Privacy e videosorveglianza

Consulenza e servizi sulla tutela dei dati personali,
sicurezza delle informazioni, privacy e videosorveglianza.

Premessa: Le informazioni rappresentano una risorsa vitale per qualsiasi azienda. La distruzione, la compromissione o l’accesso non autorizzato al patrimonio informativo aziendale può causare danni elevatissimi al business, fino a comprometterne la sopravvivenza stessa, come dimostrano alcuni degli eventi e degli scandali più eclatanti degli ultimi anni (frodi finanziarie, spionaggio industriale, falsificazioni dei dati di bilancio, intercettazioni non autorizzate, ecc.).

L’Information Security o sicurezza delle Informazioni, è l’insieme delle misure di natura tecnologica, organizzativa e legale, volte ad impedire o comunque ridurre al minimo i danni causati da eventi intenzionali (crimini, frodi) o non intenzionali (errori umani, fenomeni naturali) che violano la confidenzialità, l’integrità, la riservatezza e la disponibilità del patrimonio informativo aziendale, indipendentemente dal modo in cui tali informazioni siano comunicate e dal supporto fisico sul quale siano custodite.

COSA FACCIAMO
Aiutiamo i nostri clienti a migliorare la Sicurezza dei Sistemi Informatici aziendali e li supportiamo nella preparazione degli adeguamenti normativi richiesti in ambito sicurezza.

Supportiamo i nostri clienti nel Disegno e definizione della struttura organizzativa dei processi aziendali
per una corretta gestione della Sicurezza delle Informazioni, con l'introduzione di policy e procedure come:

Definendo ed adottando una struttura organizzativa per il controllo e la gestione dei rischi
Proteggendo l’infrastruttura, i dati, la gestione delle identità digitali e sicurezza applicativa (crittografia, cifratura dei dati sensibili ecc..)
Gestendo le emergenze di sicurezza, disegnando ed implementando sistemi di security monitoring, definiti con piani di continuità operativa (business continuity e/o disaster recovery)
Proponendo progetti specifici nella sicurezza infrastrutturale delle reti, sui sistemi informativi, e sulla profilazione e autenticazione degli utenti (chi fa che cosa)
Garantendo il rispetto dei requisiti normativi e legali, di sicurezza all’interno di tutte le soluzioni Informatiche aziendali, a tutela e protezione dei dati, intesi come patrimonio aziendale.

L'obiettivo che ci prefiggiamo è quello di dotare
le imprese di un servizio di consulenza che possa garantire:

Una strategia della Sicurezza Informatica ben definita e collegata agli obiettivi di business
Una struttura organizzativa coerente con gli obiettivi prefissati
I meccanismi e dei sistemi di pianificazione e controllo della sicurezza
Le metodologie appropriate di analisi e gestione del rischio
Le policy che comprendano tutti gli aspetti legati alla strategia, al controllo e alla regolamentazione inerente la Sicurezza delle Informazioni
Gli standard di riferimento che assicurino procedure e rispetto delle policy stesse
I processi di monitoraggio e controllo che assicurino feedback tempestivi sullo stato di implementazione dei programmi, sulla loro efficacia, nonché sulla compliance alle policy e alle normative di riferimento
I meccanismi organizzativi che consentano un aggiornamento e un miglioramento continuo delle policy e delle procedure e, quindi, una costante riduzione del livello di rischio complessivo

Leve principali su cui basiamo la progettazione
della Governance strategica della Sicurezza delle Informazioni

Le scelte (macro) organizzative, quali la creazione di unità organizzative ad hoc, l’attribuzione di ruoli e responsabilità, le scelte di servizi in sourcing strategici, ecc.
La configurazione organizzativa dei processi di pianificazione e controllo
Le risorse umane e lo sviluppo di profili di responsabilità

I punti
Salienti

Individuazione degli obiettivi e finalità strategiche da raggiungere
Valutazione dei profili di rischio di sicurezza all’interni dell’azienda
Gestione della sicurezza delle informazioni, tramite l'adozione di idonee misure di sicurezza informatiche
Individuazione delle responsabilità interne
Gestione dei flussi comunicativi e decisionali interni, al fine di adottare un approccio condiviso e coerente con gli obiettivi individuati
Tutela dell’immagine aziendale, tramite la definizione di un processo di monitoraggio della percezione e considerazione dell’azienda
Valutazione periodica dell’efficacia e dell’efficienza delle misure di sicurezza e dei processi di governo implementati e sull’eventuale aggiornamento degli stessi
Predisposizione di policy e di procedure per l'utilizzo responsabile e costruttivo dei servizi regolamentando in particolare gli aspetti di sicurezza
Formazione e informazione interna, tramite la definizione di politiche aziendali, anche all’utilizzo degli strumenti informatici (e-mail, posta elettronica, internet)

IN SINTESI L’APPROCCIO DEVE ESSERE

Strategico: definendo i principi e linee guida per il governo del rischio informatico;
Organizzativo: definendo la struttura organizzativa (gerarchica e funzionale), con l’attribuzione di ruoli e responsabilità, classificando e mappando i processi operativi aziendali e le risorse, definendo i processi per il governo del rischio e la gestione della sicurezza informatica;
Infrastrutturale: identificando e adottando tecnologie e soluzioni per il governo del rischio e la gestione della sicurezza informatica.

