Ispezioni privacy, il primo incontro tra consulente e cliente: regole di condotta - Cyber Security 360

IL VADEMECUM

Ispezioni privacy, il primo incontro tra consulente e cliente: regole di condotta

Le ispezioni privacy delle aree comuni in azienda consentono al consulente privacy di conoscere al meglio tutte le attività di business verificando le aree e il modo di trattare i dati e verificare tutte quelle attività che ad una semplice intervista potrebbero essere sottovalutate. Ecco alcune buone regole di condotta

09 Dic 2019
V
Alfredo Visconti

Amministratore unico Brain-it, consulente esperto privacy


Le cosiddette ispezioni privacy delle aree comuni in azienda rappresentano un’attività essenziale e necessaria per consentire alla persona individuata per il controllo della privacy di conoscere al meglio tutte le attività di business verificando le aree e il modo di trattare i dati nelle aree comuni.

Potrebbe sembrare a prima vista un’attività che potremmo definire a corredo, invece riveste un’importanza degna di nota perché permette di verificare tutte quelle attività che ad una semplice intervista potrebbero essere sottovalutate. È un modo, insomma, per tracciare il percorso verso la piena compliance al GDPR.

Non è da sottovalutare, poi, che questo è l’unico momento in cui un consulente potrà vedere senza veli l’attività che intende mettere in protezione privacy: è infatti solo in questi momenti che si potranno registrare oltre ai regolamenti normati, anche le consuetudini che sono spesso quelle azioni che portano con sé i maggiori problemi.

Ispezioni privacy: le buone regole di condotta

Naturalmente, da questa ispezione se ne ricava un’idea di massima, per cui le attività particolari verranno poi riprese in corso d’opera per svolgere e redigere tutte le regole con la dovuta attenzione.

Si parte quindi subito con una visita alla sede (e alle varie unità produttive, qualora l’azienda fosse dislocata geograficamente sul territorio) e qui si cominciano a raccogliere i primi dati che andranno poi a popolare sia il manuale della privacy sia le procedure operative.

Si comincia, quindi, a raccogliere da subito le seguenti informazioni:

  • Indirizzo sedi. Si provvede a censire la sede unica e/o centrale dell’azienda e le sue eventuali altre sedi riportando l’indirizzo completo e dove possibile identificando un responsabile della privacy per ogni sede. Per ciascuna sede, inoltre, occorre conoscere almeno la presenza di videosorveglianza e le norma per l’accesso ai locali sia del personale interno sia del personale esterno.
  • Verifica numero dipendenti. Censire il numero di dipendenti suddivisi per sedi se l’attività che si sta ispezionando è su più sedi geografiche diverse. Questa attività serve anche per capire la mole di dati che viaggia in azienda e per capire come i dati sono divisi fra le varie funzioni interne. Naturalmente il numero è identificativo solo per una prima impressione di massima rispetto alle attività svolte, perché solo una parte di queste risorse verrà investita dalla problematica di tutela dei dati personali. È in questa occasione che occorre farsi anche un’idea precisa di come i servizi sono gestiti durante la produzione, identificando chi sono le persone che vengono a contatto con i dati da tutelare.
  • Identificazione di aree eventualmente “promiscue”. In fase di ispezione è importante prestare attenzione ad eventuali aree comuni che possono interessare sia i dipendenti sia eventuale pubblico e che si provvederà ad individuare e gestire con delle regole precise per evitare che nella confusione si possa venire a contatto con dati che dovrebbero essere sottoposti a tutela. Ad esempio, se previsto uno sportello informazioni, sarà cura del responsabile privacy identificare e segnalare aree opportune per svolgere le richieste in anonimato, ma è importante non soffermarsi nello studio di queste aree e quelle identificate all’interno della struttura, bensì occorre verificare con attenzione se vi sono spazi comuni non gestiti e che invece devono essere sottoposti a maggiore tutela.
  • Verifica esistenza videosorveglianza. La videosorveglianza, che sia a uso privato o pubblico, è sottoposta a regole stringenti volte a tutelare la privacy e le libertà fondamentali delle persone. Secondo un provvedimento del Garante per la Protezione dei Dati Personali (parere n. drep/ac/113990 del 7 marzo 2017) è possibile installare dei sistemi di videosorveglianza senza richiedere l’autorizzazione della polizia o del proprio condominio a condizione che le telecamere non riprendono spazi collettivi o luoghi di passaggio pubblico.

In fase di ispezione e di regolamentazione poi occorre prestare molta attenzione perché l’attività di videosorveglianza può diventare estremamente invasiva, motivo per cui il Garante per la Protezione dei Dati Personali ha emanato diversi provvedimenti generali atti a regolarizzarne l’utilizzo.

