MISURE TECNICHE ED ORGANIZZATIVE PER LA SICUREZZA DEL PATRIMONIO INFORMATIVO AZIENDALE E L’UTILIZZO DEI SISTEMI INFORMATIVI AZIENDALI DA PARTE DEL PERSONALE.

Slides:



Advertisements
Presentazioni simili
Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.
Advertisements

Corso per collaboratori di studio medico
Firenze - 27 Aprile 2002 Salone de'Dugento Palazzo Vecchio E-privacy, riservatezza e diritti individuali in rete: difendersi dal Grande Fratello nel terzo.
il Rappresentante dei Lavoratori per la Sicurezza
CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI D.Lgs. 30 giugno 2003 n. 196 Entrato in vigore il 1° gennaio 2004 sostituisce L. 675/96; Recepisce:
CORSO PRIVACY PARTE GENERALE
Avv. Stefano Comellini. PROFESSIONISTI ART. 12 Collaboratori (obbligati) contro il riciclaggio e contro il finanziamento del terrorismo)
Diritto di accesso e privacy
LA NORMATIVA DI RIFERIMENTO
I PROTAGONISTI DELLA SICUREZZA E LE SANZIONI
La prassi dell autorizzazione preventiva adottata dalla Commissione per le opere pubblicate dai suoi dipendenti costituisce una violazione dell art. 10.
1 La protezione dei dati D.lgs. 196/2003 Il Codice in materia di Protezione dei dati personali.
Chiocciola S.r.l. – Riproduzione vietata – Guarene, 24 maggio 2006 Dal 1996… un obbiettivo strategico: la sicurezza a 360° LUCIANO CORINO Chiocciola Consulting.
La tutela dei dati personali
Documento informatico Ingegneria Informatica 31 marzo 2006 Prof. Pieremilio Sammarco.
Impresa e Privacy. Il trattamento dei dati deve essere eseguito nel rispetto dei diritti e delle libertà fondamentali, della dignità della persona, con.
Autore TECNOCHORA SPA - AREA INFORMATION TECHNOLOGY La Privacy Formazione del personale interno Materiale riservato. Proprietà di Tecnochora spa. Vietata.
Novità in materia di PRIVACY 23 febbraio 2012 Relatore: Gianni Festi.
Relazione finale del Gruppo di lavoro sulle società a partecipazione comunale Bergamo, 21 marzo 2006.
ISTAT DCRS Novità organizzative e legislative per il PSN (Roma, 24 giugno 2009) Maria Rosaria Simeone (Dirigente Servizio DCRS/IST) Impatto della normativa.
Riproduzione riservata
Decreto Interministeriale 16 agosto 2005 Misure di preventiva acquisizione di dati anagrafici dei soggetti che utilizzano postazioni pubbliche non vigilate.
Intesa del 30 aprile 2009 Decreto legislativo 150/2009 Decreto legislativo 165/2001 (novellato) Circolare Funzione Pubblica n. 7/2010 Art. 6 CCNL
Fabrizio Grossi. 2) Conservazione dei Log di connessione 3) Individuazione procedure e soggetti preposti per verifica navigazione singola postazione.
D. Lgs 196/2003 Codice in materia di protezione dei dati personali.
22 MARZO ORE 15,00 Sei in regola con gli obblighi in materia di sicurezza e privacy? Consigli pratici per adeguarsi… Piermaria Saglietto.
D.L.196 del 30 giugno 2003 codice in materia di protezione dei dati personali Scuola elementare statale IV Circolo di Lodi.
PRIVACY: Adempimenti e Opportunità
Lezione 8 Posta elettronica e internet in azienda. La legittimità degli strumenti di controllo.
20 maggio 2005 CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI (d.lgs. 30 giugno 2003, n. 196)
20 maggio CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI (d.lgs. 30 giugno 2003, n. 196) Formatore:
IL CODICE DELLA PRIVACY
Azienda Ospedaliera San Giovanni Addolorata: Compiti dei responsabili e referenti privacy Avv. Giovanni Guerra.