Standard
ISO 27001/2013

Pianificazione della Business Continuity dei sistemi informatici
Controllo ed accesso si sistemi, messa in sicurezza dei sistemi informatici (Analisys Risk Manager)
Sviluppo e manutenzione dei Sistemi informatici aziendali
Sicurezza Fisica ed Ambientale
Conformità
Sicurezza del Personale
Organizzazione della Sicurezza
Gestione di Computer ed Operation
Controllo e Classificazione delle Risorse
Policy di Sicurezza

In ottemperanza al decreto legislativo n°196/06
(requisiti idonei per trattamenti effettuati con strumenti elettronici)

Protezione dei dati sensibili aziendali (crittografia, cifratura dei dati)
Riduzione del rischio e protezione del dato cartaceo (Fascicolo Sanitario Elettronico sanità, fatturazione digitale PA ed altro...)
Autenticazione informatica, Adozione di procedure di gestione delle credenziali di autenticazione, utilizzazione di un sistema di autorizzazione

Adeguamenti legali e legislativi riguardo alla Videosorveglianza nei luoghi di lavoro
in ottemperanza alle seguenti vigenti nornative:

Direttiva 95/46/CE
d.lgs. n.° 196/03
Art. 4 della legge n. 300 del 20 maggio 1970 (Statuto dei Lavoratori)
Provvedimenti del Garante del 29 aprile 2004 e 08 ottobre 2010

Progetto di adeguamento normativo
riguardante la videosorveglianza e la tutela dei dati personali.

Premessa: è bene ricordare che voci e immagini sono considerati dati personali, ove essi forniscano informazioni su un individuo rendendolo, anche se indirettamente identificabile.

La direttiva 95/46/CE, nata ancor prima del d.lgs. 196/03, garantisce la protezione della vita privata nonché la tutela più ampia dei dati personali relativamente alla tutela dei diritti e delle libertà fondamentali delle persone fisiche.

Negli ultimi anni gli organismi pubblici e privati in Europa hanno fatto sempre maggior ricorso ai sistemi di acquisizione delle immagini. Tale circostanza ha suscitato un acceso dibattito tanto a livello comunitario quanto a quello dei singoli Stati membri, al fine di identificare presupposti e restrizioni applicabili all'installazione di attrezzature di videosorveglianza, nonché le necessarie garanzie per le persone interessate.
La direttiva stessa evidenzia come l'utilizzo di un sistema di videoregistrazione può essere effettivamente obbligatoria, sulla base di disposizioni specifiche degli Stati membri.

In riferimento al d. lgs. 196/03, le immagini devono essere trattate lealmente e lecitamente per finalità determinate, esplicite e legittime. Le immagini devono essere utilizzate conformemente al principio che i dati debbono essere adeguati, pertinenti e non eccedenti al trattamento stesso e compatibili con tali finalità.
Essi vanno conservati per un periodo limitato da un giorno ad un massimo di una settimana.
Un numero limitato di persone fisiche (da specificare) deve poter visualizzare o accedere alle immagini registrate. In alternativa la richiesta di accesso ai dati di una persona interessata, può venire anche tramite un ordine legale emesso da una autorità di polizia o giudiziaria, per la scoperta e l’indagine di atti criminali.

Ove la videosorveglianza sia destinata unicamente ad evitare, scoprire e controllare infrazioni, la soluzione dell' utilizzazione di due chiavi di accesso una detenuta dal responsabile del trattamento e l'altra dalla polizia potrebbe essere utile per garantire che le immagini siano viste soltanto dal personale di polizia e da nessun altro personale non autorizzato.

L’art. 4 della legge n. 300 del 20 maggio 1970 (Statuto dei Lavoratori), detta invece regole ben precise riguardo l’installazione degli apparati di controllo elettronico.

L’installazione va concordata con le rappresentanze sindacali aziendali presenti nell’impresa che intende introdurre l’apparecchiatura di controllo. In mancanza delle rappresentanze sindacali, si deve ricorrere all’autorizzazione da richiedere all’Ispettorato del Lavoro Territoriale.

Qualora il datore di lavoro non raggiunga l’intesa con i sindacati o non ottenga la predetta autorizzazione, si espone oltre che al ricorso del singolo lavoratore sottoposto a controlli, al ricorso per repressione di condotta anti-sindacale.

