IL VADEMECUM

Policy aziendale sull’utilizzo delle attrezzature informatiche: le regole per crearla correttamente

Una policy aziendale sull’utilizzo delle attrezzature informatiche rappresenta uno strumento organizzativo utile al titolare del trattamento al fine di fornire un’adeguata formazione nell’ambito del trattamento dei dati. Ecco le regole pratiche da seguire per crearla correttamente

24 Feb 2020
S
Alberto Stefani

Data Protection Officer, Consulente Cybersecurity


Tutte le aziende e le organizzazioni, grandi o piccole che siano, dovrebbero stilare una policy aziendale sull’utilizzo delle attrezzature informatiche in modo da individuare le modalità più opportune per autorizzare al trattamento dei dati tutte le persone che operano sotto l’autorità del titolare o del responsabile del trattamento.

Individuare le persone autorizzate al trattamento dei dati

Uno degli argomenti più dibattuti dall’entrata in vigore del GDPR ha come oggetto l’omissione della figura di colui che nel D.lgs. 196/2003 veniva denominato “incaricato al trattamento dei dati”.

Subito dopo l’entrata in vigore del Regolamento, il Garante nella “Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali” ha commentato: “Pur non prevedendo espressamente la figura dell’ “incaricato” del trattamento (ex art. 30 Codice), il Regolamento non ne esclude la presenza in quanto fa riferimento a “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile(si veda, in particolare, art. 4, n. 10, del Regolamento).

La definizione del Garante trova poi la sua esplicitazione all’interno dell’art. 2-quaterdecies del D.lgs. 101/2018 il quale formalizza la designazione degli autorizzati al trattamento nel seguente modo: “Il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento dei dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità. Il titolare o il responsabile individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità”.

Da notare sicuramente il riferimento alle “persone autorizzate”, ex incaricati del trattamento in base al vecchio Codice privacy.

Per quale motivo è importante sottolineare l’utilizzo del termine “persona”? Perché nel GDPR il termine “persona” si era perso nella traduzione dall’inglese. Rifacendosi al testo originale, infatti, si parla di “[…] any person acting under the authority […]”, tradotto poi in italiano come “[…] chiunque agisca sotto l’autorità […]”. Facendo quindi riferimento al testo inglese si comprende meglio che coloro che trattano i dati sotto la supervisione del titolare del trattamento o del responsabile sono persone fisiche che operano in un ruolo subordinato e non persone giuridiche.

Definito e sfatato ogni dubbio in merito alla possibilità di designare una persona da parte del titolare o del responsabile al trattamento, dipendente di una qualsiasi organizzazione come un soggetto che ha facoltà a trattare i dati personali di altri soggetti come clienti fornitori o dipendenti (colleghi).

Spostando l’attenzione sulle indicazioni che devono essere date al soggetto che tratta i dati, il Regolamento, a differenza dell’impostazione attuata per titolare e responsabile del trattamento sui cui compiti e responsabilità elenca una lunga serie di indicazioni, all’art. 29 è molto sintetico e afferma in modo categorico che questa persona non può trattare dati se non previa istruzione da parte del titolare del trattamento.

Ecco quindi la necessità da parte del titolare di organizzarsi al fine di fornire un’adeguata formazione nell’ambito del trattamento dei dati rispetto ai princìpi cardine su cui si basa tutto il GDPR ovvero la protezione dei dati deve essere effettuata rispettando un’architettura basata sui concetti di protezione by default e protezione by design e un privacy impact assessment tali da garantire la massima sicurezza.

WEBINAR
AI, protezione dei dati e flessibilità: anche questo è Storage
Intelligenza Artificiale
Storage

Naturalmente alla base di tutto occorre pianificare opportune implementazioni a livello informatico in accordo e in collaborazione con l’amministratore di sistema. Anche tale figura non compare all’interno del GDPR e nasce in Italia con il D.P.R. 318/1999 dove appare per la prima volta tale figura espressa come “il soggetto cui è conferito il compito di sovrintendere alle risorse del sistema operativo di un elaboratore o di un sistema di base dati e di consentirne l’utilizzazione”.

La definizione subirà poi un’evoluzione attraverso l’allegato B del Codice Privacy denominato “Disciplinare tecnico in materia di misure minime di sicurezza” ed oggi, dopo che tale allegato è stato abrogato occorre obbligatoriamente rifarsi al GDPR e quindi spostare l’attenzione sui princìpi già sopra richiamati. È necessario inquadrare l’amministratore di sistema come “il braccio operativo” del titolare del trattamento che organizza, gestisce ed implementa l’architettura informatica di un’azienda al fine di difenderla da possibili attacchi informatici.

