GDPR Linee guida e informazione ai dipendenti - Giugno 2018 - Lirenas
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Giugno 2018 GDPR Linee guida e informazione ai dipendenti
INDICE 03. Premessa, introduzione e definizioni 09. Figure previste dal Regolamento 16. Principi e diritti previsti dal Regolamento 23. Linee guida 28. Data Breach 30. Sicurezza dei dati This document is property of Ecloga Italia S.p.A. and is strictly confidential. It may not be reproduced, redistributed, passed on, published, disclosed, in whole or in part, to any third party without the prior written consent of Ecloga Italia S.p.A. 2
PREMESSA Introduzione e definizioni
COSA E’ IL GDPR? Il GDPR o General Data Protection Regulation è il nuovo un regolamento europeo relativo alla protezione dei dati personali. Il GDPR coinvolge tutte le aziende che trattano dati personali di soggetti risiedenti nell’Unione Europea (indipendentemente dalla loro localizzazione geografica). This document is property of Ecloga Italia S.p.A. and is strictly confidential. It may not be reproduced, redistributed, passed on, published, disclosed, in whole or in part, to any third party without the prior written consent of Ecloga Italia S.p.A. 4
IL REGOLAMENTO EUROPEO (GDPR -GENERAL DATA PROTECTION REGULATION) Il 4 Maggio 2016 venivano pubblicati sulla Gazzetta Ufficiale dell’Unione Europea i testi del Regolamento europeo 2016/679 sulla protezione dei dati personali e della Direttiva (UE) 2016/680 sui trattamenti di dati personali nei settori di prevenzione, contrasto e repressione dei crimini. La Direttiva è entrata ufficialmente in vigore il 5 maggio 2016, mentre il Regolamento, in vigore dal 24 maggio 2016, sarà applicabile in tutti gli Stati membri dal 25 maggio 2018. Il Regolamento stabilisce nuove regole per il trattamento dei Dati Personali all’interno della Comunità Europea e per il loro trasferimento al di fuori dei confini UE. This document is property of Ecloga Italia S.p.A. and is strictly confidential. It may not be reproduced, redistributed, passed on, published, disclosed, in whole or in part, to any third party without the prior written consent of Ecloga Italia S.p.A. 5
TIPOLOGIA DI DATI TRATTATI DATI PERSONALI E’ definita ”dato personale” qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale; Qualunque dato e/o informazione attinente a un lavoratore, nonché qualunque valutazione riferibile al suo comportamento, in costanza di rapporto lavorativo, è compresa nella nozione di “dato personale” This document is property of Ecloga Italia S.p.A. and is strictly confidential. It may not be reproduced, redistributed, passed on, published, disclosed, in whole or in part, to any third party without the prior written consent of Ecloga Italia S.p.A. 6
TIPOLOGIA DI DATI TRATTATI Categorie particolari di dati personal (Ex. DATI SENSIBILI) Sono dati "sensibili", quelli che possono rivelare l'origine razziale o etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l'appartenenza sindacale, relativi alla salute, alla vita o all'orientamento sessuale, dati genetici e dati biometrici. This document is property of Ecloga Italia S.p.A. and is strictly confidential. It may not be reproduced, redistributed, passed on, published, disclosed, in whole or in part, to any third party without the prior written consent of Ecloga Italia S.p.A. 7
TIPOLOGIA DI DATI TRATTATI Dati personali relativi a condanne penali e reati (DATI GIUDIZIARI) Sono dati “giudiziari" quelli che possono rivelare l'esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (ad esempio, i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione) o la qualità di imputato o di indagato. This document is property of Ecloga Italia S.p.A. and is strictly confidential. It may not be reproduced, redistributed, passed on, published, disclosed, in whole or in part, to any third party without the prior written consent of Ecloga Italia S.p.A. 8
FIGURE PREVISTE Ruoli, obblighi e responsabilità
PRINCIPI DEL REGOLAMENTO IL TITOLARE DEL TRATTAMENTO E’ la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che determina le finalità e i mezzi del trattamento di dati personali. Il titolare mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento; Le misure implementate comprendono l’attuazione di politiche adeguate in materia di protezione dei dati da parte del titolare del trattamento; Il titolare attua la progettazione dei dati “by design” e “by default”, ovvero tiene in considerazione la privacy direttamente nel momento in cui inizia un nuovo trattamento o introduce una nuova tecnologia. This document is property of Ecloga Italia S.p.A. and is strictly confidential. It may not be reproduced, redistributed, passed on, published, disclosed, in whole or in part, to any third party without the prior written consent of Ecloga Italia S.p.A. 10
PRINCIPI DEL REGOLAMENTO
IL RESPONSABILE DEL TRATTAMENTO
E’ la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali
per conto del titolare del trattamento.
