Normativa Mobile device, Marketing, Videosorveglianza

693 views
630 views

Published on

“PRIVACY:SEMPLIFICAZIONI E ADEMPIMENTI.UN’OPPORTUNITÀ PER LE AZIENDE”

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
693
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
8
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Normativa Mobile device, Marketing, Videosorveglianza

  1. 1. Particolarità di alcuni trattamenti:Videosorveglianza, Marketing, Mobile Device Dott. Daniele Gombi
  2. 2.  La protezione dei dati nell’era del mobile device: rischi e opportunità nell’uso di tablet e smartphone
  3. 3. Senza Parole
  4. 4. Il perimetro di riferimento
  5. 5. ALCUNI DATI20.000.000 smartphone stimati in Italia+52% Rispetto al 201077% utenti che li usano in ambito aziendale[Fonte IPSOS Media ICT 2011]142,7 (4,3%) smartphone persi o rubatidi cui 57% non protettidi cui 60% contenenti dati critici[Fonte Ponemon Institute, 2011 su campione di 439 società U.S.A.in 12 mesi ]
  6. 6.
  7. 7.
  8. 8. (Nonostante l’elevato tasso di introduzione sul mercato dei device mobili, solouna minima parte delle aziende ne sta supportando ufficialmente l’uso< 20%)2.Eterogeneità delle caratteristiche tecnologiche3.Vulnerabilità tecniche4.Comportamenti non idonei e non consapevolezza5.BYOD – promiscuità dei dati personali e aziendali6.Difficoltà di controllo su utilizzo e raccolta dati(fotocamera)7.Elevata probabilità di furto o perdita8.Mancanza di preliminare analisi dei rischi9.Mancanza di procedure di incident handling10.Non analisi dei trattamenti effettuati11.Non applicazione delle misure minime di sicurezza
  9. 9. Ma anche11. Potenziale geolocalizzazione
  10. 10. • Presenza di una password di accesso “forte”• Autenticazione e gestione credenziali• Blocco dopo un periodo di inattività• Remote Wipe (corporate content wipe o total wipe)• Cifratura della memoria (interna ed esterna)• Aggiornamento periodico strumenti• Monitoraggio della manipolazioni dei dati sul dispositivo• Firewall ed Antivirus• VPN di accesso alle risorse aziendali• Archiviazione e backup dei dati• Separazione dei dati aziendali dai dati personali
  11. 11. Dismissione dispositivi mobili (sim, schede di memoria interne eremovibili) – Provvedimento 13 ottobre 2008Accesso promiscuo alla e-mail aziendale e personale – Linee Guida01 marzo 2007Piattaforme centralizzate di gestione dei dispositivi mobili –Provvedimento AdS 27 novembre 2008Geolocalizzazione, utilizzo ibrido – Statuto dei lavoratoriModello di organizzazione idoneo e rischi connessi ai dispositivimobili, reati informatici in ambito “mobile” – D.Lgs 231/2001
  12. 12. MarketingPer le iniziative di marketing, a condizione che i dati siano tratti da fonti diverse dagli elenchi telefonici o raccolti direttamente dal soggetto,la persona giuridica, ente o associazione non sono più “interessati” e, quindi, il Codice Privacy non è applicabile.
  13. 13. MarketingSe le attività di marketing (telefonico e postale) sono, invece, eseguite attingendo i dati dagli elenchi telefonici, la persona giuridica, ente o associazione sono da considerarsi “abbonati” e, dunque, nuovamente è applicabile l’attuale testo normativo in materia di privacy. Vige il regime basato sul Registro Pubblico delle Opposizioni e la relativa iscrizione e procedure annesse (si ricorda, ancora da attuare per quanto attiene il marketing postale). Infatti, gli articoli del Codice Privacy che regolano questa materia esplicitamente si riferiscono non agli “interessati”, bensì agli “abbonati” e nulla nei loro confronti è cambiato
  14. 14. MarketingArt. 130 sulle “comunicazioni indesiderate” che disciplinano il marketing telefonico senza operatore, via e-mail, via Sms e Mms: si parla di “interessati” (e non di “abbonati”)Non essendo più considerati “interessati”, la persona giuridica, ente o associazione potrebbero essere lecitamente usati per fini di invio di e-mail pubblicitarie, Sms promozionali, telefonate di carattere commerciale senza che sia necessario rendere l’informativa e ottenere il consenso ?
  15. 15. MarketingProvvedimento del garanteTitolarità del trattamento di dati personali in capo ai soggetti che si avvalgono di agenti per attività promozionali - 15 giugno 2011 (Pubblicato sulla Gazzetta Ufficiale n. 153 del 4 luglio 2011) ed entrato in vigore il 30/11/2011Agenti responsabili del trattamento
  16. 16. VideosorveglianzaD.Lgs. 196/2003 Codice in materia di protezione dei dati personaliProvvedimento 8 Aprile 2010Legge 300/1970 art.4 – Statuto dei lavoratoriInterferenze illecite nella vita privata (615bis c.p.)Normative Speciali
