Affrontare la pandemia di coronavirus ha tantissimi risvolti, oltre chiaramente a quello sanitario di cui non tratteremo, per ovvie ragioni, in questo articolo: tra i più importanti vi sono sicuramente quelli riguardanti la privacy e il trattamento dei dati personali, in particolare di quelli che potrebbero attenere alla sfera sanitaria del soggetto interessato.
Inoltre, in questi giorni si predilige l’attivazione in molte aziende del “lavoro agile” (o smart working) per i dipendenti. Quali rischi comporta questa modalità di lavoro e quali accorgimenti adottare in un regime di emergenza per far fronte alla situazione nel migliore dei modi?
Indice degli argomenti
Privacy e coronavirus: la raccolta dei dati personali
Andiamo con ordine. Un aspetto che ha generato dei problemi legati alla privacy è stato il primo metodo di gestione per impedire la diffusione del contagio: una raccolta dati per evitare l’accesso ai locali aziendali di soggetti che fossero transitati dalla zona rossa italiana, dalla Cina o che presentavano determinati sintomi che lasciavano presagire ad un possibile contagio. Le modalità di raccolta di questi dati sono state diverse:
- autodichiarazioni firmate dai soggetti interni ed esterni all’azienda;
- vere e proprie raccolte dati in cui il soggetto forniva direttamente i suoi dati personali, anche di tipo particolare, in quanto attinenti alla sua sfera sanitaria;
- misurazioni di temperatura corporea con elenchi di soggetti a cui era stata misurata.
Parliamo dunque di vere e proprie raccolte di dati personali su cui il Garante, con un parere del 2 marzo 2020, ha espresso parere contrario, prescrivendo ai titolari di evitarli.
Ma fino a dove arriva la tutela del dato e dove questo aspetto può, e forse deve, derogare in ragione del più forte principio della tutela della salute pubblica? Può un soggetto privato raccogliere i dati personali suddetti e misurare la temperatura corporea dei soggetti che entrano nei locali aziendali? O ha ragione il Garante, prescrivendone il blocco?
Il caos regna sovrano, ma mettiamo in luce un aspetto centrale: un trattamento non perfettamente congruo ai dettami del regolamento europeo è meno grave di un singolo e solo episodio di contagio all’interno dell’ente. Non predisporre un’informativa adeguata in un momento di emergenza è meno importante di impedire ad un fattorino, che potrebbe presentare dei sintomi o essere transitato in una zona “pericolosa”, di entrare in contatto con la reception. Tutela del dato personale sempre, ma no ad ogni costo.
Forse avrebbe fatto meglio il Garante a prescrivere delle misure più specifiche su tali trattamenti e non vietarli tout court senza grandi specificazioni. Per quanto tempo posso conservare i dati, preferire un’autocertificazione, come e dove archiviarli; dei piccoli accorgimenti che avrebbero permesso alle aziende di essere tranquille da un punto di vista sanitario e ai soggetti interessati di percepirsi maggiormente tutelati.
Se il GDPR impone l’accountability, questo è il momento di applicare il principio: ogni titolare dovrà, in base alla sua struttura e alle sue esigenze, effettuare i controlli che ritiene necessari per tutelare i propri dipendenti, cercando di proteggere al meglio i dati personali dei soggetti a cui raccoglierà i dati senza per questo abbassare la soglia di attenzione verso quella che è, al momento, un’emergenza senza precedenti e in quanto tale deve essere trattata.
Privacy e coronavirus: gestire lo smart working
Il secondo problema, emerso in maniera urgente in questi ultimi giorni, è il lavoro agile. Da domenica 8 marzo il Governo ha indetto ulteriori restrizioni su tutto il territorio italiano, chiedendo di favorire forme di lavoro a distanza per evitare spostamenti e contagi.
Le aziende che già utilizzavano queste modalità di lavoro erano già pronte e hanno potuto gestire il passaggio con la calma necessaria a risolvere tutte le problematiche inerenti la sicurezza del lavoratore, la sicurezza informatica aziendale e la gestione dei dati personali che, da remoto, devono necessariamente “viaggiare” da un posto ad un altro, uscendo dalla sicurezza della rete interna aziendale.
Le altre aziende, che non avevano ancora predisposto questa modalità di lavoro, devono affrontare l’urgente necessità di implementarla, cercando dunque di garantire ai propri dipendenti di lavorare da remoto senza per questo mettere a repentaglio la sicurezza informatica della propria infrastruttura IT.
Dunque, come bilanciare il lavoro a distanza con la sicurezza informatica, la gestione dei dati e il loro trasferimento in assets potenzialmente non sicure?
