Data Privacy Policy. Novembre Pagina 1 di 10

Transcript

1 Data Privacy Policy Novembre 2013 Pagina 1 di 10

2 INDICE I) PRINCIPI Obiettivi Requisiti e Standards minimi Ruoli e Responsabilità Consapevolezza e formazione Processi di Compliance... 5 II) GUIDA SUPPLEMENTARE... 7 Pagina 2 di 10

3 I) PRINCIPI 1 Obiettivi AXA MPS Assicurazioni Vita S.p.A. ed AXA MPS Assicurazioni Danni S.p.A. (le Compagnie ) sono impegnate a garantire la riservatezza dei dati raccolti durante lo svolgimento delle attività di business ed a rispettare la normativa relativa al trattamento di dati personali comuni e sensibili. Tale Policy stabilisce requisiti e standard minimi per le Compagnie, nonché principi guida da seguire nel rispetto della normativa privacy locale. Chi deve conoscere questa Policy? La Policy è destinata a tutti i dipendenti delle Compagnie. Di seguito si riportano i soggetti e le Unità Organizzative che devono necessariamente conoscere la Policy: Management Aziendale Data Privacy Officer Legal & Corporate Affairs Information Technology ( IT ) HR & Logistics Internal Auditing Project team leaders Inoltre, la Policy deve essere portata a conoscenza di soggetti terzi (quali distributori, rappresentanti e fornitori) nel caso in cui essa sia rilevante nella relazione con le Compagnie. Dati Personali Comuni e Sensibili Si fa presente che quanto stabilito in questa Policy per i dati comuni vale come requisito minimo anche per i dati sensibili che spesso sono oggetto di regole più stringenti. 2 Requisiti e Standards minimi La principale finalità della Policy è assicurare che vengano implementate adeguate strutture, controlli, processi e procedure per assicurare la conformità alla normativa privacy. A tal fine, la Policy stabilisce i seguenti standard minimi: 1. la nomina da parte di AXA SA di un Group Data Privacy Officer (il GDPO ) responsabile per la supervisione e l implementazione della Policy attraverso la rete dei local Data Privacy Officers; 2. la nomina da parte delle Compagnie di un Data Privacy Officer (il DPO ) responsabile del coordinamento con il GDPO e del rispetto della Policy e della normativa applicabile; 3. l adozione da parte delle Compagnie dei seguenti standard minimi: i dati personali devono essere raccolti in maniera conforme alla legge rispettando il diritto dell interessato ad essere informato; essi possono essere trattati solo se l interessato ha prestato il suo consenso o se richiesto dalla legge; i dati personali non possono essere trasferiti all estero senza l approvazione scritta del DPO; il DPO deve tenere un registro di tutti i dati personali conservati o trattati all estero e deve verificare se, in conseguenza di ciò, esistano ulteriori leggi da rispettare; i dati personali devono essere raccolti solo per finalità specifiche, esplicite e legittime e trasferiti a soggetti terzi solo per queste finalità; Pagina 3 di 10