La fornitura di informazioni, ad esempio solo attraverso un simbolo, non è ritenuta sufficiente.
Ai sensi di tali regolamentazioni, l'installazione e l'uso di televisioni a circuito chiuso e attrezzature simili di sorveglianza devono essere autorizzati preventivamente da un ente amministrativo, il quale è rappresentato dall'autorità del Garante per la protezione dei dati personali.

Riferimenti
normativi

Direttiva 95/46/CE
d.lgs. n.° 196/03
Art. 4 della legge n. 300 del 20 maggio 1970 (Statuto dei Lavoratori)
Provvedimenti del Garante del 29 aprile 2004 e 08 ottobre 2010

I nostri
Obiettivi

Proteggere gli individui
Proteggere la proprietà
Per interesse pubblico
Per scoprire, prevenire e controllare le infrazioni
Presentare eventuali prove
Altri interessi legittimi

Attività previste
e necessarie

Richiedere autorizzazione (Istanza) per l’uso della videosorveglianza alla Direzione Provinciale del Lavoro (in mancanza delle Rappresentanze Sindacali) con allegata mappa delle aree interessate evidenziando gli apparati previsti in utilizzo
Allegare 2 planimetrie
Allegare 2 marche da bollo da €. 16,00
Allegare Schede tecniche apparecchiature elettroniche (Comando di regia, telecamere)

Analisi
dei dati

Effettuare analisi dei dati trattati, classificandoli per tipologia di rischio e per le aree di pertinenza interessate
Individuare tramite la "tabella natura e finalità dei dati", l’elenco dei dati trattati classificati per le aree di competenza, tramite il file "Classificazione Analisi Rischi - Banche Dati"

Organizzazione

Individuare figure coinvolte sia in ambito specifico (videosorveglianza) che Privacy
Nominare il Responsabile della Sicurezza dei dati e della Privacy
Nominare il/i Responsabile/i della/e Sede/i o Unità Locali, se necessario
Nominare gli incaricati al trattamento dei dati, (in ambito specifico, Videosorveglianza) tramite lettera di incarico
Informare le persone o le società interessate, con documento apposito, riguardo le ragioni della videosorveglianza
Redigere, informare e consegnare l’informativa per i dipendenti e ricevere relativo consenso al trattamento dei dati (inizialmente effettuare verbale informativo generico)
Redigere, informare e consegnare l’informativa per i dipendenti e ricevere relativo consenso al trattamento dei dati (inizialmente effettuare verbale informativo generico)
Redigere ed esporre l’informativa interna sul trattamento dei dati personali
Redigere documento interno sulle ragioni della videosorveglianza
Redigere ed esporre l’informativa breve sulle ragioni della videosorveglianza
Nominare i Responsabili dei dati trattati all’esterno (consulente del lavoro, medico etc...)
Nominare gli incaricati della custodia delle copie delle credenziali
Nominare gli incaricati delle copie di sicurezza delle banche dati
Nominare gli incaricati della gestione e manutenzione degli strumenti elettronici
Redigere il Manuale Operativo per la Gestione della Sicurezza (ex DPS), riportando tutte le informazioni correlate, in ottemperanza ai riferimenti normativi (a seguire).

Documento privacy e videosorveglianza
(D.Lgs. 196/03)

Ad autorizzazione ottenuta, procedere con l’installazione degli apparati, o riattivazione, nonché alla redazione ed alla divulgazione dei documenti sopra descritti verso il personale o gli enti interessati.

Da 1 a 5 dipendenti e collaboratori
+ Videosorveglianza*
+ Dati Sensibili

Da 1 a 5 dipendenti e collaboratori Aggiornamento Annuale
+ Videosorveglianza* Aggiornamento Annuale
+ Dati Sensibili Aggiornamento Annuale

Da 6 a 20 dipendenti e collaboratori
+ Videosorveglianza*
+ Dati Sensibili

Da 6 a 20 dipendenti e collaboratori Aggiornamento Annuale
+ Videosorveglianza* Aggiornamento Annuale
+ Dati Sensibili Aggiornamento Annuale

Da 21 a 50 dipendenti e collaboratori
+ Videosorveglianza*
+ Dati Sensibili

Da 21 a 50 dipendenti e collaboratori Aggiornamento Annuale
+ Videosorveglianza* Aggiornamento Annuale
+ Dati Sensibili Aggiornamento Annuale

Da 51 a 100 dipendenti e collaboratori
+ Videosorveglianza*
+ Dati Sensibili

Da 51 a 100 dipendenti e collaboratori Aggiornamento Annuale
+ Videosorveglianza* Aggiornamento Annuale
+ Dati Sensibili Aggiornamento Annuale

* Comprensivo di autorizzazione alla Direzione Territoriale del Lavoro

Health & Safety Point.

Sede legale:
Via Molinara 33 - Arezzo

Email: info@hspoint.it

Sitemap.

   Home
   Servizi
   Agenzie
   Franchising
   Area Affiliati
   News
   Contatti

Facebook.

Health & Safety Point