DPO: attenzione alla selezione

DPO: attenzione alla selezione

La caccia alla nuova figura deve essere organizzata bene, altrimenti si rischia di commettere errori gravi quanto la mancata nomina

Il GDPR è in vigore da quasi un anno, ma le prime bozze risalgono al 2012. Le linee guida sul DPO, invece, sono state pubblicate sul finire del 2016, mentre in questo periodo è in discussione una bozza di norma UNI. In ogni caso, è già parecchio tempo che si sente parlare della figura del Responsabile della protezione dei dati, un ruolo chiave nel futuro di molte organizzazioni e, certamente, una delle più rilevanti novità introdotte dal Regolamento UE 2016/679.

Il suo profilo, a prescindere da tutto, è già abbastanza chiaro leggendo il testo normativo: deve essere competente in materia e deve essere indipendente.

Proprio sull’aspetto dell’indipendenza, si sono focalizzate le linee guida, che escludono esplicitamente che il DPO, che pure può svolgere altre attività e ricoprire altre mansioni, possa essere coinvolto in qualsivoglia conflitto d’interessi. Questo perché, citando il le linee guida del 13 dicembre 2016, “l’assenza di conflitti di interessi è strettamente connessa agli obblighi di indipendenza. Anche se un RPD [Responsabile della Protezione dei Dati, ndr] può svolgere altre funzioni, l’affidamento di tali ulteriori compiti e funzioni è possibile solo a condizione che essi non diano adito a conflitti di interessi. Ciò significa, in modo particolare, che un RPD non può rivestire, all’interno dell’organizzazione del titolare o del responsabile, un ruolo che comporti la definizione delle finalità o modalità del trattamento di dati personali. Si tratta di un elemento da tenere in considerazione caso per caso guardando alla specifica struttura organizzativa del singolo titolare o responsabile”.

Le linee guida offrono anche un approfondimento con una nota in calce, affermando che “a grandi linee, possono sussistere situazioni di conflitto con riguardo a ruoli manageriali di vertice (amministratore delegato, responsabile operativo, responsabile finanziario, responsabile sanitario, direzione marketing, direzione risorse umane, responsabile IT), ma anche rispetto a posizioni gerarchicamente inferiori se queste ultime comportano la determinazione di finalità o mezzi del trattamento”.

A questo punto, e tenendo conto degli aspetti legati alle conoscenze e alle capacità richieste al DPO, è possibile che le aziende che non hanno una persona interna a cui assegnare il ruolo, o che non abbiano un consulente esterno per lo stesso scopo, si affidino a chi seleziona personale per conto terzi in maniera professionale.

Tralasciando il fatto che questi soggetti dovrebbero aver fatto la dovuta notificazione al Garante per la natura della loro attività, e che quindi l’assunzione di un candidato selezionato illecitamente potrebbe – almeno in linea teorica – comportare alcuni problemi per l’azienda che vuole il DPO, sarebbe opportuno che almeno chi seleziona, sappia chi, cosa e come cercare.

E qui si entra in un aspetto legato più alla qualità dei servizi offerti, che alla privacy in senso stretto: se si deve selezionare un qualcuno (in questo caso il DPO), sarebbe opportuno sapere esattamente quali requisiti deve rispettare o, almeno, avere l’intelligenza di affidarsi a qualcuno che li conosca ed eventualmente corregga le indicazioni errate. L’art. 38 e il considerando 97 del GDPR parlano chiaro.

L’immagine è tratta da un annuncio di lavoro trovato online. Non cito la fonte per decenza, ma non è la prima volta che mi trovo a criticarla per aspetti simili.

Linee guida sul DPO in italiano

Linee guida sul DPO: arriva la traduzione in italiano

Il Garante pubblica la traduzione ufficiale delle linee guida del WP29

Sul sito internet dell’Autorità Garante per la Protezione dei Dati Personali sono disponibili dal 3 febbraio 2017 le traduzioni ufficiali, a cura del Garante stesso, dei documenti rilasciati il 13 dicembre 2016 dal Working Party 29, l’istituzione europea che raccoglie i rappresentanti delle varie autorità di controllo nazionali in materia di privacy.

Sono infatti disponibili, ora, i testi delle linee guida sui responsabili per la protezione dei dati (in inglese data protection officer), che ora acquistano l’acronimo italiano RPD in luogo dell’inglese DP, e le relative FAQ.

La pubblica consultazione si è chiusa il 15 febbraio e a breve si attendono le versioni definitive.

Magari la traduzione non è stata tempestiva, ma comunque è utile per continuare a parlare sempre di più di questo ruolo fondamentale sotto il profilo strategico e organizzativo delle imprese e delle pubbliche amministrazioni e che diventerà obbligatorio in molte realtà con l’applicazione del GDPR, a partire dal 25 maggio 2018. Mancano solo 475 giorni.

