Convegno il fattore sicurezza slide n. 1 La messa a norma per il trattamento dei dati personali (privacy) Ing. Piero Giagnoni Milano, 4 dicembre 2001.

Slides:



Advertisements
Presentazioni simili
Prof. Bertolami Salvatore
Advertisements

Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.
LA PRIVACY IN 4 PASSI Nella diapositiva successiva troverete uno schema che riassume gli aspetti principali della “PRIVACY” L’obiettivo è quello di descrivervi.
Struttura del codice sulla privacy:
14° LEARNING OBJECT Riforma semplificativa D.lgs. 467/2001 Approfondire la conoscenza del quadro normativo in riferimento alle misure di sicurezza della.
DIRITTI E DOVERI DEI PUBBLICI DIPENDENTI Autore: Della Chiara Giorgio
Firenze - 27 Aprile 2002 Salone de'Dugento Palazzo Vecchio E-privacy, riservatezza e diritti individuali in rete: difendersi dal Grande Fratello nel terzo.
il Rappresentante dei Lavoratori per la Sicurezza
Associazione Nazionale Direttori Amministrativi e Finanziari Sezione Liguria Borsa e Mercati Finanziari – La comunicazione con gli investitori tra opportunità
SERVIZIO DI PREVENZIONE E PROTEZIONE
CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI D.Lgs. 30 giugno 2003 n. 196 Entrato in vigore il 1° gennaio 2004 sostituisce L. 675/96; Recepisce:
CORSO PRIVACY PARTE GENERALE
Studio Legale Baldacci Esempio strutturato di SICUREZZA ORGANIZZATIVA Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni.
Eutekne – Tutti i diritti riservati Il Codice della Privacy (DLgs. 196/2003) e le Associazioni Sportive Avv. Stefano Comellini.
Diritto di accesso e privacy
LA NORMATIVA DI RIFERIMENTO
1 La protezione dei dati D.lgs. 196/2003 Il Codice in materia di Protezione dei dati personali.
Confindustria Genova Workshop 31 gennaio 2008 Privacy e fisco Avv. Roberto Falcone.
Gestione collettiva del risparmio
Sono partecipanti eventuali al procedimento amministrativo (art. 9):
Chiocciola S.r.l. – Riproduzione vietata – Guarene, 24 maggio 2006 Dal 1996… un obbiettivo strategico: la sicurezza a 360° LUCIANO CORINO Chiocciola Consulting.
Area: la gestione dei progetti complessi
La tutela dei dati personali
Impresa e Privacy. Il trattamento dei dati deve essere eseguito nel rispetto dei diritti e delle libertà fondamentali, della dignità della persona, con.
Autore TECNOCHORA SPA - AREA INFORMATION TECHNOLOGY La Privacy Formazione del personale interno Materiale riservato. Proprietà di Tecnochora spa. Vietata.
Novità in materia di PRIVACY 23 febbraio 2012 Relatore: Gianni Festi.
PRIVACY SCUOLA a cura di DOTT. MANGANIELLO MARCO
Oggetto della valutazione dei rischi (art. 28 ) È stato riformulato rispetto al Dlgs. 626/94 loggetto della valutazione dei rischi VALUTAZIONE La VALUTAZIONE,
1 Seminario NORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI – PROGRAMMA STATISTICO NAZIONALE: PROBLEMI E OPPORTUNITA I trattamenti di dati personali in ambito.
ISTAT DCRS Novità organizzative e legislative per il PSN (Roma, 24 giugno 2009) Maria Rosaria Simeone (Dirigente Servizio DCRS/IST) Impatto della normativa.
Riconoscimento delle qualifiche professionali PROFESSIONE DOCENTE
Riproduzione riservata
Dlgs. 196/ Da onere burocratico a opportunità aziendale Testo unico che integra, sotituisce e abroga i precedenti D. lgs.: 675 del 31/12/1996:
Lo stage Enrica Savoia.
RIFERIMENTI NORMATIVI : Il 15° Censimento Generale della Popolazione e delle Abitazioni è disciplinato da fonti normative comunitarie e nazionali: - Normative.
Lo sviluppo del progetto informatico
LEZIONE 6 MISURE DI PREVENZIONE.
Per la gestione dei dati personali: Per la gestione dei dati personali:
D. Lgs 196/2003 Codice in materia di protezione dei dati personali.
22 MARZO ORE 15,00 Sei in regola con gli obblighi in materia di sicurezza e privacy? Consigli pratici per adeguarsi… Piermaria Saglietto.
ISTRUTTORIA PROCEDIMENTALE
D.L.196 del 30 giugno 2003 codice in materia di protezione dei dati personali Scuola elementare statale IV Circolo di Lodi.
PRIVACY: Adempimenti e Opportunità
1 La Protezione dei Dati Personali Il modello Basilicata dott. Vincenzo Veneziano PROGETTO SEMPLIFICAZIONE.
20 maggio 2005 CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI (d.lgs. 30 giugno 2003, n. 196)
20 maggio CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI (d.lgs. 30 giugno 2003, n. 196) Formatore:
IL CODICE DELLA PRIVACY
Iniziativa realizzata nellambito delle attività di promozione del CSV Irpinia Solidale1 Progetto: Consumatori Informati – cod. 310/ giugno 2009.
CONSULTABILITA’ DOCUMENTI
Pubblicità legale (Albo on-line)
Nozioni basilari in materia di Privacy
Interessato: Informativa e diritti L’Art. 7 definisce i diritti dell’interessato: Ottenere Informativa Preventiva sulle finalità e le modalità del trattamento.
Azienda Ospedaliera San Giovanni Addolorata: Compiti dei responsabili e referenti privacy Avv. Giovanni Guerra.
CORSO DI AGGIORNAMENTO ADEMPIMENTI PER LA TUTELA DELLA PRIVACY ANNO 2008.
Principio di necessità nel trattamento dei dati (art.3 codice privacy)
Misure di Sicurezza per gli Strumenti Elettronici Gianpiero Guerrieri Dirigente Analista Responsabile I.C.T.
Trasparenza e Anticorruzione:
Le associazioni possono costituirsi:
La conservazione dei documenti informatici delle pubbliche amministrazioni Agenzia per l’Italia Digitale Roma, 27 maggio 2015.
La conservazione dei documenti informatici delle pubbliche amministrazioni Enrica Massella Ducci Teri Roma, 27 maggio 2015.
D.Lgs 196/03: Tutela della privacy
La diffusione sul web di dati personali e la privacy negli enti locali Relatore Gianni Festi 1.
Nel nostro ordinamento, la tutela della salute e della sicurezza nei luoghi di lavoro è regolata da numerose norme giuridiche, contenute in fonti diverse.
Ing. Monica Summa Camera di Commercio di Napoli 1 “ La gestione in sicurezza delle attrezzature: aspetti generali ed applicativi ” Sala Consiglio Camera.
IL DIRIGENTE SCOLASTICO In qualità di Titolare del trattamento dei dati personali dell’Istituzione scolastica; Ai sensi degli art. 29 e 30 del Testo Unico.
Associazione Industriale Bresciana 23 giugno 2004 PRIVACY ORGANIZZAZIONE E PRINCIPALI ADEMPIMENTI Decreto legislativo 30 giugno 2003, n. 196 Associazione.
Prof.ssa Cecilia Silvestri - A.A. 2014/2015. Punti Norma ISO 9001 Prof.ssa Cecilia Silvestri - A.A. 2014/2015.
Como, 21 aprile 2015 Paola Baldi 1 I gradi di libertà della normativa sulla privacy per l’uso integrato di fonti amministrative e basi dati nazionali Seminario.
Decreto legislativo 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali”
Torna alla prima pagina Gestire le Informazioni nelle Organizzazioni Oltre i sistemi per la Qualità Aziendale ing. Alessandro Gallo Responsabile Assicurazione.
Transcript della presentazione:

