Normativa Mobile device, Marketing, Videosorveglianza
Download as PPS, PDF0 likes270 views
Il documento tratta delle problematiche legate alla protezione dei dati nell'era dei dispositivi mobili, evidenziando rischi significativi come furti, cyber attacchi, e comportamenti imprudenti degli utenti. Viene discusso il marketing in relazione alla privacy, con una distinzione tra persone giuridiche e interessati, oltre alle normative sulla videosorveglianza e le misure di sicurezza necessarie per la sua implementazione. Infine, si sottolinea l'importanza della conformità alle leggi vigenti per evitare sanzioni e garantire una corretta gestione dei dati.
![ALCUNI DATI
20.000.000 smartphone stimati in Italia
+52% Rispetto al 2010
77% utenti che li usano in ambito aziendale
[Fonte IPSOS Media ICT 2011]
142,7 (4,3%) smartphone persi o rubati
di cui 57% non protetti
di cui 60% contenenti dati critici
[Fonte Ponemon Institute, 2011 su campione di 439 società U.S.A.
in 12 mesi ]](https://image.slidesharecdn.com/upi230512-13385379805167-phpapp02-120601031320-phpapp02/85/Normativa-Mobile-device-Marketing-Videosorveglianza-5-320.jpg)
Normativa Mobile device, Marketing, Videosorveglianza
- 1. Particolarità di alcuni trattamenti: Videosorveglianza, Marketing, Mobile Device Dott. Daniele Gombi
- 2. La protezione dei dati nell’era del mobile device: rischi e opportunità nell’uso di tablet e smartphone
- 3. Senza Parole
- 4. Il perimetro di riferimento
- 5. ALCUNI DATI 20.000.000 smartphone stimati in Italia +52% Rispetto al 2010 77% utenti che li usano in ambito aziendale [Fonte IPSOS Media ICT 2011] 142,7 (4,3%) smartphone persi o rubati di cui 57% non protetti di cui 60% contenenti dati critici [Fonte Ponemon Institute, 2011 su campione di 439 società U.S.A. in 12 mesi ]
- 6.
- 7.
- 8. (Nonostante l’elevato tasso di introduzione sul mercato dei device mobili, solo una minima parte delle aziende ne sta supportando ufficialmente l’uso < 20%) 2.Eterogeneità delle caratteristiche tecnologiche 3.Vulnerabilità tecniche 4.Comportamenti non idonei e non consapevolezza 5.BYOD – promiscuità dei dati personali e aziendali 6.Difficoltà di controllo su utilizzo e raccolta dati (fotocamera) 7.Elevata probabilità di furto o perdita 8.Mancanza di preliminare analisi dei rischi 9.Mancanza di procedure di incident handling 10.Non analisi dei trattamenti effettuati 11.Non applicazione delle misure minime di sicurezza
- 9. Ma anche 11. Potenziale geolocalizzazione
- 11. • Presenza di una password di accesso “forte” • Autenticazione e gestione credenziali • Blocco dopo un periodo di inattività • Remote Wipe (corporate content wipe o total wipe) • Cifratura della memoria (interna ed esterna) • Aggiornamento periodico strumenti • Monitoraggio della manipolazioni dei dati sul dispositivo • Firewall ed Antivirus • VPN di accesso alle risorse aziendali • Archiviazione e backup dei dati • Separazione dei dati aziendali dai dati personali
- 12. Dismissione dispositivi mobili (sim, schede di memoria interne e removibili) – Provvedimento 13 ottobre 2008 Accesso promiscuo alla e-mail aziendale e personale – Linee Guida 01 marzo 2007 Piattaforme centralizzate di gestione dei dispositivi mobili – Provvedimento AdS 27 novembre 2008 Geolocalizzazione, utilizzo ibrido – Statuto dei lavoratori Modello di organizzazione idoneo e rischi connessi ai dispositivi mobili, reati informatici in ambito “mobile” – D.Lgs 231/2001
- 13. Marketing Per le iniziative di marketing, a condizione che i dati siano tratti da fonti diverse dagli elenchi telefonici o raccolti direttamente dal soggetto, la persona giuridica, ente o associazione non sono più “interessati” e, quindi, il Codice Privacy non è applicabile.
- 14. Marketing Se le attività di marketing (telefonico e postale) sono, invece, eseguite attingendo i dati dagli elenchi telefonici, la persona giuridica, ente o associazione sono da considerarsi “abbonati” e, dunque, nuovamente è applicabile l’attuale testo normativo in materia di privacy. Vige il regime basato sul Registro Pubblico delle Opposizioni e la relativa iscrizione e procedure annesse (si ricorda, ancora da attuare per quanto attiene il marketing postale). Infatti, gli articoli del Codice Privacy che regolano questa materia esplicitamente si riferiscono non agli “interessati”, bensì agli “abbonati” e nulla nei loro confronti è cambiato
- 15. Marketing Art. 130 sulle “comunicazioni indesiderate” che disciplinano il marketing telefonico senza operatore, via e-mail, via Sms e Mms: si parla di “interessati” (e non di “abbonati”) Non essendo più considerati “interessati”, la persona giuridica, ente o associazione potrebbero essere lecitamente usati per fini di invio di e-mail pubblicitarie, Sms promozionali, telefonate di carattere commerciale senza che sia necessario rendere l’informativa e ottenere il consenso ?
