PILLOLE PRIVACY N° 8 – I DATI PERSONALI E …

/in /by

Pillola n. 8

… l’utilizzo di strumenti personali sul luogo di lavoro

Smartphone, memory card, unità disco esterne, chiavette USB, Iphone; strumenti utili per rimanere sempre connessi, supporti di memorizzazione poco ingombranti che permettono di portare dietro o scaricare i documenti di cui si ha bisogno.

Ciascuno di questi device ha una grande utilità ma può essere fonte di pericoli. Come bisogna comportarsi? Quali sono le decisioni più giuste per scongiurare possibili danni?

 

Non sempre il divieto assoluto di utilizzare dispositivi personali sulla rete aziendale è la soluzione migliore; è probabile che sia la soluzione a minor rischio ma è anche vero che scegliere questa strada può essere penalizzante e limitativo.

In alcune realtà, il divieto di usare device esterni rischia di rendere più difficoltoso il lavoro : immaginiamo il caso di un consulente esterno che collabora con l’organizzazione e lavora connettendo il proprio PC alla rete aziendale oppure pensiamo alla possibilità di portare da un cliente una presentazione o altro materiale in modo agevole; tutti sappiamo quanto sia utile scambiare informazioni rapidamente o quanto, in certi momenti, sia importante avere una connessione funzionante per reperire informazioni in rete.

Non esiste quindi una ricetta buona per tutte le occasioni e ciascuna organizzazione dovrà dotarsi di regole “a propria misura”.

La cosa migliore, qualunque sia la regola che l’organizzazione decide di darsi in base al contesto in cui opera, è rendere note le condizioni secondo  le quali è ammesso l’utilizzo di device personali.

Il personale dipendente, i collaboratori e i visitatori occasionali devono conoscere le regole e attenervisi; l’organizzazione si doterà di processi e strumenti in grado di proteggere il perimetro e i dati aziendali (registrazioni e password ad hoc, installazioni di antivirus, abilitazioni temporanee).

Le regole devono essere facilmente comprensibili ed efficaci. A tale scopo, ogni organizzazione può inserire nel proprio regolamento interno un’apposita sezione che chiarisca le condizioni di utilizzo di device personali sul luogo di lavoro.

PILLOLE PRIVACY N° 7 – I DATI PERSONALI E …

/in /by

PILLOLA 7

…  l’uso di strumenti di tracciamento

Gli eventuali strumenti di tracciamento adottati dall’organizzazione devono essere dichiarati agli interessati ed utilizzati secondo la legge.

L’utilizzo di cookies di terza parte su un sito, per esempio, o di web beacon, deve essere notificato agli interessati, che devono avere la possibilità di acconsentire o meno all’utilizzo di informazioni relative ai propri comportamenti in rete.

L’intenzione di utilizzare algoritmi di profilazione deve essere ugualmente evidenziata e richiede di norma il consenso esplicito dell’interessato.

Non è quindi possibile raccogliere ed utilizzare dati personali per inviare pubblicità mirata (la cosiddetta pubblicità comportamentale) senza che l’interessato ne sia consapevole e acconsenta.

L’impiego di sistemi di videosorveglianza nei luoghi di lavoro segue regole precise e, in alcune specifiche situazioni, richiede il preventivo accordo delle organizzazioni sindacali o dell’Autorità Garante. È necessario in ogni caso spiegare agli interessati perché l’organizzazione ha deciso di dotarsi di un sistema di videosorveglianza (quali siano cioè le finalità del trattamento); bisogna inoltre specificare come sono usate, memorizzate e protette le informazioni raccolte, per quanto tempo sono conservate e chi e per quale ragione ha accesso alle immagini.

Cautela richiede anche l’impiego di sistemi di geo-localizzazione; le APP che ne fanno uso, ad esempio, devono preventivamente informare gli interessati e ottenere il loro consenso prima di trattare i dati. Devono inoltre offrire la possibilità di disattivare il sistema di localizzazione se l’interessato desidera farlo.

PILLOLE PRIVACY N° 6 – MISURE ORGANIZZATIVE

/in /by

Pillola 6

Le violazioni

I dati, inclusi quelli personali,  sono un patrimonio aziendale che deve essere protetto: è necessario quindi verificare costantemente la loro qualità e affidabilità e vigilare sui possibili tentativi di effrazione.

In caso di una violazione di dati personali è necessaria una pronta reazione di tutta l’organizzazione, allo scopo di limitare la perdita di informazioni, di scongiurarne un eventuale utilizzo illecito e, se del caso, di segnalare l’accaduto all’Autorità entro i termini previsti dalla legge.

