Scaricare la presentazione
La presentazione è in caricamento. Aspetta per favore
PubblicatoGennara Cosentino Modificato 8 anni fa
1
Diritti e doveri dei dipendenti in ambito aziendale. Obblighi aziendali alla luce del nuovo Testo Unico Privacy. E-B & LEX - Milano - 7 novembre 2003 © www.consulentelegaleinformatico.it 7 e 28 novembre 2003 - Milano
2
Investire nella digitalizzazione significa progettare il futuro La prevenzione legale equivale ad un risparmio di tempo e costi Un’erronea interazione tra azienda-informatica-norme rallenta i processi di sviluppo aziendale Informatizzazione aziendale: perché…… E-B & LEX - Milano - 7 novembre 2003 © www.consulentelegaleinformatico.it
3
Casella di posta elettronica aziendale Videosorveglianza e Statuto dei Lavoratori Responsabilità del datore di lavoro per i reati commessi in azienda: navigazione durante l’orario di lavoro, pirateria del sw e danneggiamento doloso della strumentazione informatica La prevenzione giuridica Oggi nella prima parte dell’incontro parleremo di …. E-B & LEX - Milano - 7 novembre 2003 © www.consulentelegaleinformatico.it
4
Nuovo Codice in materia di protezione dei dati personali Applicazioni pratiche ai dipendenti Direct marketing e spamming tra vecchie interpretazioni e nuova normativa Le misure di sicurezza richieste dal Codice in materia di trattamento dati personali e dati sensibili … mentre nella seconda parte di … E-B & LEX - Milano - 7 novembre 2003 © www.consulentelegaleinformatico.it
5
Fattispecie giuridiche coinvolte Gruppo Europeo parere n. 8/2001 Diritto costituzionale al segreto della corrispondenza Art. 4 Statuto dei lavoratori: impianti audiovisivi Art. 8 Statuto dei lavoratori: divieto indagine sulle opinioni dei lavoratori Norme penali a tutela della riservatezza Diritto alla privacy Diritto costituzionale al segreto della corrispondenza Art. 4 Statuto dei lavoratori: impianti audiovisivi Art. 8 Statuto dei lavoratori: divieto indagine sulle opinioni dei lavoratori Norme penali a tutela della riservatezza Diritto alla privacy MONITORAGGIO Proporzionato Adeguato Non eccessivo rispetto al fine Meno invasivo possibile Informandone i dipendenti MONITORAGGIO Proporzionato Adeguato Non eccessivo rispetto al fine Meno invasivo possibile Informandone i dipendenti Disciplina giuridica applicabile alla casella di posta elettronica aziendale Disciplina giuridica applicabile alla casella di posta elettronica aziendale E-B & LEX - Milano - 7 novembre 2003 © www.consulentelegaleinformatico.it
6
Il panorama internazionale Potenziali soluzioni America ed Inghilterra presupposto è proprietà esclusiva imprenditore sentenze hanno obbligato al monitoraggio diffusione software di controllo monitoraggio motivato ed informato Francia rispetto principio proporzionalità obbligo consultazione rappresentanze sindacali obbligo informativa Olanda presupposto rinuncia parziale privacy diritto stabilire utilizzo posta elettronica diritto di tutela del patrimonio aziendale in ogni forma autorizzazione utilizzo e-mail America ed Inghilterra presupposto è proprietà esclusiva imprenditore sentenze hanno obbligato al monitoraggio diffusione software di controllo monitoraggio motivato ed informato Francia rispetto principio proporzionalità obbligo consultazione rappresentanze sindacali obbligo informativa Olanda presupposto rinuncia parziale privacy diritto stabilire utilizzo posta elettronica diritto di tutela del patrimonio aziendale in ogni forma autorizzazione utilizzo e-mail Diffusione di una cultura a favore della casella di posta elettronica intesa come bene aziendale Adozione di un mezzo di conoscenza per il dipendente dell’esatta destinazione della casella di posta elettronica aziendale Diffusione di una cultura a favore della casella di posta elettronica intesa come bene aziendale Adozione di un mezzo di conoscenza per il dipendente dell’esatta destinazione della casella di posta elettronica aziendale Disciplina a livello internazionale E-B & LEX - Milano - 7 novembre 2003 © www.consulentelegaleinformatico.it
7
