Title: Il nuovo ruolo della comunicazione interna
1La Privacy Formazione del personale interno
Autore TECNOCHORA SPA - AREA INFORMATION
TECHNOLOGY
Materiale riservato. Proprietà di Tecnochora spa.
Vietata la riproduzione e lutilizzo non
autorizzato.
2Privacy che significa ?
Conciliare le esigenze di riservatezza del
singolo individuo con quelle di una società che,
senza circolazione delle informazioni, sarebbe
destinata a regredire in modo inesorabile
3La legislazione Comunitaria e nazionale
- Direttiva del Consiglio dellUnione Europea del
24 ottobre 1995 n . 95/46 - "tutela delle persone fisiche con riguardo al
trattamento dei dati personali, nonché alla
libera circolazione di tali dati". - Legge 31 dicembre 1996 n. 675, "Tutela delle
persone e di altri soggetti rispetto al
trattamento dei dati personalientrata in vigore
in data 8 maggio 1997, seguita da numerosi
provvedimenti di modifica ed integrazione - Decreto Legislativo 30 giugno 2003, n196
- Codice in materia di protezione dei dati
personali - entrato in vigore il 1gennaio 2004 abrogando la
precedente normativa
4I dati personali
- Il D.Lgs196/2003 disciplina il trattamento di
dati personali, anche detenuti allestero,
effettuato da chiunque è stabilito in Italia o in
un paese non della Comunità Europea ma utilizza
strumenti situati in Italia - Larticolo 4 del Nuovo Testo Unico definisce i
dati personali come "qualunque informazione
relativa a persona fisica, giuridica, ente od
associazione, identificati o identificabili,
anche indirettamente, mediante riferimento a
qualsiasi altra informazione, ivi compreso un
numero di identificazione personale
5La gestione della Privacy in azienda
- Gestione della privacy
- attività sistematica messa in atto da
unorganizzazione al fine di offrire al suo
interno o a terzi evidenze sul suo grado di
affidabilità nel rispetto dei requisiti cogenti. -
6Obblighi legislativi minimiNotifica al Garante
- Rispetto la L675/1996 sono state ridotte le
categorie di titolari di dati che hanno lobbligo
di notifica al Garante ! - Esistenza del modello e veridicità del contenuto
- titolarità e responsabilità del trattamento
- finalità e modalità del trattamento
- natura e luoghi di custodia dei dati trattati
- ambito di comunicazione e diffusione dei dati
- trasferimento dei dati allestero
- misure di sicurezza
-
7Obblighi legislativi minimiLe nomine
- Effettuazione e correttezza delle lettere di
nomina - Istruzioni dettagliate
- Linee guida sulla sicurezza
- Competenze
- Delimitazione accesso ai dati
8Obblighi legislativi minimiInformative
- Effettuazione e correttezza delle informative
- Finalità e modalità del trattamento
- Natura obbligatoria o facoltativa del
conferimento dei dati - Conseguenze di un eventuale rifiuto di rispondere
- Soggetti ai quali i dati possono venire
comunicati o che possono venirne a conoscenza in
qualità di responsabili o incaricati e lambito
di diffusione dei dati medesimi - I diritti previsti dallart. 7
- Il titolare del trattamento
- Il responsabile del trattamento
- Il rappresentante in Italia ai sensi dellart. 5
- Il responsabile per il riscontro allinteressato
9Obblighi legislativi minimiDati raccolti
- I dati devono essere
- Trattati in modo lecito e secondo correttezza
- Raccolti e registrati per scopi determinati,
espliciti e legittimi - Esatti ed aggiornati
- Pertinenti, completi e non eccedenti le finalità
- Conservati non oltre il periodo di tempo
necessario agli scopi
10Obblighi legislativi minimiConsenso
- Esistenza di trattamenti che necessitano di
consenso Acquisizione e correttezza del
consenso - Espresso
- Totale o parziale
- Manifestato liberamente
- Scritto o documentato per iscritto nel caso di
dati sensibili - Specifico
- Informato
11Obblighi legislativi minimiMisure idonee di
sicurezza
- Adozione di misure di sicurezza per la custodia
