Dati da proteggere nel lavoro agile

Conciliare il lavoro “agile”, fuori dai locali dell’azienda, con la protezione dei dati (a volte riservati) che l’azienda mette a disposizione del lavoratore.
È una delle esigenze che si manifestano dopo l’entrata in vigore del Regolamento europeo 2016/679, che ha armonizzato le discipline degli Stati sulla privacy e ha introdotto nuove tutele. Sarà necessario, infatti, far coesistere due esigenze contrapposte:
  1. da un lato, il lavoro agile o smart working è utile per potenziare la competitività e conciliare i tempi di vita privata e vita professionale dei lavoratori;
  2. dall’altro lato, si presta a un incremento esponenziale dei rischi per il trattamento e, quindi, per la sicurezza dei dati delle aziende.
Il cosiddetto smart worker, infatti, con l’uso di strumenti tecnologici, entra in contatto quotidianamente con i database aziendali, con le informazioni relative ai clienti e, spesso, con dati sensibili. Il tutto, peraltro, avviene talvolta all’interno della propria abitazione, ma spesso anche in luoghi pubblici, con una moltiplicazione delle possibili minacce alla riservatezza.
Quali soluzioni è chiamato a individuare il datore per potersi avvalere del lavoro agile nel pieno rispetto della normativa ed evitare sanzioni?
Nonostante il Regolamento europeo sulla protezione dei dati personali non individui adempimenti specifici sullo smart working, dall’approccio generale adottato sui dati trattati con strumenti informatici è possibile trarre alcune considerazioni.

 

Il ruolo del di Dpo
In primo luogo, un ruolo fondamentale sarà svolto dal Dpo (data protection officer). Il Responsabile della protezione dei dati nominato dall’azienda dovrà, infatti, prestare attenzione alla configurazione di un sistema di gestione dati che tenga in debita considerazione la presenza di lavoratori a distanza e, con ciò, moderare e, possibilmente, limitare la condivisione delle informazioni allo stretto necessario per l’esecuzione della prestazione (si veda il principio di minimizzazione dei dati ex art. 5 del regolamento 2016/679). Il Dpo sarà anche chiamato a istruire adeguatamente lo smart worker sull’uso corretto degli strumenti e, appunto, sui molteplici rischi.

 

Autenticazione a due vie
Sarà opportuno dotarsi di un sistema di autenticazione a due fattori, ossia un meccanismo che consenta al lavoratore di accedere ai dati non solo con la digitazione di una password ma anche con un passaggio identificativo ulteriore. Ciò consente, in particolare, di scongiurare illeciti accessi di terzi, anche in caso di furti o smarrimento del dispositivo utilizzato dallo smart worker. Lo stesso meccanismo dovrà, poi, permettere al datore di lavoro di riconoscere con precisione – a livello centralizzato – l’identità del lavoratore che abbia effettuato l’accesso e che sia dotato di autorizzazione. In base all’articolo 4 del Regolamento 2016/679, il dipendente deve essere preventivamente individuato quale “persona autorizzata al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile”, nel rispetto degli obblighi (già previsti dal D.Lgs 196/2003) gravanti sull’incaricato del trattamento.

 

La sicurezza dei dispositivi
Sarà inoltre necessario garantire la sicurezza dei dispositivi che, nonostante l’uso al di fuori dei locali dell’azienda, rappresentano a tutti gli effetti strumenti di lavoro. In particolare, sia nel caso in cui questi siano offerti al lavoratore in dotazione (direttamente dal datore) sia ove lo smart worker che utilizzi dispositivi propri, non c’è dubbio che questi debbano essere configurati in modo tale da prevenire possibili abusi e, quindi, con un adeguato software antivirus, certificati per connessioni cifrate, dotati di un meccanismo di backup periodico e di sistemi di comunicazione diretta con il server centrale aziendale.
Ciò vale sicuramente per i Pc portatili, ma anche per tablet e smartphone.

 

Accesso limitato ai dati

Sempre in considerazione del principio di minimizzazione dei dati, poi, parrebbe opportuno che l’azienda si dotasse di un sistema per impedire allo smart worker di visualizzare ed entrare in contatto con le informazioni in possesso dell’azienda non pertinenti con lo svolgimento delle proprie mansioni e, quindi, estranee ai propri compiti.Ulteriori e più efficaci soluzioni potranno – e dovranno – essere individuate, come detto, da piani gestionali ad hoc messi a punto dai Dpo, ovvero da adempimenti richiesti di volta in volta dalle pronunce del Garante della privacy. Le scelte qui richiamate possono prestarsi a rappresentare un modello di accorgimenti di base utili a dimostrare una tendenziale aderenza della policy aziendale alle prescrizioni del Regolamento Ue.

