Docente: Dott.ssa Irene Molini
Corso di Formazione in materia di Privacy
(Regolamento Europeo 2016/679)
Suggerimenti per una prudente gestione dei dati
1
2
Il Nuovo Regolamento Europeo sulla privacy non definisce requisiti specificati nel trattamento dei dati con e senza strumenti elettronici in termini precisi, come avviene per l’attuale Normativa italiana sulla privacy, ma sposta la responsabilità di definire le misure di sicurezza idonee a garantire la privacy dei dati personali trattati sul Titolare o Responsabile del
trattamento, dopo un’attenta analisi dei rischi.
Dunque non ci sono più misure minime, ma solo misure di sicurezza adeguate, progettate dal Titolare o dal Responsabile del trattamento dopo aver affrontato l’analisi dei rischi che incombono sui dati personali che si intende trattare.
MISURE DI SICUREZZA
CAMBIA LA PROSPETTIVA
SUGGERIMENTI PER UNA PRUDENTE GESTIONE DI DATI PERSONALI SU SUPPORTO CARTACEO
qualche consiglio
è necessario fornire una serie di consigli quali ad esempio:
non lasciare nulla di incustodito
Non lasciate mai incustoditi fascicoli, incartamenti, corrispondenza, schede o altri documenti che
contengano dati personali o informazioni
3
SUGGERIMENTI PER UNA PRUDENTE GESTIONE DI DATI PERSONALI SU SUPPORTO CARTACEO
Distruggete i fogli in maniera opportuna, possibilmente avvalendovi di apposite
macchine trita carte, e – se fosse necessario – mangiateli come nei film di spie e agenti segreti!
distruzione di
documenti, elenchi e fascicoli
4
SUGGERIMENTI PER UNA PRUDENTE GESTIONE DI DATI PERSONALI SU SUPPORTO CARTACEO
se sbagliate la fotocopia di un documento che contiene dati personali, se è “storta ”, se è troppo scura o non si legge a sufficienza, non gettatela nel cestino prima di averla distrutta.
Esiste una tecnica di ricerca di informazioni chiamata
“trashing” che si basa proprio sul ripescare documenti finiti nella spazzatura: una fotocopia che a noi non
piace, può essere invece “molto apprezzata” da curiosi o malintenzionati.
distruzione delle fotocopie mal
riuscite
rischio di “trashing”
5
DATI SANITARI
I dati sanitari vanno conservati in fascicoli separati. Il lavoratore assente per malattia, ad esempio, è tenuto a consegnare al proprio titolare un certificato senza la diagnosi ma con la sola indicazione dell’inizio e della durata presunta dell’infermità. Il datore di lavoro non può accedere alle cartelle sanitarie dei dipendenti sottoposti ad accertamenti dal medico del lavoro. Nel caso di denuncia di infortuni o malattie professionali all’Inail, il datore di lavoro deve limitarsi a comunicare solo le informazioni connesse alla patologia denunciata.
6
RACCOMANDAZIONI RELATIVE AL TRASPORTO DI DATI PERSONALI SU SUPPORTO CARTACEO O INFORMATICO
- Mentre i dati personali custoditi nei sistemi informativi e all’interno di archivi protetti sono ragionevolmente difesi da accessi illeciti, accade purtroppo spesso che le precauzioni adottate in fase di trasporto da un insediamento all’altro non siano soddisfacenti.
- Può capitare assai spesso che documenti cartacei contenenti dati personali, 7
anche sensibili, vengano inseriti in una busta e abbandonati sul sedile di un’autovettura, talvolta lasciata incustodita anche per lungo tempo. Oppure tali dati possono essere inseriti in una borsa o cartella che rappresenta un attraente bersaglio per uno scippatore.
RACCOMANDAZIONI RELATIVE AL TRASPORTO DI DATI PERSONALI SU SUPPORTO CARTACEO O INFORMATICO
- Un PC portatile, che viene trasportato in giro per il mondo, talvolta lasciato incustodito nelle camere d’albergo in condizioni tali che un soggetto interessato potrebbe estrarre da questo computer dati.
Il Codice Privacy (D.Lgs. 196/2003) si preoccupa di dare specifiche indicazioni su 8
come cd-rom, memory stick o altri supporti informatici, nonché i documenti su supporto cartaceo, vengano debitamente protetti in fase di trasporto.
- Nel caso di dati ad alto rischio, come i dati sensibili genetici, si prescrive perfino l’utilizzo di un contenitore con serratura (ad esempio una borsa con chiusura protetta da una serratura a codice numerico o da chiave, oppure con altri accorgimenti, come una busta sigillata, che mette in immediata evidenza una possibile violazione.
RACCOMANDAZIONI RELATIVE AL TRASPORTO DI DATI PERSONALI SU SUPPORTO CARTACEO O INFORMATICO
9
RACCOMANDAZIONI RELATIVE AL TRASPORTO DI DATI PERSONALI SU SUPPORTO CARTACEO O INFORMATICO
Indipendentemente dallo strumento specifico di protezione dei dati, è indispensabile che l’incaricato che trasporta i dati, presti particolare attenzione non abbandonando mai i dati stessi ed accertandosi che essi non siano in alcun modo accessibili a terzi estranei.
Esempio:il Codice Privacy impone che i dati trasferiti su supporto 10
informatico, se particolarmente sensibili, debbano essere addirittura preventivamente cifrati con un algoritmo crittografico, in modo che un’eventuale sottrazione non possa consentire al malvivente di venire a conoscenza dei dati stessi.
ALTRE RACCOMANDAZIONI IN FASE DI COMUNICAZIONE DEI DATI PERSONALI E NELLE COMUNICAZIONI TELEFONICHE CONVENZIONALI
• Se un visitatore chiede di fare una telefonata, comporre personalmente il numero e solo dopo passare la cornetta al visitatore.
• Se vengono richiesti via telefono dati personali, accertarsi sempre che il richiedente abbia titolo a richiederli.
In caso di dati sensibili o in circostanze particolari si valuti la possibilità di utilizzare mezzi più sicuri di comunicazione dei dati.
• Quando si devono comunicare dati personali via telefono ci si accerti che terzi estranei nelle vicinanze non possano udirli.
11
ALTRE RACCOMANDAZIONI IN FASE DI COMUNICAZIONE DEI DATI PERSONALI E NELLE COMUNICAZIONI TELEFONICHE CONVENZIONALI
• Ricordare che le comunicazioni via telefono cellulare analogico sono facilmente
intercettabili, mentre le comunicazioni via telefono cellulare digitale GSM sono protette crittograficamente.
• Prima di inviare a un corrispondente un fax con dati personali, ci si accerti che sia pronto a riceverli e che non vengano abbandonati presso la macchina ricevente, in attesa di essere rilevati.
12