- 16. Marketing Provvedimento del garante Titolarità del trattamento di dati personali in capo ai soggetti che si avvalgono di agenti per attività promozionali - 15 giugno 2011 (Pubblicato sulla Gazzetta Ufficiale n. 153 del 4 luglio 2011) ed entrato in vigore il 30/11/2011 Agenti responsabili del trattamento
- 17. Videosorveglianza D.Lgs. 196/2003 Codice in materia di protezione dei dati personali Provvedimento 8 Aprile 2010 Legge 300/1970 art.4 – Statuto dei lavoratori Interferenze illecite nella vita privata (615bis c.p.) Normative Speciali
- 18. Videosorveglianza se l’impianto viene installato in un luogo di lavoro e le telecamere riprendono anche luoghi nei quali si trovano o transitano i dipendenti, occorre stipulare un accordo con la rappresentanza sindacale aziendale dei lavoratori (e non con i singoli lavoratori!). Se manca la rappresentanza sindacale è necessario ottenere dalla competente Direzione Provinciale del Lavoro l’autorizzazione all’installazione dell’impianto, avanzando un’apposita istanza preventiva all’installazione. occorre verificare l’angolo di visuale delle riprese che deve essere sempre limitato ai soli spazi di propria esclusiva pertinenza. Le telecamere devono essere segnalate con un apposito cartello di avviso (di tipo conforme a quello predisposto dal Garante per la privacy) collocato nelle vicinanze di ciascuna di esse, indicante chi è il “titolare del trattamento” (cioè il proprietario dell’impianto.) Il cartello informativo deve essere ben visibile anche di notte. Occorre predisporre anche informativa completa.
- 19. Videosorveglianza Le misure prescritte dal Provv. gen. dell’8 aprile 2010 del Garante devono essere osservate da tutti i titolari di trattamento dei dati, altrimenti il trattamento dei dati (la videoripresa e/o videoregistrazione) è illecito o non corretto a seconda dei casi, ed espone: - all’inutilizzabilità dei dati personali trattati in violazione (art. 11 comma 2 del Codice); - all’adozione di provvedimenti di blocco o di divieto del trattamento disposti dal Garante (art. 143. comma 1, lettera c) del Codice); - all’applicazione delle pertinenti sanzioni amministrative o penali (artt. 161 segg. del Codice).
- 20. Videosorveglianza prima di installare l’impianto di videosorveglianza bisogna fare un’analisi preliminare, per valutare se la sua utilizzazione sia realmente proporzionata agli scopi perseguiti o se non sia invece superflua. Le ragioni delle scelte di rilevazione e di eventuale conservazione delle immagini devono essere adeguatamente documentate in un atto autonomo conservato presso il titolare e il responsabile del trattamento, anche ai fini della eventuale esibizione in occasione di visite ispettive
- 21. Videosorveglianza AllegatoB – Punto 25 Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall'installatore una descrizione scritta dell'intervento effettuato che ne attesta la conformità alle disposizioni del presente disciplinare tecnico. Art. 162. Altre fattispecie …2-bis.(3) In caso di trattamento di dati personali effettuato in violazione delle misure indicate nell'articolo 33 o delle disposizioni indicate nell'articolo 167 è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da diecimila euro a centoventimila euro. Nei casi di cui all'articolo 33 è escluso il pagamento in misura ridotta. Art. 169. Misure di sicurezza 1. Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall'articolo 33 è punito con l'arresto sino a due anni.
- 22. Videosorveglianza Il Garante nel suo provvedimento non specifica quali debbano essere le misure di sicurezza che il titolare deve adottare, ma nel punto 3.3 fornisce sei principi che le misure devono rispettare: a) in presenza di differenti competenze specificatamente attribuite ai singoli operatori devono essere configurati diversi livelli di visibilità e trattamento delle immagini e, dove tecnicamente possibile, i soggetti designati incaricati o responsabili del trattamento devono avere credenziali di autenticazione che permettano di effettuare, a seconda dei compiti attribuiti ad ognuno, unicamente le operazioni di propria competenza; b) quando i sistemi siano configurati per la registrazione e successiva conservazione delle immagini rilevate, deve essere limitata la possibilità, per i soggetti abilitati, di visionare in tempo differito le immagini registrate e di effettuare cancellazioni o duplicazioni; c) devono essere predisposte misure tecniche od organizzative per la cancellazione, anche automatica, delle registrazioni, allo scadere del termine previsto (di norma 24 ore);
- 23. Videosorveglianza d) nel caso di interventi di manutenzione i soggetti preposti possono accedere alle immagini solo se è indispensabile per fare eventuali verifiche tecniche e solo in presenza dei soggetti dotati di credenziali di autenticazione abilitanti alla visione delle immagini; e) se si utilizzino apparati di ripresa digitali connessi a reti informatiche, gli apparati medesimi devono essere protetti contro i rischi di accesso abusivo di cui all’art. 615-ter c.p.; Art. 615 ter Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volonta’ espressa o tacita di chi ha il diritto di escluderlo, e’ punito con la reclusione fino a tre anni. f) la trasmissione tramite una rete pubblica di comunicazioni di immagini riprese da apparati di videosorveglianza deve essere crittografata per garantire la riservatezza e lo stesso vale per la trasmissione di immagini da punti di ripresa dotati di connessioni wireless.
- 24. Affidati a competenze certificate Daniele Gombi [email protected]