 

Di seguito si riportano alcuni esempi pratici sui punti discussi:

Il caso: nell’esecuzione della prestazione lavorativa fuori dall’azienda da parte dello smart worker può accadere che i dispositivi usati siano smarriti o siano oggetto di accesso da parte di terzi. Come deve comportarsi il datore di lavoro nei confronti dei soggetti interessati?

La soluzione: il datore, come titolare del trattamento, e chiamato a notificare l’avvenuta violazione al Garante entro 72 ore dalla conoscenza del fatto e deve comunicarla senza ingiustificato ritardo agli interessati (articoli 33 e 34 del Regolamento)

Il caso: come si realizza effettivamente l’autenticazione a due fattori? Quali strumenti specifici devono offrire il datore di lavoro allo smart worker per poterne identificare l’accesso?

La soluzione: è bene prevedere un meccanismo di autenticazione e di successiva autorizzazione. Alla password si aggiunge un sistema di codici via SMS sul telefono mobile dello smart worker o l’uso di hardware come chiavetta (token Usb) o smart card.

Il caso: come si concilia l’esigenza di garantire la sicurezza dei dati personali trattati dallo smart worker con i limiti sul controllo a distanza dell’attività lavorativa? La riconducibilità al dipendente dell’accesso ai dati lede i suoi diritti?

La soluzione: l’azienda deve poter dimostrare che l’eventuale monitoraggio non mira a controllare l’attività del lavoratore e che c’è un interesse concreto (come la protezione dei dati dei clienti) all’uso degli strumenti. Il lavoratore deve conoscere la policy aziendale.

Il caso: quali misure di sicurezza informatica sono obbligatorie? Può il lavoratore agile trattare dati personali tramite il proprio dispositivo senza prevedere l’autenticazione a due fattori, la connessione cifrata e gli altri accorgimenti?

La soluzione: in base al Regolamento (articolo 32), la scelta dei sistemi di sicurezza deve essere commisurata all’entità dei rischi e alla natura dei dati trattati. In caso di violazioni, il titolare dovrà dimostrare di aver previsto accorgimenti adeguati, per evitare sanzioni.

Il caso: in caso di effettiva violazione dei dati personali di un soggetto da parte dello smart worker stesso o di eventuali altri terzi, chi è chiamato a rispondere? Qual’è l’entità delle possibili sanzioni?

La soluzione: il datore di lavoro risponderà della violazione. Per l’inadeguatezza delle misure di sicurezza, la sanzione può raggiungere 10 milioni di euro. Il datore risponderà anche civilisticamente dei danni patiti dall’interessato.

 