È vietato l’uso di impianti audiovisivi e di altre apparecchiature con finalità di mero controllo a distanza dell’attività dei lavoratori. Gli impianti e le apparecchiature di controllo che siano richiesti da esigenze organizzative e produttive ovvero dalla sicurezza del lavoro, ma dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere installati soltanto previo accordo con le rappresentanze sindacali aziendali, oppure in mancanza di queste, con la commissione interna. In difetto di accordo, su istanza del datore di lavoro, provvede l’Ispettorato del lavoro, dettando, ove occorra, le modalità per l’uso di tali impianti. È vietato l’uso di impianti audiovisivi e di altre apparecchiature con finalità di mero controllo a distanza dell’attività dei lavoratori. Gli impianti e le apparecchiature di controllo che siano richiesti da esigenze organizzative e produttive ovvero dalla sicurezza del lavoro, ma dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere installati soltanto previo accordo con le rappresentanze sindacali aziendali, oppure in mancanza di queste, con la commissione interna. In difetto di accordo, su istanza del datore di lavoro, provvede l’Ispettorato del lavoro, dettando, ove occorra, le modalità per l’uso di tali impianti. Art. 4 Statuto dei Lavoratori: divieto assoluto e divieto relativo È violazione anche… Installare apparecchi non funzionanti Installare impianti In locali dove i lavoratori si trovano saltuariamente Sussistenza preavviso del controllo su presenza apparecchiature finalizzate al mero controllo Installare apparecchi non funzionanti Installare impianti In locali dove i lavoratori si trovano saltuariamente Sussistenza preavviso del controllo su presenza apparecchiature finalizzate al mero controllo Videosorveglianza e Statuto dei lavoratori E-B & LEX - Milano - 7 novembre 2003 © www.consulentelegaleinformatico.it
8
Principio di proporzionalità dei mezzi utilizzati Indicazione esistenza video Indicazione periodo di conservazione dati Riconoscimento diritto di accesso Principio di proporzionalità dei mezzi utilizzati Indicazione esistenza video Indicazione periodo di conservazione dati Riconoscimento diritto di accesso Applicazione art. 11 TU (modalità del trattamento e requisiti dei dati) art. 114 (recepimento art. 4 Stat. Lav.) ed art. 134 (Codice di deontologia e di buona condotta) Presupposti rispetto privacy È possibili installarle se… Apparecchiature poste per finalità produttive Apparecchiature poste per finalità di controllo e sicurezza Informativa ben visibile Apparecchiature poste per finalità produttive Apparecchiature poste per finalità di controllo e sicurezza Informativa ben visibile Videosorveglianza e nuovo codice E-B & LEX - Milano - 7 novembre 2003 © www.consulentelegaleinformatico.it
9
Reati più frequenti commessi in ambito aziendale dai dipendenti “Computer Crime” di Marco Strano I reati in azienda: statistiche E-B & LEX - Milano - 7 novembre 2003 © www.consulentelegaleinformatico.it
10
Pena ritenuta congrua dai titolari delle aziende in merito ad un utilizzo della strumentazione informatica per fini illeciti “Computer Crime” di Marco Strano Rimedi secondo le aziende E-B & LEX - Milano - 7 novembre 2003 © www.consulentelegaleinformatico.it
11
Accessibilità rete Caratteristiche navigazione non autorizzata Reati Accesso non autorizzato avvenuto durante svolgimento mansioni non connesse alla rete Accesso autorizzato ma non per quelle navigazioni Accesso non autorizzato avvenuto durante svolgimento mansioni non connesse alla rete Accesso autorizzato ma non per quelle navigazioni Furto tempo macchina: Chiunque si impossessa della cosa mobile altrui sottraendola a chi la detiene al fine di trarne profitto per sé o per altri. Agli effetti della legge penale si considera cosa mobile altrui anche l’energia elettrica e qualsiasi altra energia che abbia un valore economico. Truffa: Chiunque con artifizi o raggiri inducendo taluno in errore procura a sé o ad altri un ingiusto profitto con altrui danno. Appropriazione indebita: Chiunque per procurare a sé o ad altri un ingiusto profitto si appropria di una cosa mobile altrui di cui abbia a qualsiasi titolo il possesso. Aggravato ex art. 61 punto 11) dall’aver commesso il fatto con abuso di relazioni d’ufficio o di prestazione d’opera. Furto tempo macchina: Chiunque si impossessa della cosa mobile altrui sottraendola a chi la detiene al fine di trarne profitto per sé o per altri. Agli effetti della legge penale si considera cosa mobile altrui anche l’energia elettrica e qualsiasi altra energia che abbia un valore economico. Truffa: Chiunque con artifizi o raggiri inducendo