  17. 17. Videosorveglianzase l’impianto viene installato in un luogo di lavoro e le telecamere riprendono anche luoghi nei quali si trovano o transitano i dipendenti, occorre stipulare un accordo con la rappresentanza sindacale aziendale dei lavoratori (e non con i singoli lavoratori!). Se manca la rappresentanza sindacale è necessario ottenere dalla competente Direzione Provinciale del Lavoro l’autorizzazione all’installazione dell’impianto, avanzando un’apposita istanza preventiva all’installazione.occorre verificare l’angolo di visuale delle riprese che deve essere sempre limitato ai soli spazi di propria esclusiva pertinenza.Le telecamere devono essere segnalate con un apposito cartello di avviso (di tipo conforme a quello predisposto dal Garante per la privacy) collocato nelle vicinanze di ciascuna di esse, indicante chi è il “titolare del trattamento” (cioè il proprietario dell’impianto.) Il cartello informativo deve essere ben visibile anche di notte. Occorre predisporre anche informativa completa.
  18. 18. VideosorveglianzaLe misure prescritte dal Provv. gen. dell’8 aprile 2010 del Garante devono essere osservate da tutti i titolari di trattamento dei dati, altrimenti il trattamento dei dati (la videoripresa e/o videoregistrazione) è illecito o non corretto a seconda dei casi, ed espone: - all’inutilizzabilità dei dati personali trattati in violazione (art. 11 comma 2 del Codice); - all’adozione di provvedimenti di blocco o di divieto del trattamento disposti dal Garante (art. 143. comma 1, lettera c) del Codice); - all’applicazione delle pertinenti sanzioni amministrative o penali (artt. 161 segg. del Codice).
  19. 19. Videosorveglianzaprima di installare l’impianto di videosorveglianza bisogna fare un’analisi preliminare, per valutare se la sua utilizzazione sia realmente proporzionata agli scopi perseguiti o se non sia invece superflua. Le ragioni delle scelte di rilevazione e di eventuale conservazione delle immagini devono essere adeguatamente documentate in un atto autonomo conservato presso il titolare e il responsabile del trattamento, anche ai fini della eventuale esibizione in occasione di visite ispettive
  20. 20. VideosorveglianzaAllegatoB – Punto 25Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dallinstallatore una descrizione scritta dellintervento effettuato che ne attesta la conformità alle disposizioni del presente disciplinare tecnico.Art. 162. Altre fattispecie…2-bis.(3) In caso di trattamento di dati personali effettuato in violazione delle misure indicate nellarticolo 33 o delle disposizioni indicate nellarticolo 167 è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da diecimila euro a centoventimila euro. Nei casi di cui allarticolo 33 è escluso il pagamento in misura ridotta.Art. 169. Misure di sicurezza1. Chiunque, essendovi tenuto, omette di adottare le misure minime previste dallarticolo 33 è punito con larresto sino a due anni.
  21. 21. VideosorveglianzaIl Garante nel suo provvedimento non specifica quali debbano essere le misure di sicurezza che il titolare deve adottare, ma nel punto 3.3 fornisce sei principi che le misure devono rispettare:a) in presenza di differenti competenze specificatamente attribuite ai singoli operatori devono essere configurati diversi livelli di visibilità e trattamento delle immagini e, dove tecnicamente possibile, i soggetti designati incaricati o responsabili del trattamento devono avere credenziali di autenticazione che permettano di effettuare, a seconda dei compiti attribuiti ad ognuno, unicamente le operazioni di propria competenza;b) quando i sistemi siano configurati per la registrazione e successiva conservazione delle immagini rilevate, deve essere limitata la possibilità, per i soggetti abilitati, di visionare in tempo differito le immagini registrate e di effettuare cancellazioni o duplicazioni;c) devono essere predisposte misure tecniche od organizzative per la cancellazione, anche automatica, delle registrazioni, allo scadere del termine previsto (di norma 24 ore);
  22. 22. Videosorveglianzad) nel caso di interventi di manutenzione i soggetti preposti possono accedere alle immagini solo se è indispensabile per fare eventuali verifiche tecniche e solo in presenza dei soggetti dotati di credenziali di autenticazione abilitanti alla visione delle immagini;e) se si utilizzino apparati di ripresa digitali connessi a reti informatiche, gli apparati medesimi devono essere protetti contro i rischi di accesso abusivo di cui all’art. 615-ter c.p.; Art. 615 terChiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volonta’ espressa o tacita di chi ha il diritto di escluderlo, e’ punito con la reclusione fino a tre anni.f) la trasmissione tramite una rete pubblica di comunicazioni di immagini riprese da apparati di videosorveglianza deve essere crittografata per garantire la riservatezza e lo stesso vale per la trasmissione di immagini da punti di ripresa dotati di connessioni wireless.
  23. 23. Affidati a competenze certificateDaniele Gombigombi@polaris.it

×