Convegno il fattore sicurezza slide n. 1 La messa a norma per il trattamento dei dati personali (privacy) Ing. Piero Giagnoni Milano, 4 dicembre 2001

slide n. 2 Gli Adempimenti Previsti dalla Legge 675/96 e dal D.P.R. N. 318/99 La normativa italiana in materia di privacy è definita dalla Legge 31 dicembre 1996, n. 675 e dal D.P.R. 28 luglio 1999, n Si riporta di seguito la sintesi degli obblighi a cui è tenuto ogni soggetto (pubblico o privato) che tratti dati personali: NOMINE: al fine di garantire uneffettiva applicabilità, la legge obbliga/consiglia di individuare precise figure di riferimento indicandone ruoli e responsabilità in materia di privacy. NOTIFICAZIONE: è latto formale consistente in una dichiarazione rivolta allautorità amministrativa del Garante con cui si rappresenta lintenzione di dare inizio ad un trattamento di dati personali (L. 675/96, art.7). INFORMATIVA: è linsieme di informazioni da rendere obbligatoriamente allinteressato, oralmente o per iscritto, prima di procedere alla raccolta dei dati personali e contenente: la descrizione delle specifiche finalità e modalità del trattamento, lindicazione dellambito di comunicazione/ diffusione dei dati, nonché lelenco dei diritti riconosciuti allinteressato (L. 675/96, art.10).