La gestione delle crisi in azienda

La gestione delle crisi in azienda

Le PMI non hanno un piano per fronteggiare le crisi. Questo è quello che emerge dal seminario organizzato da Skillab sulla Business Continuity

È sempre illuminate partecipare ai seminari organizzati su questo genere di temi. Il 13 febbraio ho avuto modo di assistere all’evento organizzato da Skillab (l’ente di formazione di riferimento per l’Unione Industriale di Torino) in collaborazione con Il Geneva Centre for Security Policy (una fondazione internazionale costituita nel 1995, con 51 Stati membri con lo scopo di promuovere la pace, la sicurezza e la cooperazione internazionale).

Un gruppo di relatori di livello e variegato, composto dal Generale Carlo Cabigiosu, dall’ avvocato Pietro Mulatero (AD di FATA Logistics spa), dal dottor Carlo Maria Breziglia (responsabile Information Security e Business Continuity di Intesa San Paolo Group Service) e dal professor Antonio Lioy (docente di Computer System Security del Dipartimento di Automatica e Informatica del Politecnico di Torino).

La Business Continuity è la capacità di una impresa di proseguire la propria attività anche nel caso in cui sia colpita da disastri dovuti a cause naturali o al fattore umano.

La presa di coscienza da parte delle aziende della necessità di riflettere – e di essere preparate – su questo tema è il primo passo verso la pianificazione di strategie che siano in grado di mitigare gli effetti dirompenti di tali eventi e garantire la sopravvivenza dell’organizzazione.

Un piano di Crisis Management è, dunque, lo strumento di azione per la gestione e il superamento di grandi eventi e sulla importante questione del decision-making davanti agli stessi.

Purtroppo, il quadro che emerge dalle statistiche è poco incoraggiante: sono poche le organizzazioni – sia pubbliche che private – che non hanno un piano di Business Continuity (BCP) e ancora meno quelle che lo hanno coerente con la loro realtà e facilmente attuabile. Il dato su cui riflettere è che quasi la totalità delle PMI ne è priva.

Ma da dove sorge questa mancanza? Un ruolo rilevante lo giocano la relativa mancanza di fondi da destinare a un progetto del genere, l’insensibilità delle dirigenze in tal senso, la scarsa attitudine a progettare strategie di lungo periodo.

Questo porta le imprese e il sistema economico a essere fragile in occasione di determinati eventi.

La crisi, di per sé, è da considerarsi come un qualunque evento che possa mettere a repentaglio l’operatività, la produzione, il patrimonio, le risorse economiche, la posizione sul mercato o l’immagine aziendale o la percezione che il pubblico ha dell’ente. Tale evento è spesso di genere naturale, ma da quando i computer e l’automazione hanno assunto un ruolo sempre più rilevante nella vita economica mondiale, gli eventi critici hanno iniziato a diventare anche colpa dell’intervento umano; senza dimenticare le attività criminose e terroristiche che, da sempre, costituiscono un pericolo.

Tutelarsi prevenendo la crisi e sapendo come agire durante il suo svolgimento, quindi, è cruciale e può rappresentare un vantaggio competitivo non indifferente. Basti pensare che dopo gli attentanti di Londra nel 2007, molte compagnie di assicurazione tendono a non coprire alcuni danni (per esempio da mancati ricavi) in assenza di un BCP. C’è da aspettarsi che accadrà così anche in Italia? Per il momento, non credo.

In estrema sintesi, questi sono i punti su cui ritengo (e consiglio caldamente di farlo) sia importante riflettere:

  • Bisogna gestire la crisi in tempo di pace, ossia bisogna fare prevenzione e organizzarsi prima che avvenga il disastro (per esempio una violazione dei dati personali, un incendio, la mancanza di mezzi o l’indisponibilità di persone o strutture e locali);
  • Bisogna pianificare gli interventi e le strategie dell’impresa;
  • È opportuno fare simulazioni degli eventi dannosi, testare i sistemi di prevenzione e protezione e “allenare” tutti i membri dell’organizzazione;
  • L’IoT è percepita come la sfida principale sul fronte della sicurezza informatica, considerando anche il suo impatto sulla privacy”;
  • Bisogna fare attenzione e considerare tutta la filiera e tutti i soggetti interni ed esterni coinvolti nella propria attività (supply chain);
  • Bisogna creare una cultura aziendale;
  • Il rispetto delle leggi e dei regolamenti (GDPR, Dlgs 81/2008, Dlgs 231/01, ISO, linee guida…) e la compliance sono anche un utile strumento per ridurre determinati aspetti del rischio e creare consapevolezza e cultura, soprattutto nel management;

È utile raccogliere informazioni e studiare gli incidenti, i disastri e i “quasi incidenti”, nell’ottica di un continuo monitoraggio e di un continuo miglioramento.

