Date post: | 02-May-2015 |
Category: |
Documents |
Upload: | vanna-romagnoli |
View: | 213 times |
Download: | 0 times |
Convegno “il fattore sicurezza”
slide n. 1
La messa a norma per il trattamento dei dati personali (privacy)
Ing. Piero Giagnoni
Milano, 4 dicembre 2001
slide n. 2
Gli Adempimenti Previsti dalla Legge 675/96 e dal D.P.R. N. 318/99
La normativa italiana in materia di privacy è definita dalla Legge 31 dicembre 1996, n. 675 e dal D.P.R. 28 luglio 1999, n. 318.Si riporta di seguito la sintesi degli obblighi a cui è tenuto ogni soggetto (pubblico o privato) che tratti dati personali:
NOMINE: al fine di garantire un’effettiva applicabilità, la legge obbliga/consiglia di individuare precise figure di riferimento indicandone ruoli e responsabilità in materia di privacy.
NOTIFICAZIONE: è l’atto formale consistente in una dichiarazione rivolta all’autorità amministrativa del Garante con cui si rappresenta l’intenzione di dare inizio ad un trattamento di dati personali (L. 675/96, art.7). INFORMATIVA: è l’insieme di informazioni da rendere obbligatoriamente all’interessato, oralmente o per iscritto, prima di procedere alla raccolta dei dati personali e contenente: la descrizione delle specifiche finalità e modalità del trattamento, l’indicazione dell’ambito di comunicazione/ diffusione dei dati, nonché l’elenco dei diritti riconosciuti all’interessato (L. 675/96, art.10).
slide n. 3
COMUNICAZIONE/DIFFUSIONE: sono due modalità di
trattamento dei dati personali che la legge disciplina
con rigore, nell’intento di tutelare non solo l’esigenza
dell’individuo alla riservatezza, ma anche la possibilità
di controllo da parte dell’interessato sulla circolazione
dei propri dati (L. 675/96, art. 20).
DIRITTO DI ACCESSO: è un preciso diritto che la legge
riconosce all’interessato garantendogli la possibilità di
sapere dell’esistenza di dati che lo riguardano e di
chiedere, in forma intellegibile, la comunicazione degli
stessi, nonché dettagliate informazioni relative alle
modalità di trattamento (L. 675/96, art. 13).
Gli Adempimenti Previsti dalla Legge 675/96 e dal D.P.R. N. 318/99
slide n. 4
CONSENSO: salvo nei casi di esclusione previsti dalla legge (es. enti pubblici), il consenso al trattamento dei dati personali sensibili deve essere richiesto espressamente all’interessato dopo avergli fornito l’informativa e comunque prima di procedere alla raccolta dei dati (L. 675/96, artt. 11, 12, 20, 22).
MISURE ADEGUATE DI SICUREZZA: sono definite tali le misure idonee e preventive da adottare al fine di ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito. La scelta di tali misure è vincolata alla considerazione del progresso tecnico raggiunto, della natura dei dati e delle specifiche caratteristiche del trattamento (L. 675/96, art. 15).
MISURE MINIME DI SICUREZZA: si intende l’insieme delle misure tecniche, informatiche, logiche e procedurali atte a garantire il livello minimo di sicurezza comune ad ogni tipo di trattamento effettuato con strumenti sia automatizzati che non automatizzati (D.P.R. n. 318/99).
Gli Adempimenti Previsti dalla Legge 675/96 e dal D.P.R. N. 318/99
slide n. 5
Step Logici della Messa a Norma 675/96
ADEMPIMENTI FORMALI
Individuazione figure/ruoli/
responsabilità
2
Revisione/ redazione modello
di notificazione
5 Diffusione informativa ed
eventuale consenso
6
Gestione consenso e revoca del consenso
7
Misure di sicurezza
8
ADEMPIMENTI TECNICI E ORGANIZZATIVI
Comunicazione e diffusione: procedure
9 10
Diritto di accesso:
procedure
1Mappatura dei processi
aziendali
4Redazione testi delle nomine
Procedure di Manutenzione11
3Approvazione
delle figure/ruoli/
responsabilità
slide n. 6
Step 1: Mappatura dei processi aziendali
Per poter adempiere formalmente e sostanzialmente agli obblighi di legge è opportuno elaborare un micro modello organizzativo a supporto privacy ritagliato sulle specifiche esigenze/caratteristiche dell’azienda.
Con questo intento e partendo dal presupposto che all’interno di ogni processo sia possibile individuare uno o più trattamenti di dati ad esso connessi, il nostro approccio metodologico prevede come primo step logico la mappatura dei processi in azienda. L’obiettivo è individuare quei trattamenti che devono essere disciplinati.
