Il punto di vista del DPO sul percorso dei dati in azienda dalle origini di acquisizione fino agli adempimenti richiesti per essere conformi alla nuova normativa.
- acquisizione dei dati
- classificazione dei dati (personali, sensibili, biometrici, genetici, giuridici)
- utilizzi del dato
- conservazione ed accesso ai dati
- dati su internet
- adempimenti necessari per l'acquisizione dei dati
- tracciabilità del dato
- responsabilità delle aziende
Intervento del DPO Sergio Petti al seminario organizzato da CZ Informatica, Stiip e Opensi: GDPR - Come adeguarsi al nuovo Regolamento Europeo sulla Privacy.
1. Il dato …
breve storia illustrata di un
percorso
_________________________________________
Regolamento europeo 2016/679
in materia di protezione dei dati personali
2. All’inizio è il DATO
una sequenza di lettere e numeri che consente di identificare una
persona fisica …. E questo lo sappiamo!
Ma come acquisisci i dati che tratti nella tua attività?
Creiamo una filiera e vedrai quante vie esistono, per avere ed utilizzare
i dati.
Cominciamo con … ACQUISIRE
3. 1) acquisizione diretta
2) per conto terzi
3) il mondo di internet
4) e-mail, posta, fax, contatti telefonici
E ci fermiamo qua …..
4. 1) acquisizione diretta
Il formato può essere
cartaceo digitale
A questo punto cosa succede al cartaceo?
Può diventare digitale ed essere inserito nei gestionali aziendali
da cui possono essere creati infiniti data base
utilizzati da svariati utenti
E al digitale?
Oltre ad essere inserito nei gestionali e seguire la stessa sequenza
del cartaceo può diventare a sua volta cartaceo
5. Identificazione del dato
Bene adesso hai il dato … ma com’è?
Lo sai vero che ci sono diverse classificazioni .. Personali, particolari
(ex sensibili), biometrici, genetici, giuridici.
La loro identificazione influenzerà le misure di sicurezza da applicare.
Non solo: l’interessato è minore di 16 anni?
Allora il consenso avrà una sua specificità.
Sembrava più semplice? … siamo solo all’inizio
6. Ricapitolando: abbiamo il dato, la sua origine, la sua classificazione, il suo utilizzo
ma dove lo conservi?
Se è un dato “digitale” hai la possibilità di archiviarlo in un server …
ma chi si occupa della manutenzione?
1) identità all’interno della società
2) società in outsourcing
In entrambi i casi dovranno essere individuate le persone che possono “interagire”
con i tuoi dati e concedere loro l’autorizzazione a farlo, cioè “nominarli”.
Prova a pensare a quanti hanno accesso ai dati ..
Titolare, responsabile, amministratore di sistema,
incaricato ...
7. Stessa procedura se la tua archiviazione è su cloud …
Anche qui dovranno essere identificati e nominati i
soggetti che hanno a che fare con i tuoi dati ...
Non è poi così tanto più semplice nel caso del dato
cartaceo … dove tieni i tuoi “data base cartacei”?
Nel cassetto? Prima di tutto devi localizzare il luogo:
quale ufficio? Nella scrivania di chi? C’è una chiave di
chiusura? Chi ne ha copia? Non ha la chiave? Come
puoi garantire la sua sicurezza? Non è un cassetto
ma un armadio? Con chiave? È ignifugo? Chi ci
accede?
Vedi anche un semplice foglio di carta quante possibilità crea?
8. 2) per conto terzi
E qui si apre uno scenario totalmente diverso.
Chi è il soggetto terzo? Un collega? Un amico? Qual è la sua attività?
Come ti ha passato i dati?
Quindi: identificazione e verifica del suo stato nei confronti della privacy
C’è il consenso per la comunicazione a terzi dei propri dati?
Ha avuto l’informativa? Sei in grado di dimostrare da chi hai avuto i dati?
Com’è il dato? Cartaceo o digitale? Qual è la sua classificazione?
Come nel monopoli torna al via e ricomincia…..
9. 3) il mondo di internet
Internet è il più grande serbatoio di dati esistente,
da cui è possibile rilevarne quanti ne vogliamo ….
Anche qui l’acquisizione può essere diretta ed è quando l’interessato
rilascia i propri dati direttamente sul sito di interesse.
Indiretta quando i dati sono rilevati da te
10. 3) il mondo di internet
Acquisizione diretta
Hai un sito web, ma è in regola con la privacy?
Utilizzi cookie? Hai informato i tuoi utenti?
Nel tuo sito è riportata la privacy police? E l’informativa? Ed il consenso?
