Analisi delle aree aziendali sensibili al rischio privacy

© 2013 Baker & McKenzie

sensibili al rischio privacy

AFGE Milano

Corporate Privacy Compliance Forum 20 e 21 novembre 2013

Francesca Gaudino - Local Partner, Baker & McKenzie

Il ‘rischio privacy’

� Art. 15 Codice Privacy

- trattare dati personali è un’attività pericolosa

� Art. 4 Codice Privacy: definizioni di � Art. 4 Codice Privacy: definizioni di - dato personale e

- trattamento

� Struttura del sistema sanzionatorio

Audit interno - I

� Censimento di banche dati utilizzate: interne edesterne

� Verifica dei dati trattati: tipologia e natura

� Identificazione dei trattamenti posti in essere: il principio di finalità

� Identificazione dei luoghi in cui i dati sono trattati: momento statico e dinamico del trattamento

Audit interno - II

� Ambito di comunicazione dei dati

� intra ed extra gruppo

� finalità della comunicazione

� Esternalizzazione di operazioni di trattamento/di � Esternalizzazione di operazioni di trattamento/di interi trattamenti

� nomina e controllo dei responsabili

� Mappatura dei flussi di dati

� Regolamentazione dei ruoli privacy dei soggetticoinvolti

Audit interno - III

� Verifica di misure e precauzioni adottate

� Determinazione del proprio programma privacy

� gap analysis� gap analysis

� Distribuzione di ruoli e responsabilità privacy all’interno della struttura aziendale

� delega di funzioni

� nomina di responsabili e incaricati

� il privacy officer

� effettività ed efficacia del sistema di deleghe interno

Regole per tutti i trattamenti

Art. 11 Codice Privacy – art. 15 Codice Privacy

� Principi di liceità e correttezza

� Principio di finalità del trattamento� Principio di finalità del trattamento

� Qualità dei dati

� Principio di rilevanza e non eccedenza

� Principio di conservazione

Area risorse umane - I

� Informativa e consenso

� candidati

� dipendenti - finalità

� dati non rilevanti

� foto su intranet aziendale, immagini a fini � foto su intranet aziendale, immagini a fini promozionali

� gestione del mancato consenso

� Disciplinare tecnico per utilizzo di internet e @� conditio sine qua non

� il problema dei consulenti esterni

Area risorse umane - II

� Videosorveglianza � conservazione e procedure di accesso

� richieste di accesso

� Dati sensibili e medico aziendale� Dati sensibili e medico aziendale

� Due diligence

� Training e designazione di incaricati del trattamento

� Altri trattamenti a rischio privacy – i familiari, ricerche di mercato, ecc.

Strumenti di marketing in ambito web 3.0

� Conversazione virtuale, continua, bidirezionale, molto personalizzata e device agnostic

� Piattaforme IT multifunzionali per vendita, marketing e comunicazionemarketing e comunicazione

� geolocalizzazione

� behavioural advertising e tracciamento - cookies, web beacons, etc.

� TAF

� profilazione

� social media, blog, chat, forum, etc.

� Coerente integrazione di ambiente online ed offline

Flussi informativi in ambito CRM/CEM

� Cliente: il nuovo centro gravitazionale

– comprendere i desideri del cliente come vantaggio competitivo

– il cliente come trend/market setter– il cliente come trend/market setter

– il cliente come best seller

� Dal CRM al CEM attraverso la brand experience

Soluzioni ‘cloud’

- Determinazione della legge privacy applicabile

- Individuazione del perimetro di dati/banche dati affidati ai servizi in cloud

- Verifica dei flussi di dati in entrata e in uscita- Verifica dei flussi di dati in entrata e in uscita

- Controllo sui dati e sulle persone autorizzate all’accesso/al trattamento

- Verifica delle misure di sicurezza adottate: controllo, disponibilità e integrità dei dati

Area clienti - I

� Titolarità del trattamento in gruppi di imprese

� struttura del CRM: centralizzata, decentralizzata, mista

� Individuazione della legge privacy applicabile dai � Individuazione della legge privacy applicabile dai diversi titolari di trattamento

� Regolamentazione della condivisione con terzi esterni, responsabili o titolari

� franchisee, ecc.

� department store

� Trattamento di eventuali dati sensibili

Area clienti - II

� Trasferimenti verso paesi terzi

� soluzioni coerenti ed efficienti

� flussi verso e da paesi terzi

� Modalità e criteri di profilazione� Modalità e criteri di profilazione

� data ultimo acquisto

� valore acquisti

� frequenza acquisti

� …

� determinazione e aggiornamento dei segmenti

� Informativa e consenso; notificazione

Area clienti - III

� Programmi fedeltà

� Coerenza con eventuali iniziative online o mobile

� il caso dei social network

� Responsabili interni e incaricati

� Tempi di conservazione

� ultimo contatto?

� ultimo acquisto?

� data di registrazione sulla banca dati?

� …?

Area clienti - IV

� Strumento tecnico utilizzato

� i flag privacy – informativa e consenso sono diversi a seconda della legge privacy applicabile

� esatta gestione delle preferenze espresse � esatta gestione delle preferenze espresse dall’interessato

� profili di accesso e autorizzazione – gli incaricati

� eventuali banche dati speculari

� la BD ‘occulta’

� l’accesso come trasferimento di dati all’estero

� Bonificare o non bonificare

� se sì, come

Misure di sicurezza - I

� AdS

� nomine specifiche

� conservazione file di log

� verifica dell’attività

� Aggiornamento delle misure di sicurezza

� a scadenze predeterminate

� secondo lo ‘stato dell’arte’

� Misure minime di sicurezza per trattamenti cartacei

Misure di sicurezza - II

� Misure di carattere organizzativo

� designazione di incaricati

� conservazione password

� utilizzo di fax

� spedizione di atti contenenti dati� spedizione di atti contenenti dati

� utilizzo di supporti rimovibili

� Verifica dell’attività dei responsabili esterni

� resoconto periodico del responsabile

� audit del titolare

Flussi transfrontalieri di dati - I

� I paesi terzi

� Safe Harbor

� Strumenti contrattuali � Strumenti contrattuali

� clausole ad hoc

� Clausole Contrattuali Standard – Model Clauses

� tra titolari

� da titolare a responsabile

� Norme vincolandi di impresa (BCR)

� Varie esimenti, tra cui il consenso dell’interessato

Flussi transfrontalieri di dati - II

� Scelta dello strumento legale più adatto al casoconcreto

� Identificazione di banche dati e dati coinvolti

� Verifica di esatta adozione di altri requisiti di leggeapplicabili

� Implementazione

� Manutenzione

Tutela del rischio privacy - I

� Ruoli privacy all’interno dell’azenda

� distribuzione coerente di obblighi e responsabilità

� un centro di coordinamento e supervisione: il privacy officer

� Training degli incaricati del trattamento

� verifica ‘sul campo’

� evitare e prevenire futuri rischi

� proporre possibili soluzioni e azioni correttive

Tutela del rischio privacy - II

� Approccio olistico

� visione di insieme

� analisi predittiva

� Vademecum in caso di verifica� Vademecum in caso di verifica

� persone di contatto

� documentazione

� strumenti tecnici

� Definizione e implementazione di un programmaprivacy by design

� Verifica e aggiornamento costanti

Grazie per l’attenzione

© 2013 Baker & McKenzie

Baker & McKenzie International is a Swiss Verein with member law firms around the world. In accordance with the common terminology used in professional service organizations, reference to a “partner” means a person who is a partner, or equivalent, in such a law firm. Similarly, reference to an “office” means an office of any such law firm.