taluno in errore procura a sé o ad altri un ingiusto profitto con altrui danno. Appropriazione indebita: Chiunque per procurare a sé o ad altri un ingiusto profitto si appropria di una cosa mobile altrui di cui abbia a qualsiasi titolo il possesso. Aggravato ex art. 61 punto 11) dall’aver commesso il fatto con abuso di relazioni d’ufficio o di prestazione d’opera. L’opportunità è la causa principale Principio di prassi aziendale di tolleranza La navigazione non autorizzata come reazione a clima oppressivo L’opportunità è la causa principale Principio di prassi aziendale di tolleranza La navigazione non autorizzata come reazione a clima oppressivo La navigazione durante l’orario di lavoro E-B & LEX - Milano - 7 novembre 2003 © www.consulentelegaleinformatico.it
12
Criminodinamica Conseguenze per le aziende Scriminanti secondo principio di tolleranza Soluzioni tecniche e giuridiche Non fatto particolarmente grave Censura minore della reazione sociale Mancate conseguenze sul piano disciplinare Non fatto particolarmente grave Censura minore della reazione sociale Mancate conseguenze sul piano disciplinare Caso eccezionale Consenso avente diritto Caso eccezionale Consenso avente diritto Criminodinamica e scriminanti Rischio coinvolgimento in responsabilità penali e civili Perdita tempo-lavoro Sostenimento costi non attinenti l’attività aziendale Rischio coinvolgimento in responsabilità penali e civili Perdita tempo-lavoro Sostenimento costi non attinenti l’attività aziendale Controllo log di navigazione Adozione sanzioni disciplinari Controllo log di navigazione Adozione sanzioni disciplinari E-B & LEX - Milano - 7 novembre 2003 © www.consulentelegaleinformatico.it
13
Pirateria Dati www.bsa.org La pirateria del sw in Europa E-B & LEX - Milano - 7 novembre 2003 © www.consulentelegaleinformatico.it
14
Informazioni raccolte presso aziende italiane inerenti la pirateria aziendale Dati www.bsa.org La pirateria aziendale del software E-B & LEX - Milano - 7 novembre 2003 © www.consulentelegaleinformatico.it
15
Duplicazione abusiva software Responsabilità oggettiva datore di lavoro ART. 171 BIS LDA: Chiunque abusivamente duplica, per trarne profitto, programmi per elaboratore o ai medesimi fini importa, distribuisce, vende, detiene a scopo commerciale o imprenditoriale o concede in locazione programmi contenuti in supporti non contrassegnati dalla Società italiana degli autori ed editori (SIAE), è soggetto alla pena della reclusione da sei mesi a tre anni e della multa da € 2.582 a € 15.494. La stessa pena si applica se il fatto concerne qualsiasi mezzo inteso unicamente a consentire o facilitare la rimozione arbitraria o l'elusione funzionale di dispositivi applicati a protezione di un programma per elaboratori. La pena non è inferiore nel minimo a due anni di reclusione e la multa a € 15.494 se il fatto è di rilevante gravità. ART. 171 BIS LDA: Chiunque abusivamente duplica, per trarne profitto, programmi per elaboratore o ai medesimi fini importa, distribuisce, vende, detiene a scopo commerciale o imprenditoriale o concede in locazione programmi contenuti in supporti non contrassegnati dalla Società italiana degli autori ed editori (SIAE), è soggetto alla pena della reclusione da sei mesi a tre anni e della multa da € 2.582 a € 15.494. La stessa pena si applica se il fatto concerne qualsiasi mezzo inteso unicamente a consentire o facilitare la rimozione arbitraria o l'elusione funzionale di dispositivi applicati a protezione di un programma per elaboratori. La pena non è inferiore nel minimo a due anni di reclusione e la multa a € 15.494 se il fatto è di rilevante gravità. ART. 40 C.P., comma 2. Non impedire un evento che si ha l’obbligo giuridico di impedire, equivale a cagionarlo. ART. 40 C.P., comma 2. Non impedire un evento che si ha l’obbligo giuridico di impedire, equivale a cagionarlo. Responsabilità penali per software illecito E-B & LEX - Milano - 7 novembre 2003 © www.consulentelegaleinformatico.it
16