ADEMPIMENTI FORMALI
Individuazionefigure/ruoli/
responsabilità
2
Revisione/redazione modello
di notificazione
5 Diffusioneinformativa ed
eventualeconsenso
6
Gestioneconsenso erevoca delconsenso
7
Misure disicurezza
8
ADEMPIMENTI TECNICI E ORGANIZZATIVI
Comunicazionee diffusione:procedure
9 10
Diritto diaccesso:procedure
1Mappaturadei processi
aziendali
4Redazionetesti dellenomine
Procedure di Manutenzione11
3Approvazione
dellefigure/ruoli/
responsabilità
• mappatura di tutti i processi aziendali
• individuazione dei processi sensibili alla privacy
• individuazione del Process Owner per ogni processo sensibile
• definizione dell’ambito del trattamento dei dati
Mappatura dei processi
aziendali
slide n. 7
Step 2: Individuazione Figure/Ruoli/Responsabilità
• individuazione delle figure obbligatorie ed operative definite sulla base della specificità della singola struttura
• assegnazione dei ruoli e delle responsabilità all’interno dell’organizzazione
Dalla mappatura dei processi e una volta individuati i Process Owner, è possibile individuare le responsabilità e i ruoli di ciascuno nell’ambito del sistema privacy.
ADEMPIMENTI FORMALI
Individuazionefigure/ruoli/
responsabilità
2
Revisione/redazione modello
di notificazione
5 Diffusioneinformativa ed
eventualeconsenso
6
Gestioneconsenso erevoca delconsenso
7
Misure disicurezza
8
ADEMPIMENTI TECNICI E ORGANIZZATIVI
Comunicazionee diffusione:procedure
9 10
Diritto diaccesso:procedure
1Mappaturadei processi
aziendali
4Redazionetesti dellenomine
Procedure di Manutenzione11
3Approvazione
dellefigure/ruoli/
responsabilità
Individuazione figure/ruoli/
responsabilità
slide n. 8
ADEMPIMENTI FORMALI
Revisione/redazione modello
di notificazione
5 Diffusioneinformativa ed
eventualeconsenso
6
Gestioneconsenso erevoca delconsenso
7
Misure disicurezza
8
ADEMPIMENTI TECNICI E ORGANIZZATIVI
Comunicazionee diffusione:procedure
9 10
Diritto diaccesso:procedure
Individuazionefigure/ruoli/
responsabilità
21Mappaturadei processi
aziendali
4Redazionetesti dellenomine
Procedure di Manutenzione11
3Approvazione
dellefigure/ruoli/
responsabilità
Step 3: Approvazione delle Figure/Ruoli Individuati
L’intera struttura aziendale deve necessariamente approvare e condividere:
La creazione di nuovi ruoli e responsabilità.
L’assegnazione dei ruoli e delle responsabilità alle specifiche risorse.
• discussione ed approvazione dei ruoli, delle responsabilità e delle risorse assegnate ai medesimi
Approvazione delle
figure/ruoli/ responsabilità
slide n. 9
Step 4: Redazione Testi delle Nomine
L’obiettivo di questa fase è rendere ufficiali gli incarichi assegnati attraverso:
la redazione dei testi da un punto di vista legale l’accettazione dei compiti affidati alle risorse nominate mediante la
sottoscrizione dei testi medesimi
• redazione legale dei testi necessari
• sottoscrizione dei testi prodotti da parte dei soggetti interessati
L’approvazione dei ruoli, delle responsabilità e delle risorse assegnate deve essere resa formale all’interno dell’azienda attraverso la redazione dei testi di nomina ed incarico, come previsto dai normali meccanismi di delega interni.
Redazione testi delle nomine
ADEMPIMENTI FORMALI
Individuazionefigure/ruoli/
responsabilità
2
Revisione/redazione modello
di notificazione
5 Diffusioneinformativa ed
eventualeconsenso
6
Gestioneconsenso erevoca delconsenso
7
Misure disicurezza
8
ADEMPIMENTI TECNICI E ORGANIZZATIVI
Comunicazionee diffusione:procedure
9 10
Diritto diaccesso:procedure
1Mappaturadei processi
aziendali
4Redazionetesti dellenomine
Procedure di Manutenzione11
3Approvazione
dellefigure/ruoli/
responsabilità
slide n. 10
Step 5: revisione/redazione del modello di notifica
• redazione/revisione del modello di notificazione
• invio della notificazione al Garante
La notificazione al Garante è atto formale essenziale per la messa a norma; tra i contenuti fondamentali della notifica è necessario che compaiano i nominativi dei responsabili individuati (vd. step 4).
