fbpx

LINEE GUIDA SULLO SMART-WORKING E GDPR

Consulenza Privacy, GPDR e Security

Premesse

In merito alle attuali disposizioni governative d’urgenza, introdotte dall’esecutivo in seguito agli sviluppi sull’emergenza dettata dalla diffusione del COVID-19, si trasmettono le presenti linee guida, in ambito protezione dei dati personali, funzionali allo svolgimento dell’attività lavorativa da parte delle Aziende in modalità Smart Working.

Il presente documento è rivolto sia ai titolari del trattamento, sia agli interessati al trattamento, con specifico riferimento all’utilizzo di strumentazione dotata di funzionalità
da remoto, da utilizzare in condizioni di dichiarata emergenza, come da decreto del Presidente del Consiglio dei ministri 23 febbraio 2020, recante “Disposizioni attuative del decreto-legge 23 febbraio 2020, n. 6, recante misure urgenti in materia di contenimento e
gestione dell’emergenza epidemiologica da COVID-19” e successivi decreti.
L’attuale scenario di emergenza costringe l’organizzazione, il titolare o il responsabile del
trattamento, a considerare un maggior rischio in termini di Business Continuity e,
conseguentemente, di sicurezza dei sistemi informativi e delle informazioni personali
trattate.

1 – Linee guida per il titolare del trattamento

1.1 – Misure generali

In conformità a quanto previsto dal GDPR e dal Codice Privacy italiano, è necessario adottare lemisure idonee di sicurezza legate alla fruizione dello smart-working, ovvero specifiche perl’utilizzo lecito di apparecchi mobili, postazioni di lavoro da remoto e strumentazione ad uso c.d. promiscuo.
Si consiglia in tal senso la valutazione del potenziamento delle misure di sicurezza
eventualmente già implementate (ad es. cifratura; VPN, back-up aggiuntivi, cloud aziendale),ricordando il principio generale secondo il quale il transito dei dati personali su apparecchiature “esterne” all’organizzazione comporta un aumento, di default, del rischio inerente il trattamento dei dati personali.
In generale, le misure di sicurezza, sia organizzative sia tecniche, dovranno prevedere un’analisi sui sistemi utilizzati da remoto, le politiche per l’applicazione dello smart-working e le misure richieste al lavoratore, soprattutto laddove coinvolti strumenti propri.
L’obiettivo di tali misure è la tutela del rispetto dei principi del GDPR e delle previsioni lavorative impartite dal titolare del trattamento, come descritte negli appositi atti autorizzativi al trattamento.
Laddove non presente una policy sul BYOD, se ne consiglia la pronta adozione.
Si consiglia altresì di valutare una Social Media Policy, ovvero una politica di gestione delle informazioni conseguenti l’utilizzo di canali social da parte dei dipendenti, che in un momento come questo certamente troveranno maggiore utilizzo.

1.2 – Licenze software, applicazioni e device

Al fine di ridurre possibili vulnerabilità del sistema informatico e i relativi rischi (privacy), legati alla strumentazione elettronica coinvolta nelle modalità attuative del c.d. lavoro agile, è necessario monitorare le licenze software e le applicazioni, anche attraverso un censimento specifico.
Si consiglia l’utilizzo di soli software licenziati e di curarne l’aggiornamento, nonché di
regolamentare la possibilità/impossibilità da parte dell’utente di usufruire di software non
forniti direttamente da parte del titolare del trattamento. Si suggerisce inoltre di rivedere ed eventualmente aggiornare la propria policy sull’utilizzo della strumentazione informatica, includendo se del caso specifiche regole sull’utilizzo di dispositivi per la conservazione dei dati personali (es. pennette USB, Hard-disk removibili) e di specificare quali informazioni devono risiedere solo su infrastrutture informatiche proprie del titolare del trattamento, in particolare prevedendo il divieto di scaricare dati, cartelle, archivi sui dispositivi mobili e/o personali. Laddove è previsto l’utilizzo di dispositivi personali da parte degli autorizzati del trattamento, in special modo per la creazione di contenuti, è necessario attuare in via preventiva una politica che governi i diritti di proprietà intellettuale dei contenuti sviluppati su tali dispositivi.

Ricevi gratis il contenuto completo in pdf direttamente nella tua mail

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *