Con l’entrata in vigore del GDPR, la tutela della privacy dei dipendenti è diventata un’esigenza ancora più sentita dalle organizzazioni. Dalla ricerca e selezione del personale, alla gestione degli adempimenti amministrativi e fiscali alle attività formative e di valutazione delle performance, i dipendenti di un’organizzazione sono oggetto di numerose attività di trattamento di dati personali.
Ma chi vigila sulla loro privacy? Tra le responsabilità del Chief Information Security Officer (CISO) nella tutela del patrimonio informativo dell’organizzazione vi è anche quella di contribuire a proteggere la privacy dei dipendenti.
Il GDPR, infatti, richiede ai titolari del trattamento di dati personali di adottare misure tecniche e organizzative adeguate a garantire la sicurezza dei dati, compresi quelli relativi ai propri dipendenti. I datori di lavoro, in qualità di titolari, sono dunque tenuti al rispetto di alcuni principi e regole fondamentali per la protezione dei diritti e delle libertà dei lavoratori.
Ad esempio, liceità, pertinenza e trasparenza: il datore di lavoro può raccogliere e trattare dati personali (anche sensibili) dei propri dipendenti nella misura in cui tali informazioni servano per dare esecuzione al rapporto di lavoro.
Il CISO, nel suo ruolo di responsabile della gestione della sicurezza delle informazioni, è una figura fondamentale per garantire la tutela dei dati personali dei dipendenti. Vediamo alcuni degli ambiti in cui è chiamato ad operare.
CISO: che fa e come si diventa Chief Information Security Officer
Indice degli argomenti
I sistemi di monitoraggio: la raccolta dei log
L’implementazione di un sistema di raccolta dei log è uno strumento indispensabile per i titolari del trattamento al fine di dimostrare l’adozione di misure tecniche e organizzative adeguate, come richiesto dall’art. 32 e in conformità con il principio di accountability, sancito all’art. 5 del GDPR.
I log forniscono un’istantanea delle attività eseguite sui sistemi, ovvero una registrazione sequenziale e cronologica delle operazioni effettuate dagli utenti. La loro gestione consente quindi di tracciare, conservare e monitorare informazioni riguardanti i comandi lanciati e le operazioni eseguite e di estrarle all’occorrenza, ad esempio, in caso di rilevamento di anomalie sui sistemi o in caso di incidenti di sicurezza, per i quali è necessario ricostruire il flusso delle operazioni eseguite.
Anche l’Autorità Garante per la Protezione dei Dati Personali ritiene che attivare un sistema di tracciamento possa essere ritenuta una misura di sicurezza a protezione dei dati personali, infatti nel Provvedimento del 27 novembre 2008 sugli amministratori di sistema, richiede che vengano tracciati gli accessi degli amministratori di sistema al fine di verificare anomalie nella frequenza e nella modalità in cui viene eseguito l’accesso, garantendo la prevenzione degli accessi non consentiti ai dati.
Il ruolo del CISO nella gestione delle attività di logging
Il ruolo del CISO è fondamentale per la gestione delle attività di logging, in quanto deve garantire che vengano adottati sistemi idonei al tracciamento e che i log siano conservati correttamente.
Per garantire la riservatezza, l’integrità e l’immodificabilità dei file di log, è opportuno prevedere adeguati meccanismi di cifratura dei file di log, che devono essere protetti durante tutto il loro ciclo di vita – dalla raccolta all’analisi e all’archiviazione.
A tale fine, dovranno essere resi accessibili a un numero limitato di utenti, sulla base del principio del “Need-to-know”, e protetti da tentativi di accesso non autorizzato, ad esempio mediante meccanismi di autenticazione forte.
Il contributo del CISO è fondamentale nella progettazione del sistema di information logging e del relativo modello di controllo, anche in ottica di presidi 231/01, al fine di rispondere alle necessità di tutela del patrimonio aziendale e garantire il rispetto di standard e normative vigenti (ad esempio, ex art. 4 Statuto dei lavoratori, GDPR ecc.).
