Analisi delle aree aziendali sensibili al rischio privacy
-
Upload
salomone-travaglia-studio-legale -
Category
Education
-
view
759 -
download
0
Transcript of Analisi delle aree aziendali sensibili al rischio privacy
Analisi delle aree aziendali sensibili al rischio privacy
© 2013 Baker & McKenzie
sensibili al rischio privacy
AFGE Milano
Corporate Privacy Compliance Forum 20 e 21 novembre 2013
Francesca Gaudino - Local Partner, Baker & McKenzie
Il ‘rischio privacy’
� Art. 15 Codice Privacy
- trattare dati personali è un’attività pericolosa
� Art. 4 Codice Privacy: definizioni di � Art. 4 Codice Privacy: definizioni di - dato personale e
- trattamento
� Struttura del sistema sanzionatorio
Audit interno - I
� Censimento di banche dati utilizzate: interne edesterne
� Verifica dei dati trattati: tipologia e natura
� Identificazione dei trattamenti posti in essere: il principio di finalità
� Identificazione dei luoghi in cui i dati sono trattati: momento statico e dinamico del trattamento
Audit interno - II
� Ambito di comunicazione dei dati
� intra ed extra gruppo
� finalità della comunicazione
� Esternalizzazione di operazioni di trattamento/di � Esternalizzazione di operazioni di trattamento/di interi trattamenti
� nomina e controllo dei responsabili
� Mappatura dei flussi di dati
� Regolamentazione dei ruoli privacy dei soggetticoinvolti
Audit interno - III
� Verifica di misure e precauzioni adottate
� Determinazione del proprio programma privacy
� gap analysis� gap analysis
� Distribuzione di ruoli e responsabilità privacy all’interno della struttura aziendale
� delega di funzioni
� nomina di responsabili e incaricati
� il privacy officer
� effettività ed efficacia del sistema di deleghe interno
Regole per tutti i trattamenti
Art. 11 Codice Privacy – art. 15 Codice Privacy
� Principi di liceità e correttezza
� Principio di finalità del trattamento� Principio di finalità del trattamento
� Qualità dei dati
� Principio di rilevanza e non eccedenza
� Principio di conservazione
Area risorse umane - I
� Informativa e consenso
� candidati
� dipendenti - finalità
� dati non rilevanti
� foto su intranet aziendale, immagini a fini � foto su intranet aziendale, immagini a fini promozionali
� gestione del mancato consenso
� Disciplinare tecnico per utilizzo di internet e @� conditio sine qua non
� il problema dei consulenti esterni
Area risorse umane - II
� Videosorveglianza � conservazione e procedure di accesso
� richieste di accesso
� Dati sensibili e medico aziendale� Dati sensibili e medico aziendale
� Due diligence
� Training e designazione di incaricati del trattamento
� Altri trattamenti a rischio privacy – i familiari, ricerche di mercato, ecc.
Strumenti di marketing in ambito web 3.0
� Conversazione virtuale, continua, bidirezionale, molto personalizzata e device agnostic
� Piattaforme IT multifunzionali per vendita, marketing e comunicazionemarketing e comunicazione
� geolocalizzazione
� behavioural advertising e tracciamento - cookies, web beacons, etc.
� TAF
� profilazione
� social media, blog, chat, forum, etc.
� Coerente integrazione di ambiente online ed offline
Flussi informativi in ambito CRM/CEM
� Cliente: il nuovo centro gravitazionale
– comprendere i desideri del cliente come vantaggio competitivo
– il cliente come trend/market setter– il cliente come trend/market setter
– il cliente come best seller
� Dal CRM al CEM attraverso la brand experience
Soluzioni ‘cloud’
- Determinazione della legge privacy applicabile
- Individuazione del perimetro di dati/banche dati affidati ai servizi in cloud
- Verifica dei flussi di dati in entrata e in uscita- Verifica dei flussi di dati in entrata e in uscita
- Controllo sui dati e sulle persone autorizzate all’accesso/al trattamento
- Verifica delle misure di sicurezza adottate: controllo, disponibilità e integrità dei dati
Area clienti - I
� Titolarità del trattamento in gruppi di imprese
� struttura del CRM: centralizzata, decentralizzata, mista
� Individuazione della legge privacy applicabile dai � Individuazione della legge privacy applicabile dai diversi titolari di trattamento
� Regolamentazione della condivisione con terzi esterni, responsabili o titolari
� franchisee, ecc.