Il GDPR, questo sconosciuto

Il GDPR, questo sconosciuto

A nove mesi dalla pubblicazione sulla Gazzetta Ufficiale dell’UE, sono ancora troppi a non sapere nemmeno che esiste.

Sono decisamente sconfortanti e allarmanti i dati che emergono dalle varie indagini condotte per capire quanti siano a conoscenza della nuova norma europea sulla protezione dei dati personali. Sconfortanti almeno quanto quelli che riguardano il numero di coloro che già si stanno preoccupando di arrivare pronti alla scadenza fissata per il 24 maggio 2018, data in cui il Regolamento europeo 2016/679 (per gli amici “GDPR”) sarà direttamente applicabile in tutti gli Stati membri.

Sembra quasi che nella società contemporanea, che si fonda sull’informazione e sulla condivisione di dati, nessuno si renda conto che è proprio con i dati personali che si fa politica, business e una vasta varietà di altre attività, dalle più semplici alle più complesse.

Recenti studi mostrano che in Italia, meno del 10% delle aziende abbiano già intrapreso un percorso di adeguamento, e la percentuale è addirittura minore, se riferita alle pubbliche amministrazioni.

Ormai manca meno di un anno e mezzo al termine ultimo fissato per allinearsi alla nuova norma, e il processo, secondo i vari contesti, potrebbe essere tutt’altro che semplice: ormai si è arrivati al punto che parlare di privacy come mero adempimento burocratico è non solo anacronistico, ma addirittura da incoscienti, perché oggi, la protezione dei dati personali è fondamentale per raggiungere obiettivi strategici.

Il GDPR deve essere visto come strumento per migliorare l’intera gestione delle organizzazioni, responsabilizzando tutta la struttura e tutta la filiera che concorre nel trattamento dei dati, seguendo gli ormai già collaudati princìpi che caratterizzano la gestione della qualità nei processi, la responsabilità sociale e la gestione dei rischi.

Nuovi scenari si delineano all’orizzonte. Non facciamoci trovare impreparati.

Il webmaster e la privacy

Il webmaster e la privacy.

Cose scomode che gli artigiani del web devono sapere.

Voglio raccontarvi un fatto realmente accaduto. Un fatto che, come a me, potrebbe essere capitato a molti miei colleghi che si occupano di privacy e che mi vede protagonista assieme a un mio amico webmaster (che per ovvie ragioni chiamerò Mario).

Eravamo seduti comodamente a prenderci un caffè e, tra una chiacchiera e l’altra, mentre gli raccontavo che è sempre preferibile scrivere un accordo con i propri clienti prima di iniziare qualsiasi progetto, lui fa una battuta dicendo:

<<Perché dovrei scrivere un contratto ogni volta che faccio un sito? Tanto non ho mica responsabilità, io>>.

In quel momento ho realizzato quanto fosse in pericolo. Sì, avete capito bene: in pericolo. Un pericolo che genera un rischio di conformità nei confronti della normativa sulla tutela dei dati personali e che espone quelli come Mario a pesanti sanzioni amministrative, civili e penali, oltre che all’ormai onnipresente danno d’immagine facilissimo da procurare con gli attuali media (tra cui proprio il web, ironia della sorte!).

Il webmaster (che spesso è chiamato anche a occuparsi delle campagne di marketing attraverso i siti che programma), per sua natura, è un lavoro che è caratterizzato da una grande libertà d’azione, proprio per via dell’ambiente in cui opera, Internet. Molto dell’efficacia delle loro opere è dovuta proprio alla facilità d’uso, alla libertà degli utenti di caricare, condividere, commentare, acquistare con un click. Tutto deve essere, come direbbero gli anglofoni, user friendly.

Per gli utenti, appunto.

Ma chi possiede un sito, e chi lo programma, per raggiungere il risultato che si sono prefissati devono attenersi a precise regole di comportamento, alcune richieste dal buonsenso (come la scelta di un provider che garantisca tempi di disaster recovery brevi), altre imposte da precise norme che vogliono soprattutto tutelare l’utilizzatore del sito, che per chi mastica un po’ di privacy si chiamano interessati.

