GUIDA NORMATIVA

GDPR e commercialisti: suggerimenti sull’applicazione delle garanzie richieste per il trattamento dati

Parlando di GDPR e commercialisti, e quindi di compliance alla normativa in materia di protezione dei dati personali, è utile fornire alcune indicazioni pratiche sul significato di riservatezza, integrità, disponibilità, resilienza dei sistemi e dei servizi di trattamento dati

17 Gen 2020
R
Luigi Rendina

DPO, Consulente d’Impresa privacy e processi


Per i commercialisti, il 2019 è stato un annus horribilis: fatturazione elettronica, i nuovi ISA, la crisi delle imprese, il continuo susseguirsi di norme e leggi sugli adempimenti (tra gli ultimi lo scontrino elettronico e la legge di Bilancio per il 2020) e il GDPR hanno affollato le scrivanie degli studi professionali.

In merito al Regolamento sulla protezione dei dati personali, il Consiglio Nazionale dei Dottori Commercialisi e degli Esperti Contabili (ODCEC) e la Fondazione Nazionale dei Commercialisti per soccorrere i propri iscritti, avevano rilasciato, già nell’aprile 2018, un utilissimo set di documenti intitolati:

  1. Il regolamento Ue/2016/679 General Data Protection Regulation (GDPR): nuove regole comunitarie e precisazioni in materia di protezione dei dati personali;
  2. Checklist di base per gli studi professionali.

Nel primo documento sono descritte le attività che rientrano a pieno titolo tra le competenze proprie delle professioni economiche – giuridiche.

Nella presentazione, viene ben chiarito che “La normativa europea richiede un ripensamento delle misure di sicurezza da adottarsi negli studi professionali, che devono essere adeguate al singolo contesto organizzativo ed elaborate caso per caso attraverso una preventiva, consapevole e responsabile mappatura dei rischi di trattamento dei dati gestiti”.

Non è un modello basato sul vecchio disciplinare tecnico in materia di misure minime di sicurezza[1], in quanto posto a carico del titolare dello studio professionale la responsabilità di dimostrare (c.d. principio di accountability), all’esito di un’attenta analisi dei rischi, le misure di sicurezza adottate per garantire la sicurezza “dei dati personali trattati dal Titolare stesso o dal Responsabile del trattamento”.

Viene quindi sottolineata la necessità di effettuare un censimento sulle modalità di acquisizione, gestione, trattamento, comunicazione e restituzione dei dati personali trattati.

In pratica, bisogna descrivere, come il dato personale “entra” in Studio, quali strumenti sono utilizzati per la sua gestione, chi è autorizzato al trattamento, per quanto tempo è dove viene conservato, come è cancellato , in che modo “esce” dallo Studio, a chi è inviato, in che modo e perché.

Il Garante per la protezione dei dati personali, nel comunicato stampa dell’ 8 ottobre 2018 [2] quando ha diffuso le prime FAQ sul registro delle attività di trattamento, ha chiarito che questo è “uno dei principali elementi di accontability del titolare del trattamento in quanto strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile per ogni attività di valutazione o analisi del rischio e dunque preliminare rispetto a tali attività”.

Nel capitolo del “Chi è tenuto a redigerlo?” in ambito privato è precisato che i soggetti obbligati sono:

  • imprese o organizzazioni con almeno 250 dipendenti;
  • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato;
  • qualunque titolare o responsabile (incluse  imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
  • qualunque titolare o responsabile (incluse  imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 RGPD[3], o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 RGPD.

Quindi, nel successivo elenco di soggetti obbligati viene proposto, a titolo di esempio:

  • liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale).

