La protezione dei dati

I dati: il patrimonio aziendale più sottovalutato.

Partiamo dal principio. Domani mattina, ti svegli e vuoi aprire un’azienda di successo. La prima cosa che ti viene in mente è che devi cercarti un buon commercialista; forse anche un notaio. Poi, probabilmente, pensi che faresti meglio a chiedere un finanziamento, per coprire le spese iniziali. A questo punto, di solito, ti chiedono di presentare un business plan. E allora ti affretti a scrivere pagine e pagine di descrizioni sulla tua azienda, sul tuo progetto, inserendo dati oggettivi e previsionali, dati che spieghino la tua impresa e le cifre che intendi raggiungere. Se tutto va bene, nel giro di poco potrai tirare su le serrande.

Poi, un bel giorno, intuisci che certi mercati, certi prodotti o servizi sono più redditizi di altri. E allora attivi una campagna di marketing per raccogliere dati sul territorio, sui gusti e le abitudini delle persone, per supportare la tua intuizione. Alla fine, i dati non ti danno pienamente ragione, ma, fortunatamente, guardandoli e studiandoli capisci quale strada percorrere.

Passano gli anni e, tra alti e bassi, la tua azienda cresce, cambiano le persone che ci lavorano, cambia modello di governance, cambiano le strategie e cresce la complessità dell’organizzazione. Però il capo del magazzino non è in buoni rapporti con la responsabile amministrativa, e non sempre le passa per tempo i dati di cui lei ha bisogno per emettere le fatture e pagare i fornitori. Di più: ogni tanto si avventura in qualche “vendita sottobanco”, facendo uscire dal magazzino prodotti senza lasciarne traccia.

Per fortuna te ne accorgi per tempo e fai installare da un tuo carissimo amico un impianto di videosorveglianza all’avanguardia, con telecamere a colori che permettono di zoomare e di registrare le conversazioni. Grazie a questo sistema, riesci a raccogliere i dati necessari a smascherarlo e lo licenzi.

Peccato, però, che lui ti trascini davanti a un giudice, che deciderà che la tua prova (la videoregistrazione) non solo è inammissibile, ma è anche illecita.

È illecita perché non hai tutelato i dati personali del tuo capo magazziniere, che taroccava i dati del magazzino per i suoi interessi personali e influenzava negativamente i dati gestionali e amministrativi, esponendoti anche al rischio di falso in bilancio.

Come vedi, i dati sono importantissimi per un’azienda. Sono più importanti dei soldi, perché è con i dati, che si hanno le informazioni necessarie per fare i soldi. Sono, lo strumento più potente e versatile che un’azienda possa avere. Sono un patrimonio imprescindibile a livello strategico e operativo, in sede di pianificazione e in ogni singola attività. Proprio per questo meritano di essere adeguatamente protetti e gestiti.

In Italia, oggi, uno spunto utile per la protezione dei dati ci arriva dal Codice in materia di protezione dei dati personali. Sì, è il Codice privacy. Sì, la privacy è quella cosa che tanto in Italia non esiste perché bla bla bla. Ma un dato personale resta pur sempre un dato. E tutti i dati si proteggono allo stesso modo.

Non pensi anche tu che valga la pena assicurarsi di aver protetto bene i tuoi dati?

Jobs Act & privacy

Controllo dei lavoratori: cosa cambia con il Job Act.

Il 24 settembre 2015 entra in vigore l’ormai famoso Job Act, il testo normativo con cui il Governo sta disciplinando nuovamente il mondo del lavoro, è ormai imminente. Pochi giorni fa, infatti, è stato pubblicato il testo definitivo del decreto (Dlgs 151/2015) con cui, tra gli altri argomenti, saranno introdotte importanti modifiche allo Statuto dei lavoratori (L 300/1970). In particolare, trova rilevanza l’aggiornamento dell’art. 4 della legge, rubricato “Impianti audiovisivi e altri strumenti di controllo”.

Di seguito sono riportati il testo vigente e quello futuro, che precedono una serie di miei commenti in merito.