Su tutti il Codice privacy, che impone l’adozione di misure di sicurezza sia a livello tecnico (per esempio le procedure di autenticazione informatica composte da userID e password univoci), richiamate anche dall’Allegato B, che a livello organizzativo (individuando i responsabili e gli incaricati del trattamento e i rispettivi ambiti operativi, obblighi e responsabilità). Un webmaster è, a tutti gli effetti, il responsabile dell’infrastruttura web dell’azienda e per questo motivo deve essere individuato in modo formale come amministratore di sistema (c.d. ADS o sistemista), che è una particolare forma di responsabile/incaricato.

Se io fossi il DPO dell’azienda cliente del mio amico Mario, gli farei sottoscrivere un preciso documento in cui dichiariamo i suoi obblighi e le sue libertà operative, individuando a priori quali siano gli interventi da fare sul sito (per esempio l’aggiornamento, la manutenzione, la programmazione dei cookie tecnici, analitici o di profilazione, di prima o di terza parte) e gli chiederei l’attestazione che quanto fatto sia conforme ai requisiti i legge richiesti, soprattutto se il suo progetto si conclude con la consegna del sito al committente.

Mario, alla fine del mio spiegone pieno di termini dal minaccioso suono legalese, mi ha domandato cosa dovrebbe fare per essere tutelato. In fondo, la parte che ha capito meglio e che ha attirato la sua attenzione, è stata quella relativa alle sanzioni (per il suo cliente e per lui) che potrebbero tradursi in richiesta di risarcimento per aver consegnato un lavoro non a regola d’arte: si andrebbe dai 36.000 € dell’informativa non idonea ai 120.000 € per le misure di sicurezza non adeguate, dai 120.000 € per un’omessa o inidonea notificazione al Garante in caso di cookie di profilazione ai 180.000 € per il mancato rispetto dei provvedimenti del Garante. E questo solo a livello amministrativo. Spostandoci nell’ambito delle sanzioni penali, Mario rischia molto probabilmente di essere punito con la reclusione fino a due anni per non aver implementato le dovute misure di sicurezza; sempre che non si sia preso il compito di effettuare la notificazione al Garante, e che l’Autorità non abbia poi constatato che questa fosse falsa: in tal caso, gli anni di reclusione sarebbero tre.

La mia risposta è stata semplice: <<Metti tutto per iscritto. Organizzati prima. Previeni.>>

Dopo queste mie parole mi è sembrato preoccupato. Di sicuro non ha voglia di rischiare così tanto.

Cosa gli serve? Facile. Un amico come me. Un consulente privacy.

La protezione dei dati

I dati: il patrimonio aziendale più sottovalutato.

Partiamo dal principio. Domani mattina, ti svegli e vuoi aprire un’azienda di successo. La prima cosa che ti viene in mente è che devi cercarti un buon commercialista; forse anche un notaio. Poi, probabilmente, pensi che faresti meglio a chiedere un finanziamento, per coprire le spese iniziali. A questo punto, di solito, ti chiedono di presentare un business plan. E allora ti affretti a scrivere pagine e pagine di descrizioni sulla tua azienda, sul tuo progetto, inserendo dati oggettivi e previsionali, dati che spieghino la tua impresa e le cifre che intendi raggiungere. Se tutto va bene, nel giro di poco potrai tirare su le serrande.

Poi, un bel giorno, intuisci che certi mercati, certi prodotti o servizi sono più redditizi di altri. E allora attivi una campagna di marketing per raccogliere dati sul territorio, sui gusti e le abitudini delle persone, per supportare la tua intuizione. Alla fine, i dati non ti danno pienamente ragione, ma, fortunatamente, guardandoli e studiandoli capisci quale strada percorrere.

Passano gli anni e, tra alti e bassi, la tua azienda cresce, cambiano le persone che ci lavorano, cambia modello di governance, cambiano le strategie e cresce la complessità dell’organizzazione. Però il capo del magazzino non è in buoni rapporti con la responsabile amministrativa, e non sempre le passa per tempo i dati di cui lei ha bisogno per emettere le fatture e pagare i fornitori. Di più: ogni tanto si avventura in qualche “vendita sottobanco”, facendo uscire dal magazzino prodotti senza lasciarne traccia.

Per fortuna te ne accorgi per tempo e fai installare da un tuo carissimo amico un impianto di videosorveglianza all’avanguardia, con telecamere a colori che permettono di zoomare e di registrare le conversazioni. Grazie a questo sistema, riesci a raccogliere i dati necessari a smascherarlo e lo licenzi.

Peccato, però, che lui ti trascini davanti a un giudice, che deciderà che la tua prova (la videoregistrazione) non solo è inammissibile, ma è anche illecita.

È illecita perché non hai tutelato i dati personali del tuo capo magazziniere, che taroccava i dati del magazzino per i suoi interessi personali e influenzava negativamente i dati gestionali e amministrativi, esponendoti anche al rischio di falso in bilancio.

