PILLOLE PRIVACY N° 9 – I DATI PERSONALI E …

/in /by

PILLOLA 9

… il marketing diretto

Chi utilizza il marketing diretto per inviare – via email o SMS – informazioni commerciali a clienti o potenziali clienti, alla pari di chi impiega il telefono per contattarli, deve fare molta attenzione agli obblighi di legge.

In primo luogo, l’utilizzo di dati personali per finalità di marketing diretto è ammessa solo con il preventivo consenso del destinatario del messaggio commerciale; pertanto, l’organizzazione dovrà massimamente occuparsi di raccogliere il consenso in modo valido e di conservarne l’evidenza, da esibire in caso di verifiche.

Il Regolamento europeo prevede che il consenso sia richiesto separatamente e specificatamente per ciascun mezzo di contatto e l’interessato ha la libertà di revocarlo in qualunque momento.

Come sottolineato dai provvedimenti emessi in materia dall’Autorità Garante nel corso degli anni, particolari cautele devono essere utilizzate nel caso di telefonate effettuate mediante call centre.

L’obbligo di iscrizione al ROC (Registro degli Operatori di Comunicazione), l’informazione circa il luogo fisico da cui parla l’operatore che risponde al telefono, la possibilità per l’interessato, nell’ipotesi in cui l’operatore sia collocato in un paese extra-UE, di richiedere che il servizio reso sia effettuato attraverso un operatore collocato in un paese dell’Unione Europea o del territorio nazionale… sono incombenze, a carico di coloro che prestano servizio tramite call centre o che si avvalgono di società specializzate, che dimostrano l’attenzione al tema e l’intenzione di ostacolare l’utilizzo scorretto di dati personali.

… l’email aziendale

La riservatezza della corrispondenza è protetta dall’articolo 15 della Costituzione italianale caselle di posta elettronica aziendale assegnate a un individuo chiaramente identificato (tipicamente con nome e cognome) non sono perciò ispezionabili dal datore di lavoro, a meno di specifico intervento della autorità giudiziaria.

I regolamenti interni di una organizzazione possono tuttavia disciplinare e definire modalità di «condivisione» delle email (indirizzi condivisi, indirizzi di reparto, deleghe  in caso di assenza per motivi di salute o di vacanza) per tutelare gli interessi aziendali.

PILLOLE PRIVACY N° 8 – I DATI PERSONALI E …

/in /by

Pillola n. 8

… l’utilizzo di strumenti personali sul luogo di lavoro

Smartphone, memory card, unità disco esterne, chiavette USB, Iphone; strumenti utili per rimanere sempre connessi, supporti di memorizzazione poco ingombranti che permettono di portare dietro o scaricare i documenti di cui si ha bisogno.

Ciascuno di questi device ha una grande utilità ma può essere fonte di pericoli. Come bisogna comportarsi? Quali sono le decisioni più giuste per scongiurare possibili danni?

 

Non sempre il divieto assoluto di utilizzare dispositivi personali sulla rete aziendale è la soluzione migliore; è probabile che sia la soluzione a minor rischio ma è anche vero che scegliere questa strada può essere penalizzante e limitativo.

In alcune realtà, il divieto di usare device esterni rischia di rendere più difficoltoso il lavoro : immaginiamo il caso di un consulente esterno che collabora con l’organizzazione e lavora connettendo il proprio PC alla rete aziendale oppure pensiamo alla possibilità di portare da un cliente una presentazione o altro materiale in modo agevole; tutti sappiamo quanto sia utile scambiare informazioni rapidamente o quanto, in certi momenti, sia importante avere una connessione funzionante per reperire informazioni in rete.

Non esiste quindi una ricetta buona per tutte le occasioni e ciascuna organizzazione dovrà dotarsi di regole “a propria misura”.

La cosa migliore, qualunque sia la regola che l’organizzazione decide di darsi in base al contesto in cui opera, è rendere note le condizioni secondo  le quali è ammesso l’utilizzo di device personali.

Il personale dipendente, i collaboratori e i visitatori occasionali devono conoscere le regole e attenervisi; l’organizzazione si doterà di processi e strumenti in grado di proteggere il perimetro e i dati aziendali (registrazioni e password ad hoc, installazioni di antivirus, abilitazioni temporanee).

Le regole devono essere facilmente comprensibili ed efficaci. A tale scopo, ogni organizzazione può inserire nel proprio regolamento interno un’apposita sezione che chiarisca le condizioni di utilizzo di device personali sul luogo di lavoro.

PILLOLE PRIVACY N° 7 – I DATI PERSONALI E …

/in /by

PILLOLA 7

…  l’uso di strumenti di tracciamento

Gli eventuali strumenti di tracciamento adottati dall’organizzazione devono essere dichiarati agli interessati ed utilizzati secondo la legge.

