All’interno del capitolo vengono descritti gli esempi degli step per l’implementazione di un sistema privacy.
INTERVISTA
L’intervista è una raccolta di informazioni sullo stato di adeguamento al D.Lgs 196/RE (strumenti interviste preliminari, analisi di documenti, eventuali audit) finalizzati alla predisposizione del Piano di lavoro, o offerta nel caso di attività consulenziale.
Esempio Intervista:
• Denominazione / Ragione Sociale Azienda
• Attività Svolta
• Dipendenti collaboratori numero
• Esiste una persona indicata come referente per l Privacy?
• Esiste una persona indicata come responsabile del sistema informativo?
• Descrizione dell’architettura del sistema informatico.
• Viene effettuato una o più procedure di backup dei dati del sistema informatico?
• Esiste un sistema di autenticazione informatica?
• L’accesso ai personal computer e ai dati contenuti è protetto da password?
• Ogni macchina che può accedere ad Internet è protetto da AntiVirus aggiornato?
• Esiste un documento, riservato, che specifica i vari livelli di accesso ai dati?
• Vengono trattati dati sensibili (vedi definizione dati sensibili)?
• Le informazioni riservate sono protette contro gli accessi non autorizzati?
• Indicare, oltre a quelle standard (clienti, fornitori, ecc.) quali delle seguenti banche dati sono presenti nelle sedi legali ed operative dell’organizzazione:
â—¦ curriculum collaboratori, contratti collaboratori, dati personale dipendente, curriculum personale dipendente, curriculum persone in cerca di occupazione, dati personali e recapiti dei soci e degli amministratori, società, rubrica outlook, centralizzata, database dei clienti, database su cloud, database fuori dalla UE, database CRM, database ERP/gestionale, database frutto di attività di profilazione.
• E’ stato chiesto, tramite informativa privacy, il consenso agli interessati per il trattamento?
• Le informazioni riservate sono protette contro gli accessi non autorizzati?
• Sono state condotte all’interno dell’organizzazione attività di profilazione dei dati?
• E’ stato implementato Il Modello Organizzativo 231 all’interno dell’azienda?
• Sono presenti cause/ricorsi pendenti in materia privacy e/o con il Garante
• E’ presente all’interno dell’organizzazione il regolamento informatico in materia di protezione dei dati personali.
• E’ stato stabilito un protocollo per la protezione e il trattamento dei dati con i fornitori di servizi esterni. Es. (commercialista, consulente del lavoro, fornitori servizi in outsourcing).
• I dipendenti sono stati informati del fatto che l'utilizzo delle risorse (personal computer/internet) è ammesso esclusivamente per utilizzi professionali.
• Il personale (specialmente i responsabili) è adeguatamente informato degli eventuali rischi che ci possono essere nel non seguire le procedure di sicurezza informatica previste nell'organizzazione e l'applicazione del codice della privacy.
• Oltre la raccolta via telefono è prevista una raccolta degli ordini via email e/o Sito Internet.
• Quali sono le misure adottate per ridurre il rischio relativo alla perdita dei dati.
• La gestione dei software e della rete informatica aziendale è interna o è affidata all'esterno.
• Quale tipo contratto è in essere (garanzie offerte).
ESEMPIO STESURA PIANO DI LAVORO
Stesura del piano di lavoro (offerta nel caso di attività consulenziale) con indicazione degli obiettivi, fasi, tempi, responsabilità, budget, ecc., ed approvazione delle funzioni deputate.
Esempio:
Tempistica: Avvio del progetto previsto per il DATA, chiusura del progetto prevista per DATA.
Pianificazione di dettaglio e budget
TIPO
ATTIVITA'
TEMPI
OUTPUT PRODOTTI
BUDGET
FUNZIONE RESP.