Ciascuna organizzazione, tenendo conto della tecnologia utilizzata, delle categorie di dati gestiti e della loro numerosità, deve dotarsi di strumenti di controllo ed effettuare un monitoraggio interno allo scopo di prevenire o intercettare in tempi rapidi gli eventi sospetti.

Per reagire alla violazione in modo tempestivo ed efficace, è opportuno assegnare preventivamente responsabilità e compiti.

È necessario che tutte le componenti dell’organizzazione siano consapevoli dei comportamenti da tenere in caso di violazione e delle responsabilità di ciascuno, nonché delle modalità di comunicazione di accadimenti o fatti sospetti.

È opportuno fornire ai dipendenti chiare indicazioni in merito al canale da utilizzare (ad esempio un numero di telefono, un ufficio, un indirizzo e-mail) per segnalare un evento che necessita di essere indagato e quali siano le informazioni minimali da inserire nella comunicazione.

Gestione delle richieste degli interessati

L’organizzazione deve implementare i processi necessari a rispondere tempestivamente alle richieste degli interessati in merito all’esercizio dei loro diritti, secondo i termini di legge.

Le procedure, appositamente predisposte, dovranno contenere i criteri utilizzati per l’accertamento dell’identità del richiedente e per la valutazione della legittimità della richiesta nel caso, per esempio, questa sia fatta nell’interesse di un terzo (per esempio il genitore di un minore).

In funzione della tipologia della richiesta (relativa allo specifico diritto esercitato) si dovrà inoltre valutare se esistono i presupposti per procedere e si dovrà dare seguito alle stessa con azioni specifiche (cancellazione, rettifica, revoca del consenso, conferma dell’esistenza di dati personali del richiedente, eccetera).

Particolare attenzione è richiesta nel caso in cui il diritto esercitato – e esercitabile – sia quello relativo alla portabilità dei dati.

Il diritto alla portabilità è un nuovo diritto e le organizzazioni dovranno valutare quale sia il modo più efficace di ottemperare alla richiesta (modalità e formato di importazione ed esportazione di dati); a questo proposito, è opportuno vigilare su eventuali indicazioni che l’Autorità Garante potrebbe rilasciare su questo tema.

È opportuno tenere traccia delle richieste, anche a fini statistici e di valutazione interna, e documentarne l’evasione nei tempi prescritti.

PILLOLE PRIVACY n° 5 – MISURE ORGANIZZATIVE

/in /by

Pillola 5

Regole chiare e responsabilizzazione dei dipendenti

Tutti i componenti dell’organizzazione devono comprendere il valore della protezione dei dati personali e devono conoscere le regole secondo le quali devono essere trattate le informazioni personali nell’espletamento delle mansioni assegnate.

La redazione di un documento di politica, oppure la predisposizione di un regolamento aziendale o di un disciplinare che illustrino con chiarezza le regole sono strumenti efficaci per diffondere la cultura e trasmettere le istruzioni al personale.

Qualora l’organizzazione decidesse di diffondere le istruzioni in merito al trattamento dei dati personali per mezzo di un documento apposito, questo potrà essere reso disponibile sulla intranet aziendale in una apposita sezione e dovrà essere aggiornato ogniqualvolta sia necessario per recepire aggiornamenti normativi o cambiamenti nei processi. La presa visione e l’accettazione di questo contenuto può essere richiesta a tutti i dipendenti (in forma digitale o mediante apposizione di firma sulla versione cartacea) in modo che l’organizzazione possa tracciare e documentare l’avvenuta trasmissione delle istruzioni.

Informazione e formazione

Informare e formare dipendenti e collaboratori è un preciso dovere dei soggetti che hanno la responsabilità del trattamento. In previsione dell’entrata in vigore del Regolamento Europeo, l’organizzazione dovrà predisporre seminari o workshop interni con l’obiettivo di diffondere al suo interno la conoscenza della normativa e di spiegare quali misure tecniche e/o organizzative intende implementare per il rispetto delle prescrizioni di legge.

A regime, è opportuno che il tema sia ripreso e riportato all’attenzione di tutti con cadenza almeno annuale, per mantenere e rinforzare la cultura della protezione dei dati.

Tutti i nuovi assunti che svolgono operazioni di trattamento di dati personali devono ricevere istruzioni precise e visionare le politiche interne relative.