Dopo aver stabilito:

“che le imprese e organizzazioni con meno di 250 dipendenti obbligate alla tenuta del registro potranno comunque beneficiare di alcune misure di semplificazione, potendo circoscrivere l’obbligo di redazione del registro alle sole specifiche attività di trattamento sopra individuate (es. ove il trattamento delle categorie particolari di dati si riferisca a quelli inerenti un solo lavoratore dipendente, il registro potrà essere predisposto e mantenuto esclusivamente con riferimento a tale limitata tipologia di trattamento)”,

sottolinea:

Al di fuori dei casi di tenuta obbligatoria del Registro, anche alla luce del considerando 82 del RGPD, il Garante ne raccomanda la redazione a tutti i titolari e responsabili del trattamento, in quanto strumento che, fornendo piena contezza del tipo di trattamenti svolti, contribuisce a meglio attuare, con modalità semplici e accessibili a tutti, il principio di accountability e, al contempo, ad agevolare in maniera dialogante e collaborativa l’attività di controllo del Garante stesso”.

Suggerendo, a tal proposito, di consultare il documento interpretativo del 19 aprile 2018 del Gruppo ex art. 29 (ora Comitato europeo per la protezione dei dati).

In conclusione, l’Autorità propone un modello di registro dei trattamenti del Titolare e del Responsabile del trattamento, liberamente scaricabile in formato .pdf e .xls dal proprio sito.

GDPR e commercialisti: check list di base per studi professionali

Il documento dell’ODCEC e della Fondazione Nazionale dei Commercialisti, prosegue con le descrizioni di:

  • inquadramento normativo;
  • ambito di applicazione materiale e territoriale del GDPR;
  • principi applicabili al trattamento dei dati personali e condizioni di liceità del trattamento;
  • formazione e consulenza in materia di privacy per poi proporre un’ utile indicazione su come adoperare la “Checklist di base per gli studi professionali”.

Si tratta di un modello ispirato alle indicazioni elaborate dai Garanti irlandesi e inglesi, adottato in un progetto pilota dall’Ordine dei Dottori Commercialisti ed Esperti Contabili di Torino che ha condotto un apposito “Tavolo congiunto GDPR” con l’Ordine degli Avvocati ed Ingegneri di Torino.

La check list consente di:

  • censire le categorie di dati raccolti, trattati e conservati dallo Studio al fine di individuare i processi che comportano il trattamento dei dati personali ed il relativo periodo di conservazione;
  • rispondere a delle semplici domande (“Si” o “No”) con possibilità di commenti ad ogni punto dell’elenco di azioni possibili;
  • individuare eventuali rischi dell’organizzazione da sottoporre a mitigazione.

Infatti, l’elenco che ne deriva costituisce un percorso di autovalutazione per fotografare la situazione dello Studio da un punto di vista dell’adeguatezza al Regolamento in otto sezioni:

  1. Dati personali trattati;
  2. Diritti degli interessati;
  3. Accuratezza e conservazione;
  4. Requisiti di trasparenza;
  5. Altri obblighi del titolare;
  6. Sicurezza del trattamento;
  7. Violazioni dati (data breach);
  8. Trasferimento dati personali (extra UE).

Una volta compilate, ricorrendo, se necessario, al supporto di chi eroga servizi informatici, si avrà un quadro delle aree di intervento per accedere al perimetro di conformità.

Dunque, la cosidetta privacy, per l’ ODCEC e la Fondazione Nazionale dei Commercialisti, rientra tra le materie oggetto della formazione professionale continua a cura degli Ordini territoriali e degli altri enti accreditati.

Documenti, questi, molto preziosi per chi esercita la professione in quanto semplici nella lettura e nella interpretazione, al tempo stesso pratici e di facile applicazione. Tuttavia, constata l’ampiezza del Regolamento da un punto di vista giuridico, informatico, organizzativo e culturale, la numerosità dei Provvedimenti del Garante e le precisazioni del D.lgs. 101/2018 [4] non sempre risulta agevole la comprensione.

Infatti, garantire la protezione dei dati personali non significa necessariamente “depennare il nome dei clienti dalla copertina dei fascicoli cartacei[5] utilizzando degli identificativi”. Piuttosto, è necessario adottare opportune misure di sicurezza volte a garantire che l’accesso ai fascicoli sia consentito solo agli autorizzati al trattamento.

