Il Regolamento UE 2016/679 (GDPR) rovescia la prospettiva della disciplina in materia di protezione dei dati personali in quanto tutto il nuovo quadro normativo è prevalentemente incentrato sui doveri e sulla responsabilizzazione del titolare del trattamento (accountability).
La crescente dipendenza delle informazioni dai sistemi informatici e dalle reti espone il titolare del trattamento ad una duplice responsabilità:
- responsabilità diretta verso i lavoratori, nel caso di violazione dei loro diritti;
- responsabilità, ex art. 2049 c.c., per gli eventuali danni causati da fatti illeciti dei dipendenti nell’esercizio dell’attività lavorativa.
In questo contesto, un importante strumento a disposizione delle aziende è costituito dalla possibilità di predisporre specifiche policy aziendali che impongano agli incaricati comportamenti consapevoli finalizzati a prevenire danni diretti o indiretti di vario tipo all’organizzazione.
Tali regole interne saranno finalizzate a fornire indicazioni di carattere tecnico-organizzativo sui comportamenti che gli incaricati dovranno adottare nell’utilizzo degli strumenti informatici e sui pericoli connessi a comportamenti non corretti.
Indice degli argomenti
Policy aziendali per il trattamento dati: i contenuti
Nella stesura di policy aziendali efficaci per il trattamento dati occorre che siano chiaramente individuati i seguenti elementi:
valutazione del rischio: in relazione all’utilizzo non corretto di detti strumenti, si individuano i seguenti rischi possibili e conseguenti effetti:
| Attività | Rischio | Motivazione | Possibile effetto |
| Manutenzione di periferiche hardware interne (schede video, memoria ecc.) | Alto | Possono essere danneggiati componenti interni e il PC | Danneggiamento dei PC |
| Manutenzione di periferiche hardware esterne (tastiere, mouse ecc.) | Basso | ||
| Download non controllato o non programmato di aggiornamenti relativi ad applicazioni installate dal responsabile di rete | Alto | Possono essere scaricate applicazioni non verificate con il pericolo di portare virus informatici o di alterare la stabilità delle applicazioni dell’elaboratore | Danneggiamento del software del PC o della rete informatica interna. |
| Download controllato o programmato di aggiornamenti relativo ad applicazioni installate dal responsabile di rete | Basso | ||
| Download di dati non inerenti alle attività lavorative (musica, giochi, ecc.) | Alto | Possono essere scaricate applicazioni non verificate con il pericolo di portare virus informatici o di alterare la stabilità delle applicazioni dell’elaboratore. | Danneggiamento del software del PC o della rete informatica. Gravi responsabilità civili e penali per l’Istituto in caso di violazione della normativa a tutela dei diritti d’autore. |
| Installazione di applicazioni senza l’autorizzazione del responsabile della rete | Alto | Possono essere installate applicazioni non compatibili | Danneggiamento del software del PC o della rete informatica interna. |
| Accesso alla rete effettuato da PC di proprietà dell’utente | Alto | Accessi non autorizzati alla rete | Furto di dati |
| Download delle e-mail | Medio/Alto | ||
| Apertura di allegati di posta elettronica di incerta provenienza | Alto | Contenere Malware/Spyware | Danneggiamento del software del PC o della rete informatica interna. Divulgazione di password e dati riservati |
| Elaboratore connesso alla rete lasciato incustodito o divulgazione di password | Alto | Possibile utilizzo da parte di terzi | Uso indebito di dati riservati, danneggiamento della rete informatica interna. |
| Utilizzo di supporti removibili esterni non autorizzati | Alto | Possono essere trasferite applicazioni dannose per il PC nella rete informatica | Danneggiamento dei PC o della rete informatica interna. Furto di dati |
| Mancata distruzione o perdita accidentale di supporti magnetici riutilizzabili (dischetti, nastri, DAT, chiavi USB, CD riscrivibili) contenente dati sensibili e giudiziari | Alto | Recupero di dati memorizzati anche dopo la loro cancellazione | Uso indebito di dati riservati |
Misure di tipo organizzativo
Per ridurre il rischio di impieghi abusivi o dannosi, il titolare del trattamento provvede a:
- individuare preventivamente le postazioni di lavoro e assegnarle direttamente a ciascun incaricato;
- individuare preventivamente gli utenti a cui è accordato l’utilizzo della posta elettronica e l’accesso a Internet;
- individuare quali categorie di siti web si considerano, in quanto correlati con l’attività di impresa, affidabili e consentiti e, quindi, legittimamente accessibili dal lavoratore;
- individuare eventuali specifici limiti alla navigazione, con riferimento ai tempi di navigazione, accessi, download, upload ecc.;
- chiarire se è possibile conservare files scaricati da Internet o dalla posta elettronica sulla rete interna aziendale;
- esplicitare l’adozione di filtri o altri sistemi in grado di impedire, a monte, di accedere a determinati siti ritenuti pericolosi per l’azienda e/o di scaricare file, allegati o software non sicuri;
- individuare qual è il tempo di conservazione dei dati di navigazione per ogni postazione e, in ogni caso, garantire la loro anonimizzazione a tutela della privacy dei singoli lavoratori;
- esplicitare se e in quale misura è possibile utilizzare l’account di posta elettronica aziendale per ragioni personali;
- individuare chi può accedere alle informazioni memorizzate sugli strumenti informatici affidati ai singoli incaricati;
- individuare quali informazioni possono essere conservate più a lungo, ad esempio, per esigenze di backup, di gestione della rete, di registrazione dei file log (questi ultimi, in particolare, sono importanti in caso di data breach per ricostruire la dinamica della violazione e, dunque, quale elemento importante da inserire tra le informazioni da fornire al Garante in base alle norme del GDPR);
- la possibilità o meno di utilizzare gli strumenti aziendali per effettuare acquisti on-line, anche di natura personale.
È importante assicurarsi che le policy vengano scritte in modo tale che gli incaricati possano realmente comprenderle.
Un documento di policy pieno di termini tecnici è pressoché inutile.
Inoltre, le policy devono essere scritte tenendo a mente sia la sicurezza sia la produttività, policy troppo severe rischiano di ostacolare il lavoro degli incaricati.
Deve esserci un equilibrio.