Articolo tratto da Il Sole 24Ore

Articoli correlati

Ecco la guida NIST per la protezione dei dati personali
Il regolamento generale sulla protezione dei dati, recepito alla fine di agosto 2018, ha destato in molti titolari e responsabili del trattamento una elevata sensibilità alla protezione dei dati. Per...
Scopri di più
Privacy, i cittadini all’attacco
Poco più di 95 mila reclami da parte dei cittadini europei. È questo il primo bilancio reso noto dalla Commissione Ue a otto mesi dall’entrata in vigore, il 25 maggio...
Scopri di più
Buste paga, privacy doc
Consulenti del lavoro da nominare responsabili esterni del trattamento dei dati personali quando trattano i dati dei dipendenti dei propri clienti. Il Garante della privacy, con una nota diretta al...
Scopri di più
Niente privacy se il video in rete serve a informare il pubblico
La registrazione di un video all’interno di una stazione di polizia e la successiva diffusione del filmato su youtube rientrano nella disciplina Ue in materia di trattamento dei dati personali....
Scopri di più
Privacy semplificata per le PMI
Registro privacy semplificato per le piccole e medie imprese. Il Garante per la protezione dei dati personali ha diffuso lo scorso 8 ottobre il vademecum per uno dei principali adempimenti...
Scopri di più
Gps sotto il segno della privacy
Fornitura di apparecchi elettronici in linea con la privacy. Chi vende prodotti e sistemi deve preoccuparsi della conformità alle regole sulla protezione dei dati. Le norme del Regolamento Ue sulla...
Scopri di più
Le “autorizzazioni generali” al vaglio del Garante privacy
Sulla tavola della protezione dei dati personali sono state molte le primizie da assaporare negli ultimi tempi: gli strumenti della riforma Ue, comprensiva del regolamento generale e della direttiva per...
Scopri di più
Il decreto che coordina la vecchia normativa nazionale sulla protezione dei dati personali con il nuovo regolamento sulla privacy entrerà in vigore il prossimo 19 settembre. È l’effetto della pubblicazione...
Scopri di più
Privacy, bella e impossibile
Se è vero che la gestione dei dati è il petrolio del prossimo futuro, la sua tutela dovrebbe essere una priorità per i legislatori. Invece fa acqua da tutte le...
Scopri di più
La privacy impone il Registro dei dati nelle aziende con più di 250 dipendenti
Grandi aziende chiamate a redigere il registro del trattamento dei dati. È uno degli adempimenti più importanti previsti dal regolamento europeo per la protezione dei dati personali, in vigore dal...
Scopri di più
I consigli privacy per le vacanze, droni in spiaggia con cautela
Attenti al drone: non deve diffondere i visi di persone riconoscibili; attenti al wi-fi: se non protetto, carpisce dati sensibili; attenti ai minori: meglio non postare immagini su social network....
Scopri di più
Privacy, dipendenti tracciabili
Tracciabilità dello smartphone possibile, in alcuni casi anche senza consenso; ma con garanzie per i lavoratori e i terzi. È uno degli aspetti che emerge dalla relazione del 2017 del...
Scopri di più
Privacy, 140 cyberattacchi al giorno. Denunce di data breach a +500%
A maggio gli attacchi informatici hanno toccato la soglia di 140 al giorno e nell’ultimo mese le comunicazioni di data breach al Garante della privacy sono aumentati di oltre il...
Scopri di più
Reclamo gratuito all’Authority
Se l’istanza di esercizio dei diritti, non va a buon fine, l’interessato può alternativamente rivolgersi al Garante o al tribunale. Nel caso in cui ci si rivolga all’autorità amministrativa, la...
Scopri di più
Privacy, imprese in allerta
Il reclamo privacy al Garante è gratis: per far valere i diritti previsti dal regolamento Ue 2016/679 sulla protezione dei dati non si pagano diritti di segreteria. Enti pubblici e...
Scopri di più
Privacy, una tutela facile facile
Il nuovo regolamento europeo sulla privacy, operativo dal 25 maggio, ha certamente reso più semplice la presentazione di un ricorso al Garante. Per un semplice motivo: non si paga nulla....
Scopri di più
Una procedura per gestire la violazione dei dati
Il decreto legislativo 196/2003 prevedeva che la notificazione all’autorità garante di una violazione dei dati avvenisse solo a fronte di specifiche situazioni. Il nuovo regolamento europeo invece impone una notificazione...
Scopri di più
L’avvocato ai margini del Gdpr
Gli avvocati non devono essere nominati responsabili esterni del trattamento. Anche a seguito dell’applicazione del regolamento Ue sulla privacy n. 2016/679, con riferimento all’attività forense, il rapporto con il cliente...
Scopri di più
Dati da proteggere nel lavoro agile
Conciliare il lavoro “agile”, fuori dai locali dell’azienda, con la protezione dei dati (a volte riservati) che l’azienda mette a disposizione del lavoratore. È una delle esigenze che si manifestano...
Scopri di più
L’antiriciclaggio limita la privacy
I dati acquisiti e archiviati dai soggetti tenuti alla adeguata verifica ai fini antiriciclaggio prevalgono sul diritto alla privacy e all’oblio. Dal 25 maggio 2018 è divenuto pienamente applicabile nel...
Scopri di più

Utilizziamo i cookie per personalizzare contenuti ed annunci, per fornire funzionalità dei social media e per analizzare il nostro traffico. Condividiamo inoltre informazioni sul modo in cui utilizza il nostro sito con i nostri partner che si occupano di analisi dei dati web, pubblicità e social media, i quali potrebbero combinarle con altre informazioni che ha fornito loro o che hanno raccolto dal suo utilizzo dei loro servizi. Acconsenta ai nostri cookie se continua ad utilizzare il nostro sito web.

cookie policy

Powered by WishList Member - Membership Software

X
X
X