Il GDPR non è un adempimento normativo fondato essenzialmente sulla stesura di informative, nomine di autorizzati e responsabili del trattamento volte a garantire la riservatezza dei dati ma afferma un diritto di libertà delle persone fisiche e proclama alcuni principi e garanzie che tutte le organizzazioni sono chiamate a rispettare.

Infatti, in aggiunta alla riservatezza, altre due garanzie fondamentali sono poste a tutela della sicurezza del trattamento: la disponibilità e l’integrità dei dati di una persone fisica (interessato). Queste, le troviamo rappresentate nel contesto dell’art. 32 e nel Considerando [6] 83 dove si sottolinea chiaramente che:

  • Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
  1. la pseudonimizzazione e la cifratura dei dati personali;
  2. la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
  3. la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
  4. una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

GDPR e commercialisti: il codice deontologico ODCEC

Anche nel codice di comportamento della categoria ritroviamo, seppur con significati diversi, alcune delle garanzie richieste dal Regolamento UE 2016/679: riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi di trattamento.

Al comma 1 dell’art. 10 relativo alla Riservatezza si recita: “Il professionista, fermi restando gli obblighi del segreto professionale e di tutela dei dati personali, previsti dalla legislazione vigente, deve mantenere l’assoluto riserbo e la riservatezza delle informazioni acquisite nell’esercizio della professione e non deve diffondere tali informazioni ad alcuno, salvo che egli abbia il diritto o il dovere di comunicarle in conformità alla legge”.

Aspetti, questi, che ritroviamo nel GDPR al Considerando 75:

“se il trattamento può comportare [..] perdita di riservatezza dei dati personali protetti da segreto professionale”;

e Considerando 85:

“Una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare [..] perdita di riservatezza dei dati personali protetti da segreto professionale”.

WHITEPAPER
Storage: aumentare prestazioni, scalabilità ed efficienza a costi contenuti
Storage
Backup

Per garantire tali enunciati, orientati a preservare, con l’obbligo di tutela dei dati personali, l’assoluto riserbo e la riservatezza ovvero un diritto di libertà delle persone fisiche, è necessario attenersi a quanto stabilito dall’art. 5 lettera f) del Regolamento UE:

i dati personali sono trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (“integrità e riservatezza”)”;

e dall’ art. 32 (lettera B) del Regolamento ovvero:

mettere in atto misure tecniche ed organizzative adeguate per garantire un livello di sicurezza (adeguato al rischio) che comprendono, se del caso la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento”.

Riservatezza

In riferimento al citato art. 10 del codice di comportamento della categoria, si legge ancora al comma 3 “Il professionista vigilerà affinché il dovere di riservatezza sia rispettato anche dai suoi tirocinanti, dipendenti e collaboratori”.

In questo passaggio, il codice sembra richiamare quella necessità di istruire per poter vigilare che trapela dall’art. 29 e dal Considerando 81 del GDPR: “Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”. Quanto sopra è ribadito all’art. 32, comma 4[7] del GDPR.

Istruzione, questa, messa a disposizione dal Consiglio Nazionale dell’Ordine dei Dottori Commercialisti a titolo gratuito, attraverso una piattaforma di elearning con un comunicato del 27 marzo 2019[8].

Dunque, per riservatezza, anche nello studio professionale, s’intende una informazione consultabile solo da chi è autorizzato.

Integrità

All’integrità dei dati è dedicato l’art. 6 del codice deontologico ma in senso morale:

Il professionista deve rispettare e osservare leggi norme e regolamenti e deve agire con integrità, onesta e correttezza in tutte le sue attività e relazioni, sia di natura professionale, sia di natura personale, senza fare discriminazioni di religione, razza, etnia, nazionalità, ideologia politica, sesso o classe sociale. che esercita la professione pur etitolare del trattamento”.