INTERVISTE
Intervista con le funzioni:
Entro il primo mese
Check list compilate
DPO
NOTIFICHE OBBLIGATORIE
Individuazione degli eventuali ambiti di trattamento da notificare al garante
INTEGRAZIONE
Individuazione di ambiti di integrazione con il sistema di gestione
Report di ambiti di integrazione
INTEGRAZIONE
Integrazione sulla base degli ambiti decisi al punto precedente
Procedure del sistema di gestione integrate con gli aspetti relativi all'applicazione del codice della privacy/RE
VIDEO SORVEGLIANZA
Verifica presenza di sistemi di videosorveglianza
implementazioni procedure/pratiche adeguamento alle norme vigenti
INFORMATIVA
Verifica presenza informative rivolte agli interessati al trattamento e della loro conformità alle norme vigenti;
- redazione informative ai sensi norme vigenti;
- procedura per la richiesta del consenso agli interessati per i dati non coperti da informativa assente e/o non conforme.
AMM. SISTEMA
Verifica presenza nomina Amministratore di Sistema e della conformità alle norme vigenti
Redazione nomina Amministratore di Sistema ai sensi norme vigenti
FORNITORI
Verifica del protocollo per la protezione dei dati affidati ai fornitori di servizi
Nomina a Responsabile esterno al trattamento dei dati
FORMAZIONE
Verifica attività formative
Formazione del personale
AUDIT
Verifiche attività di AUDIT
Configurazione protocolli di AUDIT
REGOLAMENTO
Redazione regolamento informatico per il trattamento dei dati all'interno dell'organizzazione
RELAZIONE
Relazione finale sull'attività condotta
INTERVISTE APPROFONDITE ED ANALISI DEI DOCUMENTI
Le interviste approfondite sono utili per svolgere le successive fasi di "Adeguamento rispetto al D.lgs 196/RE" (fase 5) ed eventualmente "Implementazione del sistema di gestione della privacy" (fase 6).
Esempio:
Funzioni aziendali da coinvolgere nelle interviste approfondite:
• Direzione/Amministrazione;
• R. Personale;
• R. Marketing;
• Sistema Qualità e Haccp;
• RSPP;
• Amministratore sistema informativo;
• R. Logistica
Argomenti da trattare:
• Profilazione;
• Informativa e consenso sul Sito Internet;
• Informativa e consenso raccolto altri canali (es. call center);
• Cookie;
• Attività di Profilazione;
• Affidamento di dati a Terzi;
• Contenziosi Privacy in corso;
• Attività sui Social NetWork.
FASE ANALISI DI PRIVACY IMPACT ASSESSMENT
Viene svolta in considerazione di quanto è emerso nei punti precedenti
Esempio
Analisi del contesto (ERM fase 1 ambiente interno)
Fattore
Impatto sull’azienda
Tecnologia
Sistema informatico obsoleto
Normativa
Nazionale ed extra europa
Tipi di dati trattati
Sensibili relativi ai risultati dei test delle prove a seguito dello sviluppo di ricette di cosmetici
Sistemi di gestione applicato
Iso 9001
Ads
Risorsa esterna
Sito internet
Livello di scolarizzazione del personale
Esigenze ed aspettative delle parti interessate (ERM fase 2 obiettivi)
Parte interessata
Esigenza aspettativa
Clienti
Mantenimento delle informazioni riservate di ogni cliente (segregazione dei dati)
Soggetti coinvolti dai test sui prodotti
Tutela dei dati personali e sensibili (conformità alla legge)
Dipendenti
Tutela dei dati personali e sensibili (conformità alla legge)
Formazione
Organizzazione ed accesso ai dati che sia funzionale alla gestione interna
Tecnologia adeguata
Proprietà
Rispetto della normativa, tutela del know-how (il dato come asset), efficienza dei processi, tutela del marchio
Avvalersi di consulenti e fornitori di beni che tutelino il proprio know-how
Fornitori di beni
Identificazione eventi e dei rischi associati ai processi aziendali (ERM 3,4)
rischio
evento
misure di mitigazione in essere
gravità
probabilità
valore del rischio
misure di mitigazione da pianificare
perdita dei dati
furto del server
sistema di allarme, videosorveglianza
a
m
= A x M
polizza, crittografia
Estratto dalla lista fornita dal Garante della Privacy per la protezione dei dati dei rischi che incombono sui sistemi informatici:
• Comportamenti degli operatori: Furto di credenziali di autenticazione, Carenza di consapevolezza, disattenzione o incuria, Comportamenti sleali o fraudolenti, Errore materiale;
• Eventi relativi agli strumenti: azione di virus informatici o di codici malefici, Spam o altre tecniche di sabotaggio, malfunzionamento, indisponibilità o degrado degli strumenti, Accessi esterni non autorizzati, Intercettazione di informazioni in rete;
• Eventi relativi al contesto: Accessi non autorizzati a locali/reparti ad accesso ristretto, asportazione e furto di strumenti contenenti dati, Eventi distruttivi, naturali o artificiali, dolosi, accidentali o dovuti ad incuria, guasto ai sistemi complementari (impianto elettrico, climatizzazione….), errori umani nella gestione della sicurezza fisica.
ADEGUAMENTO RISPETTO ALLE NORME VIGENTI
Il Privacy Officer potrebbe trovare più lacune rispetto a quelle emerse al punto 1 e 3, che è una analisi sommaria
Esempio:
AZIONI DA EFFETTUARE PER ADEGUAMENTO ALLE NORME PRIVACY
DOCUMENTI DA PREDISPORRE PER ADEGUAMENTO CODICE PRIVACY
IMPATTO SUL SISTEMA DI GESTIONE INTEGRATO (AZIONI DA EFFETTUARE, AZIONI DA PREDISPORRE)
Disattivare il sistema di video registrazione.
Informativa
Documento (es. Mansionario) in cui indicare quali funzioni hanno accesso al sistema di video registrazioni
Disattivare il sistema di video registrazione.
Informativa
Predisporre accordo con Sindacato o chiedere autorizzazione alla Direzione Territoriale del Lavoro
Trasmettere informativa al campione già interpellato, verifica del consenso e distruzione dei dati in possesso se privi di autorizzazione
Informativa
Redazione Informativa con raccolta del consenso
Conferire ai soggetti che accedono al sotterraneo lettera conferimento incaricato al trattamento dei dati;
Verificare la data dell'interruzione del rapporto dei dipendenti non più in servizio e distruggere tutti i dati di coloro la cui data di interruzione è antecedente a quella consentita dalle norme privacy.
Nomina Incaricato Al Trattamento per ogni responsabile;
Definizione Mansionario con indicazione della Funzione;
Togliere le chiavi a tutti i soggetti che accedono al sotterraneo, sostituire serratura, verificare il mansionario con le relative funzioni, sottoscrivere lettera con assegnazione delle nuove chiavi di accesso, digitalizzare i documenti cartacei.
Adeguamento del piano di backup e di restore dei dati alle misure idonee di protezione e conservazione dei dati previste dalle norme vigenti nonché dal Garante;
Nomina ad Amministratore di Sistema, Nomina a DBA, nomina di responsabile esterno del trattamento alla società esterna che ha la manutenzione del sistema
- Effettuare subito un backup di tutti i database;
- Effettuare subito una simulazione di restore dei dati per capire se questi sono integri
- stabilire un piano di backup e di disaster recovery tale da consentire la protezione dalla perdita dei dati in relazione alla frequenza temporale di popolamento dei database aziendali;
Raccolta del consenso dei collaboratori che forniscono la foto per le campagne promozionali
Informativa comprensiva di consenso
Raccolta del consenso collaboratori per impiego immagini (diritto d'autore) con la cessione dei diritti patrimoniali
Indicare all'interno dell'informativa il consenso unico per la raccolta dei dati. Fornire le specifiche tecniche per consentire agli utenti di poter scegliere successivamente il mezzo da cui ricevere le informazioni commerciali OPT OUT
Informativa comprensiva raccolta di consenso
Responsabili esterni al trattamento
Nomina dell'hoster, nonché dell'Agenzia che sviluppa il software come responsabile esterno al trattamento dei dati
Controllo accesso ai locali
Registro personale autorizzato all'accesso
Adeguare informativa del sito Internet
Nuova Informativa
IMPLEMENTAZIONE SISTEMA PRIVACY
Stesura di procedure, documenti e modelli, condivisione con le risorse aziendali e successiva applicazione. Le attività previste nei punti 5 e 6 possono essere sequenziali o integrate, ovvero potrebbe essere svolta solo l'attività 5 e non la 6 (mentre la 6 richiede necessariamente la 5).