Accordo 22 maggio 2014: attuazione Provvedimento Garante della Privacy Segreteria di Coordinamento Gruppo UniCredit
I dati Personali Sono Persona Fisica Privati I dati Personali
CORSO DI AGGIORNAMENTO ADEMPIMENTI PER LA TUTELA DELLA PRIVACY ANNO 2008.
Riservatezza del minore Convenzione O.N.U. sui diritti del bambino 1989 Carta di Treviso 25 novembre 1995 Ordine nazionale giornalisti/federazione nazionale.
Principio di necessità nel trattamento dei dati (art.3 codice privacy)
Anticorruzione.
Misure di Sicurezza per gli Strumenti Elettronici Gianpiero Guerrieri Dirigente Analista Responsabile I.C.T.
L’Amministrazione Finanziaria
Le associazioni possono costituirsi:
AUTORITA’ NAZIONALE ANTICORRUZIONE Linee guida in materia di tutela del dipendente pubblico che segnala illeciti (c.d. whistleblower) (Determina.
Guardie Giurate Art. 2 Statuto dei lavoratori.
DISCRIMINAZIONE PER MOTIVI RAZZIALI, ETNICI, NAZIONALI O RELIGIOSI
Enterprise Social Network Tra trasparenza dei processi lavorativi e controllo profilato del lavoratore E-Privacy XVII La trasparenza e la privacy Roma,
CRUI 14 e 15 luglio 2014 Elisabetta Di Russo Dipartimento di Medicina Molecolare GLAD – Gruppo di Lavoro Ateneo Drupal Nuove linee guida in materia di.
La diffusione sul web di dati personali e la privacy negli enti locali Relatore Gianni Festi 1.
LA VERIFICA DELLA CORRETTA TENUTA DELLA CONTABILITA’
Il Rappresentante dei Lavoratori per la Sicurezza
LA RIFORMA DEL MERCATO DEL LAVORO Camera del Lavoro di Alessandria 1 LA RIFORMA DEL MERCATO DEL LAVORO I CONTROLLI A DISTANZA Ottobre 2015.
IL PROCEDIMENTO AMMINISTRATIVO
Le policy aziendali relative al trattamento di dati sensibili ed informazioni riservate novembre2015.
MONITORAGGIO DEI DIPENDENTI
1 Il regolamento di organizzazione A cura del dott. Arturo Bianco.
Ospedale Luigi Sacco Azienda Ospedaliera – Polo Universitario.
9 marzo Monitoraggio e controllo Il contesto normativo.
PPT- Postecert PEC – 05/2009 Postecert Posta Elettronica Certificata.
Ing. Monica Summa Camera di Commercio di Napoli 1 “ La gestione in sicurezza delle attrezzature: aspetti generali ed applicativi ” Sala Consiglio Camera.
A.A ottobre 2008 Facoltà di Scienze della Comunicazione Master in Comunicazione nella PA Le politiche attive del lavoro prof. Nedo Fanelli.
IL DIRIGENTE SCOLASTICO In qualità di Titolare del trattamento dei dati personali dell’Istituzione scolastica; Ai sensi degli art. 29 e 30 del Testo Unico.
CONTROLLO OPERATIVO L'Azienda individua, tramite il Documento di Valutazione dei Rischi, le operazioni e le attività, associate ai rischi identificati,
Associazione Industriale Bresciana 23 giugno 2004 PRIVACY ORGANIZZAZIONE E PRINCIPALI ADEMPIMENTI Decreto legislativo 30 giugno 2003, n. 196 Associazione.
CORSO DI REVISIONE CONTABILE D.LGS. 39/2010: approfondimenti DOTT. ALESSIO SILVESTRI.
RESPONSABILITA’ DEGLI AMMINISTRATORI VERSO I CREDITORI SOCIALI ED I TERZI 26 XI 2009 a cura del Dott. Gianni LANZA RIFERIMENTI NORMATIVI; RIFERIMENTI NORMATIVI;
Corso di Laurea in Giurisprudenza a.a Prof.ssa Silvia Borelli Lezione XVII – I poteri del datore di lavoro Diritto del lavoro.
Decreto legislativo 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali”
Gruppo sul Telelavoro: E. Amadei (BO), A. Cavalli (CNAF), R. Gomezel (TS), P. P. Ricci (CNAF), D. Riondino (LNF) Disciplinare per l'applicazione del Telelavoro.
Chi Controlla le aziende???
La sicurezza informatica Davide Bacciardi 1B_A.S 2014/2015.
Transcript della presentazione:

MISURE TECNICHE ED ORGANIZZATIVE PER LA SICUREZZA DEL PATRIMONIO INFORMATIVO AZIENDALE E L’UTILIZZO DEI SISTEMI INFORMATIVI AZIENDALI DA PARTE DEL PERSONALE DIPENDENTE INCONTRO R.S.A. del 3 maggio 2004 Maggio 2004

Cassa di Risparmio di Bolzano S.p.A. - Sicurezza del patrimonio informativo aziendale e trattamento dei dati - aprile Indice / Contenuto 1. Obiettivi 2. Premesse normative Principi generali per il regolamento del monitoraggio sui sistemi informativi –3.1 Oggetto del monitoraggio in CRBZ –3.2 Finalità del monitoraggio in CRBZ 4. Sistemi di prevenzione e di monitoraggio 5. Procedimento in caso di illeciti e irregolarità

Cassa di Risparmio di Bolzano S.p.A. - Sicurezza del patrimonio informativo aziendale e trattamento dei dati - aprile Obiettivi: IDENTIFICARE - STRUMENTI TECNICO/ORGANIZZATIVI, - PROCEDIMENTI OPERATIVI, - CONDIZIONI GIURIDICO - CONTRATTUALI CONDIVISE E ATTE A SALVAGUARDARE: 1) IL PATRIMONIO INFORMATIVO AZIENDALE, in termini di tutela dalla divulgazione e/o utilizzo pregiudizievole delle informazioni e dati aziendali, in contrasto con gli obblighi di fedeltà (art c.c.) e l’osservanza del segreto d’ufficio (art. 30 CCNL ); 2) L’IMMAGINE AZIENDALE, in termini di prevenzione / sanzione degli utilizzi degli strumenti e delle informazioni aziendali per finalità illecite, immorali o comunque contrarie alla tutela di una positiva immagine della Banca, all’interno e all’esterno o alla sensibilità del personale e della clientela; 3) IL DIRITTO ALLA RISERVATEZZA di clienti e colleghi in merito a informazioni e dati personali e/o sensibili; 4) IL RISPETTO DELLE TUTELE NORMATIVE VERSO I LAVORATORI, in merito al divieto di indagini sulle opinioni e sul controllo a distanza dell'attività lavorativa da parte del datore di lavoro (artt. 4 e 8 L. 300/1970)

Cassa di Risparmio di Bolzano S.p.A. - Sicurezza del patrimonio informativo aziendale e trattamento dei dati - aprile Premesse normative e giurisprudenziali : 1) Artt “Statuto Lavoratori” L. 300/70, 2) D.Lgs 196/2003 (ex L. 675/1996) e successive modifiche - codice in materia di protezione dei dati personali 3) art. 15 Costituzione e artt c.p. - violazione, sottrazione e soppressione di corrispondenza 4) Opinion 8/ (applicazione L. 675 nel rapporto di lavoro) e (vigilanza sulle comunicazioni elettroniche sul posto di lavoro) del Gruppo Europeo per la tutela del trattamento dati (Data Protection Working Party) operante per il monitoraggio dell’applicazione normativa e operativa della Dir. 95/46/EC 5) Pareri dell'Autorità Garante per la Privacy 6) Giurisprudenza (non consolidata) e pareri esperti legali