Deve possedere attitudini necessarie per mettere in atto misure tecniche e organizzative adeguate
conformi ai requisiti del regolamento, al fine di garantire la tutela dei diritti dell’interessato;
I trattamenti del responsabile del trattamento sono disciplinati da un contratto, che vincoli il responsabile
del trattamento al titolare, e che preveda tra l’altro quanto segue:
➢ l’obbligo di trattare i dati su istruzione documentata del titolare del trattamento;
➢ la garanzia del responsabile che le persone autorizzate al trattamento dei dati personali si impegnano
alla riservatezza;
➢ l’adozione delle misure di sicurezza richieste dall’articolo 32;
➢ l’impegno del responsabile ad assistere il titolare del trattamento, con misure tecniche e organizzative
adeguate, al fine di dare seguito alle richieste per l’esercizio dei diritti dell’interessato.
This document is property of Ecloga Italia S.p.A. and is strictly confidential.
It may not be reproduced, redistributed, passed on, published, disclosed, in whole or in part, to any third party without the prior written consent of Ecloga Italia S.p.A. 11PRINCIPI DEL REGOLAMENTO INCARICATO DEL TRATTAMENTO Figura già prevista dal Codice Privacy (D.Lgs. 196/2003), è "la persona fisica autorizzata a compiere le operazioni di trattamento dal titolare o dal responsabile". L’Incaricato al trattamento è istruito e nominato dal Titolare o dal Responsabile del Trattamento. This document is property of Ecloga Italia S.p.A. and is strictly confidential. It may not be reproduced, redistributed, passed on, published, disclosed, in whole or in part, to any third party without the prior written consent of Ecloga Italia S.p.A. 12
PRINCIPI DEL REGOLAMENTO AMMINISTRATORE DI SISTEMA Si occupa della gestione della rete informatica, dei sistemi e delle basi dati ed implementa i sistemi di sicurezza definendo le procedure di autenticazione alla rete e di autorizzazione all’accesso ai dati da parte degli utenti. Si tratta di una figura finalizzata alla gestione e alla manutenzione di impianti di elaborazione o di loro componenti, ma sono incluse nella categoria altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di reti e di apparati di sicurezza, nonché gli amministratori di sistemi software complessi. This document is property of Ecloga Italia S.p.A. and is strictly confidential. It may not be reproduced, redistributed, passed on, published, disclosed, in whole or in part, to any third party without the prior written consent of Ecloga Italia S.p.A. 13
PRINCIPI DEL REGOLAMENTO DATA PROTECTION OFFICER - DPO Si tratta di un professionista che deve avere un ruolo aziendale (interno o esterno) con competenze giuridiche, informatiche, di risk management e di analisi dei processi. Le esponsabilità principali del DPO consistono nell’osservare, valutare e organizzare la gestione del trattamento e quindi la protezione dei dati personali all’interno di un’azienda (pubblica o privata), affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali. This document is property of Ecloga Italia S.p.A. and is strictly confidential. It may not be reproduced, redistributed, passed on, published, disclosed, in whole or in part, to any third party without the prior written consent of Ecloga Italia S.p.A. 14
PRINCIPI DEL REGOLAMENTO QUANDO RISULTA NECESSARIO NOMINARE UN DPO? ➢ quando il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico (eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali); ➢ quando le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; ➢ quando le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali e a reati. This document is property of Ecloga Italia S.p.A. and is strictly confidential. It may not be reproduced, redistributed, passed on, published, disclosed, in whole or in part, to any third party without the prior written consent of Ecloga Italia S.p.A. 15
PRINCIPI DEL REGOLAMENTO Principi e diritti dell’interessato
PRINCIPI DEL REGOLAMENTO PRINCIPIO DI TRASPARENZA I dati personali devono essere trattati in conformità al principio di trasparenza. Le informazioni che riguardano il trattamento dei dati personali devono essere concise, accessibili e di immediata comprensione, con l’utilizzo di un linguaggio semplice e chiaro. This document is property of Ecloga Italia S.p.A. and is strictly confidential. It may not be reproduced, redistributed, passed on, published, disclosed, in whole or in part, to any third party without the prior written consent of Ecloga Italia S.p.A. 17
PRINCIPI DEL REGOLAMENTO PRINCIPIO DI ACCOUNTABILITY = RESPONSABILIZAZIONE Il titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è stato effettuato conformemente al Regolamento. This document is property of Ecloga Italia S.p.A. and is strictly confidential. It may not be reproduced, redistributed, passed on, published, disclosed, in whole or in part, to any third party without the prior written consent of Ecloga Italia S.p.A. 18