Prevenzione Delega responsabilità datore di lavoro: la figura dell’addetto al controllo Divieto espresso Adozione idonee misure di sicurezza e controllo Mappatura risorse informatiche Divieto espresso Adozione idonee misure di sicurezza e controllo Mappatura risorse informatiche Consente esonero da responsabilità personale Delega formale Soggetto idoneo Soggetto professionalmente qualificato Delega operativa concretamente: obbligo astensione da ingerenze Consente esonero da responsabilità personale Delega formale Soggetto idoneo Soggetto professionalmente qualificato Delega operativa concretamente: obbligo astensione da ingerenze Prevenzione ed addetti al controllo E-B & LEX - Milano - 7 novembre 2003 © www.consulentelegaleinformatico.it
17
Aspetti penali del danneggiamento informatico Art. 615 quinquies C.P. Chiunque diffonde, comunica o consegna un programma informatico da lui stesso o da altri redatto, avente per scopo o per effetto il danneggiamento di un sistema informatico o telematico, dei dati o dei programmi in esso contenuti o ad esso pertinenti, ovvero l’interruzione totale o parziale, o l’alterazione del suo funzionamento, è punito con la reclusione sino a due anni e con la multa sino a € 1.033. Art. 635 bis C.P. Chiunque distrugge, deteriora o rende in tutto o in parte inservibili sistemi informatici o telematici altrui, ovvero programmi, informazioni o dati altrui, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da sei mesi a tre anni. La pena è della reclusione da uno a quattro anni se il fatto è commesso con abuso della qualità di operatore di sistema. Art. 615 quinquies C.P. Chiunque diffonde, comunica o consegna un programma informatico da lui stesso o da altri redatto, avente per scopo o per effetto il danneggiamento di un sistema informatico o telematico, dei dati o dei programmi in esso contenuti o ad esso pertinenti, ovvero l’interruzione totale o parziale, o l’alterazione del suo funzionamento, è punito con la reclusione sino a due anni e con la multa sino a € 1.033. Art. 635 bis C.P. Chiunque distrugge, deteriora o rende in tutto o in parte inservibili sistemi informatici o telematici altrui, ovvero programmi, informazioni o dati altrui, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da sei mesi a tre anni. La pena è della reclusione da uno a quattro anni se il fatto è commesso con abuso della qualità di operatore di sistema. Il danneggiamento doloso degli strumenti informatici Il danneggiamento doloso degli strumenti informatici E-B & LEX - Milano - 7 novembre 2003 © www.consulentelegaleinformatico.it
18
Risarcimento del danno Danno materiale: costituito dalla perdita di valore di beni o dati nonché dalla dispersione di forza lavoro Danno alla produttività: per evidente arrestamento o rallentamento del meccanismo produttivo Danno all’immagine aziendale: in caso di emersione dei fatti, azienda può essere ritenuta poco affidabile perché non in grado di controllare. Questo motivo alla base di scarse denunce da parte dell’azienda in caso di scoperta di danneggiamento dati o beni informatici. Danno materiale: costituito dalla perdita di valore di beni o dati nonché dalla dispersione di forza lavoro Danno alla produttività: per evidente arrestamento o rallentamento del meccanismo produttivo Danno all’immagine aziendale: in caso di emersione dei fatti, azienda può essere ritenuta poco affidabile perché non in grado di controllare. Questo motivo alla base di scarse denunce da parte dell’azienda in caso di scoperta di danneggiamento dati o beni informatici. Tipologie dei danni derivanti dal danneggiamento Tipologie dei danni derivanti dal danneggiamento E-B & LEX - Milano - 7 novembre 2003 © www.consulentelegaleinformatico.it
19
È svolta in azienda attività di sensibilizzazione del personale in merito ai reati informatici? “Computer Crime” di Marco Strano La sensibilizzazione del personale E-B & LEX - Milano - 7 novembre 2003 © www.consulentelegaleinformatico.it
20
Intervento non invasivo Informativa è primo livello tutela riservatezza Modalità di filtro automatiche senza individuazione utente Intervento non invasivo Informativa è primo livello tutela riservatezza Modalità di filtro automatiche senza individuazione utente Strumentazione Installazione programmi Supporti magnetici Rete interna Rete esterna Posta elettronica Riservatezza dati Indicazione responsabile Strumentazione Installazione programmi Supporti magnetici Rete interna Rete esterna Posta elettronica Riservatezza dati Indicazione responsabile La policy aziendale I contenuti di una policy aziendale Il regolamento informatico interno E-B & LEX - Milano - 7 novembre 2003 © www.consulentelegaleinformatico.it
21