L’utilizzo di cookies di terza parte su un sito, per esempio, o di web beacon, deve essere notificato agli interessati, che devono avere la possibilità di acconsentire o meno all’utilizzo di informazioni relative ai propri comportamenti in rete.

L’intenzione di utilizzare algoritmi di profilazione deve essere ugualmente evidenziata e richiede di norma il consenso esplicito dell’interessato.

Non è quindi possibile raccogliere ed utilizzare dati personali per inviare pubblicità mirata (la cosiddetta pubblicità comportamentale) senza che l’interessato ne sia consapevole e acconsenta.

L’impiego di sistemi di videosorveglianza nei luoghi di lavoro segue regole precise e, in alcune specifiche situazioni, richiede il preventivo accordo delle organizzazioni sindacali o dell’Autorità Garante. È necessario in ogni caso spiegare agli interessati perché l’organizzazione ha deciso di dotarsi di un sistema di videosorveglianza (quali siano cioè le finalità del trattamento); bisogna inoltre specificare come sono usate, memorizzate e protette le informazioni raccolte, per quanto tempo sono conservate e chi e per quale ragione ha accesso alle immagini.

Cautela richiede anche l’impiego di sistemi di geo-localizzazione; le APP che ne fanno uso, ad esempio, devono preventivamente informare gli interessati e ottenere il loro consenso prima di trattare i dati. Devono inoltre offrire la possibilità di disattivare il sistema di localizzazione se l’interessato desidera farlo.

GDPR: La gestione del rischio associato al trattamento dei dati personali

/in /by

Il rischio è un evento incerto o un insieme di eventi che, se si verificassero, potrebbero avere un effetto sul raggiungimento degli obiettivi aziendali; è perciò opportuno stimarlo e, successivamente, sviluppare strategie per governarlo.

L’attività di risk management relativa alla protezione dei dati personali è solo una declinazione della gestione del rischio aziendale e della sua governance; i rischi individuati dovranno quindi essere opportunamente valutati e successivamente inseriti, alla pari degli altri, all’interno della mappa dei rischi aziendali.

Nel caso specifico, poiché stiamo trattando il tema dei rischi associati alla protezione dei dati personali, i beni da proteggere – o asset primari – sono per l’appunto i dati personali e i processi impiegati per il loro trattamento.

Una corretta valutazione dei rischi non può prescindere dall’analisi dello specifico contesto in cui opera l’organizzazione.

Questo passo preliminare dev’essere compiuto anche per la valutazione dei rischi connessi al trattamento dei dati personali, perché è indispensabile avere una chiara rappresentazione degli asset a supporto del trattamento dei dati personali.  Ci riferiamo, per esempio, ad architetture hardware, piattaforme, software, reti ICT, ma anche a persone, documenti cartacei e modalità di distribuzione, conservazione e distruzione di questi ultimi.

Gli eventi incerti da cui è necessario proteggersi al fine di garantire l’integrità, la disponibilità e la riservatezza dei dati personali trattati possono essere legati a:

  • indisponibilità dei processi, ovvero i processi non esistono più o non funzionano più;
  • accesso illegittimo ai dati personali da parte di persone non autorizzate;
  • alterazioni o modifiche accidentali dei dati personali;
  • indisponibilità dei dati personali;
  • trattamento difforme da quello inizialmente previsto (deviazione dalla finalità definita, eccessiva o scorretta raccolta dei dati …).

Si procede quindi con l’identificazione dei rischi, che è possibile suddividere secondo le seguenti categorie:

  • rischi legati al comportamento delle persone;
  • rischi relativi agli strumenti di lavoro;
  • rischi relativi al contesto in cui si opera.

A ciascun rischio identificato sarà successivamente assegnato il valore relativo di probabilità e impatto per determinarne il peso e compilare la matrice probabilità-impatto.

Per maggiori informazioni sulla gestione del rischio inerente il trattamento dei dati personali e sul GDPR 2016/679 in generale si rimanda al libro “Conoscere e implementare la privacy”.

Conoscere e implementare la Privacy” può essere ordinato in formato cartaceo al link http://www.youcanprint.it/fiction/business-ed-economia-generale/conoscere-e-implementare-la-privacy-9788892665354.html.

In formato e-pub è disponibile al link www.amazon.it/dp/B071X2V3HR

La prima parte del libro in formato pdf può essere invece richiesta direttamente a: www.privacyinchiaro.it/conoscere-implementare-la-privacy/

 

PILLOLE PRIVACY N° 6 – MISURE ORGANIZZATIVE

/in /by

Pillola 6

Le violazioni

I dati, inclusi quelli personali,  sono un patrimonio aziendale che deve essere protetto: è necessario quindi verificare costantemente la loro qualità e affidabilità e vigilare sui possibili tentativi di effrazione.