4 devono essere implementati adeguati processi e procedure in base alle tecnologie disponibili al fine di assicurare la sicurezza dei dati personali e prevenire accessi e diffusioni non autorizzati; i dati personali raccolti devono essere accurati, completi e, se necessario, aggiornati; i dati personali raccolti devono essere rilevanti e non eccessivi rispetto alle finalità; i dati personali devono essere tenuti non oltre il tempo necessario rispetto alle finalità per cui sono stati raccolti. A tale scopo, le Compagnie devono implementare una Policy di conservazione dati che specifichi per quanto tempo trattenere i dati, come conservarli ed in quale formato; i dati personali possono essere trasferiti presso altre società soltanto previa autorizzazione scritta del DPO, dopo aver verificato che o o la normativa applicabile e la Policy siano rispettate e la titolarità dei dati sia chiara ed ogni garanzia o restrizione ad essi relativa sia documentata e specificata in policy e procedure della società ricevente. Devono inoltre essere implementate procedure per garantire rapidi riscontri alle richieste degli interessati. 4. un adeguata diffusione della Policy all interno delle Compagnie, secondo quanto disposto nella Sezione 4 Consapevolezza e Formazione ; 5. l implementazione di procedure atte a garantire conformità agli obblighi di Compliance e Segnalazione stabiliti nella Sezione 5 Processi di Compliance. Obblighi ulteriori per i dati personali dei clienti Le Compagnie devono implementare processi e controlli al fine assicurare che i dati personali dei clienti non vengano venduti a soggetti esterni a meno che ciò sia richiesto dalla normativa o espressamente consentito dal cliente. Quando vengono raccolti dati personali presso i clienti: a. occorre esplicitare al cliente quali siano le finalità di raccolta dei dati (es. sottoscrizione di una polizza) ed in particolare specificare le finalità promozionali; b. in linea con quanto disposto dalla normativa, i clienti devono confermare che i dati forniti siano accurati: se i dati sono forniti da un soggetto terzo, il cliente deve avere l opportunità di rivedere i dati che lo riguardano, nonché di correggerli se necessario; se il cliente ha fornito i propri dati oralmente, le Compagnie devono successivamente mostrargli i dati raccolti dandogli la possibilità di rivederli e correggerli se necessario. Il personale delle Compagnie non deve raccogliere informazioni riguardanti il cliente che non siano state fornite dallo stesso o che comunque non siano state verificate. 3 Ruoli e Responsabilità Il CEO è il responsabile ultimo della corretta implementazione di procedure relative alla raccolta o all utilizzo di dati personali nel rispetto dei requisiti normativi e contrattuali. La gestione del privacy framework segue il modello AXA delle tre linee di difesa : il Management Aziendale, prima linea di difesa, è responsabile per assicurare che le procedure relative al trattamento dei dati personali siano in linea con i requisiti normativi e con la Policy; Pagina 4 di 10

5 il DPO, seconda linea di difesa, supporta il Management Aziendale sviluppando ed implementando procedure adeguate, misure di sicurezza e controlli al fine di assicurare il rispetto dei requisiti normativi e della Policy; l Internal Auditing, terza linea di difesa, fornisce garanzia indipendente circa l effettività del privacy framework. Ruoli e responsabilità del Management Aziendale Il Management Aziendale è la prima linea di difesa e deve individuare i requisiti normativi applicabili ed assicurare che le Compagnie raccolgano, trattino, trasferiscano e conservino i dati personali nel rispetto dei requisiti normativi e della Policy. Il Management Aziendale deve fornire al DPO i mezzi e le informazioni necessari a garantire la conformità alla Policy ed ai requisiti normativi, e deve essere regolarmente in contatto con il DPO ed informarlo circa rilevanti sviluppi organizzativi che possano avere un impatto in materia di privacy. Inoltre, deve assicurare una adeguata comunicazione tone at the top al fine di permettere la diffusione della consapevolezza circa le tematiche coperte da questa Policy. Ruoli e responsabilità del DPO Le Compagnie devono nominare un DPO che abbia adeguati poteri, risorse e competenze per supportare il Management Aziendale nel garantire la conformità delle Compagnie alla Policy ed ai requisiti normativi. Il DPO è il primo contatto per ogni questione relativa alla privacy. I ruoli e le responsabilità del DPO possono essere attribuiti ad un solo individuo o distribuiti a più soggetti facenti parti delle seguenti strutture: IT, Legal & Compliance e/o HR. Il DPO deve riportare direttamente ad un senior executive facente parte di una delle seguenti aree: IT, Legal & Compliance, HR o Finance. La nomina ed ogni successiva modifica al ruolo del DPO deve essere notificata al GDPO. La job description del DPO deve includere riferimenti alle specifiche responsabilità di DPO. 4 Consapevolezza e formazione Le Compagnie devono assicurare che dipendenti, collaboratori e fornitori che operano presso le stesse o rilevanti soggetti terzi siano adeguatamente informati e formati, relativamente alle procedure in materia di privacy, quando coinvolti nel trattamento dei dati personali. 5 Processi di Compliance Controlli e Reporting Ogni anno le Compagnie devono effettuare una gap analysis avente ad oggetto questa Policy tramite lo specifico tool fornito dal GDPO. Il DPO deve essere regolarmente in contatto con la Funzione Rischi operativi al fine di allineare il risk assessment. Il DPO deve sottoporre la gap analysis effettuata a: Audit Committee Comitato Rischi Operativi GDPO e il responsabile della Compliance di Gruppo Una copia della gap analysis deve essere sottoposta al CEO ed al ComEx. Pagina 5 di 10