Testo attuale Testo modificato
Art. 4. Impianti audiovisivi Art. 4. Impianti audiovisivi e altri strumenti di controllo
1. È vietato l’uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori. 1. Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali. In alternativa, nel caso di imprese con unità produttive ubicate in diverse province della stessa regione ovvero in più regioni, tale accordo può essere stipulato dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale. In mancanza di accordo gli impianti e gli strumenti di cui al periodo precedente possono essere installati previa autorizzazione della Direzione territoriale del lavoro o, in alternativa, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più Direzioni territoriali del lavoro, del Ministero del lavoro e delle politiche sociali.
2. Gli impianti e le apparecchiature di controllo che siano richiesti da esigenze organizzative e produttive ovvero dalla sicurezza del lavoro, ma dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere installati soltanto previo accordo con le rappresentanze sindacali aziendali, oppure, in mancanza di queste, con la commissione interna. In difetto di accordo, su istanza del datore di lavoro, provvede l’Ispettorato del lavoro, dettando, ove occorra, le modalità per l’uso di tali impianti. 2. La disposizione di cui al comma 1 non si applica agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze.
3. Per gli impianti e le apparecchiature esistenti, che rispondano alle caratteristiche di cui al secondo comma del presente articolo, in mancanza di accordo con le rappresentanze sindacali aziendali o con la commissione interna, l’Ispettorato del lavoro provvede entro un anno dall’entrata in vigore della presente legge, dettando all’occorrenza le prescrizioni per l’adeguamento e le modalità di uso degli impianti suddetti. 3. Le informazioni raccolte ai sensi dei commi 1 e 2 sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196.
4. Contro i provvedimenti dell’Ispettorato del lavoro, di cui ai precedenti secondo e terzo comma, il datore di lavoro, le rappresentanze sindacali aziendali o, in mancanza di queste, la commissione interna, oppure i sindacati dei lavoratori di cui al successivo art. 19 possono ricorrere, entro 30 giorni dalla comunicazione del provvedimento, al Ministro per il lavoro e la previdenza sociale.

È doveroso notare fin da subito che l’approccio dei due testi è fondamentalmente differente, poiché mentre il primo impone un divieto a cui applica alcune eccezioni, il secondo concede una libertà fortemente limitata. Detto questo, nella sostanza dei fatti e nella sua applicazione non cambia poi molto, e i sistemi audiovisivi e gli strumenti, potranno essere impiegati solo per tre finalità e solo previo accordo sindacale o permesso dell’autorità territorialmente competente.

Un’altra premessa importante è individuare il più chiaramente possibile quali siano gli impianti audiovisivi e gli altri strumenti dai quali può derivare la possibilità di controllo a distanza del lavoratore. Qui, la tecnologia e il suo incessante incedere non ci viene in aiuto, perché molti di questi sono prodotti di ultima generazione, a cui pochi conferiscono tale potere. Se parlare di impianti di videosorveglianza è scontato, lo è molto meno parlare di black box sui veicoli (spesso installati per finalità legate prevalentemente al premio assicurativo), degli smartphone e dei mobile device, dei rilevatori GPS e degli strumenti hardware e software ormai largamente diffusi nel campo dell’ICT.

Si noti anche che, per quanto riguarda le autorizzazioni, non si fa più menzione della “commissione interna”. Questo, sebbene da un lato sembrerebbe aumentare il livello di burocrazia nella gestione della conformità, dall’altro è sinonimo di garanzia della tutela dei diritti del lavoratore, poiché è necessario ricorrere almeno a una convocazione delle rappresentanze sindacali aziendali, se non rivolgersi alla DTL competente o al Ministero.

Il secondo comma della norma aggiornata prevede che per l’utilizzo di strumenti per la registrazione degli accessi e delle presenze (per esempio i badge o gli impianti biometrici) e di tutti quegli strumenti necessari al lavoratore per rendere la prestazione lavorativa (per esempio il PC, lo smartphone o la posta elettronica) non sia necessario ricorrere all’accordo sindacale o al permesso ministeriale. Questo implica che per tutti gli altri strumenti che non siano necessari al lavoratore per compiere la propria attività, bisognerà convocare le rappresentanze sindacali o inoltrare la domanda alla DTL o l Ministero.