DIRITTI DELL’INTERESSATO DIRITTO DI ACCESSO Diritto dell’interessato di richiedere e ottenere dal titolare del trattamento, la conferma che sia in corso un trattamento di dati personali che lo riguardano; La tutela riguarda anche le informazioni raccolte in occasione dell’assunzione e gestione del rapporto lavorativo (dati sanitari, affiliazioni sindacali, dati giudiziari etc.), le informazioni lasciate durante le navigazioni sul “web”, le informazioni connesse all’uso delle mail, nonché le informazioni salvate in profili personali dei social network e riferibili al dipendente (es.: facebook; twitter; instagram; linkedin). This document is property of Ecloga Italia S.p.A. and is strictly confidential. It may not be reproduced, redistributed, passed on, published, disclosed, in whole or in part, to any third party without the prior written consent of Ecloga Italia S.p.A. 19
DIRITTI DELL’INTERESSATO DIRITTO ALL’OBLIO Il diritto alla cancellazione dei dati personali di un interessato, allorché essi non siano più necessari, o quando lo richieda l’interessato stesso. NB: La cancellazione deve avvenire in tutti i supporti che vengono utilizzati dal trattamento (vedi backup) ed è necessario avere evidenza e conferma di ciò. This document is property of Ecloga Italia S.p.A. and is strictly confidential. It may not be reproduced, redistributed, passed on, published, disclosed, in whole or in part, to any third party without the prior written consent of Ecloga Italia S.p.A. 20
DIRITTI DELL’INTERESSATO DIRITTO DI CANCELLAZIONE E CONSERVAZIONE DEI DATI Nel caso di richiesta dell’interessato di cancellazione dei dati personali che lo riguardano, il titolare deve provvedere senza ingiustificato ritardo e non oltre un mese dalla richiesta. Il titolare deve valutare la liceità della richiesta sulla base delle casistiche previste dal regolamento e tenendo in considerazione gli altri fondamenti che richiedono il mantenimento del dato (es. adempimento di obblighi di legge, gestione dei diritti in sede giudiziaria, ecc.). This document is property of Ecloga Italia S.p.A. and is strictly confidential. It may not be reproduced, redistributed, passed on, published, disclosed, in whole or in part, to any third party without the prior written consent of Ecloga Italia S.p.A. 21
DIRITTI DELL’INTERESSATO DIRITTO ALLA PORTABILITÀ DEI DATI Tale diritto consente all’interessato di ricevere i dati personali forniti a un titolare del trattamento, in un formato strutturato, di uso comune e leggibile da dispositivo automatico, e di trasmetterli a un altro titolare del trattamento senza impedimenti.Tale conservazione può avvenire su un supporto personale o su un cloud privato, senza necessariamente la trasmissione dei dati a un altro titolare del trattamento. L’esercizio del diritto alla portabilità dei dati non pregiudica nessuno degli altri diritti dell’interessato. La portabilità dei dati comprende il diritto di trasmettere direttamente, se tecnicamente fattibile, i dati personali da un titolare del trattamento ad un altro titolare (es. nel caso di fornitori di servizi). Il GDPR non obbliga il titolare a sviluppare sistemi compatibili, tuttavia vieta di creare ostacoli alla trasmissione dei dati. This document is property of Ecloga Italia S.p.A. and is strictly confidential. It may not be reproduced, redistributed, passed on, published, disclosed, in whole or in part, to any third party without the prior written consent of Ecloga Italia S.p.A. 22
LINEE GUIDA Privacy by Design e privacy by default
LINEE GUIDA La pianificazione di una nuova iniziativa, sin dalla sua progettazione, deve porre al centro la persona, ed essere quindi ideata secondo un approccio “privacy oriented”, volto a valutare se ciò che si sta progettando avrà un impatto sui dati personali, e quindi la tutela degli stessi dati deve costituire un elemento primario del progetto. Ogni progetto ad impatto privacy deve nascere ed essere costruito nel rispetto della disciplina di protezione dei dati personali (privacy by design). Ogni titolare o responsabile deve effettuare il trattamento dei soli dati personali degli interessati nella misura e per il tempo necessari a raggiungere le finalità del trattamento, implementando le misure tecniche idonee a proteggere i dati personali degli interessati (privacy by default). This document is property of Ecloga Italia S.p.A. and is strictly confidential. It may not be reproduced, redistributed, passed on, published, disclosed, in whole or in part, to any third party without the prior written consent of Ecloga Italia S.p.A. 24
