“PRIVACY:SEMPLIFICAZIONI E ADEMPIMENTI.UN’OPPORTUNITÀ PER LE AZIENDE”

1. Particolarità di alcuni trattamenti:
Videosorveglianza, Marketing, Mobile Device
Dott. Daniele Gombi

2. 
La protezione dei
dati nell’era del
mobile device:
rischi e opportunità
nell’uso di tablet e
smartphone

3. Senza Parole

4. Il perimetro di riferimento

5. ALCUNI DATI
20.000.000 smartphone stimati in Italia
+52% Rispetto al 2010
77% utenti che li usano in ambito aziendale
[Fonte IPSOS Media ICT 2011]
142,7 (4,3%) smartphone persi o rubati
di cui 57% non protetti
di cui 60% contenenti dati critici
[Fonte Ponemon Institute, 2011 su campione di 439 società U.S.A.
in 12 mesi ]

6. 

7. 

8. (Nonostante l’elevato tasso di introduzione sul mercato dei device mobili, solo
una minima parte delle aziende ne sta supportando ufficialmente l’uso
< 20%)
2.Eterogeneità delle caratteristiche tecnologiche
3.Vulnerabilità tecniche
4.Comportamenti non idonei e non consapevolezza
5.BYOD – promiscuità dei dati personali e aziendali
6.Difficoltà di controllo su utilizzo e raccolta dati
(fotocamera)
7.Elevata probabilità di furto o perdita
8.Mancanza di preliminare analisi dei rischi
9.Mancanza di procedure di incident handling
10.Non analisi dei trattamenti effettuati
11.Non applicazione delle misure minime di sicurezza

9. Ma anche
11. Potenziale geolocalizzazione

11. • Presenza di una password di accesso “forte”
• Autenticazione e gestione credenziali
• Blocco dopo un periodo di inattività
• Remote Wipe (corporate content wipe o total wipe)
• Cifratura della memoria (interna ed esterna)
• Aggiornamento periodico strumenti
• Monitoraggio della manipolazioni dei dati sul dispositivo
• Firewall ed Antivirus
• VPN di accesso alle risorse aziendali
• Archiviazione e backup dei dati
• Separazione dei dati aziendali dai dati personali

12. Dismissione dispositivi mobili (sim, schede di memoria interne e
removibili) – Provvedimento 13 ottobre 2008
Accesso promiscuo alla e-mail aziendale e personale – Linee Guida
01 marzo 2007
Piattaforme centralizzate di gestione dei dispositivi mobili –
Provvedimento AdS 27 novembre 2008
Geolocalizzazione, utilizzo ibrido – Statuto dei lavoratori
Modello di organizzazione idoneo e rischi connessi ai dispositivi
mobili, reati informatici in ambito “mobile” – D.Lgs 231/2001

13. Marketing
Per le iniziative di marketing,
a condizione che i dati siano tratti da fonti
diverse dagli elenchi telefonici o raccolti
direttamente dal soggetto,
la persona giuridica, ente o associazione
non sono più “interessati” e, quindi, il
Codice Privacy non è applicabile.

14. Marketing
Se le attività di marketing (telefonico e postale) sono, invece,
eseguite attingendo i dati dagli elenchi telefonici, la
persona giuridica, ente o associazione sono da considerarsi
“abbonati” e, dunque, nuovamente è applicabile l’attuale
testo normativo in materia di privacy. Vige il regime
basato sul Registro Pubblico delle Opposizioni e la relativa
iscrizione e procedure annesse (si ricorda, ancora da
attuare per quanto attiene il marketing postale). Infatti, gli
articoli del Codice Privacy che regolano questa materia
esplicitamente si riferiscono non agli “interessati”, bensì
agli “abbonati” e nulla nei loro confronti è cambiato

15. Marketing
Art. 130 sulle “comunicazioni indesiderate” che
disciplinano il marketing telefonico senza operatore,
via e-mail, via Sms e Mms: si parla di “interessati” (e
non di “abbonati”)
Non essendo più considerati “interessati”, la persona
giuridica, ente o associazione potrebbero essere
lecitamente usati per fini di invio di e-mail
pubblicitarie, Sms promozionali, telefonate di
carattere commerciale senza che sia necessario
rendere l’informativa e ottenere il consenso ?

16. Marketing
Provvedimento del garante
Titolarità del trattamento di dati personali in capo
ai soggetti che si avvalgono di agenti per attività
promozionali - 15 giugno 2011 (Pubblicato sulla
Gazzetta Ufficiale n. 153 del 4 luglio 2011) ed entrato in
vigore il 30/11/2011
Agenti responsabili del trattamento

17. Videosorveglianza
D.Lgs. 196/2003 Codice in materia di protezione dei dati personali
Provvedimento 8 Aprile 2010
Legge 300/1970 art.4 – Statuto dei lavoratori
Interferenze illecite nella vita privata (615bis c.p.)
Normative Speciali