Infine, il terzo e ultimo comma, dispone che le informazioni raccolte ai sensi dei due commi siano utilizzabili per tutti i fini connessi al rapporto di lavoro, purché sia data al lavoratore un’adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal Codice privacy. In altre parole, si stabilisce che fornendo un’idonea informativa al lavoratore ex art. 13 e seguendo i dettami del Dlgs 196/2003 (compresi Provvedimenti e Linee guida specifici), le informazioni raccolte dall’azienda potranno essere utilizzabili per tutti i fini connessi al rapporto di lavoro, inclusi quelli disciplinari, finora esclusi dall’orientamento generale che ha tenuto la giurisprudenza in materia, che non ha permesso di utilizzare tali dati, ottenuti tramite i cosiddetti “controlli difensivi”, per provare l’inadempimento contrattuale del lavoratore. Questo non significa affatto che è permesso un controllo indiscriminato da parte del datore di lavoro, perché restano fermi i principi fondamentali della tutela dei dati personali (pertinenza, correttezza, non eccedenza del trattamento, divieto di profilazione).

Alla luce di quanto esposto, quindi, come si deve comportare un’azienda per ritenersi conforme ed evitare di incorrere nelle sanzioni previste (ammenda e/o arresto)? Sarà necessario che segua un percorso ben definito, che si può agevolmente riassumere così:

  1. Fare una mappatura degli impianti e degli strumenti richiamati dalla normativa;
  2. Procedere con una valutazione d’impatto privacy, ossia determinare quali siano i processi e le attività in cui si trattano dati personali (in questo caso con riguardo dei lavoratori), quali strumenti si utilizzano e per quali scopi;
  3. Determinare, un modello organizzativo e un sistema di controllo ritagliati ad hoc sull’argomento, con l’eventuale nomina di un responsabile del trattamento;
  4. Ottenere l’accordo con le parti sindacali o il nulla osta da parte dell’autorità competente, se le condizioni lo impongono;
  5. Informare tutti riguardo i contenuti della policy e il trattamento dei dati che consegue all’impiego di sistemi audiovisivi o altri strumenti.

Le misure minime di sicurezza del Codice privacy

Allegato B del Codice privacy: cosa significano le sue regole?

Molti sanno che la protezione dei dati personali (o privacy) in Italia, è normata dal Decreto legislativo 196/2003, conosciuto ai più come Codice privacy. Pochi, purtroppo, sanno che il Codice è completato da alcuni allegati.

Tra questi, l’Allegato B è quello che è di interesse più generale, in quanto gli altri si riferiscono esplicitamente a determinati settori di attività. La mancata applicazione delle misure minime di sicurezza comporta sanzioni amministrative e penali, che si traducono in multe salate, spese per i procedimenti processuali e, in alcuni casi, la reclusione.

L’Allegato B, con le sue 29 regole, pone le basi per assicurare le misure minime di sicurezza che ogni organizzazione deve adottare per garantire la protezione di una delle più preziose risorse strategiche che un’azienda possa avere a disposizione: i dati personali che quotidianamente tratta durante la sua attività. Esse sono diverse a seconda che il trattamento sia effettuato con o senza l’impiego di strumenti elettronici (PC, tablet, smartphone, sistemi di videosorveglianza…). Vediamole insieme.

Il sistema di autenticazione elettronica.

Le prime undici regole riguardano il trattamento con strumenti elettronici e indicano i criteri per un efficace sistema di autenticazione elettronica, ossia il procedimento con cui l’operatore assicura la propria identità al sistema informatico. In pratica è quello che si fa ogni volta che si decide di accedere a Gmail, o alle proprie pagine personali sui siti di e-commerce, per esempio.

Innanzi tutto, il titolare del trattamento deve identificare gli incaricati e deve determinare a priori il loro ambito di operatività, ossia decidere quali dati sia autorizzato a trattare.

Questi incaricati dovranno avere ognuno le proprie credenziali di autenticazione, costituite da un codice identificativo (per esempio il nominativo dell’incaricato, o il suo numero di matricola) e da una password. Alternativamente, si può utilizzare un dispositivo di autenticazione che deve essere detenuto e usato esclusivamente dall’incaricato (per esempio un token o una tessera magnetica) o tecniche di autenticazione biometrica (per esempio le impronte digitali o la scansione retinica o vocale), associato a un’eventuale password o codice identificativo. La prima è una soluzione che usiamo correntemente per effettuare operazioni di internet banking o per prelevare denaro dai distributori bancomat, mentre la seconda è più facile trovarla in ambiti in cui è richiesto un elevato livello di sicurezza.

