Aspetti organizzativi della privacy Dr. Riccardo Larese Gortigo Consulente aziendale La relazione schematizza alcuni processi fondamentali nel trattamento di dati personali in azienda Gli obblighi fondamentali (informativa, consenso, notifica, ecc.) sono presupposti noti La relazione successiva dell’avv.to del Ninno evidenzierà alcuni aspetti specifici degli obblighi, soprattutto in contesti particolari © - Dr. Riccardo Larese Gortigo - 2005 Gestione del personale dipendente ed assimilato Arrivo di un curriculum non sollecitato Interessa? NO SI Distruggere SI Contiene consenso? NO Richiedere consenso Archiviare consenso Archiviare curriculum Colloquio (eventuale) con il candidato Distribuire informativa aziendale Raccogliere consenso Archiviare consenso © - Dr. Riccardo Larese Gortigo - 2005 Contatto con un candidato (Annuncio su giornali, agenzie e consulenti) Distribuire informativa aziendale Raccogliere consenso Archiviare consenso © - Dr. Riccardo Larese Gortigo - 2005 Arrivo di un nuovo dipendente (tempo indeterminato o determinato) Distribuire informativa aziendale Raccogliere consenso Archiviare consenso Esegue trattamenti? SI Individuare ambiti NO Fine Emettere istruzioni Usa strumenti informatici? NO Fine Definire e documentare il profilo Assegnare le credenziali di aut.ne © - Dr. Riccardo Larese Gortigo - 2005 Distribuire il Regolamento Arrivo di un collaboratore da agenzia di lavoro … Distribuire informativa aziendale Raccogliere consenso Nota: Archiviare consenso in azienda dovrebbero essere trattati solo dati anagrafici per la gestione operativa delle attività; può essere prudenziale richiedere ed ottenere il consenso al trattamento dei dati Esegue trattamenti? SI Individuare ambiti NO Fine Emettere istruzioni Usa strumenti informatici? NO Fine Definire e documentare il profilo Assegnare le credenziali di aut.ne © - Dr. Riccardo Larese Gortigo - 2005 Distribuire il Regolamento Arrivo di un incaricato esterno Distribuire informativa aziendale Nota: si presuppone che il trattamento dei dati personali avvenga solo per finalità connesse al rapporto contrattuale instaurato e che non preveda il trattamento di dati sensibili o giudiziari Esegue trattamenti? SI Individuare ambiti NO Fine Emettere istruzioni Usa strumenti informatici? NO Fine Definire e documentare il profilo Assegnare le credenziali di aut.ne Distribuire il Regolamento © - Dr. Riccardo Larese Gortigo - 2005 Attività commerciale e di marketing Contatto con un nuovo cliente/1 Verbale Distribuire informativa aziendale Lettera Racc. Mail con r.r. Sito aziendale Viene svolta attività di marketing? SI NO Raccolta consenso Archiviazione consenso Continua… © - Dr. Riccardo Larese Gortigo - 2005 Fax Contratto Contatto con un nuovo cliente/2 Da precedente Il nominativo è usato come referenza? SI NO Raccolta consenso Archiviazione consenso Continua… © - Dr. Riccardo Larese Gortigo - 2005 Contatto con un nuovo cliente/3 Da precedente Comunicazione a terzi (sistemi qualità)? SI NO Raccolta consenso Archiviazione consenso Vengono trasferiti dati all’estero SI NO Raccolta consenso Archiviazione consenso © - Dr. Riccardo Larese Gortigo - 2005 Fine Verifiche periodiche (annuali) Verifica annuale dei trattamenti Rilevazione dei trattamenti in essere Corrispondo a quelli documentati? No Si Aggiornare i trattamenti Aggiornare il DPS Vi è obbligo di Notifica? SI NO Esiste una precedente Notifica? NO Fare la prima Notifica © - Dr. Riccardo Larese Gortigo - 2005 SI Aggiornare la Notifica Fine Verifica annuale degli ambiti di comunicazione e diffusione dei dati Rilevazione degli ambiti di com/diff Sono tutti leciti? No Si Sospendere le comunicazioni e le diffusioni illecite Corrispondono a quelli precedenti? NO Si Aggiornare le informative Aggiornare il DPS © - Dr. Riccardo Larese Gortigo - 2005 Fine Verifica annuale dei consensi per le attività di marketing Sono arrivate negazioni di consensi già forniti? Si No I trattamenti continuano? Si No Sospendere i trattamenti Fine © - Dr. Riccardo Larese Gortigo - 2005 Verifica annuale della conservazione dei curricula I documenti sono conservati per il periodo comunicato? No Si Interessano ancora? No Si Distruggere Richiedere consenso Perventuo consenso? No Si Distruggere Fine © - Dr. Riccardo Larese Gortigo - 2005 Verifica annuale delle Misure di sicurezza Verifica Sono stati persi/rubati dati? annuale delle misure di Si No sicurezza/1 Rivedere le policy di sicurezza Aggiornare il DPS Ci sono state interruzioni di servizio? Si No Rivedere le policy di sicurezza Aggiornare il DPS Continua… © - Dr. Riccardo Larese Gortigo - 2005 Verifica Si rilevano dati errati o incompleti? annuale delle misure di Si No sicurezza/2 Rivedere le policy di sicurezza Aggiornare il DPS Le policy di autenticazione sono conformi? Si No Rivedere le policy di autentic.ne Aggiornare il DPS Continua… © - Dr. Riccardo Larese Gortigo - 2005 Verifica annuale delle misure di sicurezza/3 Tutti i dati sono protetti da backup? No Si Rivedere le policy di backup Aggiornare il DPS Tutti i sistemi sono protetti da antivirus? No Si Rivedere le policy antivirus Aggiornare il DPS Continua… © - Dr. Riccardo Larese Gortigo - 2005 Verifica I software sono aggiornati? annuale delle misure di No sicurezza/3 Eseguire l’aggiornamento dei sw Si Le Misure sono gestite tutte internamente? No Si I fornitori hanno rilasciato le dichiarazioni? No Si Richiedere il rilascio delle dich.ni Continua… © - Dr. Riccardo Larese Gortigo - 2005 Verifica annuale delle misure di sicurezza/4 Le misure di protezione logistica sono cambiate? Si No Aggiornare il DPS Fine © - Dr. Riccardo Larese Gortigo - 2005 Verifica annuale dei profili di autorizzazione Sono cambiati gli strumenti informatici? No Si I profili sono corretti? Definire i nuovi profili No Si Aggiornare i profili Aggiornare i profili Fine © - Dr. Riccardo Larese Gortigo - 2005 Grazie per l’attenzione Dr. Riccardo Larese Gortigo