LINEE GUIDA LE MISURE DI SICUREZZA La nuova policy prevista dal Regolamento è di implementare misure non più minime, bensì idonee, adeguate ed opportune, al fine di commisurare la struttura tecnico-organizzativa alla tipologia di trattamento, alla natura del dato ed al livello di rischio (accountability). Per l’implementazione delle misure di sicurezza è necessario tenere conto dello stato dell’arte, dei costi di attuazione, della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di probabilità e gravità per i diritti e le libertà delle persone fisiche. This document is property of Ecloga Italia S.p.A. and is strictly confidential. It may not be reproduced, redistributed, passed on, published, disclosed, in whole or in part, to any third party without the prior written consent of Ecloga Italia S.p.A. 25
LINEE GUIDA Alcune misure che possiamo attivare se necessarie: ➢ pseudonimizzazione e cifratura dei dati personali; ➢ capacità di assicurare la riservatezza, l’integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali; ➢ capacità di ripristinare la disponibilità e l’accesso ai dati personali in caso di incidente fisico o tecnico; ➢ procedura per testare, verificare e valutare l’efficacia delle misure tecniche e organizzative per garantire la sicurezza del trattamento; ➢ Distruzione sicura dei dati obsoleti o cessati; This document is property of Ecloga Italia S.p.A. and is strictly confidential. It may not be reproduced, redistributed, passed on, published, disclosed, in whole or in part, to any third party without the prior written consent of Ecloga Italia S.p.A. 26
LINEE GUIDA Nel progettare e realizzare un trattamento teniamo quindi a mente queste poche ed importanti linee guida: ➢ Il trattamento dei dati deve essere corretto, lecito e trasparente; ➢ Il consenso, se necessario al trattamento, deve essere esplicito, libero, informato per ciascuna finalità; ➢ I dati devono essere raccolti per scopi determinati, legittimi e trattati in modo compatibile con tali scopi. Non è quindi possibile detenere dati se non c’è giustificabile motivo; ➢ I dati devono essere ridotti al minimo e quindi pertinenti e limitati a quanto necessario; ➢ I dati devono essere esatti, aggiornati e tempestivamente cancellati quando non più necessari; ➢ E’ necessario garantire adeguata sicurezza dei dati personali, compresa la protezione mediante misure tecniche e organizzative adeguate, dalla perdita, dal danno o dalla pubblicazione accidentale nonché da trattamenti illeciti o non autorizzati. This document is property of Ecloga Italia S.p.A. and is strictly confidential. It may not be reproduced, redistributed, passed on, published, disclosed, in whole or in part, to any third party without the prior written consent of Ecloga Italia S.p.A. 27
DATA BREACH Cos’è e cosa fare se dovesse accadere
DATA BREACH Cosa fare se il nostro trattamento viene “attaccato” e i dati personali acquisiti da non autorizzati? ➢ Obbligo di notifica e comunicazione del titolare all’Autorità di controllo, in presenza di violazioni di dati personali che possano compromettere le libertà e i diritti dei soggetti interessati, salvo che sia improbabile la suddetta compromissione entro 72 ore dal momento in cui ne è venuto a conoscenza. ➢ Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all'interessato senza ingiustificato ritardo. ➢ Tutti i titolari di trattamento dovranno in ogni caso documentare le violazioni di dati personali subite, anche se non notificate all’Autorità di controllo e non comunicate agli interessati, nonché le relative circostanze e conseguenze e i provvedimenti adottati. This document is property of Ecloga Italia S.p.A. and is strictly confidential. It may not be reproduced, redistributed, passed on, published, disclosed, in whole or in part, to any third party without the prior written consent of Ecloga Italia S.p.A. 29
SICUREZZA L’importanza della prevenzione e le misure da adottare
MISURE DA ADOTTARE Le misure da adottare per rendersi conformi al nuovo GDPR prevedono non solo obblighi e adempimenti da parte del titolare, ma anche una maggiore consapevolezza e buona condotta degli incaricati. Le possiamo suddividere in: ➢ misure tecniche di sicurezza e procedure di gestione software e hardware ➢ formazione del personale autorizzato al trattamento dei dati personali (codice di condotta aziendale) ➢ documentazione di ogni operazione intrapresa e dei controlli effettuati ➢ gestione e protezione dei dati dei siti del titolare This document is property of Ecloga Italia S.p.A. and is strictly confidential. It may not be reproduced, redistributed, passed on, published, disclosed, in whole or in part, to any third party without the prior written consent of Ecloga Italia S.p.A. 31
