Privacy e
videosorveglianza

Privacy.

CONSULENZA E SERVIZI SULLA TUTELA DEI DATI PERSONALI,
SICUREZZA DELLE INFORMAZIONI, PRIVACY E VIDEOSORVEGLIANZA

Premessa: Le informazioni rappresentano una risorsa vitale per qualsiasi azienda. La distruzione, la compromissione o l’accesso non autorizzato al patrimonio informativo aziendale può causare danni elevatissimi al business, fino a comprometterne la sopravvivenza stessa, come dimostrano alcuni degli eventi e degli scandali più eclatanti degli ultimi anni (frodi finanziarie, spionaggio industriale, falsificazioni dei dati di bilancio, intercettazioni non autorizzate, ecc.).

L’Information Security o sicurezza delle Informazioni, è l’insieme delle misure di natura tecnologica, organizzativa e legale, volte ad impedire o comunque ridurre al minimo i danni causati da eventi intenzionali (crimini, frodi) o non intenzionali (errori umani, fenomeni naturali) che violano la confidenzialità, l’integrità, la riservatezza e la disponibilità del patrimonio informativo aziendale, indipendentemente dal modo in cui tali informazioni siano comunicate e dal supporto fisico sul quale siano custodite.

COSA
FACCIAMO

Aiutiamo i nostri clienti a migliorare la Sicurezza dei Sistemi Informatici aziendali e li supportiamo nella preparazione degli adeguamenti normativi richiesti in ambito sicurezza.

Supportiamo i nostri clienti nel disegno e nella definizione della struttura organizzativa dei processi aziendali, per una corretta gestione della Sicurezza delle Informazioni, con l’introduzione di policy e procedure, come:

  • Definendo ed adottando una struttura organizzativa per il controllo e la gestione dei rischi
  • Proteggendo l’infrastruttura, i dati, la gestione delle identità digitali e sicurezza applicativa (crittografia, cifratura dei dati sensibili ecc..)
  • Gestendo le emergenze di sicurezza, disegnando ed implementando sistemi di security monitoring, definiti con piani di continuità operativa (business continuity e/o disaster recovery)
  • Proponendo progetti specifici nella sicurezza infrastrutturale delle reti, sui sistemi informativi, e sulla profilazione e autenticazione degli utenti (chi fa che cosa)
  • Garantendo il rispetto dei requisiti normativi e legali, di sicurezza all’interno di tutte le soluzioni Informatiche aziendali, a tutela e protezione dei dati, intesi come patrimonio aziendale.

L’OBIETTIVO CHE CI PREFIGGIAMO È QUELLO DI DOTARE LE IMPRESE
DI UN SERVIZIO DI CONSULENZA CHE POSSA GARANTIRE:

  • Una strategia della Sicurezza Informatica ben definita e collegata agli obiettivi di business
  • Una struttura organizzativa coerente con gli obiettivi prefissati
  • I meccanismi e dei sistemi di pianificazione e controllo della sicurezza
  • Le metodologie appropriate di analisi e gestione del rischio
  • Le policy che comprendano tutti gli aspetti legati alla strategia, al controllo e alla regolamentazione inerente la Sicurezza delle Informazioni
  • Gli standard di riferimento che assicurino procedure e rispetto delle policy stesse
  • I processi di monitoraggio e controllo che assicurino feedback tempestivi sullo stato di implementazione dei programmi, sulla loro efficacia, nonché sulla compliance alle policy e alle normative di riferimento
  • I meccanismi organizzativi che consentano un aggiornamento e un miglioramento continuo delle policy e delle procedure e, quindi, una costante riduzione del livello di rischio complessivo

LE LEVE PRINCIPALI SU CUI BASIAMO LA PROGETTAZIONE DELLA GOVERNANCE STRATEGICA DELLA SICUREZZA DELLE INFORMAZIONI, SONO FONDAMENTALMENTE TRE:

  • Le scelte (macro) organizzative, quali la creazione di unità organizzative ad hoc, l’attribuzione di ruoli e responsabilità, le scelte di servizi in sourcing strategici, ecc.
  • La configurazione organizzativa dei processi di pianificazione e controllo
  • Le risorse umane e lo sviluppo di profili di responsabilità

QUALI I PUNTI
SALIENTI:

  • Individuazione degli obiettivi e finalità strategiche da raggiungere
  • Valutazione dei profili di rischio di sicurezza all’interni dell’azienda
  • Gestione della sicurezza delle informazioni, tramite l'adozione di idonee misure di sicurezza informatiche
  • Individuazione delle responsabilità interne
  • Gestione dei flussi comunicativi e decisionali interni, al fine di adottare un approccio condiviso e coerente con gli obiettivi individuati
  • Tutela dell’immagine aziendale, tramite la definizione di un processo di monitoraggio della percezione e considerazione dell’azienda
  • Valutazione periodica dell’efficacia e dell’efficienza delle misure di sicurezza e dei processi di governo implementati e sull’eventuale aggiornamento degli stessi
  • Predisposizione di policy e di procedure per l'utilizzo responsabile e costruttivo dei servizi regolamentando in particolare gli aspetti di sicurezza
  • Formazione e informazione interna, tramite la definizione di politiche aziendali, anche all’utilizzo degli strumenti informatici (e-mail, posta elettronica, internet)

IN SINTESI L’APPROCCIO
DEVE ESSERE:

Strategico: definendo i principi e linee guida per il governo del rischio informatico;
Organizzativo: definendo la struttura organizzativa (gerarchica e funzionale), con l’attribuzione di ruoli e responsabilità, classificando e mappando i processi operativi aziendali e le risorse, definendo i processi per il governo del rischio e la gestione della sicurezza informatica;
Infrastrutturale: identificando e adottando tecnologie e soluzioni per il governo del rischio e la gestione della sicurezza informatica.

Di seguito gli Standard ISO 27001/2013:

  • Pianificazione della Business Continuity dei sistemi informatici
  • Controllo ed accesso si sistemi, messa in sicurezza dei sistemi informatici (Analisys Risk Manager)
  • Sviluppo e manutenzione dei Sistemi informatici aziendali
  • Sicurezza Fisica ed Ambientale
  • Conformità
  • Sicurezza del Personale
  • Organizzazione della Sicurezza
  • Gestione di Computer ed Operation
  • Controllo e Classificazione delle Risorse
  • Policy di Sicurezza

ED IN OTTEMPERANZA AL DECRETO LEGISLATIVO N.° 196/06
(requisiti idonei per trattamenti effettuati con strumenti elettronici)

  • Protezione dei dati sensibili aziendali (crittografia, cifratura dei dati)
  • Riduzione del rischio e protezione del dato cartaceo (Fascicolo Sanitario Elettronico sanità, fatturazione digitale PA ed altro...)
  • Autenticazione informatica, Adozione di procedure di gestione delle credenziali di autenticazione, utilizzazione di un sistema di autorizzazione

ED INFINE ADEGUAMENTI LEGALI E LEGISLATIVI RIGUARDO ALLA VIDEOSORVEGLIANZA NEI LUOGHI DI LAVORO, IN OTTEMPRANZA ALLE SEGUENTI VIGENTI NORMATIVE:

  • Direttiva 95/46/CE
  • d.lgs. n.° 196/03
  • Art. 4 della legge n. 300 del 20 maggio 1970 (Statuto dei Lavoratori)
  • Provvedimenti del Garante del 29 aprile 2004 e 08 ottobre 2010

Videosorveglianza.

