cogenti.

6
Obblighi legislativi minimiNotifica al Garante

• Rispetto la L675/1996 sono state ridotte le
  categorie di titolari di dati che hanno lobbligo
  di notifica al Garante !
• Esistenza del modello e veridicità del contenuto
• titolarità e responsabilità del trattamento
• finalità e modalità del trattamento
• natura e luoghi di custodia dei dati trattati
• ambito di comunicazione e diffusione dei dati
• trasferimento dei dati allestero
• misure di sicurezza

7
Obblighi legislativi minimiLe nomine

• Effettuazione e correttezza delle lettere di
  nomina
• Istruzioni dettagliate
• Linee guida sulla sicurezza
• Competenze
• Delimitazione accesso ai dati

8
Obblighi legislativi minimiInformative

• Effettuazione e correttezza delle informative
• Finalità e modalità del trattamento
• Natura obbligatoria o facoltativa del
  conferimento dei dati
• Conseguenze di un eventuale rifiuto di rispondere
• Soggetti ai quali i dati possono venire
  comunicati o che possono venirne a conoscenza in
  qualità di responsabili o incaricati e lambito
  di diffusione dei dati medesimi
• I diritti previsti dallart. 7
• Il titolare del trattamento
• Il responsabile del trattamento
• Il rappresentante in Italia ai sensi dellart. 5
• Il responsabile per il riscontro allinteressato

9
Obblighi legislativi minimiDati raccolti

• I dati devono essere
• Trattati in modo lecito e secondo correttezza
• Raccolti e registrati per scopi determinati,
  espliciti e legittimi
• Esatti ed aggiornati
• Pertinenti, completi e non eccedenti le finalità
• Conservati non oltre il periodo di tempo
  necessario agli scopi

10
Obblighi legislativi minimiConsenso

• Esistenza di trattamenti che necessitano di
  consenso Acquisizione e correttezza del
  consenso
• Espresso
• Totale o parziale
• Manifestato liberamente
• Scritto o documentato per iscritto nel caso di
  dati sensibili
• Specifico
• Informato

11
Obblighi legislativi minimiMisure idonee di
sicurezza

• Adozione di misure di sicurezza per la custodia
  ed il controllo dei dati personali per ridurre al
  minimo i rischi di
• distruzione e perdita dei dati
• accesso non autorizzato
• trattamento non consentito
• trattamento non conforme alle finalità della
  raccolta

12
Obblighi legislativi minimiFormazione ed
informazione

• Effettuazione corsi per
• i responsabili e gli incaricati
• aggiornamenti periodici
• formare gli incaricati sulle risultanze dei
  rischi individuati e dei modi per prevenirli

13
Obblighi legislativi minimiAuditing annuale

• Effettuazione auditing per verificare efficacia
  delle misure di sicurezza in merito ai
• criteri tecnici ed organizzativi per protezione
  aree e locali dove avviene il trattamento
• criteri e procedure per integrità dati
• criteri e procedure per sicurezza trasmissione
  dati anche TLC

14
Misure minime di sicurezzatrattamenti manuali o
non automatizzati

• Aggiornamento periodico dellindividuazione
  dellambito del trattamento consentito ai singoli
  incaricati o alle unità organizzative
• Previsione di procedure per unidonea custodia di
  atti e documenti affidati agli incaricati per lo
  svolgimento dei relativi compiti
• Previsione di procedure per la conservazione di
  determinati atti in archivi ad accesso
  selezionato e disciplina delle modalità di
  accesso finalizzata allidentificazione degli
  incaricati

15
Misure minime di sicurezzaElaboratori
stand-alone (trattamento dati comuni, sensibili e
di natura giudiziaria)

• prevedere una parola chiave per laccesso ai dati
• assegnarla agli incaricati di sistema

16
Misure minime di sicurezzaElaboratori in rete
disponibile e non al pubblico (trattamento di
dati comuni)

• prevedere una parola chiave per laccesso ai dati
• assegnarla agli incaricati
• individuare per iscritto il custode delle
  password
• assegnare agli utenti un codice identificativo
  personale non riutilizzabile da altri
• disattivare tale codice in caso di perdita del
  diritto di accesso o per linutilizzo dello
  stesso per più di sei mesi
• adottare programmi antivirus e aggiornarli almeno
  ogni sei mesi

17
Misure minime di sicurezzaElaboratori in rete
non disponibile al pubblico (trattamento di dati
sensibili o di natura giudiziaria)

• SONO VALIDI GLI STESSI PUNTI SOPRAELENCATI E IN
  AGGIUNTA
• riutilizzare i supporti per altri trattamenti
  solo se le informazioni in essi contenuti non
  siano tecnicamente in alcun modo recuperabili
• autorizzare gli incaricati (del trattamento e
  della manutenzione) ad accedere ai soli dati
  necessari e verificare annualmente la validità
  dellautorizzazione
• impedire laccesso contemporaneo di uno stesso
  utente ad una applicazione da postazioni diverse

18
Misure minime di sicurezzaElaboratori in rete
disponibile al pubblico (trattamento di dati
sensibili o di natura giudiziaria)

• Oltre ai punti sopraelencati, si aggiungono
• impedire laccesso contemporaneo di uno stesso
  utente ad una applicazione da postazioni diverse
• autorizzare gli strumenti utilizzati per
  linterconnessione
• individuare gli elaboratori da cui è possibile
  effettuare il trattamento
• predisporre il documento programmatico sulla
  sicurezza e aggiornarlo annualmente
• effettuare formazione per formare gli incaricati
  sulle risultanze dei rischi individuati e dei
  modi per prevenirli
• verificare annualmente le misure di sicurezza
  adottate

19
INTERNET
Internet rappresenta un bacino dutenza stimato
sopra i 300 milioni di utenti (dati del 2000)
PROBLEMA Il mondo digitale (Internet) si
rispecchia nel mondo reale e viceversa anche i
malintenzionati usano Internet Nel mondo reale,
lascereste la vostra azienda con porte e finestre
socchiuse? Senza vigilanza? Senza un sistema
dallarme?
20
LE SOLUZIONI ESISTENTI
Le soluzioni software e hardware esistenti
sul mercato sono indispensabili Tali
soluzioni vanno integrate in maniera adeguata per
coprire eventuali fattori di rischio umano/
organizzativo