In caso di una violazione di dati personali è necessaria una pronta reazione di tutta l’organizzazione, allo scopo di limitare la perdita di informazioni, di scongiurarne un eventuale utilizzo illecito e, se del caso, di segnalare l’accaduto all’Autorità entro i termini previsti dalla legge.

Ciascuna organizzazione, tenendo conto della tecnologia utilizzata, delle categorie di dati gestiti e della loro numerosità, deve dotarsi di strumenti di controllo ed effettuare un monitoraggio interno allo scopo di prevenire o intercettare in tempi rapidi gli eventi sospetti.

Per reagire alla violazione in modo tempestivo ed efficace, è opportuno assegnare preventivamente responsabilità e compiti.

È necessario che tutte le componenti dell’organizzazione siano consapevoli dei comportamenti da tenere in caso di violazione e delle responsabilità di ciascuno, nonché delle modalità di comunicazione di accadimenti o fatti sospetti.

È opportuno fornire ai dipendenti chiare indicazioni in merito al canale da utilizzare (ad esempio un numero di telefono, un ufficio, un indirizzo e-mail) per segnalare un evento che necessita di essere indagato e quali siano le informazioni minimali da inserire nella comunicazione.

Gestione delle richieste degli interessati

L’organizzazione deve implementare i processi necessari a rispondere tempestivamente alle richieste degli interessati in merito all’esercizio dei loro diritti, secondo i termini di legge.

Le procedure, appositamente predisposte, dovranno contenere i criteri utilizzati per l’accertamento dell’identità del richiedente e per la valutazione della legittimità della richiesta nel caso, per esempio, questa sia fatta nell’interesse di un terzo (per esempio il genitore di un minore).

In funzione della tipologia della richiesta (relativa allo specifico diritto esercitato) si dovrà inoltre valutare se esistono i presupposti per procedere e si dovrà dare seguito alle stessa con azioni specifiche (cancellazione, rettifica, revoca del consenso, conferma dell’esistenza di dati personali del richiedente, eccetera).

Particolare attenzione è richiesta nel caso in cui il diritto esercitato – e esercitabile – sia quello relativo alla portabilità dei dati.

Il diritto alla portabilità è un nuovo diritto e le organizzazioni dovranno valutare quale sia il modo più efficace di ottemperare alla richiesta (modalità e formato di importazione ed esportazione di dati); a questo proposito, è opportuno vigilare su eventuali indicazioni che l’Autorità Garante potrebbe rilasciare su questo tema.

È opportuno tenere traccia delle richieste, anche a fini statistici e di valutazione interna, e documentarne l’evasione nei tempi prescritti.

Sebastiano Plutino relatore al seminario formativo SAEV sul GDPR

/in /by

Sebastiano Plutino ha partecipato in veste di relatore al seminario di approfondimento sulle novità introdotte dal Regolamento europeo 679/2016.

Il seminario, rivolto alla pubblica amministrazione locale, è stato organizzato da SAEV in collaborazione con l’Anci e con il patrocinio della Regione Marche e si è tenuto il giorno 22 settembre 2017 presso la Residenza Domus Stella Maris di Ancona.

Al link seguente è possibile richiedere i materiali del seminario: https://www.saev.biz/eventi-seminari/82-seminario-formativo-sul-nuovo-regolamento-europeo-679-16-in-materia-di-protezione-dei-dati-personali.

 

 

IL REGISTRO DEI TRATTAMENTI

/in /by

Secondo il Regolamento Europeo sulla protezione dei dati personali (GDPR), Titolari e Responsabili del Trattamento, e se del caso i loro Rappresentanti, ciascuno per la propria parte, hanno l’obbligo di compilare in forma scritta, anche elettronica, il Registro delle attività di trattamento svolte dall’organizzazione. È prevista una deroga per le organizzazioni con meno di 250 dipendenti, se:

  • le attività di trattamento effettuate non presentano un rischio per i diritti e le libertà dell’interessato;
  • il trattamento è occasionale o non include particolari categorie di dati (tutti quelli atti a rivelare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, ovvero informazioni relative alla salute o alla vita sessuale o all’orientamento sessuale della persona) e non includa dati genetici o biometrici;
  • il trattamento è occasionale o non include dati personali relativi a condanne penali e a reati.