PROGETTO DI ADEGUAMENTO NORMATIVO RIGUARDANTE LA VIDEOSORVEGLIANZA
E LA TUTELA DEI DATI PERSONAL

Premessa: è bene ricordare che voci e immagini sono considerati dati personali, ove essi forniscano informazioni su un individuo rendendolo, anche se indirettamente identificabile

  • Direttiva 95/46/CE
  • d.lgs. n.° 196/03
  • Art. 4 della legge n. 300 del 20 maggio 1970 (Statuto dei Lavoratori)
  • Provvedimenti del Garante del 29 aprile 2004 e 08 ottobre 2010

La direttiva 95/46/CE, nata ancor prima del d.lgs. 196/03, garantisce la protezione della vita privata nonché la tutela più ampia dei dati personali relativamente alla tutela dei diritti e delle libertà fondamentali delle persone fisiche.

Negli ultimi anni gli organismi pubblici e privati in Europa hanno fatto sempre maggior ricorso ai sistemi di acquisizione delle immagini. Tale circostanza ha suscitato un acceso dibattito tanto a livello comunitario quanto a quello dei singoli Stati membri, al fine di identificare presupposti e restrizioni applicabili all'installazione di attrezzature di videosorveglianza, nonché le necessarie garanzie per le persone interessate.
La direttiva stessa evidenzia come l'utilizzo di un sistema di videoregistrazione può essere effettivamente obbligatoria, sulla base di disposizioni specifiche degli Stati membri.

In riferimento al d. lgs. 196/03, le immagini devono essere trattate lealmente e lecitamente per finalità determinate, esplicite e legittime. Le immagini devono essere utilizzate conformemente al principio che i dati debbono essere adeguati, pertinenti e non eccedenti al trattamento stesso e compatibili con tali finalità.
Essi vanno conservati per un periodo limitato da un giorno ad un massimo di una settimana.
Un numero limitato di persone fisiche (da specificare) deve poter visualizzare o accedere alle immagini registrate. In alternativa la richiesta di accesso ai dati di una persona interessata, può venire anche tramite un ordine legale emesso da una autorità di polizia o giudiziaria, per la scoperta e l’indagine di atti criminali.

Ove la videosorveglianza sia destinata unicamente ad evitare, scoprire e controllare infrazioni, la soluzione dell' utilizzazione di due chiavi di accesso una detenuta dal responsabile del trattamento e l'altra dalla polizia potrebbe essere utile per garantire che le immagini siano viste soltanto dal personale di polizia e da nessun altro personale non autorizzato.

L’art. 4 della legge n. 300 del 20 maggio 1970 (Statuto dei Lavoratori), detta invece regole ben precise riguardo l’installazione degli apparati di controllo elettronico.

L’installazione va concordata con le rappresentanze sindacali aziendali presenti nell’impresa che intende introdurre l’apparecchiatura di controllo. In mancanza delle rappresentanze sindacali, si deve ricorrere all’autorizzazione da richiedere all’Ispettorato del Lavoro Territoriale.

Qualora il datore di lavoro non raggiunga l’intesa con i sindacati o non ottenga la predetta autorizzazione, si espone oltre che al ricorso del singolo lavoratore sottoposto a controlli, al ricorso per repressione di condotta anti-sindacale.

La fornitura di informazioni, ad esempio solo attraverso un simbolo, non è ritenuta sufficiente.

Ai sensi di tali regolamentazioni, l'installazione e l'uso di televisioni a circuito chiuso e attrezzature simili di sorveglianza devono essere autorizzati preventivamente da un ente amministrativo, il quale è rappresentato dall'autorità del Garante per la protezione dei dati personali.