slide n. 3 COMUNICAZIONE/DIFFUSIONE: sono due modalità di trattamento dei dati personali che la legge disciplina con rigore, nellintento di tutelare non solo lesigenza dellindividuo alla riservatezza, ma anche la possibilità di controllo da parte dellinteressato sulla circolazione dei propri dati (L. 675/96, art. 20). DIRITTO DI ACCESSO: è un preciso diritto che la legge riconosce allinteressato garantendogli la possibilità di sapere dellesistenza di dati che lo riguardano e di chiedere, in forma intellegibile, la comunicazione degli stessi, nonché dettagliate informazioni relative alle modalità di trattamento (L. 675/96, art. 13). Gli Adempimenti Previsti dalla Legge 675/96 e dal D.P.R. N. 318/99

slide n. 4 CONSENSO: salvo nei casi di esclusione previsti dalla legge (es. enti pubblici), il consenso al trattamento dei dati personali sensibili deve essere richiesto espressamente allinteressato dopo avergli fornito linformativa e comunque prima di procedere alla raccolta dei dati (L. 675/96, artt. 11, 12, 20, 22). MISURE ADEGUATE DI SICUREZZA: sono definite tali le misure idonee e preventive da adottare al fine di ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito. La scelta di tali misure è vincolata alla considerazione del progresso tecnico raggiunto, della natura dei dati e delle specifiche caratteristiche del trattamento (L. 675/96, art. 15). MISURE MINIME DI SICUREZZA: si intende linsieme delle misure tecniche, informatiche, logiche e procedurali atte a garantire il livello minimo di sicurezza comune ad ogni tipo di trattamento effettuato con strumenti sia automatizzati che non automatizzati (D.P.R. n. 318/99). Gli Adempimenti Previsti dalla Legge 675/96 e dal D.P.R. N. 318/99

slide n. 5 Step Logici della Messa a Norma 675/96 ADEMPIMENTI FORMALI Individuazione figure/ruoli/ responsabilità 2 Revisione/ redazione modello di notificazione 5 Diffusione informativa ed eventuale consenso 6 Gestione consenso e revoca del consenso 7 Misure di sicurezza 8 ADEMPIMENTI TECNICI E ORGANIZZATIVI Comunicazione e diffusione: procedure 910 Diritto di accesso: procedure 1 Mappatura dei processi aziendali 4 Redazione testi delle nomine Procedure di Manutenzione 11 3 Approvazione delle figure/ruoli/ responsabilità

slide n. 6 Step 1: Mappatura dei processi aziendali Per poter adempiere formalmente e sostanzialmente agli obblighi di legge è opportuno elaborare un micro modello organizzativo a supporto privacy ritagliato sulle specifiche esigenze/caratteristiche dellazienda. Con questo intento e partendo dal presupposto che allinterno di ogni processo sia possibile individuare uno o più trattamenti di dati ad esso connessi, il nostro approccio metodologico prevede come primo step logico la mappatura dei processi in azienda. Lobiettivo è individuare quei trattamenti che devono essere disciplinati. mappatura di tutti i processi aziendali individuazione dei processi sensibili alla privacy individuazione del Process Owner per ogni processo sensibile definizione dellambito del trattamento dei dati Mappatura dei processi aziendali

slide n. 7 Step 2: Individuazione Figure/Ruoli/Responsabilità individuazione delle figure obbligatorie ed operative definite sulla base della specificità della singola struttura assegnazione dei ruoli e delle responsabilità allinterno dellorganizzazione Dalla mappatura dei processi e una volta individuati i Process Owner, è possibile individuare le responsabilità e i ruoli di ciascuno nellambito del sistema privacy. Individuazione figure/ruoli/ responsabilità

slide n. 8 Step 3: Approvazione delle Figure/Ruoli Individuati Lintera struttura aziendale deve necessariamente approvare e condividere: La creazione di nuovi ruoli e responsabilità. Lassegnazione dei ruoli e delle responsabilità alle specifiche risorse. discussione ed approvazione dei ruoli, delle responsabilità e delle risorse assegnate ai medesimi Approvazione delle figure/ruoli/ responsabilità

slide n. 9 Step 4: Redazione Testi delle Nomine Lobiettivo di questa fase è rendere ufficiali gli incarichi assegnati attraverso: la redazione dei testi da un punto di vista legale laccettazione dei compiti affidati alle risorse nominate mediante la sottoscrizione dei testi medesimi redazione legale dei testi necessari sottoscrizione dei testi prodotti da parte dei soggetti interessati Lapprovazione dei ruoli, delle responsabilità e delle risorse assegnate deve essere resa formale allinterno dellazienda attraverso la redazione dei testi di nomina ed incarico, come previsto dai normali meccanismi di delega interni. Redazione testi delle nomine