Esempio azioni per l’implementazione di un sistema privacy
Ambito di Integrazione
Documenti da Modificare o Creare
Modifica
Risorse Umane
Procedure di selezione delle risorse umane
deve prevedere gestione dei Curriculum Vitae
Risorse Umane
Procedura di ingresso Collaboratori
deve prevedere all'atto dell'assunzione la consegna dell'informativa, nomina incaricato, formazione in ingresso
Risorse Umane
Procedura di ingresso Collaboratori
Fornitura delle credenziali di accesso ai sistemi informativi
Risorse Umane
Procedura interruzione collaboratore
Modifica e/o distruzioni delle credenziali di accesso
Risorse Umane
Procedura gestione interruzioni pregresse
Verificare ogni 6 mesi la presenza di dati relativi a rapporti di lavoro intercorsi prima dei termini previsti per legge
Risorse Umane
Piano di Conversazione
Redigere il nuovo piano di conversazione adottato dal Call Center a favore dei Clienti
Risorse Umane
Definizione del Mansionario comprendente la funzione
Definire il Mansionario con l'indicazione delle funzioni
Risorse Umane
Codice di Condotta del Personale
Indicare il comportamento da tenere all'interno dell'azienda nonché sui social network
Risorse Umane
Elenco accessi ai locali fisici
Revisione totale dei soggetti che accedono con relative chiavi ecc..
Risorse Umane
ORGANIGRAMMA
Aggiornare ai sensi norme Privacy
Risorse Umane
FUNZIONIGRAMMA
Aggiornare ai sensi norme Privacy
Risorse Umane
VideoSorveglianza
Autorizzazioni previste ai sensi norme vigenti
IT
Account di accesso ai Social
Definizione degli account di accesso ai social e dei soggetti che accedono
IT
Procedura per il backup ed il restore dei database
Indicare modi e tempi per il backup ed il restore dei dati
IT
Procedura per la mappatura, protezione e conservazione dei database (banche dati)
IT
Elenco dei dispositivi muniti di sistemi di memoria dati
Capire i soggetti che accedono alle varie banche dati
IT
Elenco delle caselle di posta elettronica
Definire elenco e soggetti in possesso degli accessi
IT
Elenco delle caselle PEC
Elenco dei soggetti che accede alla PEC
IT
Misure previste dalla 27001
IT
Verifica Licenze Software
MTG
Informativa e consenso raccolta dati via web, cartaceo
Predisporre il consenso
MTG
Garante per Profilazione Dati
Adeguare la prassi interna alle prescrizioni ai sensi norme privacy
DIREZIONE
PIANO DI QUALITA'
Adeguare le attività minime di autditing alle norme sulla privacy
CALL CENTER
Informativa del messaggio telefonico
Adeguare il messaggio alle norme privacy
DIREZIONE
Elenco pratiche legali
Definire e/o integrare elenco delle pratiche legale comprensivo di eventuali contenziosi con il garante
DIREZIONE
Istruzioni per fornitori esterni
Requisiti minimi ai sensi privacy per i contratti con fornitori esterni
LOGISTICA
Protocollo consegna prodotti
Adeguamento ai sensi privacy
CALL CENTER
AUDIT DEDICATO
Elementi minimi del piano audit del Call Center
AZIENDA
Verifica e revisione annuale del DPS
FORMAZIONE DEL PERSONALE
Schema di formazione del personale che prevede la somministrazione di test, criteri di valutazione e il rilascio di un attestato di partecipazione
Esempio:
Reparto
Contenuti
Durata
marketing
Informativa e Raccolta consenso al Trattamento dei Clienti
Attività di profilazione
Dati relativi alle allergie intolleranze (dati sensibili)
