Focus sulla normativa in evoluzione e sui principali provvedimenti del Garante per la protezione dei dati personali: da adempimento a opportunità

Transcript

1 Focus sulla normativa in evoluzione e sui principali provvedimenti del Garante per la protezione dei dati personali: da adempimento a opportunità Milano, 23 Aprile Deloitte Touche Tohmatsu Limites

2 Agenda Panoramica sull evoluzione della normativa in materia di privacy e sulle ricadute per la PMI La protezione dei dati tra rischi e opportunità per la PMI Analisi dei principali provvedimenti del Garante applicabili alla realtà di una PMI: A. Guida pratica e misure di semplificazione per le piccole e medie imprese B. Lavoro: le linee guida del garante per posta elettronica e internet C. Amministratori di sistema D. Cookies E. Marketing F. Cloud computing G. Mobile payments H. Social network 1

3 Panoramica sull evoluzione normativa L evoluzione degli strumenti tecnologici Statico Dinamico Frammentato Deloitte Touche Tohmatsu Limites

4 Panoramica sull evoluzione normativa Il dato personale nell era del web Nell era della connettività globale la privacy di ciascuno di noi è costantemente in pericolo. I dati e le informazioni personali sono una merce preziosa e i colossi del mondo digitale basano le loro «fortune» sui pensieri, sui sentimenti e sulle emozioni che disseminiamo quando siamo su un social network, scriviamo una mail, facciamo una ricerca. In due o tre anni sarà impossibile dimenticare, perdersi, annoiarsi, restare soli. Vivremo in un mondo più felice, più trasparente, conosceremo persone nuove e avremo più tempo da dedicare a noi stessi. Sarà, per la prima volta, una rivoluzione per l'intero pianeta e non solo per una piccola elite. Tutto grazie agli smartphone che avete già in tasca, ai tablet che si diffonderanno nei prossimi anni e ai super computer che formano quella nuvola digitale, il "cloud", dove stiamo raccogliendo una grande quantità di informazioni (Eric Schmidt, Chairman Google, Febbraio 2011) 3

5 Panoramica sull evoluzione normativa Privacy cos è? Comprende i diritti e doveri che ciascuna persona fisica o organizzazione deve rispettare nella raccolta, uso, conservazione, comunicazione e eliminazione di informazioni Prevede una normativa di riferimento: D.lgs. 196/2003 (Codice in materia di protezione dei dati personali) Garantisce il rispetto di diritti fondamentali di ognuno di noi Accresce la fiducia di tutti i soggetti che interagiscono con l azienda (i.e. risorse, clienti, fornitori) Evita danni di immagine Permette di definire un modello organizzativo interno di gestione Diritti Gestione Doveri Privacy Immagine Norme Fiducia 4

6 Panoramica sull evoluzione normativa: le tappe fondamentali Anni 70 Anni 80 Anni U.S.A Privacy Act Prime Leggi Europee (Germania land Hesse, Svezia) Risoluzioni del Consiglio Europeo Principi OECD Convenzione di Strasburgo 108/81 Direttiva CE 95/46 Legge 675/96 1 Legge sulla Privacy (abrogata) Carta dei diritti fondalmentali dell Unione Europea D. Lgs. 196/2003 Codice Privacy in vigore 2017? nuovo Regolamento Europeo in materia di protezione dei dati personali Concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati 5

7 Panoramica sull evoluzione normativa I principi ordinatori del Codice Privacy Principi Generali. Definiscono gli obiettivi di tutela e sono correlate all esperienza legislativa di carattere comunitario e Costituzionale (art. 2 della Costituzione Italiana). Precetti. A carattere specialistico, la cui portata è simile a quella attribuita alle clausole generali del contratto. Art. 2 Principio di Finalità Art. 3 Principio di Necessità Art. 5 Principio di Stabilimento Art. 1 Diritto alla protezione dei dati personali Art. 11 Principi di liceità, pertinenza, completezza, non eccedenza, proporzionalità Principi Generali Privacy 6