Per procedere ad una corretta notificazione è pertanto necessario:
Redigere o revisionare - nel caso in cui già effettuata - i contenuti della notificazione sulla base delle nomine redatte e sottoscritte.
Inviare il modello di notificazione all’autorità amministrativa del Garante.
Revisione/ redazione modello
di notificazione
ADEMPIMENTI FORMALI
Individuazionefigure/ruoli/
responsabilità
2
Revisione/redazione modello
di notificazione
5 Diffusioneinformativa ed
eventualeconsenso
6
Gestioneconsenso erevoca delconsenso
7
Misure disicurezza
8
ADEMPIMENTI TECNICI E ORGANIZZATIVI
Comunicazionee diffusione:procedure
9 10
Diritto diaccesso:procedure
1Mappaturadei processi
aziendali
4Redazionetesti dellenomine
Procedure di Manutenzione11
3Approvazione
dellefigure/ruoli/
responsabilità
slide n. 11
Step 6: Redazione Informativa ed Eventuale Consenso
L’informativa è un atto formale obbligatorio che deve essere necessariamente resa all’interessato; in questo step si deve procedere a:
Decidere se effettuarla oralmente o per iscritto in funzione delle esigenze organizzative della specifica struttura.
Qualora l’informativa dovesse essere resa in forma scritta, si deve definirne il testo dal punto di vista legale in considerazione delle finalità e modalità dei trattamenti.
Il consenso, salvo i casi di esclusione, deve essere richiesto necessariamente; in questo step si deve procedere a:
Decidere la necessità o meno della richiesta di consenso in funzione del tipologia di ente titolare del trattamento di dati gestiti (ente pubblico o privato).
Definire il testo del modulo di consenso in funzione delle esigenze/caratteristiche della singola struttura.
• definizione dei contenuti dell’informativa e relativa redazione legale del testo
• definizione e redazione dell’eventuale modulo di consenso
Diffusione informativa ed
eventuale consenso
ADEMPIMENTI FORMALI
Individuazionefigure/ruoli/
responsabilità
2
Revisione/redazione modello
di notificazione
5 Diffusioneinformativa ed
eventualeconsenso
6
Gestioneconsenso erevoca delconsenso
7
Misure disicurezza
8
ADEMPIMENTI TECNICI E ORGANIZZATIVI
Comunicazionee diffusione:procedure
9 10
Diritto diaccesso:procedure
1Mappaturadei processi
aziendali
4Redazionetesti dellenomine
Procedure di Manutenzione11
3Approvazione
dellefigure/ruoli/
responsabilità
slide n. 12
Step 7: Gestione Consenso e Revoca
Per la tutela dei diritti dell’interessato la legge prevede non solo che l’organizzazione richieda il consenso, ma anche e soprattutto che sia in grado di gestire operativamente lo stesso. La gestione implica fondamentalmente che:
La struttura sappia in qualunque momento quali dati le è consentito trattare (consenso)
La struttura sappia in qualunque momento quali dati non le è più consentito trattare (revoca consenso)
• definizione procedure per la gestione/revoca del consenso
Gestione consenso e revoca del consenso
ADEMPIMENTI FORMALI
Individuazionefigure/ruoli/
responsabilità
2
Revisione/redazione modello
di notificazione
5 Diffusioneinformativa ed
eventualeconsenso
6
Gestioneconsenso erevoca delconsenso
7
Misure disicurezza
8
ADEMPIMENTI TECNICI E ORGANIZZATIVI
Comunicazionee diffusione:procedure
9 10
Diritto diaccesso:procedure
1Mappaturadei processi
aziendali
4Redazionetesti dellenomine
Procedure di Manutenzione11
3Approvazione
dellefigure/ruoli/
responsabilità
slide n. 13
Step 8: Misure di Sicurezza
Le misure di sicurezza (minime ed adeguate) riguardano l’insieme dei comportamenti da attivare al fine di garantire la sicurezza dei dati detenuti dall’organizzazione in merito a:
protezione dei dati correttezza dei dati pertinenza dei dati e non eccedenza degli stessi rispetto alle
finalità della raccolta
L’implicazione organizzativa di tale norma prevede pertanto che in questo step si regolamentino mediante la definizione di regole/procedure:
la gestione degli archivi cartacei la gestione degli archivi informatici i comportamenti delle figure nominate rispetto alla
conservazione dei dati
• definizione procedure per l’applicazione delle misure minime di sicurezza
• definizione procedure per l’applicazione delle misure adeguate di sicurezza
Misure di sicurezza
ADEMPIMENTI FORMALI
Individuazionefigure/ruoli/
responsabilità
2
Revisione/redazione modello
di notificazione
5 Diffusioneinformativa ed
eventualeconsenso
6
Gestioneconsenso erevoca delconsenso
7
Misure disicurezza
8
ADEMPIMENTI TECNICI E ORGANIZZATIVI
Comunicazionee diffusione:procedure
9 10
Diritto diaccesso:procedure
1Mappaturadei processi
aziendali
4Redazionetesti dellenomine
Procedure di Manutenzione11
3Approvazione
dellefigure/ruoli/
responsabilità
slide n. 14
Step 9: Comunicazione e Diffusione: Procedure
Al fine di gestire la comunicazione/diffusione dei dati personali è necessario:
Sulla base dell’ambito/modalità di comunicazione dei dati rilevati nello step 1, stabilire le procedure atte a regolare la comunicazione dei dati.