Nel GDPR il termine “integrità” fa riferimento al dato personale che mantiene inalterata la sua natura in termini di valore e significato. Concetto, questo, mutuato dallo standard sulla Sicurezza delle Informazioni UNI ISO/IEC 27001:2017[9] che fornisce i requisiti per adottare un adeguato sistema di gestione delle informazioni e finalizzato ad una corretta gestione dei dati particolari (sensibili).

A tal proposito, si precisa che i dati modificabili sono quelli relativi all’esercizio quotidiano della professionale: dipendenti, collaboratori, clienti, fornitori. Possono essere di natura anagrafica, retributiva, finanziaria, contabile.

Ne consegue, che il titolare dello studio dovrà identificare, tra collaboratori e dipendenti, chi tratta dati, in che modo, con quali strumenti, dove li conserva e quando li cancella.

Da un punto di vista giuridico, per i dipendenti, sarà necessario provvedere alla stesura di una nomina di autorizzato al trattamento dei dati personali che consenta di far identificare il perimetro di trattamento e quindi di modifica (lettura, scrittura, cancellazione) dei dati dello studio. Per i collaboratori a Partita IVA, si potrà valutare una nomina di Responsabile del trattamento esterno.

Da un punto di vista informatico, si dovranno censire e definire i profili di accesso alle basi dati sia del sistema operativo che del software applicativo dello studio.

Inoltre, è consigliabile, secondo il principio dell’accoutability, la stesura di un documento che consenta di identificare la modalità scelta per preservare l’integrità dei dati nel tempo.

Senza scendere nel dettaglio di sofisticate metodogie, un esempio potrebbe essere una descrizione dettagliata[10] di come si salvano le basi dati (backup) specificando la metodologia utilizzata (backup completo, incrementale, differenziale), le applicazioni utilizzate, i device di destinazione e le modalità di verifica atte a garantire l’integrità nel tempo con delle simulazioni di ripristino (restore).

Disponibilità

Il termine disponibilità è citato, in senso figurato, nell’art. 15 del codice deontologico intitolato “Collaborazione tra colleghi”:

[..] Costituisce assistenza reciproca anche la disponibilità del professionista alla sostituzione nella conduzione e/o gestione dello studio di altro collega, che ne faccia richiesta all’Ordine, per temporaneo impedimento dovuto a ragioni di salute, maternità, paternità, affido ovvero oggettiva difficoltà”.

Interessante è l’art. 16 “Subentro ad un collega” in particolare al comma 3:

Il professionista che venga sostituito da altro collega deve prestare al subentrante piena collaborazione; trasmettergli senza indugio, e previo consenso del cliente, tutta la documentazione in suo possesso; adoperarsi affinché il subentro avvenga senza pregiudizio per il cliente”.

Sembra richiamare il diritto alla portabilità dei dati citato dall’art. 20 del GDPR comma 1:

L’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti [..]”.

Resilienza

Anche il commercialista dovrà valutare, come descritto dall’art. 32 del GDPR:

  • la resilienza dei sistemi e dei servizi di trattamento (lettera B);
  • la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico (lettera C);
  • una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento (lettera D).

Il termine resilienza deriva dall’aggettivo resiliente che significa “rimbalzare”. La definizione non è riferita solo ad aspetti informatici ma anche fisici.

Se in informatica, la definizione generica di resilienza è la capacità di un sistema di adattarsi alle condizioni d’uso e di resistere all’usura in modo da garantire la disponibilità dei servizi erogati, da un punto di vista fisico questa può intendersi come la possibilità di garantire un alternativa di accesso alle strutture che ospitano i dipendenti ed i collaboratori.

Per dimostrare che questo importante aspetto sia stato preso in considerazione potrebbe essere utile la stesura di un documento volto a garantire la continuità operativa (Business Continuity[11]) dello studio ovvero:

la capacità del titolare di continuare a fornire i suoi servizi ad un livello accettabile a seguito di un evento distruttivo [12]”.