Il nuovo testo unico sulla Privacy Finalità Principio di necessità Il Codice basandosi sul diritto alla protezione dei dati personali - che riconosce a chiunque - raccoglie l’intera normativa coordinata ed entrerà in vigore il primo gennaio 2004. Il Codice garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato con particolare riferimento alla riservatezza, all’identità personale ed al diritto alla protezione dei dati personali. Il tutto deve avvenire secondo principi di armonizzazione, semplificazione ed efficacia delle modalità previste per la tenuta dei dati. Il Codice garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato con particolare riferimento alla riservatezza, all’identità personale ed al diritto alla protezione dei dati personali. Il tutto deve avvenire secondo principi di armonizzazione, semplificazione ed efficacia delle modalità previste per la tenuta dei dati. I sistemi informativi ed i programmi informatici sono configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante dati anonimi o opportune modalità che permettano di identificare l’interessato solo in caso di necessità. I sistemi informativi ed i programmi informatici sono configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante dati anonimi o opportune modalità che permettano di identificare l’interessato solo in caso di necessità. Il nuovo codice di protezione dei dati personali E-B & LEX - Milano - 7 novembre 2003 © www.consulentelegaleinformatico.it
22
1)L’interessato ha diritto di ottenere la conferma dell’esistenza o meno di dati personali che lo riguardano anche non ancora registrati e la loro comunicazione in forma intelligibile. 2)L’interessato ha diritto di ottenere l’indicazione: a)Dell’origine dei dati personali; b)Delle finalità e delle modalità di trattamento; c)Della logica applicata nel trattamento effettuato con l’ausilio di strumenti elettronici; d)Degli estremi identificativi del titolare, dei responsabili e del rappresentante designato; e)Dei soggetti o delle categorie ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato. Accesso: diritti esercitabili dall’interessato E-B & LEX - Milano - 7 novembre 2003 © www.consulentelegaleinformatico.it
23
3)L’interessato ha diritto di ottenere: a)Aggiornamento, rettifica ovvero quando vi è interesse integrazione; b)Cancellazione, trasformazione in forma anonima o blocco dei dati trattati in violazione di legge, compresi quelli di cui è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati; c)Attestazione che le suddette operazioni sono state portate a conoscenza anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si riveli impossibile o comporti un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato. 4) L’interessato ha diritto di opporsi: a)Per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta; b)Al trattamento dei dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale. Il diritto di accesso E-B & LEX - Milano - 7 novembre 2003 © www.consulentelegaleinformatico.it
24
1.A garanzia dell’effettivo esercizio dei diritti di cui all’art. 7, il titolare è tenuto ad adottare misure che: a) agevolino accesso ai dati all’interessato anche con appositi programmi; b) semplifichino modalità e riducano tempi per il riscontro da parte del richiedente. 2.Estrazione dati da responsabile o incaricato e comunicati anche oralmente a richiedente o offerti in visione mediante strumenti elettronici (se comprensione dati è agevole); su richiesta, obbligo trasposizione dati su supporto cartaceo o informatico, ovvero trasmissione per via telematica. 3.Riscontro ha ad oggetto TUTTI i dati personali del richiedente. 4.Se estrazione difficoltosa, sufficiente esibizione o consegna copia degli atti. 5.Diritto comunicazione forma intelligibile non riguarda dati personali relativi a terzi salvo connessione con dati interessato. 6.Obbligo comunicazione grafia comprensibile e se attraverso codici, obbligo fornitura chiavi di lettura idonee. 7.Se dati inesistenti, diritto titolare a contributo. Una garanzia effettiva: il diritto al riscontro E-B & LEX - Milano - 7 novembre 2003 © www.consulentelegaleinformatico.it
25
