2. Il ‘rischio privacy’
Art. 15 Codice Privacy
- trattare dati personali è un’attività pericolosa
Art. 4 Codice Privacy: definizioni di
- dato personale e
- trattamento
Struttura del sistema sanzionatorio
3. Audit interno - I
Censimento di banche dati utilizzate: interne ed
esterne
Verifica dei dati trattati: tipologia e natura
Identificazione dei trattamenti posti in essere: il
principio di finalità
Identificazione dei luoghi in cui i dati sono trattati:
momento statico e dinamico del trattamento
4. Audit interno - II
Ambito di comunicazione dei dati
intra ed extra gruppo
finalità della comunicazione
Esternalizzazione di operazioni di trattamento/di
interi trattamenti
nomina e controllo dei responsabili
Mappatura dei flussi di dati
Regolamentazione dei ruoli privacy dei soggetti
coinvolti
5. Audit interno - III
Verifica di misure e precauzioni adottate
Determinazione del proprio programma privacy
gap analysis
Distribuzione di ruoli e responsabilità privacy
all’interno della struttura aziendale
delega di funzioni
nomina di responsabili e incaricati
il privacy officer
effettività ed efficacia del sistema di deleghe interno
6. Regole per tutti i trattamenti
Art. 11 Codice Privacy – art. 15 Codice Privacy
Principi di liceità e correttezza
Principio di finalità del trattamento
Qualità dei dati
Principio di rilevanza e non eccedenza
Principio di conservazione
7. Area risorse umane - I
Informativa e consenso
candidati
dipendenti - finalità
dati non rilevanti
foto su intranet aziendale, immagini a fini
promozionali
gestione del mancato consenso
Disciplinare tecnico per utilizzo di internet e @
conditio sine qua non
il problema dei consulenti esterni
8. Area risorse umane - II
Videosorveglianza
conservazione e procedure di accesso
richieste di accesso
Dati sensibili e medico aziendale
Due diligence
Training e designazione di incaricati del trattamento
Altri trattamenti a rischio privacy – i familiari,
ricerche di mercato, ecc.
9. Strumenti di marketing in ambito web 3.0
Conversazione virtuale, continua, bidirezionale,
molto personalizzata e device agnostic
Piattaforme IT multifunzionali per vendita,
marketing e comunicazione
geolocalizzazione
behavioural advertising e tracciamento - cookies,
web beacons, etc.
TAF
profilazione
social media, blog, chat, forum, etc.
Coerente integrazione di ambiente online ed offline
10. Flussi informativi in ambito CRM/CEM
Cliente: il nuovo centro gravitazionale
– comprendere i desideri del cliente come vantaggio
competitivo
– il cliente come trend/market setter
– il cliente come best seller
Dal CRM al CEM attraverso la brand experience
11. Soluzioni ‘cloud’
- Determinazione della legge privacy applicabile
- Individuazione del perimetro di dati/banche dati
affidati ai servizi in cloud
- Verifica dei flussi di dati in entrata e in uscita
- Controllo sui dati e sulle persone autorizzate
all’accesso/al trattamento
- Verifica delle misure di sicurezza adottate:
controllo, disponibilità e integrità dei dati
12. Area clienti - I
Titolarità del trattamento in gruppi di imprese
struttura del CRM: centralizzata, decentralizzata,
mista
Individuazione della legge privacy applicabile dai
diversi titolari di trattamento
Regolamentazione della condivisione con terzi
esterni, responsabili o titolari
franchisee, ecc.
department store
Trattamento di eventuali dati sensibili
13. Area clienti - II
Trasferimenti verso paesi terzi
soluzioni coerenti ed efficienti
flussi verso e da paesi terzi
Modalità e criteri di profilazione
data ultimo acquisto
valore acquisti
frequenza acquisti
…
determinazione e aggiornamento dei segmenti
Informativa e consenso; notificazione
14. Area clienti - III
Programmi fedeltà
Coerenza con eventuali iniziative online o mobile
il caso dei social network
Responsabili interni e incaricati
Tempi di conservazione
ultimo contatto?
ultimo acquisto?
data di registrazione sulla banca dati?
…?
15. Area clienti - IV
Strumento tecnico utilizzato
i flag privacy – informativa e consenso sono diversi
a seconda della legge privacy applicabile
esatta gestione delle preferenze espresse
dall’interessato
profili di accesso e autorizzazione – gli incaricati
eventuali banche dati speculari
la BD ‘occulta’
l’accesso come trasferimento di dati all’estero
Bonificare o non bonificare
se sì, come
16. Misure di sicurezza - I
AdS
nomine specifiche
conservazione file di log
verifica dell’attività
Aggiornamento delle misure di sicurezza
a scadenze predeterminate
secondo lo ‘stato dell’arte’
Misure minime di sicurezza per trattamenti cartacei
17. Misure di sicurezza - II
Misure di carattere organizzativo
designazione di incaricati
conservazione password
utilizzo di fax
spedizione di atti contenenti dati
utilizzo di supporti rimovibili
Verifica dell’attività dei responsabili esterni
resoconto periodico del responsabile
audit del titolare
18. Flussi transfrontalieri di dati - I
I paesi terzi
Safe Harbor
Strumenti contrattuali
clausole ad hoc
Clausole Contrattuali Standard – Model Clauses
tra titolari
da titolare a responsabile
Norme vincolandi di impresa (BCR)
Varie esimenti, tra cui il consenso dell’interessato
19. Flussi transfrontalieri di dati - II
Scelta dello strumento legale più adatto al caso
concreto
Identificazione di banche dati e dati coinvolti
Verifica di esatta adozione di altri requisiti di legge
applicabili
Implementazione
Manutenzione
20. Tutela del rischio privacy - I
Ruoli privacy all’interno dell’azenda
distribuzione coerente di obblighi e responsabilità
un centro di coordinamento e supervisione: il privacy
officer
Training degli incaricati del trattamento
verifica ‘sul campo’
evitare e prevenire futuri rischi
proporre possibili soluzioni e azioni correttive
21. Tutela del rischio privacy - II
Approccio olistico
visione di insieme
analisi predittiva
Vademecum in caso di verifica
persone di contatto
documentazione
strumenti tecnici
Definizione e implementazione di un programma
privacy by design
Verifica e aggiornamento costanti