6 La gap analysis e una certificazione devono essere trasmesse dal DPO al GDPO entro il 31 Marzo per l anno precedente. Reporting in caso di violazioni Per violazione privacy si intendono le violazioni di una norma in materia di sicurezza che possono determinare distruzione, perdita, alterazione, accessi non autorizzati a dati personali. Di solito una violazione privacy si verifica quando un dato personale (ad es. relativo a clienti o impiegati) sia diffuso senza autorizzazione (furto, perdita o diffusione accidentale). Le Compagnie devono implementare un processo di reporting in caso di violazioni privacy per assicurare che ogni incidente sia gestito in maniera adeguata. Eventuali violazioni devono essere riportate al DPO che provvederà poi ad informare: Management Aziendale il General Counsel, il Comitato Rischi Operativi e l Audit Committee il CEO ed il GDPO nei casi in cui una violazione coinvolga più di 1000 individui/clienti o possa causare un danno di immagine o una causa oltre 1 ml o una sanzione amministrativa. Il DPO deve essere informato immediatamente, il Management Aziendale, il CEO ed il GDPO devono essere informati entro 5 giorni dalla scoperta della violazione. Materiale di riferimento Si elencano di seguito gli Standard AXA rilevanti ai fini dell implementazione di questa Policy: - Carta Etica; - Group Information Security Policy & Standards (GIS); - ulteriore documentazioni quali ISO27001 / ITIL, CMMI. Pagina 6 di 10

7 II) GUIDA SUPPLEMENTARE Tale Sezione II fornisce una guida supplementare per l implementazione della Policy. Ruolo e Responsabilità del DPO Sono descritti di seguito il ruolo e le responsabilità del DPO: sviluppare una Data Privacy Policy; monitorare la normativa privacy locale ed altra normativa impattante le Compagnie ed adattare la Policy ai requisiti normativi; erogare formazione e fornire supporto normativo in materia di privacy a tutte le unità delle Compagnie; coordinarsi con le unità Risk Management, IT, Legale, HR & LOGISTICS, RSPP, Operations, Finance e Internal Auditing su questioni di privacy; gestire le comunicazioni e le segnalazioni al Garante per la protezione dei dati personali, partecipare ad ispezioni; prevedere l obbligo/la responsabilità di controllare il registro dei dati personali (che deve contenere tutti gli applicativi in uso che trattino dati personali e l informativa circa le finalità del trattamento); collaborare con le altre unità in caso di richieste degli interessati (es. diritti di accesso, rettifica, cancellazione e richieste similari); fornire supporto per la redazione di accordi di riservatezza interni od esterni; controllare e monitorare le attività di business ed i contratti di fornitura per assicurare la conformità alla normativa privacy locale ed ai requisiti della Policy; partecipare a gruppi di lavoro privacy, sicurezza e similari; gestire gli incidenti che coinvolgono dati personali (es. accessi non autorizzati o diffusione) adottare ed implementare linee guida per assicurare un adeguata gestione relativamente a: o o o attività di marketing verificare che la Compagnia sia autorizzata ad utilizzare dati personali per attività di marketing e prevedere il diritto di opt-out dell interessato in merito alla ricezione di comunicazioni commerciali; dati personali sensibili disporre chiarificazioni in merito alla possibilità ed alla modalità di trattamento dei dati personali sensibili; procedura dei reclami predisporre una specifica procedura per l esercizio dei diritti previsti dalla normativa locale da parte di dipendenti ed altri soggetti. Prevedere procedure di sign-off al fine di stabilire che progetti o processi siano conformi alla Policy ed alla normativa locale; controllare regolarmente che gli applicativi ed i processi che trattano dati personali siano conformi alla Policy ed alla normativa locale; aggiornare il Management Aziendale sulle loro responsabilità in materia di privacy. Il DPO deve ricevere adeguato supporto da Management Aziendale, Legal, HR & LOGISTICS, IT. Consapevolezza e Formazione Le Compagnie devono adottare adeguate misure in materia di privacy, tra cui sessioni per rafforzare la consapevolezza sulla materia ed erogare sessioni formative, che consistere in: e-learning; sessioni face to face; newsletters interne; ogni altro mezzo che sia adeguato a mantenere un buon livello di consapevolezza in merito a tematiche privacy. In particolare, i dipendenti coinvolti nel trattamento di dati personali devono essere aggiornati regolarmente su novità legislative e giurisprudenza rilevante. Pagina 7 di 10

