Privacy (d.lgs 196/03) e-mail e internet Obblighi ed opportunità per il datore di lavoro Relatore: Daniele Benetti Dottore in sicurezza dei sistemi e delle reti informatiche Contenuti Riepilogo legge privacy Misure di sicurezza e sanzioni Linee guida del garante (internet e e-mail) Tutela del lavoratore Tutela dell azienda 1
Riepilogo legge privacy Obiettivo Garantire che il trattamento dei dati personali si svolga nel rispetto dei diritti delle libertà personali, nonché della dignità dell interessato con particolare riferimento alla riservatezza, all identità personale e al diritto alla protezione dei dati personali. 2
Definizioni Trattamento (operazione) Dato personale (informazione) Dati identificativi (identità) Dati sensibili (discriminazione) Dati giudiziari (procedimenti penali) Definizioni Titolare Incaricato Interessato Misure minime (di sicurezza) Informativa Consenso (obbligatorio e scritto per dati sensibili) 3
Misure (minime) di sicurezza Obiettivo Ridurre al minimo rischio di distruzione e/o perdita di dati Ridurre al minimo il pericolo di accesso non autorizzato o di trattamento non consentito dei dati (personali) in possesso al titolare 4
Misure minime Livello basilare di protezione Non sempre sufficiente (misure idonee) Trattamento dati informatici: Autenticazione (gestione credenziali e livelli di autorizzazione) Aggiornamento periodico strumenti Protezione strumenti elettronici (firewall) Procedure copie di sicurezza DPS Misure minime Trattamento dati solo cartacei: Aggiornamento periodico dell ambito del trattamento agli incaricati Idonea procedura di custodia dei documenti 5
Misure minime Sanzioni (reato omissivo proprio) Arresto sino a due anni Ammenda da 10.000 a 50.000 euro Se viene contestata la violazione: Sei mesi di tempo per regolarizzarsi Ammenda da 12.500 euro (1/4 del massimo) Il reato è estinto Linee guida utilizzo e- mail e internet 6
Internet e e-mail Il primo marzo 2007 il Garante per la Privacy ha emanato un provvedimento generale che riguarda l utilizzo degli strumenti informatici sul luogo di lavoro, in particolare la posta elettronica e la navigazione in Internet. Non solo tutela dei dati trattati dal titolare, ma anche tutela per gli incaricati Obblighi 1. Informare i dipendenti I. Fornire l informativa al trattamento II. Predisporre disciplinare interno (politica aziendale) con le modalità di utilizzo 2. Adottare misure organizzative e tecnologiche di sicurezza I. Individuare i collaboratori (anche per mansione) che necessitano di utilizzare e- mail e internet 7
Obblighi II. Individuare le postazioni di lavoro autorizzate III. Utilizzare filtri (black/white list) IV. Indirizzo aziendale condiviso (info@azienda.com) V. Eventuale doppio indirizzo (aziendale e personale) VI. Possibilità di messaggio di risposta per assenza o inoltro a fiduciario Obblighi VII. Misure minime di sicurezza volte alla tutela interna (dei collaboratori). Attenzione alle sanzioni 3. Controlli sui collaboratori I. NON si possono installare apparecchiature di controllo sistematico II. NON si possono leggere i messaggi di posta III. NON si possono controllare le pagine web navigate 8
Tutela dell azienda Controllo per gradi (reparto, ufficio, gruppo di lavoro) con avviso generico sull utilizzo anomalo degli strumenti Controllo sul collaboratore (se per gradi è insufficiente) con provvedimenti disciplinari Tutela dell azienda Si presenta l opportunità di istituire una politica aziendale Nella preparazione della politica aziendale far presente che: I dati ed il pc sono di proprietà dell azienda Il pc non è assegnato al dipendente Fatto divieto di utilizzo del pc per scopi personali 9
Tutela dell azienda Informare sui rischi nella navigazione internet (e i costi relativi) Fatto divieto di utilizzo di internet e e-mail per scopi personali Specificare che altri collaboratori potrebbero accedere al pc Specificare che il sistema di copia dei dati aziendali (backup) potrebbe copiare anche i dati personali si presenti Domande e risposte 10
GRAZIE per l attenzione Daniele Benetti e-mail: daniele.benetti@quadnet.it 11