Cassa di Risparmio di Bolzano S.p.A. - Sicurezza del patrimonio informativo aziendale e trattamento dei dati - aprile Premesse normative e giurisprudenziali (segue) : 1) L.300/70: ‘Gli impianti e le apparecchiature di controllo che siano richiesti da esigenze organizzative e produttive ovvero dalla sicurezza del lavoro, ma dai quali derivi anche la possibilità di controllo a distanza dell'attività dei lavoratori possono essere installati soltanto previo accordo con le RSA … In difetto di accordo, su istanza del datore di lavoro, provvede l’Ispettorato del lavoro, dettando le modalità per l’uso …’ ‘È fatto divieto al datore di lavoro, ai fini dell’assunzione come nel corso del rapporto di lavoro, di effettuare indagini sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore’. 2) D.Lgs. 196/2003 (ex L. 675/96): di particolare rilevanza ai fini del monitoraggio dati: art. 11 (ex 9) - Principio di pertinenza art. 13 (ex 10) - Obblighi di informativa art. 23 (ex 11) - Consenso (ove necessario) 3) Art. 15 Costituzione: Principio di inviolabilità e sicurezza della corrispondenza e ogni altra forma di comunicazione 616 c.p. Violazione, sottrazione e soppressione di corrispondenza 618 c.p. Rivelazioni del contenuto di corrispondenza

Cassa di Risparmio di Bolzano S.p.A. - Sicurezza del patrimonio informativo aziendale e trattamento dei dati - aprile Premesse normative e giurisprudenziali (segue) : 4) OPINION PRIVACY: “ non è un diritto assoluto, ma è da bilanciare con altri diritti / libertà e interessi legittimi”…. Il datore di lavoro deve, d’altra parte, trattare i dati nel rispetto di taluni principi essenziali, quali ad es. la finalità, la trasparenza, la legittimità, la proporzionalità, l’accuratezza e la conservazione, la sicurezza. 5) Pareri del Garante: Corrispondenza in linea e quella epistolare non possono essere considerate in modo differente (L. 547/93 - reati informatici e d.p.r. 513/97 - documenti elettronici); riconosce esistenza di interessi legittimi, dell’azienda, che è responsabile per l’informazione trattata dai dipendenti tramite indirizzi di propria pertinenza (es. informazioni illecite, contrarie alla morale, dannose per l’azienda o per terzi, ecc.); preferenza verso la prevenzione di abusi, rispetto alla sanzione 6) Tribunale di Milano - ordinanza : L’indirizzo e.mail assegnato in uso per motivi lavorativi al dipendente è “personale”, ma ciò non significa “privato” (“ la comparsa del nome dell’Azienda nella formulazione dell’indirizzo gli attribuisce valenza aziendale e quindi lo colloca nella disponibilità del datore di lavoro, che può accedervi direttamente o tramite la propria struttura” …. “ l’utilizzo privato dello strumento (cioè extra lavorativo), “ atteso che giammai un uso illecito (o al massimo semplicemente tollerato ma non certo favorito) di uno strumento di lavoro può far attribuire a chi questo illecito commette, diritti di sorta”. La giurisprudenza più recente si sta inoltre consolidando sulla tesi che, laddove il monitoraggio sia previsto per finalità di tutela del patrimonio aziendale (comprendente anche le informazioni, l’immagine interna ed esterna, la clientela etc.) e non il controllo dell'attività del lavoratore - intesa come prestazione lavorativa - esso non vada considerato quale forma di controllo a distanza ai sensi dell’art. 4 L.300/70.

Cassa di Risparmio di Bolzano S.p.A. - Sicurezza del patrimonio informativo aziendale e trattamento dei dati - aprile Principi generali per il regolamento del monitoraggio sui sistemi informativi : 1) FINALITÀ DEL TRATTAMENTO : lecite o rispondenti a interessi legittimi o imposte da norme o necessarie allo svolgimento del rapporto lavorativo; 2) TRASPARENZA : informazione dei dipendenti su QUALI dati, COME, DA CHI e A QUALI FINI vengono raccolti e trattati i dati - ove possibile/opportuno CONSENSO “INFORMATO”; 3) LEGITTIMITÁ : trattamento deve avvenire nel rispetto dei diritti e delle libertà individuali; 4) PROPORZIONALITÁ fra FINALITÀ (monitoraggio rischi sostenuti dal datore) E TRATTAMENTO 5) ACCURATEZZA (correttezza e affidabilità degli strumenti utilizzati per raccolta e trattamento) E CONSERVAZIONE (sicurezza della conservazione dei dati) 6) PROFESSIONALITÁ E RISERVATEZZA del personale autorizzato a intervento e trattamento dati 1) UTILIZZO POSTA ELETTRONICA 2) ACCESSI INTERNET 3) ACCESSI ALLE PROCEDURE IMPIEGATE IN TUTTI I SISTEMI INFORMATIVI DELLA BANCA 3.1 Oggetto del monitoraggio in CRBZ :