18. Videosorveglianza
se l’impianto viene installato in un luogo di lavoro e le telecamere riprendono
anche luoghi nei quali si trovano o transitano i dipendenti, occorre stipulare
un accordo con la rappresentanza sindacale aziendale dei lavoratori (e
non con i singoli lavoratori!). Se manca la rappresentanza sindacale è
necessario ottenere dalla competente Direzione Provinciale del Lavoro
l’autorizzazione all’installazione dell’impianto, avanzando un’apposita istanza
preventiva all’installazione.
occorre verificare l’angolo di visuale delle riprese che deve essere sempre
limitato ai soli spazi di propria esclusiva pertinenza.
Le telecamere devono essere segnalate con un apposito cartello di avviso
(di tipo conforme a quello predisposto dal Garante per la privacy) collocato
nelle vicinanze di ciascuna di esse, indicante chi è il “titolare del trattamento”
(cioè il proprietario dell’impianto.) Il cartello informativo deve essere ben
visibile anche di notte. Occorre predisporre anche informativa completa.

19. Videosorveglianza
Le misure prescritte dal Provv. gen. dell’8 aprile 2010 del Garante devono
essere osservate da tutti i titolari di trattamento dei dati, altrimenti il
trattamento dei dati (la videoripresa e/o videoregistrazione) è illecito
o non corretto a seconda dei casi, ed espone:
- all’inutilizzabilità dei dati personali trattati in violazione (art. 11
comma 2 del Codice);
- all’adozione di provvedimenti di blocco o di divieto del trattamento
disposti dal Garante (art. 143. comma 1, lettera c) del Codice);
- all’applicazione delle pertinenti sanzioni amministrative o penali
(artt. 161 segg. del Codice).

20. Videosorveglianza
prima di installare l’impianto di videosorveglianza bisogna
fare un’analisi preliminare, per valutare se la sua
utilizzazione sia realmente proporzionata agli scopi
perseguiti o se non sia invece superflua. Le ragioni delle
scelte di rilevazione e di eventuale conservazione
delle immagini devono essere adeguatamente
documentate in un atto autonomo conservato presso il
titolare e il responsabile del trattamento, anche ai fini
della eventuale esibizione in occasione di visite ispettive

21. Videosorveglianza
AllegatoB – Punto 25
Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria
struttura, per provvedere alla esecuzione riceve dall'installatore una descrizione
scritta dell'intervento effettuato che ne attesta la conformità alle disposizioni del
presente disciplinare tecnico.
Art. 162. Altre fattispecie
…2-bis.(3) In caso di trattamento di dati personali effettuato in violazione delle misure
indicate nell'articolo 33 o delle disposizioni indicate nell'articolo 167 è altresì applicata
in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma
da diecimila euro a centoventimila euro. Nei casi di cui all'articolo 33 è escluso il
pagamento in misura ridotta.
Art. 169. Misure di sicurezza
1. Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall'articolo 33
è punito con l'arresto sino a due anni.

22. Videosorveglianza
Il Garante nel suo provvedimento non specifica quali debbano essere le
misure di sicurezza che il titolare deve adottare, ma nel punto 3.3
fornisce sei principi che le misure devono rispettare:
a) in presenza di differenti competenze specificatamente attribuite ai
singoli operatori devono essere configurati diversi livelli di visibilità e
trattamento delle immagini e, dove tecnicamente possibile, i soggetti
designati incaricati o responsabili del trattamento devono avere
credenziali di autenticazione che permettano di effettuare, a seconda
dei compiti attribuiti ad ognuno, unicamente le operazioni di propria
competenza;
b) quando i sistemi siano configurati per la registrazione e successiva
conservazione delle immagini rilevate, deve essere limitata la
possibilità, per i soggetti abilitati, di visionare in tempo differito le
immagini registrate e di effettuare cancellazioni o duplicazioni;
c) devono essere predisposte misure tecniche od organizzative per la
cancellazione, anche automatica, delle registrazioni, allo scadere del
termine previsto (di norma 24 ore);

23. Videosorveglianza
d) nel caso di interventi di manutenzione i soggetti preposti
possono accedere alle immagini solo se è indispensabile per
fare eventuali verifiche tecniche e solo in presenza dei soggetti
dotati di credenziali di autenticazione abilitanti alla visione
delle immagini;
e) se si utilizzino apparati di ripresa digitali connessi a reti
informatiche, gli apparati medesimi devono essere protetti
contro i rischi di accesso abusivo di cui all’art. 615-ter c.p.;
Art. 615 ter
Chiunque abusivamente si introduce in un sistema informatico o telematico
protetto da misure di sicurezza ovvero vi si mantiene contro la volonta’
espressa o tacita di chi ha il diritto di escluderlo, e’ punito con la
reclusione fino a tre anni.
f) la trasmissione tramite una rete pubblica di comunicazioni di
immagini riprese da apparati di videosorveglianza deve essere
crittografata per garantire la riservatezza e lo stesso vale per la
trasmissione di immagini da punti di ripresa dotati di
connessioni wireless.

24. Affidati a competenze certificate
Daniele Gombi
gombi@polaris.it