Non è possibile generalizzare: ogni ente, azienda, struttura avrà delle necessità peculiari. Ognuna di esse dovrà risolvere le sue criticità, nel modo più rapido ed efficace. Mettiamo da parte generici regolamenti inapplicabili e optiamo per documenti specifici, in grado di analizzare e risolvere le problematiche evidenziate.
Di seguito quelli che, generalmente, sono gli elementi di maggiore criticità nell’attivazione e nella gestione del telelavoro, elementi che potrebbero aiutare ogni singolo titolare a concentrarsi sulla specifica criticità che maggior ente abbisogna di essere risolta.
| CRITICITÀ | EFFETTI | COSA FARE |
| L’utilizzo dei dispositivi personali dei dipendenti per l’accesso alla rete aziendale | I dispositivi personali potrebbero non essere adeguatamente protetti ed esporre l’intera rete aziendale ad attacchi informatici | Predisporre un disciplinare che informi il dipendente delle misure di sicurezza che deve attivare e deve garantire |
| La rete del dipendente non protetta, banalmente il router, potrebbe essere un veicolo di attacco | ||
| L’accesso alla rete aziendale senza adeguate protezioni e senza una adeguata impostazione del firewall aziendale | L’accesso alla rete aziendale deve essere adeguatamente protetto, tramite ad esempio connessione in VPN. Aprire altrimenti la propria LAN all’esterno potrebbe esporla ad attacchi informatici | Interfacciarsi con il proprio tecnico IT per avere la certezza che la propria rete aziendale sia pronta ad affrontare le connessioni dall’esterno senza subire rischi |
| Dispositivi aziendali e rete aziendale non pensati per lavorare da remoto | La lentezza della connessione potrebbe imporre ai dipendenti di lavorare in locale, senza adeguate procedure di backup sui dati, esponendoli dunque a rischio di perdita | Interfacciarsi con il tecnico IT per garantire la massima velocità di connessione e informare il dipendente di lavorare sempre sui server aziendali o, in caso di impossibilità, di riversarci nel minor tempo possibile i dati lavorati in locale |
| Il trattamento di dati particolari (ex sensibili) da remoto | Il dipendente che accede alla rete aziendale, se avesse l’esigenza di lavorare su dati particolari (ad esempio documenti e dati dei dipendenti) potrebbe avere l’esigenza di strumenti e misure più stringenti | Attivare procedure atte a rendere più sicuro il trattamento di dati particolari (ad esempio invio di dati in formato criptato, attivazione di servizi in cloud ecc.) |
| Procedure per la gestione dei data breach non adeguata | Se il dipendente subisse ad esempio il furto o il danneggiamento del PC o un attacco informatico, sarebbe consapevole di aver subito un data breach, sarebbe in grado di gestirlo nelle tempistiche previste dal regolamento, potrebbe tempestivamente comunicare l’accaduto al referente dei data breach all’interno dell’ente? | Predisporre urgentemente una procedura per la gestione dei data breach, individuando un referente interno atto a gestire le eventuali violazioni, comunicando a tutti i dipendenti i suoi recapiti e le tempistiche di gestione |
| I dati aziendali (personali e non) sono adeguatamente protetti da diffusione o divulgazione? | Lavorando da remoto il dipendente potrebbe, anche erroneamente, esporre il patrimonio di dati aziendali a diffusioni o divulgazioni, esponendo l’ente a gravi ripercussioni | Predisporre un adeguato accordo di riservatezza, che tuteli l’azienda da eventuali divulgazioni o diffusioni di dati aziendali |
Queste sono le principali criticità espresse in un elenco chiaramente non esaustivo, ma che potrebbe e dovrebbe imporre un momento di riflessione per tutti i titolari che desiderino attivare o abbiano già attivato forme di lavoro agile. Tale processo va sicuramente incentivato, ma potrebbe esporre l’azienda ad attacchi, perdite di dati e violazioni senza le adeguate, o almeno minime, garanzie.
Conclusioni
Per chiudere questa breve disamina di quanto sta accadendo in questi giorni il consiglio è di affidarsi al buon senso da parte di tutti i soggetti coinvolti, anche da un punto di vista della tutela del dato personale.
Effettuare la raccolta dati per prevenire contagi, se ritenuta necessaria, proteggendo sempre gli interessati.
Attivare forme di smart working per evitare spostamenti e assembramenti, ma farlo con cognizione e consigliando/informando il dipendente sui rischi che incombono e sulle misure di sicurezza che potrebbero evitare all’azienda attacchi e violazioni.
Se tutti remiamo nella stessa direzione potremo uscire da questa emergenza senza aver esposto l’infrastruttura aziendale a violazioni che potrebbero appesantire ulteriormente la situazione già non facile.