Cassa di Risparmio di Bolzano S.p.A. - Sicurezza del patrimonio informativo aziendale e trattamento dei dati - aprile Finalità del monitoraggio in CRBZ : 1)GESTIONE DEL SERVIZIO I.T.: Predisposizione dell’infrastruttura tecnica per la posta elettronica e gli accessi Internet necessaria alla gestione di malfunzionamenti, al monitoraggio/ottimizzazione di carichi di linea, siti e struttura, al riparto dei costi e all’abilitazione e riconoscimento del dipendente autorizzato ad effettuare determinate transazioni, in relazione ai diversi livelli di responsabilità 2) FUNZIONI ISPETTIVE VOLTE ALLA PREVENZIONE DI RISCHI NELLA SICUREZZA DEI DATI E DEL TRATTAMENTO PREVENZIONE DI RISCHI: il monitoraggio degli accessi ed utilizzi è volto a prevenire, identificare e correggere situazioni anomale/illecite, valutare la portata, l’origine, destinazione di singole operazioni e, ove necessario, individuare l’autore di eventuali comportamenti contrari a norme di legge o interne alla Banca, in particolare: - invio tramite i sistemi informativi aziendali di con false impersonificazioni; - invio o raccolta tramite i sistemi informativi aziendali di o immagini contrari alle norme di legge, alla morale (es. a contenuto razzista, pornografico, eversivo…) o a vigenti regolamenti interni (es. raccolta/uso di programmi non autorizzati o rischiosi per l’integrità e funzionalità del sistema informativo della Banca)

Cassa di Risparmio di Bolzano S.p.A. - Sicurezza del patrimonio informativo aziendale e trattamento dei dati - aprile Finalità del monitoraggio in CRBZ (segue) : - tentativo di intrusione in sistemi interni o esterni - violazione di obblighi di legge o contrattuali (obblighi di fedeltà e di rispetto del segreto d’ufficio) o che implichino lo svolgimento di attività contrarie agli interessi dell’Azienda o la violazione del diritto alla riservatezza di clienti e dipendenti, l’interesse alla tutela dell’immagine aziendale. In nessun caso tali sistemi possono essere diretti ad attuare un controllo a distanza della prestazione lavorativa dei dipendenti ovvero altre forme di controllo occulto, ma saranno operati in modo finalizzato alla tutela del patrimonio informativo e della responsabilità/immagine aziendale, anche perché l’adibizione ai terminali rappresenta solo un aspetto della più ampia operatività richiesta al dipendente.

Cassa di Risparmio di Bolzano S.p.A. - Sicurezza del patrimonio informativo aziendale e trattamento dei dati - aprile Sistemi di prevenzione e di monitoraggio : PREVENZIONE DI ABUSI: in sintonia con l’orientamento normativo alla prevenzione degli abusi rispetto alla sanzione, la Cassa ha provveduto alle seguenti misure: informativa ai dipendenti dell’obbligo di utilizzo degli strumenti di posta elettronica e accesso Internet per esclusive finalità di lavoro, in quanto strumenti di proprietà dell’Azienda (L.C. 74/2002); la Cassa ha provveduto ad ascrivere a se stessa la titolarità degli indirizzi di posta elettronica (dominio Internet) sistemi di informazione/avviso dell’utente in merito ai rischi sull’uso di posta elettronica esterna via Internet - rilevamento accesso/tentativo di accesso a siti Internet e identificabilità degli abusi abilitazione all’accesso a siti Internet a postazioni di lavoro autorizzate e/o a siti di interesse aziendale in corso di implementazione filtraggio di siti Web indesiderati (‘websense’)