ed il controllo dei dati personali per ridurre al
minimo i rischi di - distruzione e perdita dei dati
- accesso non autorizzato
- trattamento non consentito
- trattamento non conforme alle finalità della
raccolta
12Obblighi legislativi minimiFormazione ed
informazione
- Effettuazione corsi per
- i responsabili e gli incaricati
- aggiornamenti periodici
- formare gli incaricati sulle risultanze dei
rischi individuati e dei modi per prevenirli
13Obblighi legislativi minimiAuditing annuale
- Effettuazione auditing per verificare efficacia
delle misure di sicurezza in merito ai - criteri tecnici ed organizzativi per protezione
aree e locali dove avviene il trattamento - criteri e procedure per integrità dati
- criteri e procedure per sicurezza trasmissione
dati anche TLC
14Misure minime di sicurezzatrattamenti manuali o
non automatizzati
- Aggiornamento periodico dellindividuazione
dellambito del trattamento consentito ai singoli
incaricati o alle unità organizzative - Previsione di procedure per unidonea custodia di
atti e documenti affidati agli incaricati per lo
svolgimento dei relativi compiti - Previsione di procedure per la conservazione di
determinati atti in archivi ad accesso
selezionato e disciplina delle modalità di
accesso finalizzata allidentificazione degli
incaricati
15Misure minime di sicurezzaElaboratori
stand-alone (trattamento dati comuni, sensibili e
di natura giudiziaria)
-
- prevedere una parola chiave per laccesso ai dati
- assegnarla agli incaricati di sistema
16Misure minime di sicurezzaElaboratori in rete
disponibile e non al pubblico (trattamento di
dati comuni)
- prevedere una parola chiave per laccesso ai dati
- assegnarla agli incaricati
- individuare per iscritto il custode delle
password - assegnare agli utenti un codice identificativo
personale non riutilizzabile da altri - disattivare tale codice in caso di perdita del
diritto di accesso o per linutilizzo dello
stesso per più di sei mesi - adottare programmi antivirus e aggiornarli almeno
ogni sei mesi
17Misure minime di sicurezzaElaboratori in rete
non disponibile al pubblico (trattamento di dati
sensibili o di natura giudiziaria)
- SONO VALIDI GLI STESSI PUNTI SOPRAELENCATI E IN
AGGIUNTA - riutilizzare i supporti per altri trattamenti
solo se le informazioni in essi contenuti non
siano tecnicamente in alcun modo recuperabili - autorizzare gli incaricati (del trattamento e
della manutenzione) ad accedere ai soli dati
necessari e verificare annualmente la validità
dellautorizzazione - impedire laccesso contemporaneo di uno stesso
utente ad una applicazione da postazioni diverse
18Misure minime di sicurezzaElaboratori in rete
disponibile al pubblico (trattamento di dati
sensibili o di natura giudiziaria)
- Oltre ai punti sopraelencati, si aggiungono
- impedire laccesso contemporaneo di uno stesso
utente ad una applicazione da postazioni diverse - autorizzare gli strumenti utilizzati per
linterconnessione - individuare gli elaboratori da cui è possibile
effettuare il trattamento - predisporre il documento programmatico sulla
sicurezza e aggiornarlo annualmente - effettuare formazione per formare gli incaricati
sulle risultanze dei rischi individuati e dei
modi per prevenirli - verificare annualmente le misure di sicurezza
adottate
19INTERNET
Internet rappresenta un bacino dutenza stimato
sopra i 300 milioni di utenti (dati del 2000)
PROBLEMA Il mondo digitale (Internet) si
rispecchia nel mondo reale e viceversa anche i
malintenzionati usano Internet Nel mondo reale,
lascereste la vostra azienda con porte e finestre
socchiuse? Senza vigilanza? Senza un sistema
dallarme?
20LE SOLUZIONI ESISTENTI
Le soluzioni software e hardware esistenti
sul mercato sono indispensabili Tali
soluzioni vanno integrate in maniera adeguata per
coprire eventuali fattori di rischio umano/
organizzativo