Il Registro contiene una serie di informazioni che differiscono leggermente tra di loro a seconda che il compilatore sia il Titolare o il Responsabile. Esso, su richiesta, deve essere messo a disposizione dell’Autorità Garante.

Di seguito spieghiamo brevemente quale sia l’utilità di questo documento e quali sono i benefici derivanti dalla sua compilazione.

Costruire il Registro dei Trattamenti significa comporre una mappa che contiene tutte le informazioni in merito a:

  • le operazioni che l’organizzazione effettua sui dati personali;
  • le caratteristiche dei dati personali oggetto di trattamento;
  • le entità coinvolte nel trattamento dei dati personali.

Un Registro ben scritto, ben tenuto e mantenuto, è il primo passo verso la conformità e un’ottima occasione per fare ordine.

Molte organizzazioni non sono consapevoli della quantità di informazioni personali di cui sono in possesso e, spesso, non sanno neanche con certezza dove e a quale scopo siano conservate.

Per questo, decidere di dedicare del tempo a reperire le informazioni e a metterle ordinatamente su carta o su un foglio elettronico permetterà di:

  • avere una chiara rappresentazione di come i dati personali sono elaborati, protetti, archiviati ed eliminati;
  • disporre di un patrimonio sempre aggiornato di conoscenza condivisa;
  • intervenire in modo mirato soltanto dove ce ne sia un effettivo bisogno;
  • apportare migliorie ai processi, ottimizzando tempo e risorse.

Il Registro dei Trattamenti può  quindi essere un’ottima base di partenza nella gestione dei dati personali per ogni tipo di organizzazione, qualunque siano le sue dimensioni e il suo giro d’affari.

Per maggiori informazioni sul Registro dei trattamenti e sul GDPR 2016/679 in generale si rimanda al libro “Conoscere e implementare la privacy

Conoscere e implementare la Privacy” può essere ordinato in formato cartaceo al link http://www.youcanprint.it/fiction/business-ed-economia-generale/conoscere-e-implementare-la-privacy-9788892665354.html.

In formato e-pub è disponibile al link www.amazon.it/dp/B071X2V3HR

La prima parte del libro in formato pdf può essere invece richiesta direttamente a: www.privacyinchiaro.it/conoscere-implementare-la-privacy/

PILLOLE PRIVACY n° 5 – MISURE ORGANIZZATIVE

/in /by

Pillola 5

Regole chiare e responsabilizzazione dei dipendenti

Tutti i componenti dell’organizzazione devono comprendere il valore della protezione dei dati personali e devono conoscere le regole secondo le quali devono essere trattate le informazioni personali nell’espletamento delle mansioni assegnate.

La redazione di un documento di politica, oppure la predisposizione di un regolamento aziendale o di un disciplinare che illustrino con chiarezza le regole sono strumenti efficaci per diffondere la cultura e trasmettere le istruzioni al personale.

Qualora l’organizzazione decidesse di diffondere le istruzioni in merito al trattamento dei dati personali per mezzo di un documento apposito, questo potrà essere reso disponibile sulla intranet aziendale in una apposita sezione e dovrà essere aggiornato ogniqualvolta sia necessario per recepire aggiornamenti normativi o cambiamenti nei processi. La presa visione e l’accettazione di questo contenuto può essere richiesta a tutti i dipendenti (in forma digitale o mediante apposizione di firma sulla versione cartacea) in modo che l’organizzazione possa tracciare e documentare l’avvenuta trasmissione delle istruzioni.

Informazione e formazione

Informare e formare dipendenti e collaboratori è un preciso dovere dei soggetti che hanno la responsabilità del trattamento. In previsione dell’entrata in vigore del Regolamento Europeo, l’organizzazione dovrà predisporre seminari o workshop interni con l’obiettivo di diffondere al suo interno la conoscenza della normativa e di spiegare quali misure tecniche e/o organizzative intende implementare per il rispetto delle prescrizioni di legge.

A regime, è opportuno che il tema sia ripreso e riportato all’attenzione di tutti con cadenza almeno annuale, per mantenere e rinforzare la cultura della protezione dei dati.

Tutti i nuovi assunti che svolgono operazioni di trattamento di dati personali devono ricevere istruzioni precise e visionare le politiche interne relative.

In caso di mansioni particolarmente delicate – per la natura e la sensibilità dei dati con i quali gli addetti entrano in contatto – l’organizzazione deve valutare l’opportunità di predisporre sessioni formative ad hoc per mitigare i rischi eventualmente connessi alle specifiche operazioni di trattamento svolte (trattamento di dati sanitari, operatori di call centre, addetti alle risorse umane… ).

La partecipazione di collaboratori e dipendenti alle attività di formazione deve essere documentata e conservata dall’organizzazione.