� department store
� Trattamento di eventuali dati sensibili
Area clienti - II
� Trasferimenti verso paesi terzi
� soluzioni coerenti ed efficienti
� flussi verso e da paesi terzi
� Modalità e criteri di profilazione� Modalità e criteri di profilazione
� data ultimo acquisto
� valore acquisti
� frequenza acquisti
� …
� determinazione e aggiornamento dei segmenti
� Informativa e consenso; notificazione
Area clienti - III
� Programmi fedeltà
� Coerenza con eventuali iniziative online o mobile
� il caso dei social network
� Responsabili interni e incaricati
� Tempi di conservazione
� ultimo contatto?
� ultimo acquisto?
� data di registrazione sulla banca dati?
� …?
Area clienti - IV
� Strumento tecnico utilizzato
� i flag privacy – informativa e consenso sono diversi a seconda della legge privacy applicabile
� esatta gestione delle preferenze espresse � esatta gestione delle preferenze espresse dall’interessato
� profili di accesso e autorizzazione – gli incaricati
� eventuali banche dati speculari
� la BD ‘occulta’
� l’accesso come trasferimento di dati all’estero
� Bonificare o non bonificare
� se sì, come
Misure di sicurezza - I
� AdS
� nomine specifiche
� conservazione file di log
� verifica dell’attività
� Aggiornamento delle misure di sicurezza
� a scadenze predeterminate
� secondo lo ‘stato dell’arte’
� Misure minime di sicurezza per trattamenti cartacei
Misure di sicurezza - II
� Misure di carattere organizzativo
� designazione di incaricati
� conservazione password
� utilizzo di fax
� spedizione di atti contenenti dati� spedizione di atti contenenti dati
� utilizzo di supporti rimovibili
� Verifica dell’attività dei responsabili esterni
� resoconto periodico del responsabile
� audit del titolare
Flussi transfrontalieri di dati - I
� I paesi terzi
� Safe Harbor
� Strumenti contrattuali � Strumenti contrattuali
� clausole ad hoc
� Clausole Contrattuali Standard – Model Clauses
� tra titolari
� da titolare a responsabile
� Norme vincolandi di impresa (BCR)
� Varie esimenti, tra cui il consenso dell’interessato
Flussi transfrontalieri di dati - II
� Scelta dello strumento legale più adatto al casoconcreto
� Identificazione di banche dati e dati coinvolti
� Verifica di esatta adozione di altri requisiti di leggeapplicabili
� Implementazione
� Manutenzione
Tutela del rischio privacy - I
� Ruoli privacy all’interno dell’azenda
� distribuzione coerente di obblighi e responsabilità
� un centro di coordinamento e supervisione: il privacy officer
� Training degli incaricati del trattamento
� verifica ‘sul campo’
� evitare e prevenire futuri rischi
� proporre possibili soluzioni e azioni correttive
Tutela del rischio privacy - II
� Approccio olistico
� visione di insieme
� analisi predittiva
� Vademecum in caso di verifica� Vademecum in caso di verifica
� persone di contatto
� documentazione
� strumenti tecnici
� Definizione e implementazione di un programmaprivacy by design
� Verifica e aggiornamento costanti
Grazie per l’attenzione
© 2013 Baker & McKenzie
Baker & McKenzie International is a Swiss Verein with member law firms around the world. In accordance with the common terminology used in professional service organizations, reference to a “partner” means a person who is a partner, or equivalent, in such a law firm. Similarly, reference to an “office” means an office of any such law firm.