Per quanto riguarda il codice identificativo, questo deve essere associato solo ed esclusivamente a un singolo incaricato e non è necessario che sia segreto. Ciò significa che un codice non potrà mai essere assegnato a più di una persona, nemmeno in momenti o in ambiti differenti.

Viceversa, ogni password deve essere mantenuta segreta e, se il sistema lo permette (dal punto di vista tecnologico), deve essere formata da almeno 8 caratteri, magari utilizzando lettere maiuscole e minuscole, numeri e caratteri speciali. Di sicuro la parola chiave non deve avere collegamenti diretti con l’interessato e non deve essere troppo intuibile o banale: per esempio, scegliere “P@55w0rd” è una soluzione soddisfacente dal punto di vista del numero e tipo di caratteri, ma è palesemente troppo scontata. La password, infine, deve essere immediatamente modificata al primo utilizzo (la prima password, solitamente, è scelta dall’amministratore di sistema) e successivamente, con cadenza almeno semestrale.

Le credenziali di autenticazione devono essere disattivate se inutilizzate da almeno sei mesi o se l’incaricato perde i requisiti su cui si fonda la sua designazione da parte del titolare (per esempio una variazione delle sue mansioni o un licenziamento).

E in caso di necessità o prolungata assenza dell’incaricato, come si fa? È importante notare che, sebbene le credenziali di autenticazione siano e debbano essere segrete e personali, in caso di prolungata assenza o esclusivamente per ragioni di sicurezza e operatività del sistema informatico, il titolare è legittimato a forzare la procedura utilizzando le credenziali di qualcun altro. Per farlo, è necessario che si prendano le idonee misure di sicurezza nominando un custode delle password e inserendo una copia delle parola chiave all’interno di una busta sigillata e tenuta sotto chiave.

Il sistema di autorizzazione.

Oltre al sistema di autenticazione (che serve all’incaricato per farsi riconoscere dal sistema informatico) il titolare deve adottare anche un sistema di autorizzazione, che limiti l’operatività dei singoli incaricati sui dati personali, con criteri stabiliti precedentemente alla loro nomina e che siano in linea con le finalità per cui i dati sono trattati nelle singole attività. Queste regole si rifanno concretamente al principio di separazione dei compiti (in inglese segregation of duties, conosciuta con l’acronimo SOD) richiamate anche dalle norme ISO. Queste regole vanno dalla 12 alla 14.

Lo scopo è quello di assicurare che ogni ambito di trattamento abbia un diverso profilo di autorizzazione, in modo che l’accesso ai dati compiuto dei singoli incaricati sia limitato solo ed esclusivamente a quelli necessari per espletare il loro compito. In tale ottica, il sistema può essere profilato su ciascun incaricato (per esempio l’amministratore delegato, il direttore generale, l’internal auditor o l’amministratore di sistema) o per classi omogenee di incaricati (per esempio tutti gli incaricati dell’Assistenza clienti, tutti gli incaricati dell’Ufficio Marketing, tutti gli incaricati dell’Ufficio risorse umane…).

Tali profili di autorizzazione, similarmente alle credenziali di autenticazione, devono essere periodicamente rivisti e verificati, in modo da intervenire confermando, modificando o eliminando i profili già determinati o creandone di nuovi, secondo le necessità.

In molte realtà il sistema di autorizzazione è presente ed è una caratteristica intrinseca dei loro software gestionali.

Altre misure di sicurezza.

Oltre a quelle di tipo organizzativo, l’Allegato B impone l’adozione di misure di sicurezza a livello tecnico, attraverso l’impiego di soluzioni antimalware e di protezione in generale, che garantiscano la protezione, il ripristino o l’accesso ai dati. Si fa riferimento alle regole dalla 15 alla 18.

Sono misure idonee a questi scopi, per esempio, i software antivirus, antispyware o firewall; soluzioni hardware come i proxy server; salvataggio completo dei dati (back-up).