Permangono: Consenso non richiesto quando il trattamento 1)Obblighi circa modalità trattamento e requisiti dei dati 2)Informativa 3)Obblighi relativi a cessazione trattamento 4)Obbligo richiesta consenso espresso 1)Obblighi circa modalità trattamento e requisiti dei dati 2)Informativa 3)Obblighi relativi a cessazione trattamento 4)Obbligo richiesta consenso espresso a)È necessario per adempimento obbligo normativo b)È necessario per esecuzione obblighi derivanti da contratto del quale è parte l’interessato c)Riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque d)Riguarda dati relativi allo svolgimento di attività economiche, trattati nel rispetto della normativa in materia di segreto aziendale e industriale -È necessario per salvaguardia della vita o incolumità fisica di un terzo -È necessario per perseguire legittimo interesse del titolare o di un terzo anche in riferimento all’attività di gruppi bancari e di società controllate o collegate, qualora non prevalgano i diritti e le libertà fondamentali la dignità o un legittimo interesse a)È necessario per adempimento obbligo normativo b)È necessario per esecuzione obblighi derivanti da contratto del quale è parte l’interessato c)Riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque d)Riguarda dati relativi allo svolgimento di attività economiche, trattati nel rispetto della normativa in materia di segreto aziendale e industriale -È necessario per salvaguardia della vita o incolumità fisica di un terzo -È necessario per perseguire legittimo interesse del titolare o di un terzo anche in riferimento all’attività di gruppi bancari e di società controllate o collegate, qualora non prevalgano i diritti e le libertà fondamentali la dignità o un legittimo interesse Consenso non obbligatorio E-B & LEX - Milano - 7 novembre 2003 © www.consulentelegaleinformatico.it
26
Dati posti su cartellini identificativi Ritratti dipendenti durante spot pubblicitari Utilizzo dei log di connessione Licenziamento posto in busta non sigillata Busta-paga non sigillata Modalità controllo tabulati traffico telefonico Iscrizione sindacati e dati sensibili Fornitura dati per invio c.v Assenze per malattia Dicitura “portatore di handicap” Mancato aggiornamento dati dipendenti laureato Dicitura “pignoramento” su cedolino stipendio Divulgazione graduatorie Dati posti su cartellini identificativi Ritratti dipendenti durante spot pubblicitari Utilizzo dei log di connessione Licenziamento posto in busta non sigillata Busta-paga non sigillata Modalità controllo tabulati traffico telefonico Iscrizione sindacati e dati sensibili Fornitura dati per invio c.v Assenze per malattia Dicitura “portatore di handicap” Mancato aggiornamento dati dipendenti laureato Dicitura “pignoramento” su cedolino stipendio Divulgazione graduatorie Autorizzazione per lavoratori dipendenti Pronunce relative a mancato rispetto della privacy del dipendente Lavoratori dipendenti e applicazioni pratiche della privacy Lavoratori dipendenti e applicazioni pratiche della privacy E-B & LEX - Milano - 7 novembre 2003 © www.consulentelegaleinformatico.it
27
Direct marketing: insieme delle attività, nonché ogni servizio ausiliario ad esse, che permettono di offrire prodotti e servizi e di trasmettere ogni altro messaggio pubblicitario a segmenti di popolazione mediante posta, telefono o altri mezzi diretti a scopo di informazione o al fine di sollecitare una reazione da parte della persona interessata. Spamming: tecnica di invio di messaggi di posta elettronica non richiesti, a fini commerciali. Aspetti nocivi per l’azienda ricevente: a)Costi a carico dell’azienda; b)Sottrazione di tempo utile agli operatori; c)Intasamento dei canali di trasmissione. a)Costi a carico dell’azienda; b)Sottrazione di tempo utile agli operatori; c)Intasamento dei canali di trasmissione. Il direct marketing e lo spamming E-B & LEX - Milano - 7 novembre 2003 © www.consulentelegaleinformatico.it
28
È soggetto all’applicazione della privacy ed equivale a spamming l’invio di messaggi anche da parte di persone fisiche quando si tratti di comunicazione sistematica. L’invio di e-mail commerciali indesiderate dovrebbe essere possibile solo qualora il destinatario abbia precedentemente acconsentito a ricevere tali messaggi. La presenza di un indirizzo e-mail di una persona su un sito internet non autorizza le aziende, per il solo fatto di essere pubblico, ad utilizzarlo per inviare pubblicità. Internet non equivale a elenco pubblico. Spamming e principi pronunciati dal Garante E-B & LEX - Milano - 7 novembre 2003 © www.consulentelegaleinformatico.it