8 Trattamento dei dati personali Conservazione dei dati personali Per la conservazione dei dati personali, devono essere applicati i seguenti principi: i dati personali non devono essere conservati in una forma che consenta l identificazione dell interessato per un tempo più lungo del necessario, rispetto alle finalità per cui i dati sono stati raccolti o registrati. I dati personali devono essere cancellati (o distrutti con metodi conformi ai Group Information Security Policy and Standards) quando non sono più necessari per le finalità per cui sono stati raccolti o registrati. Prima della cancellazione, i dati personali devono essere memorizzati in un modo che permetta che il diritto di accesso possa essere esercitato. I dati devono essere memorizzati per il tempo richiesto da rapporti od obblighi giuridici o dall esecuzione di un contratto. La procedura per la conservazione dei dati deve essere in linea con la normativa locale. Alle scadenza di tale periodo di conservazione, i dati devono essere memorizzati dopo essere stati dissociati. Trasferimenti dei dati personali Trasferimento di dati significa comunicazione degli stessi a Terze Parti. In caso di trasferimento occorre rispettare le seguenti regole: i dati personali non devono essere trasmessi a Terze Parti senza aver prima fornito idonea informativa all interessato. L informativa deve specificamente far riferimento alle finalità della trasmissione, all identità del ricevente ed ai diritti degli interessati. I dati personali, tranne certi casi, non devono essere trasmessi a Terze Parti senza il consenso dell interessato. Il consenso fornito dall interessato deve specificamente far riferimento alla finalità della trasmissione, alla tipologia dei dati da trasmettere ed all identità del ricevente. Il consenso può non essere richiesto: quando il trasferimento è autorizzato dalla legge; quando i dati possono essere raccolti da fonti pubbliche o pubblici registri; quando vi è la richiesta di un giudice; quando il trasferimento ha ad oggetto dati relativi allo stato di salute ed è necessario per risolvere un emergenza o per condurre studi epidemiologici secondo disposizioni governative; in ogni altro caso e per qualsiasi altra ragione stabiliti dalla normativa locale. Trasferimenti internazionali di dati I trasferimenti internazionali di dati personali richiedono particolari garanzie. 1. Trasferimenti verso paesi che assicurino adeguati livelli di protezione previsti dalla normativa La trasmissione di dati personali all estero è permessa se secondo la normativa locale il paese ricevente assicuri un adeguato livello di protezione senza pregiudicare la conformità alle disposizioni nazionali. Specifiche procedure locali devono essere applicate. 2. Trasferimento verso paesi che non assicurino un adeguato livello di protezione secondo la normativa locale Se la normativa privacy del paese ricevente non è ritenuta sufficientemente garantista secondo la normativa locale, le Compagnie devono negoziare Clausole Contrattuali Standard (e.g. EU Model Clauses se applicabili per il Paese) con il responsabile del trattamento all estero e/o richiedere l autorizzazione al Garante per la protezione dei dati personali. In ogni caso, le Compagnie dovranno siglare un accordo scritto con il ricevente, in cui quest ultimo garantisca l applicazione di misure di sicurezza equivalenti a quelle richieste dalla normativa del Pagina 8 di 10