Il tuo sito ha un’area riservata? Quali dati possono essere lasciati? Sono solo
personali?
Chi nella società di web che ti manutiene il sito, “vede” i dati? Devi identificarli
e nominarli ….
Hai anche delle app? quali dati raccogli?
Come li raccogli?
La musica non cambia ...
11. 3) il mondo di internet
Acquisizione indiretta
Succede sempre più spesso, navigando in internet, di rilevare dati
interessanti e di farli propri. Può essere una società di trasporti, come un
possibile fornitore … chiunque sia tu rilevi i suoi dati e te ne appropri.
I dati quindi vengono acquisiti in maniera impropria, considerando che
dovrebbe esserci sempre un’informativa …
In questo caso è assolutamente VIETATO
l’utilizzo per invio di comunicazioni
commerciali o pubblicitarie…
Lo stai facendo?
12. 4) e-mail, posta, fax, contatti telefonici
E-mail
Posta ordinaria sono nella maggior parte dei casi in forma
Telefono- fax cartacea l’acquisizione può essere diretta o
indiretta
ma in qualsiasi forma possano essere, i dati trasmessi sono sottoposti
comunque alla stessa procedura: verifica, identificazione, trattamento,
archiviazione oltre alla relativa nomina di chi li tratta.
Un aspetto però non è stato considerato: se il dato diventa digitale, del
cartaceo cosa ne fai? Lo distruggi? E come lo distruggi?
Lo appallottoli e lo getti nel cestino?
Oppure utilizzi una distruggi documenti?
13. Ogni archivio cartaceo è sottoposto ad una serie di rischi ambientali, tra
cui:
Furto
Incendio
Leggibilità
Trattamento illecito
Permessi di utilizzo
Per questo sarebbe ottimale, una volta digitalizzato il dato:
Restituire la documentazione
Distruggere i documenti
14. Abbiamo parlato del Dato, delle sue origini… ma queste “origini” hanno tenuto
conto degli adempimenti ?
Non è difficile immaginarsi che ciascuna acquisizione deve avere almeno una sua
informativa e/o consenso. Vediamo nello specifico.
Allora abbiamo detto che i dati sono:
personali particolari giudiziali biometrici genetici
Informativa informativa informativa informativa informativa
consenso consenso consenso consenso
15. Altro elemento determinante degli adempimenti, è poter dimostrare la
tracciabilità.
Cioè il saper giustificare la presenza di un dato all’interno dei tuoi data
base.
E questo perché:
1. Si deve poter rispondere all’interessato sull’origine del dato
2. Per poterlo cancellare ed esercitare così un diritto dell’interessato:
il diritto all’oblio
3. Poterlo modificare
4. Poterlo trasferire ad altri
5. Poter fornire all’interessato elenco dei dati che
lo riguardano
16. E quando alla fine di tutto questo
panegirico, invitiamo
all’adeguamento, questo è quello che
ci viene detto….
17.
18. Quanti di voi lascerebbero la propria attività alla GDF?
Siamo certi che sia solo una perdita di soldi?
Siamo onesti: quante probabilità ci sono di farla franca?
20. Facciamo chiarezza
Il solo fatto di essere a posto con il
trattamento dei Dati, vuol dire essere:
UNA SOCIETA’ CORRETTA
Questo comporta:
Un aumento dei volumi degli affari,
perché chiunque tratta i dati, dovrà
necessariamente interagire SOLO con chi
è in regola!
21. Facciamo chiarezza
Conosci la tua situazione?
Sai quali dati tratta la tua Società,
e soprattutto, sai come e chi li tratta.
Avere piena conoscenza della propria
realtà lavorativa, è il primo passo verso
quella affidability, che è un punto
fondante del Regolamento
Conoscere per essere responsabili e
trasparenti
22. Facciamo chiarezza
Ed i tuoi dati … chi li utilizza?
Dunque ..
Consulente del lavoro per le buste paga
Commercialista per la contabilità
Bene, ma loro sono in regola?
La necessità di agire solo con chi ha
adottato il Regolamento, è basilare!
23. Facciamo chiarezza
Passiamo ad altro: i tuoi uffici vengono
Regolarmente puliti, da un’impresa di
pulizia … quando non c’è nessuno!
Hai mai pensato che in quei momenti,
nessuno può verificare ciò che succede
all’interno della tua società?
Possono essere aperti cassetti, armadi ..
Anche questo è sapere e
responsabilizzare!
24. Noi vi abbiamo illustrato le mille difficoltà
a cui andate incontro a non adeguarvi.
Adesso, sta a voi agire!