Come vedi, i dati sono importantissimi per un’azienda. Sono più importanti dei soldi, perché è con i dati, che si hanno le informazioni necessarie per fare i soldi. Sono, lo strumento più potente e versatile che un’azienda possa avere. Sono un patrimonio imprescindibile a livello strategico e operativo, in sede di pianificazione e in ogni singola attività. Proprio per questo meritano di essere adeguatamente protetti e gestiti.

In Italia, oggi, uno spunto utile per la protezione dei dati ci arriva dal Codice in materia di protezione dei dati personali. Sì, è il Codice privacy. Sì, la privacy è quella cosa che tanto in Italia non esiste perché bla bla bla. Ma un dato personale resta pur sempre un dato. E tutti i dati si proteggono allo stesso modo.

Non pensi anche tu che valga la pena assicurarsi di aver protetto bene i tuoi dati?

Jobs Act & privacy

Controllo dei lavoratori: cosa cambia con il Job Act.

Il 24 settembre 2015 entra in vigore l’ormai famoso Job Act, il testo normativo con cui il Governo sta disciplinando nuovamente il mondo del lavoro, è ormai imminente. Pochi giorni fa, infatti, è stato pubblicato il testo definitivo del decreto (Dlgs 151/2015) con cui, tra gli altri argomenti, saranno introdotte importanti modifiche allo Statuto dei lavoratori (L 300/1970). In particolare, trova rilevanza l’aggiornamento dell’art. 4 della legge, rubricato “Impianti audiovisivi e altri strumenti di controllo”.

Di seguito sono riportati il testo vigente e quello futuro, che precedono una serie di miei commenti in merito.

Testo attuale Testo modificato
Art. 4. Impianti audiovisivi Art. 4. Impianti audiovisivi e altri strumenti di controllo
1. È vietato l’uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori. 1. Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali. In alternativa, nel caso di imprese con unità produttive ubicate in diverse province della stessa regione ovvero in più regioni, tale accordo può essere stipulato dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale. In mancanza di accordo gli impianti e gli strumenti di cui al periodo precedente possono essere installati previa autorizzazione della Direzione territoriale del lavoro o, in alternativa, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più Direzioni territoriali del lavoro, del Ministero del lavoro e delle politiche sociali.
2. Gli impianti e le apparecchiature di controllo che siano richiesti da esigenze organizzative e produttive ovvero dalla sicurezza del lavoro, ma dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere installati soltanto previo accordo con le rappresentanze sindacali aziendali, oppure, in mancanza di queste, con la commissione interna. In difetto di accordo, su istanza del datore di lavoro, provvede l’Ispettorato del lavoro, dettando, ove occorra, le modalità per l’uso di tali impianti. 2. La disposizione di cui al comma 1 non si applica agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze.
3. Per gli impianti e le apparecchiature esistenti, che rispondano alle caratteristiche di cui al secondo comma del presente articolo, in mancanza di accordo con le rappresentanze sindacali aziendali o con la commissione interna, l’Ispettorato del lavoro provvede entro un anno dall’entrata in vigore della presente legge, dettando all’occorrenza le prescrizioni per l’adeguamento e le modalità di uso degli impianti suddetti. 3. Le informazioni raccolte ai sensi dei commi 1 e 2 sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196.
4. Contro i provvedimenti dell’Ispettorato del lavoro, di cui ai precedenti secondo e terzo comma, il datore di lavoro, le rappresentanze sindacali aziendali o, in mancanza di queste, la commissione interna, oppure i sindacati dei lavoratori di cui al successivo art. 19 possono ricorrere, entro 30 giorni dalla comunicazione del provvedimento, al Ministro per il lavoro e la previdenza sociale.

È doveroso notare fin da subito che l’approccio dei due testi è fondamentalmente differente, poiché mentre il primo impone un divieto a cui applica alcune eccezioni, il secondo concede una libertà fortemente limitata. Detto questo, nella sostanza dei fatti e nella sua applicazione non cambia poi molto, e i sistemi audiovisivi e gli strumenti, potranno essere impiegati solo per tre finalità e solo previo accordo sindacale o permesso dell’autorità territorialmente competente.

Un’altra premessa importante è individuare il più chiaramente possibile quali siano gli impianti audiovisivi e gli altri strumenti dai quali può derivare la possibilità di controllo a distanza del lavoratore. Qui, la tecnologia e il suo incessante incedere non ci viene in aiuto, perché molti di questi sono prodotti di ultima generazione, a cui pochi conferiscono tale potere. Se parlare di impianti di videosorveglianza è scontato, lo è molto meno parlare di black box sui veicoli (spesso installati per finalità legate prevalentemente al premio assicurativo), degli smartphone e dei mobile device, dei rilevatori GPS e degli strumenti hardware e software ormai largamente diffusi nel campo dell’ICT.

