Protezione dei dati personali e Data Security

Descrive gli obiettivi e i principi generali che il gruppo Mediobanca adotta nel trattamento delle informazioni per supportare le esigenze del business e garantire il rispetto di prescrizioni legali o regolamentari e delle scelte in materia di gestione dei rischi.

La Politica definisce il quadro organizzativo e metodologico che il gruppo adotta nell’ambito della gestione del rischio informatico, al fine di garantire l’efficacia e l’efficienza delle misure di protezione delle risorse IT e di graduare le misure di mitigazione in funzione del profilo di rischio.

Fornisce i criteri e le regole cui gli utenti devono attenersi per garantire che le informazioni siano classificate e gestite in modo opportuno, al fine di assicurare un adeguato livello di protezione del patrimonio informativo aziendale.

Descrive le azioni e le regole da adottare per la gestione delle attività di cifratura e mascheramento dei dati, dei relativi canali di comunicazione e dei backup, per le applicazioni identificate sulla base dell’analisi del rischio informatico e della criticità privacy.

Fornisce i criteri e le regole di carattere generale cui attenersi per la gestione dei sistemi e delle attività di log management.

Definisce gli obiettivi e i principi di sicurezza cui le terze parti devono attenersi in accordo con la propensione al rischio definita a livello aziendale e coerentemente con la normativa interna in materia di trattamento di informazioni privilegiate e confidenziali.

• Politica in materia di protezione dei dati personali: definisce i principi generali cui il Gruppo Mediobanca deve attenersi per assicurare la protezione dei dati personali che tratta nello svolgimento delle proprie attività.
• Politica di Gruppo sulla Sicurezza delle Informazioni: descrive gli obiettivi e i principi generali che il Gruppo Mediobanca adotta nel trattamento delle informazioni per supportare le esigenze del business e garantire il rispetto di prescrizioni legali o regolamentari e delle scelte in materia di gestione dei rischi. La Politica è in corso di aggiornamento, per essere adeguata ai nuovi requisiti normativi e in funzione dei cambiamenti tecnologici del sistema informativo previsti dal Piano Strategico IT.
• Politica di Gruppo per la gestione del rischio informatico: la politica di Gruppo definisce il quadro organizzativo e metodologico che il Gruppo Mediobanca adotta nell’ambito della gestione del rischio informatico, al fine di garantire l’efficacia e l’efficienza delle misure di protezione delle risorse IT e di graduare le misure di mitigazione in funzione del profilo di rischio.
• Direttiva di Gruppo di Gestione degli incidenti IT e di Sicurezza: descrive le azioni da adottare per la gestione degli incidenti relativi ai sistemi informativi e alla sicurezza delle informazioni che generano, o possono generare, disservizi agli utenti, impatti sul business aziendale o rischi per la protezione dei dati personali.
• Direttiva di Gruppo Gestione degli Amministratori di Sistema: definisce le regole dirette a disciplinare le attività svolte dagli amministratori di sistema in attuazione di quanto previsto dal Provvedimento del Garante, nonché di identificare ruoli e responsabilità operative nell’ambito del processo di gestione degli amministratori di sistema.
• Direttiva Classificazione e gestione delle informazioni: fornisce i criteri e le regole cui gli utenti devono attenersi per garantire che le informazioni siano classificate e gestite in modo opportuno, al fine di assicurare un adeguato livello di protezione del patrimonio informativo aziendale. La Direttiva è stata aggiornata rivedendo i livelli di classificazione delle informazioni e integrando le relative regole di sicurezza.
• Direttiva di Gruppo - Gestione Cifratura e Mascheramento dei dati: descrive le azioni e le regole da adottare per la gestione delle attività di cifratura e mascheramento dei dati, dei relativi canali di comunicazione e dei backup, per le applicazioni identificate sulla base dell’analisi del rischio informatico e della criticità privacy.
• Direttiva di Gruppo - Tracciamento e gestione dei Log: fornisce i criteri e le regole di carattere generale cui attenersi per la gestione dei sistemi e delle attività di log management.
• Direttiva di Gruppo - Sicurezza nei Rapporti delle Terze Parti: definisce gli obiettivi e i principi di sicurezza cui le terze parti devono attenersi in accordo con la propensione al rischio definita a livello aziendale e coerentemente con la normativa interna in materia di trattamento di informazioni privilegiate e confidenziali.
• Manuale d'ambito per la gestione del registro dei trattamenti: definisce l’approccio metodologico per la redazione e la tenuta del registro, la struttura e il contenuto minimo del registro, le modalità operative di compilazione e le casistiche di aggiornamento.
• Manuale d'ambito in materia di analisi del rischio e data protection impact assessment (DPIA): definisce le linee guida per l’esecuzione dell’analisi dei rischi e del DPIA, delineando l'approccio metodologico, i casi in cui è necessario lo svolgimento del DPIA, le metriche di valutazione e le casistiche di aggiornamento.
• Manuale d’ambito in materia di conservazione dei dati personali: definisce i criteri per la determinazione del periodo di conservazione delle diverse categorie di dati personali trattati e le regole generali in base a cui predisporre le procedure aziendali per garantire l'applicazione dei requisiti di conservazione.
• Manuale di Gruppo sui Principi di Privacy by Design e by Default: ha l’obiettivo di consolidare tali principi nelle iniziative che comportano il trattamento di dati personali, tramite regole generali di coinvolgimento delle strutture di competenza, e di garantire l’implementazione di idonee misure tecniche e organizzative, volte ad attuare in modo efficace i principi di protezione dei dati, integrando nel trattamento le necessarie garanzie atte a soddisfare i requisiti normativi, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso.
• Direttiva Di Gruppo - Violazione Dei Dati Personali (Data Breach): ha lo scopo di regolare le attività connesse alla gestione del data breach e le specifiche responsabilità attribuite.
• Procedura Operativa in materia di Analisi dei rischi e DPIA in ambito privacy: descrive i processi per l’esecuzione dell’analisi dei rischi e del DPIA.
• Procedura Operativa in materia di diritti degli interessati in ambito privacy: descrive la gestione dei diritti degli interessati, con cui si rende agevole l'esercizio delle richieste di accesso ai dati, della loro rettifica, della cancellazione e per esercitare il diritto di opposizione.
• Procedura Operativa in materia di consensi in ambito privacy: descrive la gestione dei consensi che garantisce agli interessati la possibilità di revocare o modificare in modo semplice il proprio consenso.
• Procedura Operativa in materia di Gestione profili privacy relativi ai fornitori: disciplina le attività propedeutiche all'individuazione del profilo privacy di fornitori che trattano dati personali di titolarità della banca.
• Direttiva in materia di Gestione della tracciabilità delle operazioni bancarie: fornisce i criteri e le regole generali che Mediobanca ha adottato per adempiere agli obblighi prescritti dal Provvedimento 192/11, pubblicato dal Garante Privacy per l’individuazione e l’analisi di potenziali accessi indebiti ai dati personali della clientela.
• Procedura Operativa in materia di Registro dei trattamenti in ambito privacy: disciplina il processo di predisposizione e manutenzione del Registro dei trattamenti, così come richiesto dal Regolamento Europeo (GDPR).
• Procedura Operativa in materia di Gestione della cancellazione dei dati personali: disciplina, per ogni categoria di soggetto interessato, il processo periodico di cancellazione massiva dei dati personali.
• Direttiva Di Gruppo Gestione Del Rischio Delle Terze Parti In Ambito IT: stabilisce i criteri di definizione del perimetro delle Terze Parti in ambito IT e le azioni da attuare per rafforzare il presidio.