WHITEPAPER
Storage: aumentare prestazioni, scalabilità ed efficienza a costi contenuti
Storage
Backup

Con provvedimento del novembre 2000 si è strutturato un insieme di regole di cui se ne riportano alcune:

  1. il trattamento dei dati deve avvenire secondo correttezza e per scopi determinati, espliciti e legittimi. Tutti gli interessati devono determinare esattamente le finalità perseguite attraverso la videosorveglianza e verificarne la liceità in base alle norme vigenti;
  2. si devono fornire alle persone che possono essere riprese indicazioni chiare, anche se sintetiche, che avvertano della presenza di impianti di videosorveglianza;
  3. occorre rispettare scrupolosamente il divieto di controllo a distanza dei lavoratori e le precise garanzie previste al riguardo. Tale principio è stato di recente modificato dalla circolare INL n. 5 del 19 febbraio 2018;
  4. occorre rispettare i principi di pertinenza e di non eccedenza, raccogliendo solo i dati strettamente necessari per il raggiungimento delle finalità perseguite, registrando le sole immagini indispensabili, limitando l’angolo visuale delle riprese, evitando immagini dettagliate o dettagli non rilevanti;
  5. occorre determinare con precisione il periodo di eventuale conservazione delle immagini, prima della loro cancellazione, e prevedere la loro conservazione solo in relazione a illeciti che si siano verificati o a indagini delle autorità giudiziarie o di polizia;
  6. occorre designare per iscritto i soggetti responsabili del trattamento dei dati che possono utilizzare gli impianti e prendere visione delle registrazioni, vietando rigorosamente l’accesso di altri soggetti, salvo che si tratti di indagini giudiziarie o di polizia;
  7. i dati raccolti per determinati fini, come potrebbe essere per le ragioni di sicurezza, tutela del patrimonio o altro, non possono essere utilizzati per finalità diverse o ulteriori e non possono essere diffusi o comunicati a terzi.

Sono inoltre stabiliti specifici adempimenti, tra cui l’obbligo di informativa, per cui gli interessati devono essere sempre informati di stare per accedere in una zona videosorvegliata; ciò anche nei casi di eventi e in occasione di spettacoli pubblici (es. concerti, manifestazioni sportive).

L’informativa deve indicare il titolare del trattamento e la finalità perseguita. Il modello è ovviamente adattabile a varie circostanze.

Il supporto con l’informativa da applicare nelle prossimità delle telecamere:

  1. deve essere collocato prima del raggio di azione della telecamera, anche nelle sue immediate vicinanze e non necessariamente a contatto con gli impianti;
  2. deve avere un formato ed un posizionamento tale da essere chiaramente visibile in ogni condizione di illuminazione ambientale, anche quando il sistema di videosorveglianza sia eventualmente attivo in orario notturno;
  3. può inglobare un simbolo o una stilizzazione di esplicita e immediata comprensione, eventualmente diversificati al fine di informare se le immagini sono solo visionate o anche registrate.
  • Verifica di procedure di accesso allo stabilimento/ufficio/azienda. In fase di ingresso si deve verificare quale sia la procedura prevista per l’accesso che può essere diversa e quindi gestita diversamente rispetto alla privacy, ad esempio:
  1. Presenza di portierato. In tal caso si deve verificare se si compila un registro e con quali informazioni per queste non devono mai eccedere rispetto allo scopo della visita.
  2. Presenza di citofono. In tal caso occorre verificare che qualcuno esca per controllare l’accesso e la persona ed accompagnarla.
  3. Presenza di badge per i dipendenti. in tal caso occorre verificare quali dati e come questi vengono salvati, la tipologia di dati salvati verificando se vi sono dati sensibili come l’impronta digitale. Occorre inoltre verificare se il badge è valido anche per particolari casi non riguardanti i dipendenti come ad esempio (ad esempio: collaboratori esterni non occasionali e impresa di pulizie).
  • Verifica di credenziali di accesso ai locali e/o ai computer. In fase d’ispezione occorre prestare attenzione alle regole di accesso ai locali, quindi parliamo di sicurezza fisica, e naturalmente alle regole per l’accesso alle macchine/computer, sicurezza logica.

Sulla base degli attacchi individuati e delle necessità di protezione espresse dai requisiti, si provvede ad adottate un insieme di misure di protezione così classificabili:

    1. Misure di tipo organizzativo:
  1. le misure per l’assegnazione di compiti e responsabilità (nomine);
  2. le misure per l’aumento della sensibilità aziendale nei confronti delle tematiche di tutela dei dati (formazione);
  3. le misure per evitare l’attuazione di trattamenti di dati personali per finalità diverse da quelle autorizzate e consentite;
  4. le misure per la protezione di archivi cartacei.
    1. Misure di protezione delle aree e dei locali (criteri di protezione fisica) e rispettive procedure:
  5. le misure per la protezione dall’accesso intenzionale e non autorizzato ai locali e agli archivi (anti-intrusione);
  6. le misure per la protezione dei locali dall’accesso non autorizzato (intenzionale o non intenzionale) tramite le vie di accesso predisposte (controllo accesso);
  7. le misure per la protezione dei dati da eventi di origine naturale o dolosa (antincendio);
  8. le misure per la protezione da condizioni ambientali proibitive o da eventuali riduzioni dell’efficienza dei sistemi di supporto (impianti ausiliari).
    1. Misure di protezione delle architetture di rete, degli applicativi e delle banche dati (criteri di protezione logica dei dati) e relative procedure:
  9. le misure per la protezione da accessi non autorizzati ad informazioni riservate (User-id, password, screensaver con password);
  10. le misure per la protezione da possibili danneggiamenti alle informazioni (antivirus)
  11. le misure per la protezione da eventuali perdite di disponibilità dei dati (backup completo giornaliero dei file server, mail server, application server ecc.);
    1. Misure di protezione durante la trasmissione dei dati e relative procedure:
  12. le misure per la trasmissione sicura delle informazioni su rete;
  13. le misure per il trasferimento di dati mediante mezzi differenti dagli elaboratori.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3