Si noti anche che, per quanto riguarda le autorizzazioni, non si fa più menzione della “commissione interna”. Questo, sebbene da un lato sembrerebbe aumentare il livello di burocrazia nella gestione della conformità, dall’altro è sinonimo di garanzia della tutela dei diritti del lavoratore, poiché è necessario ricorrere almeno a una convocazione delle rappresentanze sindacali aziendali, se non rivolgersi alla DTL competente o al Ministero.

Il secondo comma della norma aggiornata prevede che per l’utilizzo di strumenti per la registrazione degli accessi e delle presenze (per esempio i badge o gli impianti biometrici) e di tutti quegli strumenti necessari al lavoratore per rendere la prestazione lavorativa (per esempio il PC, lo smartphone o la posta elettronica) non sia necessario ricorrere all’accordo sindacale o al permesso ministeriale. Questo implica che per tutti gli altri strumenti che non siano necessari al lavoratore per compiere la propria attività, bisognerà convocare le rappresentanze sindacali o inoltrare la domanda alla DTL o l Ministero.

Infine, il terzo e ultimo comma, dispone che le informazioni raccolte ai sensi dei due commi siano utilizzabili per tutti i fini connessi al rapporto di lavoro, purché sia data al lavoratore un’adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal Codice privacy. In altre parole, si stabilisce che fornendo un’idonea informativa al lavoratore ex art. 13 e seguendo i dettami del Dlgs 196/2003 (compresi Provvedimenti e Linee guida specifici), le informazioni raccolte dall’azienda potranno essere utilizzabili per tutti i fini connessi al rapporto di lavoro, inclusi quelli disciplinari, finora esclusi dall’orientamento generale che ha tenuto la giurisprudenza in materia, che non ha permesso di utilizzare tali dati, ottenuti tramite i cosiddetti “controlli difensivi”, per provare l’inadempimento contrattuale del lavoratore. Questo non significa affatto che è permesso un controllo indiscriminato da parte del datore di lavoro, perché restano fermi i principi fondamentali della tutela dei dati personali (pertinenza, correttezza, non eccedenza del trattamento, divieto di profilazione).

Alla luce di quanto esposto, quindi, come si deve comportare un’azienda per ritenersi conforme ed evitare di incorrere nelle sanzioni previste (ammenda e/o arresto)? Sarà necessario che segua un percorso ben definito, che si può agevolmente riassumere così:

  1. Fare una mappatura degli impianti e degli strumenti richiamati dalla normativa;
  2. Procedere con una valutazione d’impatto privacy, ossia determinare quali siano i processi e le attività in cui si trattano dati personali (in questo caso con riguardo dei lavoratori), quali strumenti si utilizzano e per quali scopi;
  3. Determinare, un modello organizzativo e un sistema di controllo ritagliati ad hoc sull’argomento, con l’eventuale nomina di un responsabile del trattamento;
  4. Ottenere l’accordo con le parti sindacali o il nulla osta da parte dell’autorità competente, se le condizioni lo impongono;
  5. Informare tutti riguardo i contenuti della policy e il trattamento dei dati che consegue all’impiego di sistemi audiovisivi o altri strumenti.

Le misure minime di sicurezza del Codice privacy

Allegato B del Codice privacy: cosa significano le sue regole?

Molti sanno che la protezione dei dati personali (o privacy) in Italia, è normata dal Decreto legislativo 196/2003, conosciuto ai più come Codice privacy. Pochi, purtroppo, sanno che il Codice è completato da alcuni allegati.

Tra questi, l’Allegato B è quello che è di interesse più generale, in quanto gli altri si riferiscono esplicitamente a determinati settori di attività. La mancata applicazione delle misure minime di sicurezza comporta sanzioni amministrative e penali, che si traducono in multe salate, spese per i procedimenti processuali e, in alcuni casi, la reclusione.

L’Allegato B, con le sue 29 regole, pone le basi per assicurare le misure minime di sicurezza che ogni organizzazione deve adottare per garantire la protezione di una delle più preziose risorse strategiche che un’azienda possa avere a disposizione: i dati personali che quotidianamente tratta durante la sua attività. Esse sono diverse a seconda che il trattamento sia effettuato con o senza l’impiego di strumenti elettronici (PC, tablet, smartphone, sistemi di videosorveglianza…). Vediamole insieme.

Il sistema di autenticazione elettronica.