8 La protezione dei dati: rischio o opportunità? Dato personale è ogni informazione relativa ad una persona fisica, detta interessato, individuata o individuabile. Esistono differenti categorie di dato personale come esemplificate nella sottostante tabella. Dato non personale quando sono rimosse le informazioni che rendono individuabile una persona fisica, ad es. mediante l adozione di tecniche di anonimizzazione (o pseudoanonimizzazione) che prevedono la dissociazione completa tra le informazioni e soggetto cui appartengono. La tabella riporta alcune tipologie di dato, suddivise in base al tipo. DATI COMUNI DATI RISCHIOSI DATI SENSIBILI/GIUDIZIARI Dati anagrafici (Nome, Cognome, Data di nascita, Indirizzo di residenza) Dati e informazioni sparse (data mining) Stato di salute e/o informazioni relative alla vita sessuale Numero carta di credito Provvedimenti disciplinari Opinioni politiche/filosofiche/religiose Coordinate bancarie Sondaggi statistici Adesioni a Sindacati Numeri telefonici Immagini da web cam e videosorveglianza Origine razziale/etnica Codice Fiscale Dati Biometrici/Geolocalizzazione Condanne penali/carichi pendenti Indirizzo IP dinamici Numeri di targa auto/moto Informazioni di tipo finanziario 7

9 La protezione dei dati: rischio o opportunità? Privacy vs Security La privacy delle informazioni può essere considerata come l applicazione di regole che governano il trattamento e la manipolazione di dati personali. La sicurezza delle informazioni è, invece la protezione di qualsiasi tipo di informazione anche a carattere non personale: Può esserci sicurezza senza privacy ma non può essereci privacy senza sicurezza! Privacy Security Informativa consenso Uso Riservatezza accesso Disponibilità integrità 8

10 La protezione dei dati: rischio o opportunità? Gli obblighi di sicurezza Sulla base dei principi di Riservatezza, Integrità, Disponibilità è stato modellato l art. 31 del Codice Privacy che prevede che siano adottate idonee e preventive misure di sicurezza. Una misura di sicurezza può definirsi idonea quando è in grado di contrastare efficacemente una determinata minaccia: l utilizzo di tecniche di cifratura dei dati personali garantisce maggiore sicurezza contro la minaccia di accesso non autorizzato ai dati personali. Trattamento non conforme alla finalità della raccolta Accesso non autorizzato Dato personale Distruzione o perdita accidentale 9

11 La protezione dei dati: rischio o opportunità? Misure idonee e misure minime Trattamento non conforme alla finalità della raccolta Accesso non autorizzato Distruzione o perdita accidentale MISURE IDONEE Individuate tramite l analisi dei rischi MISURE MINIME Specificate nell Allegato B al Codice 10

12 Analisi dei provvedimenti del Garante A. Guida pratica e misure di semplificazione per le piccole e medie imprese 1/2 Il Legislatore ed il Garante Privacy hanno, nel tempo, sancito una serie di misure tese a snellire gli aspetti burocratici discendenti dall applicazione della normativa. In particolare : la fine dell obbligo di redazione del DPS (sostituito da un autocertificazione scritta) nel caso di trattamento dei dati personali per finalità amministrative e contabili (Provvedimento del "Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all'allegato B al Codice in materia di protezione dei dati personali ), L eliminazione dei riferimenti alle persone giuridiche che non sono più considerate soggetti per i quali operano le tutele previste dal Codice Privacy (Decreto legge 6 dicembre 2011, n. 201, convertito, con modificazioni, dalla legge 22 dicembre 2011, n. 214) L eliminazione dell obbligo di redigere il DPS e dei correlati adempimenti (cfr. Decreto legge 9 febbraio 2012, n. 5, convertito, con modificazioni, dalla legge 4 aprile 2012, n. 35) L eliminazione dell obbligo di prestare l informativa nel caso di CV inviati spontaneamente dagli interessati (Decreto legge 13 maggio 2011, n. 70, convertito, con modificazioni, dalla legge 12 luglio 2011, n. 106) La trasformazione da opt-in ad opt-out per quanto concerne il marketing effettuato tramite telefono o posta cartacea (Decreto legge 13 maggio 2011, n. 70, convertito, con modificazioni, dalla legge 12 luglio 2011, n