Il CISO, infatti, dovrà essere in grado di progettare sistemi che permettano di avere un’adeguata visibilità sull’organizzazione, in modo da individuare tempestivamente eventuali anomalie, comprendere la natura di un eventuale incidente prima che possa causare gravi danni all’azienda o agli interessati e accelerare i processi decisionali.
Gestione dei dispositivi e sistemi di content filtering
Un altro strumento utile a garantire il rispetto delle normative vigenti in materia di protezione dei dati personali è rappresentato dalle soluzioni di Mobile Device Management, ovvero sistemi e piattaforme che si occupano della gestione centralizzata dei dispositivi mobili – PC, tablet, smartphone – usati dai dipendenti di un’organizzazione.
L’adozione di un sistema di MDM può essere funzionale all’applicazione di politiche e regolamenti aziendali in materia di gestione dei dati e protezione dei documenti aziendali, soprattutto se lo stesso dispositivo viene utilizzato sia per finalità lavorative che personali.
Un ulteriore beneficio di questi sistemi deriva dalla possibilità di ricorrere alla funzionalità di localizzazione del dispositivo, alla cancellazione dei dati da remoto o al blocco del dispositivo stesso in caso di furto o smarrimento di quest’ultimo.
Soluzioni di content filtering
C’è poi il tema del blocco di siti Web e servizi considerati non pertinenti all’attività lavorativa mediante soluzioni come il content filtering, in grado di “filtrare” l’accesso ai contenuti ritenuti “inappropriati”.
Tali meccanismi permettono di rilevare i siti web visitati e i relativi indirizzi IP per poi classificarli mediante associazione a delle categorie stabilite a priori che comportano delle azioni. Ad esempio, un’organizzazione può decidere di impedire l’uso dei social media durante l’orario di lavoro bloccando l’accesso a siti e servizi con determinate caratteristiche.
Il CISO deve operare un’attenta valutazione sulle categorie di siti da bloccare, in quanto questi potrebbero rappresentare il punto di ingresso di nuove minacce e dar luogo a incidenti di sicurezza.
Al tempo stesso, gli strumenti di content filtering potrebbero essere configurati per raccogliere informazioni sulle attività di navigazione dei dipendenti, ad esempio, per risalire a chi ha tentato l’accesso a siti e servizi vietati.
La raccolta di tali informazioni comporta dei rischi per la privacy dei dipendenti, in quanto potrebbe rendere possibile attività di monitoraggio dei dipendenti da parte del datore di lavoro non consentite dallo Statuto dei Lavoratori.
Al CISO è pertanto richiesto di contribuire alla definizione dei requisiti contrattuali con i vendor in modo che questi possano offrire garanzie sufficienti a mitigare i rischi connessi all’attività oggetto di contratto, garantendo l’affidabilità delle soluzioni anche dal punto di vista della tutela della privacy degli utenti.
La geolocalizzazione dei dipendenti
Altro tema rilevante parlando di tutela della privacy dei dipendenti è quello della geolocalizzazione. Gran parte delle aziende adotta strumenti di geolocalizzazione per finalità di controllo degli accessi e di rilevazione delle presenze. Tuttavia, la “sola” funzione di geolocalizzazione, attiva sui dispositivi in uso dal dipendente, può dar luogo a un trattamento di dati personali.
Pertanto, anche l’implementazione di tali sistemi deve avvenire nel rispetto dei requisiti del GDPR e, in particolare, della privacy del dipendente stesso: ad esempio, è necessario che il datore di lavoro informi il dipendente, tramite comunicazione scritta, sulle modalità e sulle condizioni di utilizzo dei sistemi di geolocalizzazione, chiarendo anche le finalità per le quali l’azienda adotta tali strumenti.
Decisivo sul tema è stato l’intervento del Garante Privacy dell’8 settembre 2016 con il quale ha stabilito che, considerata la particolarità dei dati relativi alla posizione geografica, le organizzazioni possono sì conservare le informazioni sull’accesso alla sede di lavoro, ad esempio data e orario di timbratura, ma non possono in alcun modo conservare le coordinate geografiche della posizione rilevata dal dispositivo del dipendente.