Ovviamente, ciascuna delle soluzioni adottate deve essere mantenuta efficace e aggiornata con cadenza periodica, secondo le evoluzioni della tecnologia disponibile al momento.

Ulteriori misure in caso di trattamento di dati sensibili o giudiziari.

Le regole dalla 20 alla 24, rafforzano quanto già detto nelle precedenti, avendo come specifico oggetto i dati personali sensibili o giudiziari.

Tra esse, spiccano l’obbligo di limitare l’accesso ai dati contenuti su supporti mobili in modo da impedire trattamenti non autorizzati (per esempio utilizzando memorie esterne crittografate o protette da un sistema di autenticazione) e gli obblighi specifici per gli esercenti le professioni sanitarie, che devono adottare misure tali per cui i dati identificativi siano trattati disgiuntamente da quelli sensibili.

Le misure di tutela e di garanzia.

La regola 25 impone la collaborazione dei soggetti esterni alla struttura del titolare, a cui sono affidati lavori inerenti una qualsiasi misura di sicurezza. Questi soggetti devono fornire idonee garanzie al titolare, attraverso una descrizione scritta dell’intervento che hanno realizzato e che sia in grado di attestarne la conformità alle regole dell’Allegato B.

Questo punto è molto importante nei casi in cui si installino impianti di videosorveglianza, o quando ci si avvale di un tecnico esterno per la manutenzione e la programmazione dei propri computer o della propria rete informatica.

I trattamenti compiuti senza l’ausilio di strumenti elettronici.

Le ultime tre regole, dalla 27 alla 29, disciplinano le modalità tecniche da adottare a cura del titolare, del responsabile, ove designato, e dell’incaricato, in caso di trattamento con strumenti diversi da quelli elettronici come, per esempio, moduli cartacei, archivi fisici, fotografie…

Innanzi tutto, agli incaricati devono essere impartite chiare istruzioni scritte, finalizzate al controllo ed alla custodia degli atti e dei documenti che contengono dati personali. Anche in questo caso, è necessario definire preventivamente un sistema di autorizzazione, da aggiornare con cadenza almeno annuale, che individui precisamente l’ambito del trattamento consentito ai singoli incaricati. Come visto già precedentemente, il sistema di autorizzazione può prevedere classi omogenee di incarico e dei relativi profili di autorizzazione; inoltre, sarà necessario predisporre una lista che indichi i singoli incaricati e il relativo ambito di autorizzazione.

Inoltre, nel caso in cui i documenti contenenti dati personali sensibili o giudiziari siano affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, essi devono controllarli e custodirli fino alla restituzione in maniera che a quelle informazioni sia impedito l’accesso a persone prive di autorizzazione.

Infine, l’accesso agli archivi contenenti dati sensibili o giudiziari deve essere controllato. In particolare, è necessario che tutti coloro che vi accedono dopo l’orario di chiusura (per esempio gli addetti alle pulizie o i manutentori) siano identificati e registrati. In questo caso, è possibile avvalersi di personale per la vigilanza, oppure di un sistema elettronico per il controllo degli accessi.

Conclusioni.

Ma allora, concretamente, di cosa ha bisogno un’organizzazione per essere conforme alla normativa?

Sinteticamente, deve seguire pochi ma importanti accorgimenti:

  1. Deve avere un sistema documentato di policy sul trattamento dei dati, che discende da un’adeguata organizzazione che identifica chiaramente il titolare, i responsabili, gli incaricati e gli amministratori di sistema;
  2. Deve pensare prima di cominciare il trattamento dei dati al perché li deve o li vuole trattare e da chi li vuole far trattare;
  3. Deve garantire che gli strumenti e le persone siano sempre aggiornati in modo da garantire la massima efficacia della protezione;
  4. Deve permettere il ripristino dei dati nel più breve tempo possibile attraverso un sistema di back-up.
  5. Deve scegliere con cura i propri collaboratori esterni e i fornitori che possono entrare in contatto, anche accidentalmente, con i dati personali.
  6. Dovrebbe garantirsi un costante ed efficace controllo sull’argomento, attraverso risorse interne e/o affidandosi alle competenze di un consulente esperto in materia.