Questa definizione può essere tradotta con una semplice domanda:

L’accesso ai dati personali può essere ripristinato tempestivamento in caso di incidente fisico o tecnico?”.

La risposta potrebbe essere quella già citata alla voce backup e restore ma non è sufficiente se gli strumenti dedicati a questi servizi risiedono nei locali dello Studio, sia che si tratti di server che di NAS[13]. Infatti, in caso di incidente hardware di questi dispositivi ci sarebbe un significativo problema di recupero dati.

Se i dati fossero salvati sul cloud di un fornitore, questi sarebbero recuperabili e fruibili attraverso un semplice collegamento internet.

Tuttavia, se la natura dell’incidente fosse di tipo fisico comportando l’impossibilità di accesso ai locali dello Studio per eventi remoti ma probabili (il rischio zero non esiste!) come un incendio, un allagamento o peggio un cedimento strutturale quale sarebbe la modalità di ripristino tempestivo ?

Un Piano di Continuità Operativa per la gestione di situazioni di crisi conseguenti ad incidenti di una certa portata che colpiscono lo studio o le sue controparti rilevanti (aziende clienti, fornitori, adempimenti fiscali, tributari, normativi e previdenziali) sarebbe opportuno e comunque richiesto dalle principali aziende, in particolar modo le multinazionali.

Un documento di questo tipo consente di prevedere soluzioni, non solo basate su misure tecnico-organizzative finalizzate alla salvaguardia degli archivi elettronici ed al funzionamento dei sistemi informativi, ma che considerino anche ipotesi di crisi estesa e blocchi prolungati delle infrastrutture essenziali in modo da assicurare la continuità operativa dei collaboratori in caso di eventi disastrosi.

Dunque, il piano si inquadra nella complessiva politica di governo dei rischi, tiene conto delle vulnerabilità esistenti e delle misure preventive poste in essere per garantire la stabilità dei servizi erogati.

Quanto sopra andrebbe preso in considerazione soprattutto nel caso di uno studio associato, all’interno del quale operano più figure specializzate come avvocati e consulenti del lavoro.

In presenza di un’attività che preveda anche servizi di elaborazione cedolini e connessi adempimenti previdenziali, da un punto di vista giuridico, si profila con una nomina di Responsabile del trattamento esterno dei dati (ex art. 28 del Reg. UE 2016/679) che presenti garanzie “… sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento…” e “… adotti tutte le misure richieste ai sensi dell’articolo 32”.

Nei relativi atti di nomina è sempre prevista la possibilità di verificare che quanto inizialmente dichiarato in fase di quesiti sia veritiero in quanto l’atto giuridico prevede, in particolare, che il responsabile del trattamento:

metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato”.

Quindi, si può dedurre che ispezioni o audit sono una prerogativa esercitabile dal cliente dello Studio che delega tali servizi. In presenza di una eventuale “non conformità” delle misure di sicurezza potrebbero esserci le premesse giuridiche per una disdetta del mandato professionale.

GDPR e commercialisti: tutela della privacy del lavoratore

In materia di protezione dati personali, la Fondazione Nazionale di Ricerca dei Commercialisti ha pubblicato, il 31 ottobre 2019, un testo molto interessante sulla “La tutela della privacy del lavoratore controllato a distanza, alla luce della nuova disciplina sulla protezione dei dati personali[14]”.

Una pubblicazione che ha l’obiettivo di fornire un supporto tecnico e pratico ai commercialisti del lavoro ed a tutti i professionisti che si occupano della gestione e supervisione delle attività di controllo datoriali nei luoghi di lavoro.

Di sicuro interesse, la terza parte del libro rivolta all’analisi delle principali prassi operative e amministrative del Garante della protezione dei dati personali, sia italiano che europeo.