Le prime undici regole riguardano il trattamento con strumenti elettronici e indicano i criteri per un efficace sistema di autenticazione elettronica, ossia il procedimento con cui l’operatore assicura la propria identità al sistema informatico. In pratica è quello che si fa ogni volta che si decide di accedere a Gmail, o alle proprie pagine personali sui siti di e-commerce, per esempio.

Innanzi tutto, il titolare del trattamento deve identificare gli incaricati e deve determinare a priori il loro ambito di operatività, ossia decidere quali dati sia autorizzato a trattare.

Questi incaricati dovranno avere ognuno le proprie credenziali di autenticazione, costituite da un codice identificativo (per esempio il nominativo dell’incaricato, o il suo numero di matricola) e da una password. Alternativamente, si può utilizzare un dispositivo di autenticazione che deve essere detenuto e usato esclusivamente dall’incaricato (per esempio un token o una tessera magnetica) o tecniche di autenticazione biometrica (per esempio le impronte digitali o la scansione retinica o vocale), associato a un’eventuale password o codice identificativo. La prima è una soluzione che usiamo correntemente per effettuare operazioni di internet banking o per prelevare denaro dai distributori bancomat, mentre la seconda è più facile trovarla in ambiti in cui è richiesto un elevato livello di sicurezza.

Per quanto riguarda il codice identificativo, questo deve essere associato solo ed esclusivamente a un singolo incaricato e non è necessario che sia segreto. Ciò significa che un codice non potrà mai essere assegnato a più di una persona, nemmeno in momenti o in ambiti differenti.

Viceversa, ogni password deve essere mantenuta segreta e, se il sistema lo permette (dal punto di vista tecnologico), deve essere formata da almeno 8 caratteri, magari utilizzando lettere maiuscole e minuscole, numeri e caratteri speciali. Di sicuro la parola chiave non deve avere collegamenti diretti con l’interessato e non deve essere troppo intuibile o banale: per esempio, scegliere “P@55w0rd” è una soluzione soddisfacente dal punto di vista del numero e tipo di caratteri, ma è palesemente troppo scontata. La password, infine, deve essere immediatamente modificata al primo utilizzo (la prima password, solitamente, è scelta dall’amministratore di sistema) e successivamente, con cadenza almeno semestrale.

Le credenziali di autenticazione devono essere disattivate se inutilizzate da almeno sei mesi o se l’incaricato perde i requisiti su cui si fonda la sua designazione da parte del titolare (per esempio una variazione delle sue mansioni o un licenziamento).

E in caso di necessità o prolungata assenza dell’incaricato, come si fa? È importante notare che, sebbene le credenziali di autenticazione siano e debbano essere segrete e personali, in caso di prolungata assenza o esclusivamente per ragioni di sicurezza e operatività del sistema informatico, il titolare è legittimato a forzare la procedura utilizzando le credenziali di qualcun altro. Per farlo, è necessario che si prendano le idonee misure di sicurezza nominando un custode delle password e inserendo una copia delle parola chiave all’interno di una busta sigillata e tenuta sotto chiave.

Il sistema di autorizzazione.

Oltre al sistema di autenticazione (che serve all’incaricato per farsi riconoscere dal sistema informatico) il titolare deve adottare anche un sistema di autorizzazione, che limiti l’operatività dei singoli incaricati sui dati personali, con criteri stabiliti precedentemente alla loro nomina e che siano in linea con le finalità per cui i dati sono trattati nelle singole attività. Queste regole si rifanno concretamente al principio di separazione dei compiti (in inglese segregation of duties, conosciuta con l’acronimo SOD) richiamate anche dalle norme ISO. Queste regole vanno dalla 12 alla 14.

Lo scopo è quello di assicurare che ogni ambito di trattamento abbia un diverso profilo di autorizzazione, in modo che l’accesso ai dati compiuto dei singoli incaricati sia limitato solo ed esclusivamente a quelli necessari per espletare il loro compito. In tale ottica, il sistema può essere profilato su ciascun incaricato (per esempio l’amministratore delegato, il direttore generale, l’internal auditor o l’amministratore di sistema) o per classi omogenee di incaricati (per esempio tutti gli incaricati dell’Assistenza clienti, tutti gli incaricati dell’Ufficio Marketing, tutti gli incaricati dell’Ufficio risorse umane…).

Tali profili di autorizzazione, similarmente alle credenziali di autenticazione, devono essere periodicamente rivisti e verificati, in modo da intervenire confermando, modificando o eliminando i profili già determinati o creandone di nuovi, secondo le necessità.

In molte realtà il sistema di autorizzazione è presente ed è una caratteristica intrinseca dei loro software gestionali.

Altre misure di sicurezza.