Sulla base dell’ambito/modalità di diffusione dei dati rilevati nello step 1, stabilire le procedure atte a regolare la diffusione dei dati.
• definizione procedure per disciplinare la comunicazione dei dati
• definizione procedure per disciplinare la diffusione dei dati
Comunicazione e diffusione: procedure
ADEMPIMENTI FORMALI
Individuazionefigure/ruoli/
responsabilità
2
Revisione/redazione modello
di notificazione
5 Diffusioneinformativa ed
eventualeconsenso
6
Gestioneconsenso erevoca delconsenso
7
Misure disicurezza
8
ADEMPIMENTI TECNICI E ORGANIZZATIVI
Comunicazionee diffusione:procedure
9 10
Diritto diaccesso:procedure
1Mappaturadei processi
aziendali
4Redazionetesti dellenomine
Procedure di Manutenzione11
3Approvazione
dellefigure/ruoli/
responsabilità
slide n. 15
Step 10: Diritto di Accesso: Procedure
Per gestire operativamente il diritto di accesso occorre:
Sulla base delle esigenze organizzative della singola struttura e delle norme prescritte dalla legge, definire le procedure atte a gestire il diritto di accesso.
• definizione procedure per la gestione del diritto di accesso
Comunicazione e diffusione: procedure
ADEMPIMENTI FORMALI
Individuazionefigure/ruoli/
responsabilità
2
Revisione/redazione modello
di notificazione
5 Diffusioneinformativa ed
eventualeconsenso
6
Gestioneconsenso erevoca delconsenso
7
Misure disicurezza
8
ADEMPIMENTI TECNICI E ORGANIZZATIVI
Comunicazionee diffusione:procedure
9 10
Diritto diaccesso:procedure
1Mappaturadei processi
aziendali
4Redazionetesti dellenomine
Procedure di Manutenzione11
3Approvazione
dellefigure/ruoli/
responsabilità
slide n. 16
Step 11: Procedure di Manutenzione
Il sistema può essere costantemente manutenuto prevedendo apposite procedure che regolamentino a priori le eventuali variazioni di dati/archivi/dipendenti ecc.
A fronte di tali variazioni è possibile indicare i passi e le modalità di revisione di tutte o di alcune delle fasi descritte.
Procedure di Manutenzione
ADEMPIMENTI FORMALI
Individuazionefigure/ruoli/
responsabilità
2
Revisione/redazione modello
di notificazione
5 Diffusioneinformativa ed
eventualeconsenso
6
Gestioneconsenso erevoca delconsenso
7
Misure disicurezza
8
ADEMPIMENTI TECNICI E ORGANIZZATIVI
Comunicazionee diffusione:procedure
9 10
Diritto diaccesso:procedure
1Mappaturadei processi
aziendali
4Redazionetesti dellenomine
Procedure di Manutenzione11
3Approvazione
dellefigure/ruoli/
responsabilità
slide n. 17
Conclusioni
L’applicazione della nostra metodologia consente di: raggiungere la messa a norma per le disposizioni sui trattamenti di
dati personali senza stravolgimenti all’organizzazione preesistente, che d’altronde le norme non impongono;
creare (o confermare) nei team operativi la “cultura della sicurezza” come background indispensabile per il recepimento delle POLITICHE DI SICUREZZA aziendali e l’attivazione consapevole delle procedure conseguenti;
operare sinergie con altri interventi consulenziali in atto, riguardanti aspetti di riorganizzazione aziendale o sicurezza dei sistemi IT;
fornire servizi per conto terzi sui trattamenti automatizzati e non automatizzati dei dati personali comuni e sensibili, con la sicurezza, per il committente, di essere pienamente rispondente alle norme vigenti, anche per quanto riguarda le misure adeguate di sicurezza a protezione degli stessi.