Normativa Mobile device, Marketing, Videosorveglianza

24
Particolarità di alcuni trattamenti: Videosorveglianza, Marketing, Mobile Device Dott. Daniele Gombi

description

“PRIVACY:SEMPLIFICAZIONI E ADEMPIMENTI.UN’OPPORTUNITÀ PER LE AZIENDE”

Transcript of Normativa Mobile device, Marketing, Videosorveglianza

Page 1: Normativa Mobile device, Marketing, Videosorveglianza

Particolarità di alcuni trattamenti:Videosorveglianza, Marketing, Mobile Device

Dott. Daniele Gombi

Page 2: Normativa Mobile device, Marketing, Videosorveglianza

La protezione dei dati nell’era del mobile device:

rischi e opportunità

nell’uso di tablet e smartphone

Page 3: Normativa Mobile device, Marketing, Videosorveglianza

Senza Parole

Page 4: Normativa Mobile device, Marketing, Videosorveglianza

Il perimetro di riferimento

Page 5: Normativa Mobile device, Marketing, Videosorveglianza

ALCUNI DATI

20.000.000 smartphone stimati in Italia+52% Rispetto al 201077% utenti che li usano in ambito aziendale[Fonte IPSOS Media ICT 2011]

142,7 (4,3%) smartphone persi o rubatidi cui 57% non protettidi cui 60% contenenti dati critici[Fonte Ponemon Institute, 2011 su campione di 439 società U.S.A. in 12 mesi ]

Page 6: Normativa Mobile device, Marketing, Videosorveglianza
Page 7: Normativa Mobile device, Marketing, Videosorveglianza
Page 8: Normativa Mobile device, Marketing, Videosorveglianza

(Nonostante l’elevato tasso di introduzione sul mercato dei device mobili, solo una minima parte delle aziende ne sta supportando ufficialmente l’uso < 20%)1.Eterogeneità delle caratteristiche tecnologiche2.Vulnerabilità tecniche3.Comportamenti non idonei e non consapevolezza4.BYOD – promiscuità dei dati personali e aziendali5.Difficoltà di controllo su utilizzo e raccolta dati (fotocamera)6.Elevata probabilità di furto o perdita7.Mancanza di preliminare analisi dei rischi8.Mancanza di procedure di incident handling9.Non analisi dei trattamenti effettuati10.Non applicazione delle misure minime di sicurezza

Page 9: Normativa Mobile device, Marketing, Videosorveglianza

Ma anche11. Potenziale geolocalizzazione

Page 10: Normativa Mobile device, Marketing, Videosorveglianza
Page 11: Normativa Mobile device, Marketing, Videosorveglianza

• Presenza di una password di accesso “forte”• Autenticazione e gestione credenziali• Blocco dopo un periodo di inattività• Remote Wipe (corporate content wipe o total wipe)• Cifratura della memoria (interna ed esterna)• Aggiornamento periodico strumenti• Monitoraggio della manipolazioni dei dati sul dispositivo• Firewall ed Antivirus• VPN di accesso alle risorse aziendali• Archiviazione e backup dei dati• Separazione dei dati aziendali dai dati personali

Page 12: Normativa Mobile device, Marketing, Videosorveglianza

Dismissione dispositivi mobili (sim, schede di memoria interne e removibili) – Provvedimento 13 ottobre 2008

Accesso promiscuo alla e-mail aziendale e personale – Linee Guida 01 marzo 2007

Piattaforme centralizzate di gestione dei dispositivi mobili – Provvedimento AdS 27 novembre 2008

Geolocalizzazione, utilizzo ibrido – Statuto dei lavoratori

Modello di organizzazione idoneo e rischi connessi ai dispositivi mobili, reati informatici in ambito “mobile” – D.Lgs 231/2001

Page 13: Normativa Mobile device, Marketing, Videosorveglianza

MarketingPer le iniziative di marketing, a condizione che i dati siano tratti

da fonti diverse dagli elenchi telefonici o raccolti direttamente dal soggetto,

la persona giuridica, ente o associazione non sono più “interessati” e, quindi, il Codice Privacy non è applicabile.

