Analisi delle aree aziendali sensibili al rischio privacy

1,749 views

Published on

Published in: Education
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,749
On SlideShare
0
From Embeds
0
Number of Embeds
1,092
Actions
Shares
0
Downloads
36
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Analisi delle aree aziendali sensibili al rischio privacy

  1. 1. Analisi delle aree aziendali sensibili al rischio privacy AFGE Corporate Privacy Compliance Forum Milano 20 e 21 novembre 2013 Francesca Gaudino - Local Partner, Baker & McKenzie © 2013 Baker & McKenzie
  2. 2. Il ‘rischio privacy’ Art. 15 Codice Privacy - trattare dati personali è un’attività pericolosa Art. 4 Codice Privacy: definizioni di - dato personale e - trattamento Struttura del sistema sanzionatorio
  3. 3. Audit interno - I Censimento di banche dati utilizzate: interne ed esterne Verifica dei dati trattati: tipologia e natura Identificazione dei trattamenti posti in essere: il principio di finalità Identificazione dei luoghi in cui i dati sono trattati: momento statico e dinamico del trattamento
  4. 4. Audit interno - II Ambito di comunicazione dei dati intra ed extra gruppo finalità della comunicazione Esternalizzazione di operazioni di trattamento/di interi trattamenti nomina e controllo dei responsabili Mappatura dei flussi di dati Regolamentazione dei ruoli privacy dei soggetti coinvolti
  5. 5. Audit interno - III Verifica di misure e precauzioni adottate Determinazione del proprio programma privacy gap analysis Distribuzione di ruoli e responsabilità privacy all’interno della struttura aziendale delega di funzioni nomina di responsabili e incaricati il privacy officer effettività ed efficacia del sistema di deleghe interno
  6. 6. Regole per tutti i trattamenti Art. 11 Codice Privacy – art. 15 Codice Privacy Principi di liceità e correttezza Principio di finalità del trattamento Qualità dei dati Principio di rilevanza e non eccedenza Principio di conservazione
  7. 7. Area risorse umane - I Informativa e consenso candidati dipendenti - finalità dati non rilevanti foto su intranet aziendale, immagini a fini promozionali gestione del mancato consenso Disciplinare tecnico per utilizzo di internet e @ conditio sine qua non il problema dei consulenti esterni
  8. 8. Area risorse umane - II Videosorveglianza conservazione e procedure di accesso richieste di accesso Dati sensibili e medico aziendale Due diligence Training e designazione di incaricati del trattamento Altri trattamenti a rischio privacy – i familiari, ricerche di mercato, ecc.
  9. 9. Strumenti di marketing in ambito web 3.0 Conversazione virtuale, continua, bidirezionale, molto personalizzata e device agnostic Piattaforme IT multifunzionali per vendita, marketing e comunicazione geolocalizzazione behavioural advertising e tracciamento - cookies, web beacons, etc. TAF profilazione social media, blog, chat, forum, etc. Coerente integrazione di ambiente online ed offline
  10. 10. Flussi informativi in ambito CRM/CEM Cliente: il nuovo centro gravitazionale – comprendere i desideri del cliente come vantaggio competitivo – il cliente come trend/market setter – il cliente come best seller Dal CRM al CEM attraverso la brand experience
  11. 11. Soluzioni ‘cloud’ - Determinazione della legge privacy applicabile - Individuazione del perimetro di dati/banche dati affidati ai servizi in cloud - Verifica dei flussi di dati in entrata e in uscita - Controllo sui dati e sulle persone autorizzate all’accesso/al trattamento - Verifica delle misure di sicurezza adottate: controllo, disponibilità e integrità dei dati
  12. 12. Area clienti - I Titolarità del trattamento in gruppi di imprese struttura del CRM: centralizzata, decentralizzata, mista Individuazione della legge privacy applicabile dai diversi titolari di trattamento Regolamentazione della condivisione con terzi esterni, responsabili o titolari franchisee, ecc. department store Trattamento di eventuali dati sensibili
  13. 13. Area clienti - II Trasferimenti verso paesi terzi soluzioni coerenti ed efficienti flussi verso e da paesi terzi Modalità e criteri di profilazione data ultimo acquisto valore acquisti frequenza acquisti … determinazione e aggiornamento dei segmenti Informativa e consenso; notificazione
  14. 14. Area clienti - III Programmi fedeltà Coerenza con eventuali iniziative online o mobile il caso dei social network Responsabili interni e incaricati Tempi di conservazione ultimo contatto? ultimo acquisto? data di registrazione sulla banca dati? …?
  15. 15. Area clienti - IV Strumento tecnico utilizzato i flag privacy – informativa e consenso sono diversi a seconda della legge privacy applicabile esatta gestione delle preferenze espresse dall’interessato profili di accesso e autorizzazione – gli incaricati eventuali banche dati speculari la BD ‘occulta’ l’accesso come trasferimento di dati all’estero Bonificare o non bonificare se sì, come
  16. 16. Misure di sicurezza - I AdS nomine specifiche conservazione file di log verifica dell’attività Aggiornamento delle misure di sicurezza a scadenze predeterminate secondo lo ‘stato dell’arte’ Misure minime di sicurezza per trattamenti cartacei
  17. 17. Misure di sicurezza - II Misure di carattere organizzativo designazione di incaricati conservazione password utilizzo di fax spedizione di atti contenenti dati utilizzo di supporti rimovibili Verifica dell’attività dei responsabili esterni resoconto periodico del responsabile audit del titolare
  18. 18. Flussi transfrontalieri di dati - I I paesi terzi Safe Harbor Strumenti contrattuali clausole ad hoc Clausole Contrattuali Standard – Model Clauses tra titolari da titolare a responsabile Norme vincolandi di impresa (BCR) Varie esimenti, tra cui il consenso dell’interessato
  19. 19. Flussi transfrontalieri di dati - II Scelta dello strumento legale più adatto al caso concreto Identificazione di banche dati e dati coinvolti Verifica di esatta adozione di altri requisiti di legge applicabili Implementazione Manutenzione
  20. 20. Tutela del rischio privacy - I Ruoli privacy all’interno dell’azenda distribuzione coerente di obblighi e responsabilità un centro di coordinamento e supervisione: il privacy officer Training degli incaricati del trattamento verifica ‘sul campo’ evitare e prevenire futuri rischi proporre possibili soluzioni e azioni correttive
  21. 21. Tutela del rischio privacy - II Approccio olistico visione di insieme analisi predittiva Vademecum in caso di verifica persone di contatto documentazione strumenti tecnici Definizione e implementazione di un programma privacy by design Verifica e aggiornamento costanti
  22. 22. Grazie per l’attenzione Baker & McKenzie International is a Swiss Verein with member law firms around the world. In accordance with the common terminology used in professional service organizations, reference to a “partner” means a person who is a partner, or equivalent, in such a law firm. Similarly, reference to an “office” means an office of any such law firm. © 2013 Baker & McKenzie

×