Decalogo delle misure di tutela della Privacy

1 – INFORMATIVE E LETTERE DI INCARICO
Persiste l’obbligo di gestire la parte burocratica nei confronti dei soggetti di cui si trattano i dati (interessati) ovvero informative e lettere di incarico.
Le informative, accompagnate o meno dalla “richiesta di consenso” a seconda dei casi, devono essere fornite agli interessati. Vi è un obbligo di rendicontare l’avvenuta consegna dell’informativa (che può essere data anche oralmente). Alcuni trattamenti (come ad esempio i dati dei dipendenti necessari per gestire il rapporto di lavoro o l’installazione di telecamere per motivi di sicurezza) possono essere attuati dando semplicemente l’informativa privacy e non è previsto il consenso, in quanto vi sono delle autorizzazioni generali del Garante.
Le lettere di incarico vanno consegnate a tutti i soggetti (incaricati), persone fisiche, che trattano i dati e che sono sotto il controllo aziendale, ovvero seguono le regole che l’azienda ha posto in essere nella gestione dei dati. Potrebbero non essere solo i dipendenti!

2- LETTERE DI INCARICO PER RESPONSABILI ESTERNI
Nell’ambito della gestione dei dati delle persone fisiche, l’azienda potrebbe avvalersi di società esterne che devono essere nominate Responsabili Esterni al trattamento dei dati. In capo all’azienda, titolare del trattamento, rimane comunque la responsabilità delle modalità di trattamento dei dati, la definizione delle regole e tutte le conseguenze dal punto di vista civile e penale. Novità su questo punto le porta il Regolamento Europeo, che prevede la possibilità di avere dei co-titolari nel trattamento dei dati e lo scarico di responsabilità gestito a livello contrattuale.

3- PREDISPOSIZIONE DEL DISCIPLINARE PER L’UTILIZZO DEI DATI
L’azienda si deve dare delle regole per la gestione dei dati, in particolare con strumenti informatici. Tale disciplinare deve affrontare le modalità di trattamento dei dati con i vari “device” aziendali (server, pc, notebook, smartphone, tablet, …) e con la posta elettronica, indicando regole e procedure aziendali sia per il trattamento dei dati digitali che di quelli cartacei.

4 – IL SITO INTERNET AZIENDALE
Il sito internet dell’azienda potrebbe trattare tre tipologie diverse di dati: dati anonimi inerenti la navigazione, dati derivanti da cookies (tecnici o di profilazione), dati raccolti tramite form. E’ importante predisporre una corretta informativa a riguardo che dettagli le specifiche a riguardo, spesso sconosciute in azienda e note solo alla società di web designer.

5 – VIDEOSORVEGLIANZA
La presenza di telecamere di sorveglianza in azienda è un trattamento che deve essere gestito in modo preciso ed accurato, prevede un’informativa breve (il cartello con l’immagine stilizzata della telecamera) ed un’informativa di dettaglio esposta per a disposizione delle persone riprese. Se le telecamere riprendono i dipendenti mentre svolgono la loro attività è necessario seguire un iter approvativo ben definito.

6 – GESTIONE DELLA BUSTA PAGA
La busta paga deve essere gestita con una serie di procedure che tutelino i dati dei dipendenti. Evitare la distribuzione con mezzi non sicuri (es. e-mail), preferire la distribuzione “brevi manu” o il download da siti web protetti da password. Attenzione ai consulenti esterni che elaborano le paghe e ve le inviano via mail: evidentemente il loro processo privacy non è corretto e la responsabilità è sempre dell’azienda che ha l’obbligo di controllare che i propri fornitori a cui affida i dati si muovano secondo le regole previste.

7 – PASSWORD, ANTIVIRUS E FIREWALL
Queste sono le misure minime previste per il trattamento di dati personali di qualsiasi tipo con strumenti informatici (anche una semplice lista di numeri telefonici dei dipendenti). E’ necessario prestare cura a che le password siano personali, robuste, cambiate ogni 3/6 mesi a seconda della tipologia di dati trattati. L’antivirus deve essere originale, installato su tutti i device che contengono dati (compresi smartphone e tablet!), periodicamente aggiornato. Attenzione al firewall, questo strumento è sconosciuto a molti ma risulta determinante, in caso di giudizio, come prova positiva per dimostrare di aver implementato delle misure idonee per evitare l’evento dannoso.

8 – UPDATE DEI SISTEMI E DISASTER RECOVERY
L’aggiornamento dei sistemi operativi e degli altri software installati non è facoltativo ma obbligatorio! E’ necessario aggiornare al più presto i sistemi operativi, appena la casa madre rilascia gli aggiornamenti, in quanto sono sempre più numerose le zero day vulnerability, ovvero gli attacchi compiuti dall’esterno alle infrastrutture aziendali sfruttando delle vulnerabilità note, indicate dalla stessa casa produttrice del software, ma che l’azienda non ha provveduto ad installare sui propri device. E’ comunque fondamentale predisporre un piano di Disaster Recovery in grado di far fronte in tempi brevi alle eventuali emergenze, garantendo il ripristino dei dati e dell’operatività nei tempi di legge. Ricordatevi che il nuovo Regolamento Europeo prevede che in caso di Data Breach, ovvero in caso di violazione dei dati aziendali, l’azienda deve attivarsi nel comunicare la cosa sia all’Autorità Garante delle Privacy sia a tutti coloro (interessati) i cui dati erano contenuti nella sua base dati.

9 – MARKETING E GEOLOCALIZZAZIONE
I dati raccolti possono essere utilizzati per fini di marketing ma bisogna essere molto cauti e gestire molto bene il consenso in fase di raccolta e la possibilità di evitare ulteriori comunicazioni da parte dell’interessato. E’ dimostrato, inoltre, che comunicazioni di marketing non volute peggiorano il rapporto tra la il potenziale cliente e l’azienda. Grazie al Job Act è possibile utilizzare degli strumenti di geolocalizzazione dei dipendenti con più facilità. Rimangono comunque delle regole da seguire, in modo particolare la gestione dell’informativa, che è meglio non sottovalutare onde evitare spiacevoli controversie con la Direzione Provinciale del Lavoro o con i sindacati aziendali e per garantire la tutela della privacy del personale.

10 – FORMAZIONE
Sebbene la norma non indichi con precisione durata e contenuto di un corso di formazione, la formazione degli “incaricati” risulta fondamentale per l’azienda che deve affidare l’incarico di trattamento dei dati solo a soggetti in grado per competenze e capacità personali di garantire la sicurezza di tali dati. Va da sé che un corso di formazione sulla specifica attività gestoria renda l’azienda più capace di affrontare un’eventuale accusa di mala gestio per “colpa in eligendo”.

Fonte: Mondo Privacy

Questo sito utilizza i cookie per fornire la migliore esperienza di navigazione possibile. Il nostro sito non usa cookie di profilazione. Puoi continuare a navigare in questo sito senza modificare le impostazioni dei cookie o cliccare su "Accetta" permettendo il loro utilizzo. Maggiori informazioni

Questo sito utilizza i cookie per fornire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o cliccando su "Accetta" permetti il loro utilizzo.

Chiudi