Credenziali per l'accesso ai sistemi informativi e alle banche dati
Privacy per il Sito Web
Credenziali per l'accesso ai locali
Codice di Condotta
Formazione e Istruzione dell'AUDITOR
Test di verifica della Formazione Somministrata
Raccolta consenso tramite eventi, fiere, iniziative commerciali fisiche
Min. 8 ore, o quanto previsto dalle norme vigenti
Personale
Credenziali per l'accesso ai locali
Conservazione dei documenti informatici
Conservazione dei documenti cartacei
Distruzione di dati digitali
Codice di Condotta
Formazione e Istruzione dell'AUDIT
Test di verifica della Formazione Somministrata
Min. 8 ore, o quanto previsto dalle norme vigenti
IT
Informativa e Raccolta consenso al Trattamento dei Clienti
Attività di profilazione
Dati relativi alle allergie intolleranze (dati sensibili)
Credenziali per l'accesso ai sistemi informativi
Credenziali per l'accesso ai locali
Misure minime ed idonee per la protezione e conservazione dei dati: backup, restore, disaster recovery, protezione da eventi dolosi e/o accidentali
Conservazione delle informazioni digitali nel tempo
Distruzione di beni informatico con dati digitali
Formazione e Istruzione sull'AUDIT
Test di verifica della Formazione Somministrata
Min. 12 ore, o quanto previsto dalle norme vigenti
Commerciale
Informativa e Raccolta consenso al Trattamento dei Clienti
Attività di profilazione
Dati relativi alle allergie intolleranze (dati sensibili)
Credenziali per l'accesso ai sistemi informativi
Credenziali per l'accesso ai locali
Formazione e Istruzione dull'AUDIT
Test di verifica della Formazione Somministrata
Raccolta consenso tramite eventi, fiere, iniziative commerciali fisiche
Min. 8 ore, o quanto previsto dalle norme vigenti
Logistica
Credenziali per l'accesso ai locali
Formazione e Istruzione dell'AUDITOR
Test di verifica della Formazione Somministrata
Min 3 ore, o quanto previsto dalle norme vigenti
Amministrazione
Responsabilità della proprietà e del legale rappresentanza in seno alle norme Privacy;
Sanzioni previste per la violazione delle norme privacy vigenti
Informativa e Raccolta consenso al Trattamento dei Clienti
Attività di profilazione
Dati relativi alle allergie intolleranze (dati sensibili)
Credenziali per l'accesso ai sistemi informativi e alle banche dati
Privacy per il Sito Web
Credenziali per l'accesso ai locali
Formazione e Istruzione dell'AUDITOR
Test di verifica della Formazione Somministrata
Raccolta consenso tramite eventi, fiere, iniziative commerciali fisiche;
Min. 10 ore, o quanto previsto dalle norme vigenti
RSPP
Credenziali per l'accesso ai locali, elenco dei soggetti autorizzati
Formazione e Istruzione dell'AUDIT
Test di verifica della Formazione Somministrata
Min 3 ore, o quanto previsto dalle norme vigenti
IL SISTEMA PRIVACY VIENE AVVIATO
Il sistema viene avviato, mantenuto ed aggiornato
AUDIT
Dopo un adeguato lasso di tempo, dei processi aziendali, avente come criterio l'applicazione del dlgs 196/RE e/o sistema di gestione della privacy prevalente in plenaria sabato mattino
Esempio scheda di Audit:
Auditor
Funzione auditata
Intervistati
Data
Domanda - Esito: Evidenze - Ok - Non ok
Mantenimento e miglioramento del sistema (ERM 8 Monitoraggio), adeguamento alle variazioni normative, proseguimento dell'attività di audit.