Cassa di Risparmio di Bolzano S.p.A. - Sicurezza del patrimonio informativo aziendale e trattamento dei dati - aprile Sistemi di prevenzione e di monitoraggio : (segue) MONITORAGGIO DEL TRATTAMENTO: l a sola prevenzione può non garantire sempre la sicurezza del sistema; il controllo di determinati rischi può richiedere una precisa procedura di monitoraggio / Audit che tenga conto delle vigenti disposizioni di legge, di contratto e della necessaria trasparenza nei confronti dei dipendenti. I sistemi informativi utilizzati in Cassa sono generalmente dotati di procedure di Logging, che consentono la registrazione e archiviazione di alcune informazioni, in molti casi storicizzate e disponibili per eventuale recupero dati in caso di malfunzionamenti del sistema ovvero per necessità di conservazione di informazioni nel tempo o per adempimenti di legge. A titolo di esempio: per gli accessi a Internetper gli utilizzi della posta elettronica data e orario accessodata e orario invio user-id connessoindirizzi mittente e destinatario tempo di connessione dimensione del messaggio indirizzo del sito visitatooggetto della missiva Per finalità di accertamento e repressione dei reati i dati relativi agli accessi Internet sono archiviati per mesi (rif. L. 45/2004 che modifica l’art. 132 del D.Lgs. 196/03), decorsi i quali sono automaticamente distrutti dal sistema; L’ACCESSO AI DATI DI LOG È CONSENTITO SOLO AGLI AMMINISTRATORI DI SISTEMA (ex DPR 318/99) formalmente incaricati dell’amministrazione delle risorse di un sistema operativo o base dati.

Cassa di Risparmio di Bolzano S.p.A. - Sicurezza del patrimonio informativo aziendale e trattamento dei dati - aprile Procedimento in caso di illeciti e irregolarità : Ai fini del monitoraggio ed eliminazione di abusi si prevede il seguente procedimento per il recupero dei dati storicizzati dai files di log, per compiere analisi specifiche: 1) Al prefigurarsi del fondato sospetto di un utilizzo illecito/irregolare/contrario a interessi legittimi di strumenti e dati aziendali, convalidato da seri e circoscritti indizi, previa richiesta scritta del Servizio Revisione Interna indirizzata al Servizio Organizzazione/IT/Sicurezza saranno estratte - sempre dagli Amministratori di Sistema, affiancati da addetti del S. Revisione Interna e dell’Ufficio Sicurezza - le informazioni suddette relative al caso in esame, al fine di una specifica analisi delle stesse ad opera del S. Revisione. 2) Informativa di avvio dell’analisi è preventivamente fornita dal S.Revisione Interna a: - S. Legale e contenzioso che, nel caso di presumibili illeciti penali (es. pedofilia), valuterà l’invio immediato di un esposto alle Autorità giudiziarie ; - Direzione Generale, nel caso di presumibili illeciti relativi alla sfera aziendale, che valuterà - ove siano perseguibili anche civilmente o penalmente - di incaricare il S.Legale dei necessari adempimenti informativi verso le Autorità competenti; - S. Personale e Relazioni Sindacali che provvederà a valutare di volta in volta gli eventuali aspetti contrattuali/ disciplinari coinvolti e il necessario preventivo coinvolgimento delle RSA. Il controllo dei dati così organizzati si limita all’entità dello scambio di corrispondenza e al tipo e alla durata delle connessioni/sessioni.

Cassa di Risparmio di Bolzano S.p.A. - Sicurezza del patrimonio informativo aziendale e trattamento dei dati - aprile Procedimento in caso di illeciti e irregolarità : 3) Laddove l’analisi delle informazioni registrate lasci presumere la fondatezza di suddetti sospetti, l’Azienda potrà richiedere di motivare tali anomalie al/i lavoratore/i interessato/i, tramite formale richiesta di chiarimenti. Questo/i, se lo riterrà/nno opportuno, potrà/nno farsi assistere da un rappresentante dell’associazione sindacale cui aderisce/aderiscono o conferisce/conferiscono mandato. 4) Laddove tali chiarimenti non costituiscano sufficienti e valide motivazioni, l’Azienda valuterà di aprire formale contestazione disciplinare verso il dipendente ai sensi art. 7 L. 300/70. DI TALI SISTEMI E PROCEDURE DI MONITORAGGIO SARÁ DATA PREVENTIVA E OPPORTUNA INFORMAZIONE A TUTTI I DIPENDENTI.