Oltre a quelle di tipo organizzativo, l’Allegato B impone l’adozione di misure di sicurezza a livello tecnico, attraverso l’impiego di soluzioni antimalware e di protezione in generale, che garantiscano la protezione, il ripristino o l’accesso ai dati. Si fa riferimento alle regole dalla 15 alla 18.

Sono misure idonee a questi scopi, per esempio, i software antivirus, antispyware o firewall; soluzioni hardware come i proxy server; salvataggio completo dei dati (back-up).

Ovviamente, ciascuna delle soluzioni adottate deve essere mantenuta efficace e aggiornata con cadenza periodica, secondo le evoluzioni della tecnologia disponibile al momento.

Ulteriori misure in caso di trattamento di dati sensibili o giudiziari.

Le regole dalla 20 alla 24, rafforzano quanto già detto nelle precedenti, avendo come specifico oggetto i dati personali sensibili o giudiziari.

Tra esse, spiccano l’obbligo di limitare l’accesso ai dati contenuti su supporti mobili in modo da impedire trattamenti non autorizzati (per esempio utilizzando memorie esterne crittografate o protette da un sistema di autenticazione) e gli obblighi specifici per gli esercenti le professioni sanitarie, che devono adottare misure tali per cui i dati identificativi siano trattati disgiuntamente da quelli sensibili.

Le misure di tutela e di garanzia.

La regola 25 impone la collaborazione dei soggetti esterni alla struttura del titolare, a cui sono affidati lavori inerenti una qualsiasi misura di sicurezza. Questi soggetti devono fornire idonee garanzie al titolare, attraverso una descrizione scritta dell’intervento che hanno realizzato e che sia in grado di attestarne la conformità alle regole dell’Allegato B.

Questo punto è molto importante nei casi in cui si installino impianti di videosorveglianza, o quando ci si avvale di un tecnico esterno per la manutenzione e la programmazione dei propri computer o della propria rete informatica.

I trattamenti compiuti senza l’ausilio di strumenti elettronici.

Le ultime tre regole, dalla 27 alla 29, disciplinano le modalità tecniche da adottare a cura del titolare, del responsabile, ove designato, e dell’incaricato, in caso di trattamento con strumenti diversi da quelli elettronici come, per esempio, moduli cartacei, archivi fisici, fotografie…

Innanzi tutto, agli incaricati devono essere impartite chiare istruzioni scritte, finalizzate al controllo ed alla custodia degli atti e dei documenti che contengono dati personali. Anche in questo caso, è necessario definire preventivamente un sistema di autorizzazione, da aggiornare con cadenza almeno annuale, che individui precisamente l’ambito del trattamento consentito ai singoli incaricati. Come visto già precedentemente, il sistema di autorizzazione può prevedere classi omogenee di incarico e dei relativi profili di autorizzazione; inoltre, sarà necessario predisporre una lista che indichi i singoli incaricati e il relativo ambito di autorizzazione.

Inoltre, nel caso in cui i documenti contenenti dati personali sensibili o giudiziari siano affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, essi devono controllarli e custodirli fino alla restituzione in maniera che a quelle informazioni sia impedito l’accesso a persone prive di autorizzazione.

Infine, l’accesso agli archivi contenenti dati sensibili o giudiziari deve essere controllato. In particolare, è necessario che tutti coloro che vi accedono dopo l’orario di chiusura (per esempio gli addetti alle pulizie o i manutentori) siano identificati e registrati. In questo caso, è possibile avvalersi di personale per la vigilanza, oppure di un sistema elettronico per il controllo degli accessi.

Conclusioni.

Ma allora, concretamente, di cosa ha bisogno un’organizzazione per essere conforme alla normativa?

Sinteticamente, deve seguire pochi ma importanti accorgimenti:

  1. Deve avere un sistema documentato di policy sul trattamento dei dati, che discende da un’adeguata organizzazione che identifica chiaramente il titolare, i responsabili, gli incaricati e gli amministratori di sistema;
  2. Deve pensare prima di cominciare il trattamento dei dati al perché li deve o li vuole trattare e da chi li vuole far trattare;
  3. Deve garantire che gli strumenti e le persone siano sempre aggiornati in modo da garantire la massima efficacia della protezione;
  4. Deve permettere il ripristino dei dati nel più breve tempo possibile attraverso un sistema di back-up.
  5. Deve scegliere con cura i propri collaboratori esterni e i fornitori che possono entrare in contatto, anche accidentalmente, con i dati personali.
  6. Dovrebbe garantirsi un costante ed efficace controllo sull’argomento, attraverso risorse interne e/o affidandosi alle competenze di un consulente esperto in materia.