In caso di mansioni particolarmente delicate – per la natura e la sensibilità dei dati con i quali gli addetti entrano in contatto – l’organizzazione deve valutare l’opportunità di predisporre sessioni formative ad hoc per mitigare i rischi eventualmente connessi alle specifiche operazioni di trattamento svolte (trattamento di dati sanitari, operatori di call centre, addetti alle risorse umane… ).

La partecipazione di collaboratori e dipendenti alle attività di formazione deve essere documentata e conservata dall’organizzazione. 

PILLOLE PRIVACY n° 4 – MISURE ORGANIZZATIVE

/in /by

PILLOLA 4

La comunicazione interna

La tutela dei dati personali conferiti all’organizzazione è un valore che deve essere trasmesso a tutta l’organizzazione perché contribuisce al raggiungimento degli obiettivi di business aziendali.

La struttura privacy definisce un piano di comunicazione interno allo scopo di elevare il livello di consapevolezza dell’organizzazione e di mantenerlo nel tempo.

La comunicazione riveste un ruolo molto importante perché costruisce un linguaggio condiviso, fornisce gli strumenti per una corretta chiave di lettura e crea le basi che permettono all’organizzazione di reagire prontamente a eventuali criticità o fatti inaspettati. Può essere vista come un vero e proprio momento di formazione, un’occasione per diffondere la cultura della protezione dei dati personali e una dimostrazione di accountability da parte del Titolare del trattamento.

La comunicazione interna può avvenire attraverso canali diversi ed essere formale o informale. Si può, ad esempio, usare l’intranet aziendale per diffondere comunicazioni di aggiornamento periodiche (newsletter), oppure si possono prevedere seminari specifici indirizzati alle funzioni che, a vario titolo, effettuano trattamenti di dati personali. È inoltre importante che un rappresentante della struttura privacy prenda parte ai meeting periodici delle funzioni aziendali (per esempio IT, sicurezza, marketing, sviluppo applicativo, legale, customer care, call center) per ogni aspetto legato alla privacy.

Comunicazione e rapporti esterni

La comunicazione nei confronti di tutti coloro che guardano all’organizzazione o che hanno con essa rapporti d’affari è un aspetto che deve essere curato, soprattutto nell’era del digitale. Una comunicazione trasparente e onesta con la clientela, per esempio, è indice di affidabilità e può tradursi in un vantaggio competitivo.

Comunicare quali azioni sono state messe in atto dall’organizzazione per aumentare la tutela dei dati personali dei propri clienti o associati aumenta la fiducia degli interessati e rinforza il brand.

È possibile, ad esempio, pubblicare sul sito i report che mostrano una riduzione dell’esposizione al rischio  sicurezza attraverso l’attivazione di nuove procedure o di nuovi sistemi oppure che illustrano i risultati positivi di un audit, che notificano l’avvio di un processo di certificazione intrapreso dall’organizzazione; informare gli stakeholder esterni dei risultati positivi ottenuti è un ottimo modo per dimostrare impegno e per fidelizzare.

PILLOLE PRIVACY n° 3 – MISURE ORGANIZZATIVE

/in /by

Pillola 3

Ruoli, responsabilità e collaborazione

Come abbiamo visto, la struttura privacy può essere snella o articolata ed essere impegnata a tempo pieno o in modo parziale per le attività connesse alla protezione di dati personali.

Qualunque sia la scelta, è necessario che ruoli e responsabilità siano esplicitamente assegnati e compresi.

In alcuni contesti, un singolo professionista ha il mandato di occuparsi di ogni aspetto della protezione dei dati personali, agendo da punto d’ingresso per qualunque problematica; il professionista, ove necessario, deve poter coinvolgere le funzioni organizzative competenti per ottenere informazioni, prendere decisioni o dare seguito ad azioni specifiche.

In altre situazioni, il responsabile gerarchico della struttura privacy distribuirà i compiti che potranno, per esempio, essere relativi alla gestione delle violazioni, alla conservazione della documentazione pertinente, alla progettazione di sessioni di formazione periodiche, alla gestione delle richieste degli interessati, alla gestione del rischio, alla partecipazione nei team per lo sviluppo di nuovi progetti e/o servizi che devono tener conto delle prescrizioni in merito alla privacy by design e by default.

Il responsabile assegnerà alle attività da svolgere, in funzione della specifica situazione, una priorità e una pianificazione di massima, per non esporre l’organizzazione al rischio di sanzioni.