MISURE DI SICUREZZA – LATO I.T. L’amministratore di sistema dovrà attivare le procedure tecniche per rendere sicuro l’ambiente di lavoro: ➢ inventario dei dispositivi Hardware/Software e autorizzazioni di accesso differenziate per tipologia di trattamento, principio “need to know” ➢ configurazione sicura e aggiornamento dei software e dei dispositivi come firewall, router, switch, ... ➢ uso controllato dei privilegi amministrativi ➢ valutazione e controllo delle vulnerabilità, analisi dei registri ➢ difesa dei confini, fisici e della rete interna ➢ protezione dei dati esterni all’azienda ➢ protezioni antivirus, malware, etc... sempre aggiornati ➢ capacità di ripristino in risposta a incidenti tramite procedure di back-up ➢ valutazioni delle caratteristiche soggettive This document is property of Ecloga Italia S.p.A. and is strictly confidential. It may not be reproduced, redistributed, passed on, published, disclosed, in whole or in part, to any third party without the prior written consent of Ecloga Italia S.p.A. 32
MISURE DI SICUREZZA – LATO INCARICATO Le misure tecniche adottate che vanno a interagire direttamente con l’incaricato sono: ➢ sistema di autenticazione: accesso riservato con password (8 caratteri alfanumerici) da cambiare ogni 3/6 mesi in funzione dei dati ai quali si accede ➢ sistema di stampa: codice di “ritiro” delle stampe ➢ accesso alla postazione incustodita: screensaver con password ➢ strumenti esterni: software e hardware gestiti da personale interno sul territorio o da collaboratori, devono rispettare le stesse misure di sicurezza: protezione con password, firewall, antivirus, controlli periodici degli accessi, aggiornamento software. ➢ gestione della perdita di dati (Data Breach): avvisare subito i responsabili, specificare le modalità dell’evento, assicurarsi che non si possa ripetere ➢ termine o sospensione del rapporto: definizione di procedure tecnico-organizzative al fine di garantire la cancellazioni dei dati This document is property of Ecloga Italia S.p.A. and is strictly confidential. It may not be reproduced, redistributed, passed on, published, disclosed, in whole or in part, to any third party without the prior written consent of Ecloga Italia S.p.A. 33
FORMAZIONE IN AMBITO DATA PROTECTION E CODICE DI CONDOTTA Tutte le misure tecniche non possono niente se non vengono seguite e utilizzate correttamente dall’incaricato, che ha la responsabilità nella gestione del dato, e per tanto, dovrà essere formato e testato nel suo apprendimento. All’incaricato viene consegnato un “codice di condotta” che dovrà leggere attentamente e seguire. Illustro alcune delle procedure atte ad evitare: ➢ perdita di dati: non inviare dati a terzi senza autorizzazione, riporre i documenti cartacei con dati personali in appositi spazi, fare attenzione a non perdere (farsi rubare) cartelline, chiavette, computer durante eventi, incontri , fiere... ➢ accessi illeciti: non scrivere la propria password sul monitor o sotto la tastiera, non divulgare la propria password, ricreare la password seguendo i criteri indicati, se si accede tramite internet point assicurarsi di non lasciare salvate le password o sessioni aperte in spazi riservati... ➢ virus e malware: non aprire allegati o cliccare link da email inattese o che hanno stranezze nel testo e nelle immagini (piuttosto chiedere all’IT), anche se arrivano da persone conosciute; evitare di navigare in siti illeciti o segnalati come non sicuri, ... This document is property of Ecloga Italia S.p.A. and is strictly confidential. It may not be reproduced, redistributed, passed on, published, disclosed, in whole or in part, to any third party without the prior written consent of Ecloga Italia S.p.A. 34
GESTIONE E PROTEZIONE SITI WEB I siti web devono rispecchiare determinati requisiti per essere conformi con la normativa GDPR, i principali sono: ➢ Hosting in server europei che adottino misure di sicurezza adeguate (affidabilità, sicurezza fisica e logica, back up, presidio, ...) ➢ Software sicuri e testati a prova di intrusione ➢ Informativa chiara e consensi suddivisi per tipologia di utilizzo dei dati per un “uso legittimo e proporzionato dei dati personali” ➢ Definizione dei cookie utilizzati, con possibilità di disattivare eventuali cookie di terze parti non aggregati ➢ Informazioni chiare per garantire i diritti dell’utente quali cancellazione, accesso ai dati,... da poter richiedere in modo semplice ➢ Attivazione del protocollo sicuro Https / Linee di comunicazione sicure. This document is property of Ecloga Italia S.p.A. and is strictly confidential. It may not be reproduced, redistributed, passed on, published, disclosed, in whole or in part, to any third party without the prior written consent of Ecloga Italia S.p.A. 35
Puoi anche leggere