29
Ex art. 130 del Nuovo Testo Unico, disciplinante le comunicazioni indesiderate, è disposto: L’uso di sistemi automatizzati di chiamata per l’invio di materiale pubblicitario o di vendita diretta è consentito con il consenso dell’interessato. Tale disposizione si applica anche alle comunicazioni elettroniche, effettuate per le suddette finalità mediante posta elettronica, sms, mms o altro. Se il titolare del trattamento utilizza, ai fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall’interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell’interessato sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l’interessato, informato, non rifiuti inizialmente o successivamente, tale uso. È vietato in ogni caso l’invio di comunicazioni a scopo promozionale effettuato camuffando o celando l’identità del mittente o senza fornire un idoneo recapito presso il quale l’interessato possa esercitare i diritti previsti dal TU. Le comunicazioni commerciali e promozionali indesiderate Le comunicazioni commerciali e promozionali indesiderate E-B & LEX - Milano - 7 novembre 2003 © www.consulentelegaleinformatico.it
30
Ex art. 140 TU disciplinante il Marketing diretto Il Garante promuove la sottoscrizione di un codice di deontologia e di buona condotta per il trattamento dei dati personali effettuato ai fini di invio di materiale pubblicitario o di vendita diretta ovvero per il compimento di ricerche di mercato o di comunicazione commerciale, prevedendo anche, per i casi in cui il trattamento non presuppone il consenso dell’interessato, forme semplificate per manifestare e rendere meglio conoscibile l’eventuale dichiarazione di non voler ricevere determinate comunicazioni. E-mail commerciali lecite: - Consenso informato del destinatario; - Consenso chiesto previa invio e solo dopo aver informato interessato su scopi per i quali i suoi dati verranno usati; - Non ammesso invio anonimo di messaggi pubblicitari; - Obbligo far valere i diritti di coloro che sono i titolari dei dati; - Formazione elenco di chi intende ricevere e-mail pubblicitarie o di black-list non deve comportare oneri per gli interessati. Codice di buona condotta e direct marketing E-B & LEX - Milano - 7 novembre 2003 © www.consulentelegaleinformatico.it
31
Reato penale? Rimedi esperibili Ex art. 660 c.p. è perseguibile chiunque, in un luogo pubblico o aperto al pubblico, ovvero col mezzo del telefono, per petulanza o per altro biasimevole motivo, reca a taluno molestia o disturbo. Ex nuovo testo unico, sanzioni amministrative, penali e eventuale obbligo pubblicazione sentenza. Ex art. 660 c.p. è perseguibile chiunque, in un luogo pubblico o aperto al pubblico, ovvero col mezzo del telefono, per petulanza o per altro biasimevole motivo, reca a taluno molestia o disturbo. Ex nuovo testo unico, sanzioni amministrative, penali e eventuale obbligo pubblicazione sentenza. Ricorso Autorità Garante (alternativo o precedente a ricorso a.g.) Ricorso Autorità Giudiziaria, sia in sede penale che civile (alternativo o successivo a ricorso A.G) Ricorso Autorità Garante (alternativo o precedente a ricorso a.g.) Ricorso Autorità Giudiziaria, sia in sede penale che civile (alternativo o successivo a ricorso A.G) Aspetti penalistici dello spamming ed Autorità competenti Aspetti penalistici dello spamming ed Autorità competenti E-B & LEX - Milano - 7 novembre 2003 © www.consulentelegaleinformatico.it
32
Sicurezza informatica: esistono sistemi di sicurezza informatica in azienda? “Computer Crime” di Marco Strano Sistemi di sicurezza informatica in azienda E-B & LEX - Milano - 7 novembre 2003 © www.consulentelegaleinformatico.it
33
“Computer Crime” di Marco Strano Sicurezza informatica: è presente un addetto alla sicurezza? Statistiche: l’addetto alla sicurezza E-B & LEX - Milano - 7 novembre 2003 © www.consulentelegaleinformatico.it
34