Inoltre, in applicazione dei principi di trasparenza e correttezza (art. 5 par. 1 del GDPR), il sistema di geolocalizzazione deve essere configurato in modo tale da indicare, tramite un’icona sullo schermo del dispositivo, che la funzione di geolocalizzazione sia attiva. Infine, tale funzionalità non può e non deve tracciare ulteriori dati relativi, ad esempio, al traffico telefonico, alla posta elettronica e alla navigazione in internet del dispositivo.
Compito del CISO è garantire la sicurezza delle applicazioni e assicurarsi che eventuali funzionalità di geolocalizzazione vengano configurate in modo tale da conservare esclusivamente le informazioni necessarie, senza “invadere” la privacy del dipendente, in quanto i dati tracciati tramite geolocalizzazione potrebbero essere raccolti e sfruttati anche per altre finalità.
Il CISO deve dunque cercare un equilibrio tra i rischi e i benefici derivanti dall’adozione di tali applicazioni, se necessario anche mediante la negoziazione di adeguati requisiti contrattuali con i fornitori che ricoprono il ruolo di Responsabili del trattamento.
Tutela della privacy dei dipendenti: sistemi di videosorveglianza
La videosorveglianza è un altro tema fondamentale per la tutela della privacy dei dipendenti. Se non installati e gestiti correttamente, tali sistemi possono, infatti, risultare particolarmente invasivi e comportare impatti significativi sui diritti e le libertà dei singoli dipendenti, quali condizioni di stress e condizionamento delle loro attività lavorativa.
A tal proposito, ricordiamo che il Garante Privacy ha prescritto che, all’interno del perimetro aziendale, possono essere implementati sistemi di videosorveglianza appositamente segnalati e “con il solo scopo di garantire la tutela del patrimonio dell’azienda e la sicurezza dei lavoratori e dei visitatori”. In nessun modo è quindi consentito installare dei sistemi che possano registrare immagini relative alle postazioni di lavoro con lo scopo di monitorare le attività svolte dai dipendenti.
A tutela dei dipendenti, il CISO è tenuto ad assicurarsi che i sistemi di videosorveglianza vengano implementati nel rispetto delle normative vigenti, in modo da non registrare le attività dei dipendenti.
Da un punto di vista tecnico, deve garantire che il trasferimento dei dati dalle telecamere al sistema di monitoraggio e archiviazione avvenga tramite protocolli sicuri e che i log di accesso alle immagini registrate vengano tracciati e conservati per un periodo non inferiore ai sei mesi.La possibilità di accedere alle immagini in tempo reale da postazione remota dovrebbe essere esplicitamente autorizzata dal CISO.
Telecamere di videosorveglianza: regole di accountability e minimizzazione dei dati
Il ruolo del CISO nella tutela dei dipendenti
Il CISO, come figura deputata alla gestione della sicurezza delle informazioni all’interno dell’organizzazione, gioca quindi un ruolo di primo piano nella tutela della privacy dei dipendenti.
Il CISO ha competenze tecniche e manageriali che combina per elaborare e monitorare strategie di prevenzione, definire linee guida per la gestione della sicurezza delle informazioni sugli asset aziendali, nonché programmi e procedure in grado di minimizzare i rischi informatici.
Per verificare la coerenza e l’allineamento con gli obiettivi aziendali di sicurezza, il CISO dovrà espletare attività di controllo, tenendo conto anche delle regole di condotta definite aziendalmente. Tali controlli possono coinvolgere uno degli asset più importanti dell’azienda: i dipendenti.
Spetta, infatti, al CISO garantire che le informazioni relative al personale siano fruibili per le finalità di tutela del patrimonio aziendale e, al tempo stesso, assicurare che tali informazioni siano opportunamente protette nel rispetto delle normative vigenti in materia di protezione dei dati personali.
Un compito che prevede la presa in carico di attività trasversali all’organizzazione in una duplice ottica di security e privacy by design, al fine di assicurare il giusto bilanciamento tra esigenze di sicurezza e di compliance.