Page 14: Normativa Mobile device, Marketing, Videosorveglianza

MarketingSe le attività di marketing (telefonico e postale) sono,

invece, eseguite attingendo i dati dagli elenchi telefonici, la persona giuridica, ente o associazione sono da considerarsi “abbonati” e, dunque, nuovamente è applicabile l’attuale testo normativo in materia di privacy. Vige il regime basato sul Registro Pubblico delle Opposizioni e la relativa iscrizione e procedure annesse (si ricorda, ancora da attuare per quanto attiene il marketing postale). Infatti, gli articoli del Codice Privacy che regolano questa materia esplicitamente si riferiscono non agli “interessati”, bensì agli “abbonati” e nulla nei loro confronti è cambiato

Page 15: Normativa Mobile device, Marketing, Videosorveglianza

MarketingArt. 130 sulle “comunicazioni indesiderate” che

disciplinano il marketing telefonico senza operatore, via e-mail, via Sms e Mms: si parla di “interessati” (e non di “abbonati”)

Non essendo più considerati “interessati”, la persona giuridica, ente o associazione potrebbero essere lecitamente usati per fini di invio di e-mail pubblicitarie, Sms promozionali, telefonate di carattere commerciale senza che sia necessario rendere l’informativa e ottenere il consenso ?

Page 16: Normativa Mobile device, Marketing, Videosorveglianza

MarketingProvvedimento del garante

Titolarità del trattamento di dati personali in capo ai soggetti che si avvalgono di agenti per attività promozionali - 15 giugno 2011 (Pubblicato sulla Gazzetta Ufficiale n. 153 del 4 luglio 2011) ed entrato in vigore il 30/11/2011

Agenti responsabili del trattamento

Page 17: Normativa Mobile device, Marketing, Videosorveglianza

Videosorveglianza

D.Lgs. 196/2003 Codice in materia di protezione dei dati personali

Provvedimento 8 Aprile 2010

Legge 300/1970 art.4 – Statuto dei lavoratori

Interferenze illecite nella vita privata (615bis c.p.)

Normative Speciali

Page 18: Normativa Mobile device, Marketing, Videosorveglianza

Videosorveglianzase l’impianto viene installato in un luogo di lavoro e le telecamere

riprendono anche luoghi nei quali si trovano o transitano i dipendenti, occorre stipulare un accordo con la rappresentanza sindacale aziendale dei lavoratori (e non con i singoli lavoratori!). Se manca la rappresentanza sindacale è necessario ottenere dalla competente Direzione Provinciale del Lavoro l’autorizzazione all’installazione dell’impianto, avanzando un’apposita istanza preventiva all’installazione.

occorre verificare l’angolo di visuale delle riprese che deve essere sempre limitato ai soli spazi di propria esclusiva pertinenza.

Le telecamere devono essere segnalate con un apposito cartello di avviso (di tipo conforme a quello predisposto dal Garante per la privacy) collocato nelle vicinanze di ciascuna di esse, indicante chi è il “titolare del trattamento” (cioè il proprietario dell’impianto.) Il cartello informativo deve essere ben visibile anche di notte. Occorre predisporre anche informativa completa.

Page 19: Normativa Mobile device, Marketing, Videosorveglianza

VideosorveglianzaLe misure prescritte dal Provv. gen. dell’8 aprile 2010 del Garante

devono essere osservate da tutti i titolari di trattamento dei dati, altrimenti il trattamento dei dati (la videoripresa e/o videoregistrazione) è illecito o non corretto a seconda dei casi, ed espone:

- all’inutilizzabilità dei dati personali trattati in violazione (art. 11 comma 2 del Codice);

- all’adozione di provvedimenti di blocco o di divieto del trattamento disposti dal Garante (art. 143. comma 1, lettera c) del Codice);

- all’applicazione delle pertinenti sanzioni amministrative o penali (artt. 161 segg. del Codice).

Page 20: Normativa Mobile device, Marketing, Videosorveglianza

Videosorveglianza

prima di installare l’impianto di videosorveglianza bisogna fare un’analisi preliminare, per valutare se la sua utilizzazione sia realmente proporzionata agli scopi perseguiti o se non sia invece superflua. Le ragioni delle scelte di rilevazione e di eventuale conservazione delle immagini devono essere adeguatamente documentate in un atto autonomo conservato presso il titolare e il responsabile del trattamento, anche ai fini della eventuale esibizione in occasione di visite ispettive

Page 21: Normativa Mobile device, Marketing, Videosorveglianza

VideosorveglianzaAllegatoB – Punto 25Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni

alla propria struttura, per provvedere alla esecuzione riceve dall'installatore una descrizione scritta dell'intervento effettuato che ne attesta la conformità alle disposizioni del presente disciplinare tecnico.

Art. 162. Altre fattispecie…2-bis.(3) In caso di trattamento di dati personali effettuato in violazione delle

misure indicate nell'articolo 33 o delle disposizioni indicate nell'articolo 167 è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da diecimila euro a centoventimila euro. Nei casi di cui all'articolo 33 è escluso il pagamento in misura ridotta.

Art. 169. Misure di sicurezza1. Chiunque, essendovi tenuto, omette di adottare le misure minime previste

dall'articolo 33 è punito con l'arresto sino a due anni.

Page 22: Normativa Mobile device, Marketing, Videosorveglianza

VideosorveglianzaIl Garante nel suo provvedimento non specifica quali debbano

essere le misure di sicurezza che il titolare deve adottare, ma nel punto 3.3 fornisce sei principi che le misure devono rispettare:

a)  in presenza di differenti competenze specificatamente attribuite ai singoli operatori devono essere configurati diversi livelli di visibilità e trattamento delle immagini e, dove tecnicamente possibile, i soggetti designati incaricati o responsabili del trattamento devono avere credenziali di autenticazione che permettano di effettuare, a seconda dei compiti attribuiti ad ognuno, unicamente le operazioni di propria competenza;

b)  quando i sistemi siano configurati per la registrazione e successiva conservazione delle immagini rilevate, deve essere limitata la possibilità, per i soggetti abilitati, di visionare in tempo differito le immagini registrate e di effettuare cancellazioni o duplicazioni;

c)  devono essere predisposte misure tecniche od organizzative per la cancellazione, anche automatica, delle registrazioni, allo scadere del termine previsto (di norma 24 ore);

Page 23: Normativa Mobile device, Marketing, Videosorveglianza

Videosorveglianzad) nel caso di interventi di manutenzione i soggetti

preposti possono accedere alle immagini solo se è indispensabile per fare eventuali verifiche tecniche e solo in presenza dei soggetti dotati di credenziali di autenticazione abilitanti alla visione delle immagini;

e) se si utilizzino apparati di ripresa digitali connessi a reti informatiche, gli apparati medesimi devono essere protetti contro i rischi di accesso abusivo di cui all’art. 615-ter c.p.;Art. 615 ter

 Chiunque abusivamente si introduce in un sistema informatico o telematicoprotetto da misure di sicurezza ovvero vi si mantiene contro la volonta’espressa o tacita di chi ha il diritto di escluderlo, e’ punito con lareclusione fino a tre anni.

f) la trasmissione tramite una rete pubblica di comunicazioni di immagini riprese da apparati di videosorveglianza deve essere crittografata per garantire la riservatezza e lo stesso vale per la trasmissione di immagini da punti di ripresa dotati di connessioni wireless.

Page 24: Normativa Mobile device, Marketing, Videosorveglianza

Affidati a competenze certificate

Daniele [email protected]