Misure minime: complesso misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza Strumenti: mezzi elettronici o automatizzati con cui si effettua il trattamento Amministratori di sistema: compito sovrintendere alle risorse del sistema operativo di un elaboratore o di un sistema di base e di consentirne l’utilizzazione Misure minime: complesso misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza Strumenti: mezzi elettronici o automatizzati con cui si effettua il trattamento Amministratori di sistema: compito sovrintendere alle risorse del sistema operativo di un elaboratore o di un sistema di base e di consentirne l’utilizzazione Sicurezza dati Individuazione incaricati Anteriormente a trattamento adottare misure: Parola chiave accesso dati Se pluralità incaricati, individuare per iscritto soggetti preposti a custodia o che hanno accesso Anteriormente a trattamento adottare misure: Parola chiave accesso dati Se pluralità incaricati, individuare per iscritto soggetti preposti a custodia o che hanno accesso La sicurezza e la figura dell’incaricato E-B & LEX - Milano - 7 novembre 2003 © www.consulentelegaleinformatico.it
35
I titolari del trattamento sono tenuti ad adottare le misure minime di sicurezza volte ad assicurare un livello minimo di protezione dei dati personali. Misure minime di sicurezza Trattamenti con strumenti elettronici: presupposti tassativi a)Utilizzazione sistema di autenticazione informatica b)Adozione procedure gestione delle credenziali di autenticazione - Utilizzazione di un sistema di autorizzazione d)Aggiornamento periodico individuazione ambito trattamento consentito ai singoli incaricati o addetti alla gestione o alla manutenzione degli strumenti elettronici e)Protezione strumenti elettronici e dati rispetto a trattamenti illeciti o ad accessi non consentiti -Adozione procedure custodia copie di sicurezza per ripristino disponibilità dati e sistemi g)Tenuta di aggiornato documento programmatico sulla sicurezza h)Adozione tecniche cifratura o codici identificativi nei casi di trattamento dati stati salute o vita sessuale effettuati da organismi sanitari a)Utilizzazione sistema di autenticazione informatica b)Adozione procedure gestione delle credenziali di autenticazione - Utilizzazione di un sistema di autorizzazione d)Aggiornamento periodico individuazione ambito trattamento consentito ai singoli incaricati o addetti alla gestione o alla manutenzione degli strumenti elettronici e)Protezione strumenti elettronici e dati rispetto a trattamenti illeciti o ad accessi non consentiti -Adozione procedure custodia copie di sicurezza per ripristino disponibilità dati e sistemi g)Tenuta di aggiornato documento programmatico sulla sicurezza h)Adozione tecniche cifratura o codici identificativi nei casi di trattamento dati stati salute o vita sessuale effettuati da organismi sanitari Misure di sicurezza minime E-B & LEX - Milano - 7 novembre 2003 © www.consulentelegaleinformatico.it
36
Sistema di autenticazione informatica: debbono essere predisposte credenziali di autenticazione di cui siano assicurate segretezza e diligenza nella custodia; parole chiave ad almeno 8 caratteri Altre misure di sicurezza: aggiornamento password d’accesso periodico annuale; semestrale per dati sensibili e giudiziari Ulteriori misure in caso di trattamento di dati sensibili o giudiziari: misure idonee in caso di utilizzo di supporti removibili; misure idonee in caso di danneggiamento sussistendo obbligo di ripristino entro 7 giorni Misure di tutela e garanzia: in caso di intervento di soggetti esterni abilitati, obbligo rilascio descrizione tecnica intervento effettuato Trattamenti senza l’ausilio di strumenti elettronici: controllo concreto e custodia archivi con registrazione materiale accessi Documento programmatico sulla sicurezza Misure di sicurezza E-B & LEX - Milano - 7 novembre 2003 © www.consulentelegaleinformatico.it
37
Struttura di un DP: a)Individuazione dei dati personali e sensibili ai fini della redazione del DP b)Identificazione delle aree e dei locali interessati c)Individuazione e gestione degli apparati hardware con relative misure di sicurezza adottate a)Individuazione e gestione degli apparati software con relative misure di sicurezza adottate a)Analisi degli eventuali rischi e relazione in materia di sicurezze adottate b)Analisi controllo degli accessi g)Analisi rischi provenienti da eventuale utilizzo di connessione di rete h)Individuazione sistemi di protezione del cartaceo i)Redazione piano di verifica periodico delle misure adottate Struttura di un documento programmatico E-B & LEX - Milano - 7 novembre 2003 © www.consulentelegaleinformatico.it
38
Grazie dell’attenzione E-B & LEX - Milano - 7 novembre 2003 © www.consulentelegaleinformatico.it
Presentazioni simili
© 2024 SlidePlayer.it Inc.
All rights reserved.