Con linguaggio semplice e pratico il capitolo dedicato alle “Condizioni di liceità del trattamento dei dati personali nell’esercizio del potere di controllo a distanza” consente di affrontare i temi legati alla base giuridica del trattamento dei dati, all’ informazione, che deve essere adeguata e trasparente, alla valutazione d’impatto sulla protezione dei dati ed al rispetto dei principi regolatori sanciti dalla normativa privacy.

Nel capitolo 4, sono elencate le forme di controllo a distanza e le tecnologie a disposizione del datore di lavoro.

Posta elettronica, internet e device personali ad uso professionale sono i principali strumenti utilizzati anche dallo Studio professionale che necessitano di un’ adeguata informazione da parte del titolare verso dipendenti e collaboratori.

Sarà quindi utile precisare le modalità di utilizzo [15] con chiare disposizioni, specificando, per esempio, se le email possono essere utilizzate per scopi personali, quali misure di sicurezza sono previste per garantire la riservatezza, la disponibilità e l’integrità dei contenuti e dei relativi allegati nonché le modalità di disattivazione dei relativi account.

A tal proposito, si segnala il recente Provvedimento della nostra Autorità Garante[16]:

Commette un illecito la società che mantiene attivo l’account di posta aziendale di un dipendente dopo l’interruzione del rapporto di lavoro e accede alle mail contenute nella sua casella di posta elettronica. La protezione della vita privata si estende anche all’ambito lavorativo”.

Il Garante ha ritenuto illecite le modalità adottate da una azienda perché non conformi ai principi sulla protezione dei dati, che impongono al datore di lavoro la tutela della riservatezza anche dell’ex lavoratore. Subito dopo la cessazione del rapporto di lavoro, si dovrà rimuovere gli account di posta elettronica riconducibili a un dipendente, adottare sistemi automatici con indirizzi alternativi a chi contatta la casella di posta e introdurre accorgimenti tecnici per impedire la visualizzazione dei messaggi in arrivo.

L’adozione di tali misure tecnologiche, ha spiegato il Garante, consente di contemperare l’interesse del datore di lavoro di accedere alle informazioni necessarie alla gestione della propria attività con la legittima aspettativa di riservatezza sulla corrispondenza da parte di dipendenti/collaboratori oltre che di terzi. Lo scambio di email con altri dipendenti o con persone esterne all’azienda consente infatti di conoscere informazioni personali relative al lavoratore, anche solamente dalla visualizzazione dei dati esterni delle comunicazioni (data, ora oggetto, nominativi di mittenti e destinatari).

Altro tema di interesse per lo studio del commercialista, citato nel documento della Fondazione sono le modalità d’uso di dispositivi personali in ambito professionale, tecnicamente definita BYOD[17].

È un espressione usata per consentire l’accesso alle informazioni dell’organizzazione, alla posta elettronica e ad altre applicazioni dal proprio smarthphone, tablet o computer.

Teoricamente sarebbe necessario prevedere la creazione di due ambienti diversi sullo stesso dispositivo con dati dello Studio e dati personali rigorosamente separati al fine di consentire un monitoraggio dei collegamenti e delle attività svolte dal collaboratore ad applicazioni e dati che fisicamente risiedono sul server dello Studio.

Per una gestione ottimale dei device in BYOD sarebbe anche opportuna l’adozione di applicazioni che consentono la gestione di dispositivi mobili (Mobile device management, MDM) al fine, in caso di furto o smarrimento, di eliminare, da remoto, account e password di accesso ai sistemi dello Studio e/o disattivare l’utilizzo della parte professionale quando non è prevista più la collaborazione.

Tuttavia, pur potendo ricorrere all’istituto del consenso esplicito si deve prendere atto che la normativa italiana non consente la possibilità di controllare da remoto i device personali in quanto in contrasto con l’art. 4 dello Statuto dei lavoratori che vieta il controllo a distanza dei dipendenti e/o collaboratori.