13 Analisi dei provvedimenti del Garante B. Lavoro: le linee guida del garante per posta elettronica e internet 1/2 Gli strumenti informatici (Internet, posta elettronica, blackberry, smartphone) messi a disposizione dall azienda per svolgere l attività lavorativa possono essere oggetto di controllo da parte del datore di lavoro. A livello normativo, possono essere richiamati quali riferimenti: Il Decreto Legislativo n. 196/2003 con specifico riguardo agli artt. 114 (controllo a distanza Le linee guida del Garante per posta elettronica e Internet Deliberazione del 1 marzo 2007 La legge n. 300/1970 (Statuto dei Lavoratori) Gli articoli del Codice Civile 2086 (Direzione e gerarchia nell'impresa), 2104(Diligenza del prestatore di lavoro), 2105 (Obbligo di fedeltà) 12

14 Analisi dei provvedimenti del Garante B. Lavoro: le linee guida del garante per posta elettronica e internet 2/2 13

15 Analisi dei provvedimenti del Garante C. Amministratori di sistema 1/2 Gli Amministratori di Sistema assumono un ruolo rilevante all interno di un sistema di Data Governance (cfr. figura sotto), in quanto sono incaricati di svolgere attività che richiedono un accesso privilegiato ai dati: progettazione, sviluppo e gestione di infrastruttura di rete, server, software e servizi applicativi di base; governo della sicurezza e della protezione dei dati e delle risorse; supporto tecnico informatico software e hardware. In particolare, gli AdS hanno le seguenti responsabilità principali all interno del sistema di governo: riportano al Titolare eventuali anomalie riscontrate su malfunzionamenti o rischi di sicurezza; rispondono delle attività svolte e delle conseguenze derivanti da un malfunzionamento della rete; supportano nel quotidiano gli incaricati per gli aspetti di tipo tecnico informatico Interessati (Clienti, Prospect, Dipendenti, Fornitori) Titolare del Trattamento Garante per la Protezione dei dati personali Privacy Leader IT Leader Responsabili interni del trattamento Responsabili (esterni) del trattamento 14 Incaricati del trattamento Amministratori di sistema 2013 Deloitte Touche Tohmatsu Limites

16 Analisi dei provvedimenti del Garante C. Amministratori di sistema 2/2 Il Provvedimento del Garante in materia di Amministratori di Sistema (2009) prevede una serie di misure di carattere organizzativo, tecnico-organizzativo e tecnico quali: La valutazione delle caratteristiche soggettive degli amministratori di sistema. La Designazione individuali. Nominare gli amministratori di sistema individualmente, evidenziando per ciascuno gli ambiti di operatività. E necessario garantire, con appropriati strumenti di controllo accessi, l effettiva corrispondenza tra la persona fisica e l utenza definita a sistema Il mantenimento di un elenco degli amministratori di sistema. La conservazione dell elenco degli amministratori di sistema dei servizi in outosourcing la Verifica delle attività degli amministratori di sistema. La registrazione degli accessi logici ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema Deloitte Touche Tohmatsu Limites

17 Analisi dei provvedimenti del Garante D. Cookies Ai sensi della Direttiva 2009/ 136/CE (art. 5, comma 3) come recepita dall art. 122 del Codice Privacy, ciascuna azienda deve seguire i seguenti step: quando un navigatore accede alla home page (o ad un altra pagina di un sito web) deve trovare un banner ben visibile in cui sia indicato chiaramente se viene fatto uso di cookie per monitorare l utente e per inviargli pubblicità mirata e se tali dati vengono condivisi con altri soggetti. Il breve avviso (banner) deve riportare un link che indirizzi a una informativa più ampia sull uso dei cookie inviati dal sito, dove è possibile negare il consenso alla loro installazione Il sito può utilizzare cookie tecnici, ovvero quelli necessari ad accedere a un servizio (ad esempio la posta elettronica o l home banking). Al gestore del sito è consentito utilizzare un cookie tecnico per tracciare l utente al fine di non riproporre il banner con l informativa breve alla sua seconda visita