IN PARTICOLAR
MODO

  • Proteggere gli individui
  • Proteggere la proprietà
  • Per interesse pubblico
  • Per scoprire, prevenire e controllare le infrazioni
  • Presentare eventuali prove
  • Altri interessi legittimi

ATTIVITÀ PREVISTE
E NECESSARIE

  • Richiedere autorizzazione (Istanza) per l’uso della videosorveglianza alla Direzione Provinciale del Lavoro (in mancanza delle Rappresentanze Sindacali) con allegata mappa delle aree interessate evidenziando gli apparati previsti in utilizzo
  • Allegare 2 planimetrie
  • Allegare 2 marche da bollo da €. 16,00
  • Allegare Schede tecniche apparecchiature elettroniche (Comando di regia, telecamere)

CONTESTUALMENTE
ED IN OTTEMPERANZA ALLA PRIVACY

ANALISI DEI DATI:

  • Effettuare analisi dei dati trattati, classificandoli per tipologia di rischio e per le aree di pertinenza interessate
  • Individuare tramite la "tabella natura e finalità dei dati", l’elenco dei dati trattati classificati per le aree di competenza, tramite il file "Classificazione Analisi Rischi - Banche Dati"

ORGANIZZAZIONE:

  • Individuare figure coinvolte sia in ambito specifico (videosorveglianza) che Privacy
  • Nominare il Responsabile della Sicurezza dei dati e della Privacy
  • Nominare il/i Responsabile/i della/e Sede/i o Unità Locali, se necessario
  • Nominare gli incaricati al trattamento dei dati, (in ambito specifico, Videosorveglianza) tramite lettera di incarico
  • Informare le persone o le società interessate, con documento apposito, riguardo le ragioni della videosorveglianza
  • Redigere, informare e consegnare l’informativa per i dipendenti e ricevere relativo consenso al trattamento dei dati (inizialmente effettuare verbale informativo generico)
  • Redigere, informare e consegnare l’informativa per i dipendenti e ricevere relativo consenso al trattamento dei dati (inizialmente effettuare verbale informativo generico)
  • Redigere ed esporre l’informativa interna sul trattamento dei dati personali
  • Redigere documento interno sulle ragioni della videosorveglianza
  • Redigere ed esporre l’informativa breve sulle ragioni della videosorveglianza
  • Nominare i Responsabili dei dati trattati all’esterno (consulente del lavoro, medico etc...)
  • Nominare gli incaricati della custodia delle copie delle credenziali
  • Nominare gli incaricati delle copie di sicurezza delle banche dati
  • Nominare gli incaricati della gestione e manutenzione degli strumenti elettronici
  • Redigere il Manuale Operativo per la Gestione della Sicurezza (ex DPS), riportando tutte le informazioni correlate, in ottemperanza ai riferimenti normativi (a seguire).

Ad autorizzazione ottenuta, procedere con l’installazione degli apparati, o riattivazione, nonché alla redazione ed alla divulgazione dei documenti sopra descritti verso il personale o gli enti interessati.

Da 1 a 5 dipendenti e collaboratori
+ Videosorveglianza*
+ Dati Sensibili

Da 1 a 5 dipendenti e collaboratori Aggiornamento Annuale
+ Videosorveglianza* Aggiornamento Annuale
+ Dati Sensibili Aggiornamento Annuale

Da 6 a 20 dipendenti e collaboratori
+ Videosorveglianza*
+ Dati Sensibili

Da 6 a 20 dipendenti e collaboratori Aggiornamento Annuale
+ Videosorveglianza* Aggiornamento Annuale
+ Dati Sensibili Aggiornamento Annuale

Da 21 a 50 dipendenti e collaboratori
+ Videosorveglianza*
+ Dati Sensibili

Da 21 a 50 dipendenti e collaboratori Aggiornamento Annuale
+ Videosorveglianza* Aggiornamento Annuale
+ Dati Sensibili Aggiornamento Annuale

Da 51 a 100 dipendenti e collaboratori
+ Videosorveglianza*
+ Dati Sensibili

da 51 a 100 dipendenti e collaboratori Aggiornamento Annuale
+ Videosorveglianza* Aggiornamento Annuale
+ Dati Sensibili Aggiornamento Annuale

* Comprensivo di autorizzazione alla Direzione Territoriale del Lavoro

Richiedi un check-up gratuito
della tua azienda

Clicca qui

Richiedi un
preventivo gratuito

Clicca qui

Scopri i nostri corsi dedicati alla
formazione.