Pertanto, in caso di utilizzo di device personali a scopo professionale, si consiglia di comunicare delle norme di comportamento ( es. non lasciare incustoditi i device personali durante le trasferte di lavoro o di impedire l’uso a terzi non autorizzati) per dimostrare che i dati personali dello Studio sono:

trattati in modo da garantirne un’adeguata sicurezza e riservatezza, anche per impedire l’accesso o l’utilizzo non autorizzato dei dati personali e delle attrezzature impiegate per il trattamento[18]”.

Per quanto appena citato, anche la stesura di una policy dei visitatori dello studio potrebbe essere utile per regolamentare gli accessi agli ambienti di lavoro di ospiti, clienti e fornitori.

Conclusioni

In conclusione, il diritto alla protezione dei dati personali è ufficialmente qualificato, a livello nazionale ed europeo, come diritto civile, di carattere non patrimoniale, che spetta a tutti gli individui e rientra tra i diritti storicamente definiti come “libertà negative”, perché per il loro effettivo godimento richiedono necessariamente un astensione da parte dello Stato e degli altri individui.

Come il diritto alla libertà personale che può avere piena realizzazione solo laddove e fintanto che altri soggetti non interferiscano con esso.

NOTE

  1. Allegato B – Disciplinare tecnico in materia di misure minime di sicurezza (Artt. da 33 a 36 del Codice in materia di protezione dei dati personali) – D.lgs. 196/2003.
  2. FAQ sul registro delle attività di trattamento.
  3. RGPD:Regolamento Generale sulla Protezione dei Dati personali
  4. Decreto legislativo 10 agosto 2018, n .101 – Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 in vigore dal 19 settembre 2018 che ha novellato il D.lgs. 196/2003.
  5. Documento ODCEC e Regolamento (UE) 2016/679 – Considerando 15: “Non dovrebbero rientrare nell’ambito di applicazione del presente regolamento i fascicoli o le serie di fascicoli non strutturati secondo criteri specifici, così come le rispettive copertine”.
  6. Considerando: motivano in modo coinciso le norme contenute negli articoli del Regolamento.
  7. Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.
  8. Informativa n. 27/2019 con oggetto: Corso di elearning in materia di privacy.
  9. UNI ISO/IEC 27001:2017 pubblicata il 30 marzo 2017. Versione emendata del 2013 con due Corrigendum emessi dall’ISO nel 2014 e 2015).
  10. Policy di backup e restore.
  11. Business Continuity Management – Standard internazionale sulla continuità operativa che permette di comprender e definire le priorità tra le minacce di una organizzazione. La norma ISO 22301 specifica i requisiti necessari affinché un sistema di gestione aiuti a proteggere e ridurre la probabilità di incidenti e assicurare alle attività la ripresa in seguito a interruzioni.
  12. Definizione mutuata dall’originale dell’Agenzia per l’Italia Digitale.
  13. Un Network Attached Storage (NAS) è un dispositivo collegato alla rete la cui funzione è quella di consentire agli utenti di accedere e condividere una memoria di massa, in pratica costituita da uno o più dischi rigidi, all’interno della propria rete o dall’esterno (Wikipedia).
  14. La tutela della privacy del lavoratore controllato a distanza – a cura di Roberta Rizzi e Alessandro Ventura
  15. Vedi Linee guida del Garante per la posta elettronica ed internet – [doc. web n. 1387522] pubblicato in G.U. n. 58 del 10 marzo 2007 – Trattamento dei dati personali effettuato sugli account di posta elettronica aziendale – 1 febbraio 2018.
  16. Provvedimento del 4 dicembre 2019 n. 9215890
  17. BYOD” è l’acronimo di “Bring your owner device” ed in italiano significa “porta il tuo device” intendendo per quest’ultimo l’uso di personal computer, smarthphone, tablet.
  18. Considerando 39 del Reg. (UE) 2016/679
WHITEPAPER
IoT Security: i fattori prioritari e i modelli da considerare nelle valutazioni dei rischi
IoT
Legal

@RIPRODUZIONE RISERVATA

Articolo 1 di 5