18 Analisi dei provvedimenti del Garante E. Marketing & Profiling Ogni singola attività di Marketing (o di profiling) deve essere opportunamente regolamentata attraverso: Ruoli e responsabilità interni ed esterni devono essere definiti in una catena di comando chiara e comprensibile (Titolare responsabile Incaricati). Per ogni singolo canale di contatto deve essere implementata un informativa e raccolto uno specifico ed esplicito consenso. Il consenso se espresso oralmente, deve essere poi documentato per iscritto tenendo traccia da parte di chi, dove e quando sia stato ottenuto il consenso. Il consenso va espresso singolarmente per le distinte finalità sull uso dei dati personali (ad esempio uno per il marketing, uno diverso per la profilazione o per la comunicazione dei dati ad altri soggetti) Non è necessario acquisire un ulteriore consenso per inviare al consumatore offerte promozionali, via posta tradizionale o , relative a prodotti/servizi analoghi a quelli forniti in precedenza (il cosiddetto soft spam)

19 Analisi dei provvedimenti del Garante F. Cloud Computing 1/2 Il Cloud come nuovo paradigma dello storage e dello sharing di dati ed informazioni azinendali richiede un analisi preliminare per un corretto bilanciamento tra rischi e vantaggi. Sistema Mission critical On mission critical No mission critical No cloud Business Core No core Community Private Public Hybrid

20 Analisi dei provvedimenti del Garante F. Cloud Computing 2/2 Privacy Controllo da parte degli utenti sulle risorse del Cloud Flussi transazionali Retention e cancellazione dati Cloud Accessi da parte di terzi Misure di sicurezza Clasuole contrattuali Subfornitura/ Offshoring 19

21 Analisi dei provvedimenti del Garante G. Mobile payments Con uno specifico Provvedimento (Provvedimento generale in materia di trattamento dei dati personali nell'ambito dei servizi di mobile remote payment - 22 maggio 2014) il Garante è intervenuto sul tema dei c.d. Mobile Payments. Il Provvedimento, entrato in vigore il 1 aprile 2015 stabilisce, a carico dei soggetti coinvolti nella fornitura del servizio, una serie di misure a tutela della privacy

22 Analisi dei provvedimenti del Garante H. Social Network 1/2 Enterprise 2.0 l utilizzo combinato dei quattro trend contribuirà ad aumentare in modo tangibile il fatturato delle aziende nei prossimi 3-5 anni, innovando prodotti/servizi per iniziative di business che coinvolgeranno i consumatori finali o altre aziende. L executive management aziendale si attenderà quindi di sfruttare le tecnologie It per far crescere il business mantenendo a livelli accettabili il rischio d impresa, con l aspettativa, di un Fatturato guidato dall It (It-led) (Fonte: Peter Sondegaard, Senior Vice President e capo della ricerca worldwide di Gartner, Zerounoweb, 14/07/2011) 21

23 Analisi dei provvedimenti del Garante H. Social Network 1/2 L invio di messaggi promozionali agli utenti dei social network (Facebook), in privato o pubblicamente sulla loro bacheca virtuale, è subordinato al rispetto delle regole previste dal Codice della privacy, in primis quella di aver acquisito lo specifico e preventivo consenso del destinatario. La medesima disciplina è applicabile ai messaggi promozionali inviati utilizzando strumenti o servizi digitali come Skype, WhatsApp, Viber, Messenger, etc. Un impresa può inviare offerte commerciali ai propri follower sui social network (utenti che decidono di seguire le relative vicende, novità o commenti della società) quando la loro iscrizione manifesta chiaramente l interesse a ricevere messaggi concernenti il marchio, prodotto o servizio offerto. Ovviamente la maggior parte dei social network consentono ai loro utenti di bloccare l invio di messaggi da parte di un determinato contatto o di segnalare quest ultimo come spammer

24 2013 Deloitte Touche Tohmatsu Limites