9 Paese dal quale i dati sono spediti. Le Compagnie devono prevedere clausole standard affinché siano assicurate misure di sicurezza tecniche ed organizzative da parte del Responsabile del trattamento stabilito in un paese terzo che non riconosce adeguata protezione. Responsabile del trattamento Il trattamento dei dati personali deve essere conforme alla normativa applicabile. Il trattamento da parte del responsabile deve essere regolato attraverso un contratto scritto od altre forme che consentano di controllare e valutare il responsabile, specificando espressamente che quest ultimo debba trattare i dati personali secondo le istruzioni del titolare e per le sole finalità specificate nel contratto, e non debba acquisire alcun diritto o titolarità sui dati o comunicarli ad altri soggetti. Il contratto deve anche includere obblighi di confidenzialità e stabilire misure di sicurezza previste dalla normativa locale e dall Information Security Requirements for Third Parties, allegato al Group Information Security Policy & Standards (GIS). Se il responsabile utilizza i dati personali per altre finalità, li diffonde o li tratta secondo modalità non conformi alle disposizioni contrattuali o di legge, il responsabile risponde per le violazioni commesse. In assenza di espressa autorizzazione da parte delle Compagnie, il responsabile non può subappaltare ad una Parte Terza il trattamento commissionato dal titolare. Gestione delle richieste degli interessati circa la conservazione dei dati personali Le Compagnie devono garantire agli interessati il diritto di ottenere informazioni circa i dati che li riguardano di cui le Compagnie sono in possesso. L interessato ha i seguenti diritti: essere informato quando i dati personali sono registrati per la prima volta dal titolare per specifiche finalità, a meno che ciò sia previsto dalla legge; richiedere informazioni circa i dati registrati che li riguardino, incluse informazioni relative alla fonte dei dati; richiedere l identità del ricevente o delle categorie di riceventi a cui i dati sono trasferiti; richiedere la finalità della registrazione dei dati; rettificare i dati inesatti; richiedere la cancellazione dei dati se legalmente possibile; ottenere ogni altra informazione che sia prevista dalla normativa locale. Gestione delle misure di sicurezza I dati devono essere adeguatamente protetti da uso improprio, distruzione, perdita, modiche o accessi non autorizzati. La raccolta, l utilizzo/il trattamento, la trasmissione ed il trasporto, la conservazione e la disposizione dei dati personali richiede di implementare efficaci misure tecniche ed organizzative al fine di: evitare che soggetti non autorizzati possano accedere a sistemi per trattare od utilizzare dati personali (access control); assicurare che i soggetti autorizzati ad utilizzare i sistemi abbiano accesso soltanto a quei dati cui sono autorizzati ad accedere e che i dati non possano essere letti, copiati, alterati o rimossi senza autorizzazione (access control, need to know principle); assicurare che i dati non possano essere letti, copiati, alterati o rimossi senza autorizzazione durante il trasferimento elettronico o trasporto o mentre sono registrati su supporti e che sia possibile accertare e verificare quali individui stiano trasferendo i dati personali utilizzando strumenti per la trasmissione dei dati (disclosure control); assicurare che sia possibile verificare ed accertare se vi sia stato accesso ai dati personali, se questi sono stai alterati o rimossi dai sistemi e da chi (input control); Pagina 9 di 10

10 assicurare che i dati personali trattati per conto di altri siano trattati in stretta conformità alle istruzioni del titolare (job control); assicurare che i dati personali siano protetti contro distruzioni o perdite accidentali (availability control); assicurare che i dati personali raccolti per diverse finalità possano essere trattati separatamente. Il livello delle misure di sicurezza richiesto per la protezione dei dati dipende dalla sensibilità dei dati. I dati sono classificati negli AXA Group Information Security Policy and Standards (GIS). I principali requisiti per le misure tecniche ed organizzative sono specificati negli AXA GIS. L Compagnie sono obbligate a rispettare gli AXA GIS. Dati personali sensibili Le Compagnie sono responsabili per il rispetto della normativa concernente i dati sensibili. Il trattamento dei dati personali sensibili è possibile soltanto con il consenso esplicito dell interessato ed in taluni casi la normativa locale può proibirne il trattamento senza possibilità per l interessato di fornire il proprio consenso al trattamento. In altri casi è necessaria l autorizzazione dell autorità per il trattamento dei dati personali sensibili. Pagina 10 di 10