In ogni caso, tutta l’organizzazione, indipendentemente dai ruoli e dalle mansioni, deve sentirsi coinvolta e deve essere disponibile, se richiesto, a collaborare in modo fattivo all’adozione e al mantenimento di un modello privacy efficace.

Relazioni della struttura privacy con il vertice aziendale

Lo stato dei programmi, delle attività e dei controlli effettuati dalla struttura privacy deve essere portato a conoscenza del vertice aziendale e condiviso periodicamente ai più alti livelli di management. La condivisione con il vertice è necessaria per mantenere il costante allineamento tra gli obiettivi aziendali e la strategia della protezione dei dati personali; consente inoltre di condividere la situazione di conformità ai requisiti di legge e lo stato in merito ai più importanti rischi o agli eventi accaduti, in merito ai quali è necessario prendere decisioni o effettuare scelte.

La responsabilità della corretta protezione dei dati personali è infatti interamente ascrivibile al vertice aziendale, che deve quindi avere una visione aggiornata e deve assicurarsi che l’organizzazione abbia fatto il possibile per raggiungere la conformità e per gestire ed eventualmente ridurre i rischi legati al trattamento dei dati personali

PILLOLE PRIVACY n° 2 – MISURE ORGANIZZATIVE

/in /by

Pillola 2

Stabilire la strategia e assegnare le responsabilità

L’organizzazione, partendo dall’analisi del contesto specifico e del settore di mercato in cui opera, stabilisce gli obiettivi della struttura privacy, assegna loro una priorità e definisce una strategia che permetta di raggiungerli.

L’organigramma aziendale deve prevedere una funzione che si occupi di presidiare l’applicazione delle normative vigenti e che sia il punto di riferimento dell’organizzazione per ogni tematica relativa alla protezione dei dati personali.

L’assegnazione chiara delle responsabilità è necessaria anche per le organizzazioni che non sono obbligate, secondo la normativa, a dotarsi di un Data Protection Officer.

Risorse e compiti

La responsabilità del coordinamento delle attività e degli aspetti operativi è affidata al Data Protection Officer, ove presente; in ogni caso, a prescindere dalla nomina del DPO, è sempre opportuno affidare tale compito a una persona chiaramente identificata (con nome e cognome).

In funzione delle dimensioni e della specificità del contesto, la struttura che si occupa della protezione dei dati personali (“struttura privacy”) potrà essere costituita da una o più risorse che svolgono le attività a tempo pieno o a tempo parziale; le risorse potranno essere interne o esterne all’organizzazione.

Le organizzazioni più grandi e complesse mettono a disposizione della struttura privacy competenze multidisciplinari (per esempio legali, organizzative, normative, tecnologiche, di processo): possono farlo su base continuativa, cioè assegnando alla struttura privacy risorse dedicate ovvero prevedendo il supporto e la collaborazione di risorse specializzate in base alla necessità.

In concreto, fatta salva l’individuazione della persona a cui affidare la responsabilità del sistema privacy aziendale, la scelta del modello organizzativo è assolutamente libera.

PILLOLE PRIVACY N° 1 – MISURE ORGANIZZATIVE

/in /by

Pillola 1

Il ruolo del vertice aziendale

L’alta direzione svolge un ruolo chiave nella determinazione di un modello organizzativo efficace per una corretta gestione della protezione dei dati personali; non solo perché, come è ovvio, le competono le decisioni in merito alle risorse e ai mezzi da dedicare alla materia ma anche perché il suo supporto attivo è fondamentale per testimoniare l’importanza di una corretta gestione dei dati personali all’interno di tutta l’organizzazione (accountability).

Il vertice aziendale ha il compito di indicare il cammino verso la conformità al Regolamento Europeo affinché l’organizzazione intera, nel tempo, acquisisca la giusta consapevolezza, adotti comportamenti virtuosi e collabori fattivamente al recepimento degli aggiornamenti normativi.

Da un punto di vista pratico, la direzione promuove il senso di responsabilizzazione del management, inserendo il tema privacy (relativamente ai dati personali di clienti, fornitori e dipendenti) nei meeting periodici di direzione; testimonia inoltre il proprio impegno con comunicazioni specifiche e con la sponsorizzazione di iniziative che hanno lo scopo di aumentare il livello di consapevolezza dell’intera organizzazione.

L’importanza che la protezione dei dati personali riveste per l’organizzazione si esplicita anche assegnando a una struttura, dotata di risorse e mezzi adeguati, il compito di guidare e vigilare sulla conformità alla normativa.