slide n. 10 Step 5: revisione/redazione del modello di notifica redazione/revisione del modello di notificazione invio della notificazione al Garante La notificazione al Garante è atto formale essenziale per la messa a norma; tra i contenuti fondamentali della notifica è necessario che compaiano i nominativi dei responsabili individuati (vd. step 4). Per procedere ad una corretta notificazione è pertanto necessario: Redigere o revisionare - nel caso in cui già effettuata - i contenuti della notificazione sulla base delle nomine redatte e sottoscritte. Inviare il modello di notificazione allautorità amministrativa del Garante. Revisione/ redazione modello di notificazione

slide n. 11 Step 6: Redazione Informativa ed Eventuale Consenso Linformativa è un atto formale obbligatorio che deve essere necessariamente resa allinteressato; in questo step si deve procedere a: Decidere se effettuarla oralmente o per iscritto in funzione delle esigenze organizzative della specifica struttura. Qualora linformativa dovesse essere resa in forma scritta, si deve definirne il testo dal punto di vista legale in considerazione delle finalità e modalità dei trattamenti. Il consenso, salvo i casi di esclusione, deve essere richiesto necessariamente; in questo step si deve procedere a: Decidere la necessità o meno della richiesta di consenso in funzione del tipologia di ente titolare del trattamento di dati gestiti (ente pubblico o privato). Definire il testo del modulo di consenso in funzione delle esigenze/caratteristiche della singola struttura. definizione dei contenuti dellinformativa e relativa redazione legale del testo definizione e redazione delleventuale modulo di consenso Diffusione informativa ed eventuale consenso

slide n. 12 Step 7: Gestione Consenso e Revoca Per la tutela dei diritti dellinteressato la legge prevede non solo che lorganizzazione richieda il consenso, ma anche e soprattutto che sia in grado di gestire operativamente lo stesso. La gestione implica fondamentalmente che: La struttura sappia in qualunque momento quali dati le è consentito trattare (consenso) La struttura sappia in qualunque momento quali dati non le è più consentito trattare (revoca consenso) definizione procedure per la gestione/revoca del consenso Gestione consenso e revoca del consenso

slide n. 13 Step 8: Misure di Sicurezza Le misure di sicurezza (minime ed adeguate) riguardano linsieme dei comportamenti da attivare al fine di garantire la sicurezza dei dati detenuti dallorganizzazione in merito a: protezione dei dati correttezza dei dati pertinenza dei dati e non eccedenza degli stessi rispetto alle finalità della raccolta Limplicazione organizzativa di tale norma prevede pertanto che in questo step si regolamentino mediante la definizione di regole/procedure: la gestione degli archivi cartacei la gestione degli archivi informatici i comportamenti delle figure nominate rispetto alla conservazione dei dati definizione procedure per lapplicazione delle misure minime di sicurezza definizione procedure per lapplicazione delle misure adeguate di sicurezza Misure di sicurezza

slide n. 14 Step 9: Comunicazione e Diffusione: Procedure Al fine di gestire la comunicazione/diffusione dei dati personali è necessario: Sulla base dellambito/modalità di comunicazione dei dati rilevati nello step 1, stabilire le procedure atte a regolare la comunicazione dei dati. Sulla base dellambito/modalità di diffusione dei dati rilevati nello step 1, stabilire le procedure atte a regolare la diffusione dei dati. definizione procedure per disciplinare la comunicazione dei dati definizione procedure per disciplinare la diffusione dei dati Comunicazione e diffusione: procedure

slide n. 15 Step 10: Diritto di Accesso: Procedure Per gestire operativamente il diritto di accesso occorre: Sulla base delle esigenze organizzative della singola struttura e delle norme prescritte dalla legge, definire le procedure atte a gestire il diritto di accesso. definizione procedure per la gestione del diritto di accesso Comunicazione e diffusione: procedure

slide n. 16 Step 11: Procedure di Manutenzione Il sistema può essere costantemente manutenuto prevedendo apposite procedure che regolamentino a priori le eventuali variazioni di dati/archivi/dipendenti ecc. A fronte di tali variazioni è possibile indicare i passi e le modalità di revisione di tutte o di alcune delle fasi descritte. Procedure di Manutenzione

slide n. 17 Conclusioni Lapplicazione della nostra metodologia consente di: raggiungere la messa a norma per le disposizioni sui trattamenti di dati personali senza stravolgimenti allorganizzazione preesistente, che daltronde le norme non impongono; creare (o confermare) nei team operativi la cultura della sicurezza come background indispensabile per il recepimento delle POLITICHE DI SICUREZZA aziendali e lattivazione consapevole delle procedure conseguenti; operare sinergie con altri interventi consulenziali in atto, riguardanti aspetti di riorganizzazione aziendale o sicurezza dei sistemi IT; fornire servizi per conto terzi sui trattamenti automatizzati e non automatizzati dei dati personali comuni e sensibili, con la sicurezza, per il committente, di essere pienamente rispondente alle norme vigenti, anche per quanto riguarda le misure adeguate di sicurezza a protezione degli stessi.