Quali siano le implementazioni da apportare dipende naturalmente dalla natura dei dati trattati e dal loro volume (v. larga scala), dal numero di incaricati al trattamento e da numerose altre variabili. Sarà quindi il titolare oppure il responsabile alla protezione dei dati di un’organizzazione a gestire l’adeguamento sui vari fronti in cui l’azienda deve necessariamente difendersi da possibili attacchi informatici.

Le regole per la policy aziendale sull’utilizzo delle attrezzature informatiche

Tralasciando al momento le implementazioni tecniche e tecnologiche che possono essere apportate dagli amministratori di sistema all’interno di un’architettura informatica, ci concentreremo su tutto quello che può essere ricondotto al modo di operare degli utenti che quotidianamente utilizzano i vari device, all’attenzione che prestano nell’uso e alle limitazioni o per meglio dire le contromisure che necessariamente devono essere imposte al fine di abbassare il livello di rischio e tutelare l’azienda da possibili attacchi informatici.

Partiamo dall’indicazione che la politica aziendale e le misure attuate devono essere condensate all’interno di un documento solitamente denominato “Policy sull’utilizzo delle attrezzature informatiche, posta elettronica ed internet”.

Ma cosa possiamo inserire in un ipotetico modello standard di policy aziendale che deve necessariamente essere sviluppato dal titolare del trattamento in base alle variabili precedentemente espresse?

Di seguito riportiamo venti punti che possono trovare posto all’interno del documento e che in base alle necessità del titolare del trattamento e al contesto aziendale devono essere opportunamente calibrate.

  1. Premessa: in questa parte del documento occorre fare riferimento ai principi di corretta e diligenza a cui è sempre bene richiamare l’attenzione dell’utilizzatore anche facendo riferimento al contesto aziendale e al rispetto della legislazione in vigore come il GDPR, leggi e decreti-legge nazionali, i provvedimenti dell’Autorità Garante.
  2. Finalità e ambito di applicazione: occorre esplicitare quali sono le finalità per cui l’azienda ha deciso di dotarsi di uno strumento come una policy aziendale al fine di rendere partecipe tutto il personale delle scelte attuate per tentare di costruire una filosofia comune basata sull’attenzione nei confronti dell’utilizzo delle apparecchiature informatiche sia nella vita aziendale ma anche in ambito personale.
  3. Glossario: riportare i termini citati all’interno del documento è uno strumento utile per rendere più comprensibile e gestibile il documento stesso.
  4. Normativa di riferimento: esprimere le normative che hanno “supportato” la stesura del documento tra cui sicuramente il Regolamento UE 679/2016, il D.lgs.101/2018, eventuali provvedimenti del Garante per la Protezione dei Dati Personali, la legge n.300 del 20 maggio 1970 “Statuto dei lavoratori” e la Legge n.183/2014 (c.d. Jobs act) e ss.mm.ii. che garantiscono il rispetto dei diritti dei lavoratori sul posto di lavoro e l’assenza di qualsiasi controllo invasivo.
  5. Obblighi e facoltà per l’azienda: esplicitare l’osservanza dei princìpi di necessità e correttezza e il raggiungimento di finalità determinate, esplicite e legittime. Contestualmente è necessario indicare le possibili attività di controllo e monitoraggio sull’operato dei dipendenti sempre nel rispetto e nei limiti imposti dalle norme. Per approfondire tale argomento è possibile consultare il doc. web. n.5958296 del 17/2/2017 Garante della Protezione dei dati Personali.
  6. Obblighi per il lavoratore: in questo paragrafo, prologo alla trattazione che ne seguirà sulle disposizioni imposte dall’azienda occorre esplicitare la scelta aziendale di fornire, per lo svolgimento dell’attività lavorativa, i propri dispositivi oppure adottare una metodologia BYOD, Bring Your Own Device, che permette al dipendente di utilizzare i propri device personali per finalità aziendali. Per tale fine l’azienda deve concedere al dipendente di accedere alla rete informatica interna andando a creare una nuova area di rischio che deve essere costantemente monitorata.
  7. Entrata in vigore della policy e la pubblicità: in questo punto devono essere indicate la data a decorrere da cui la policy entrerà in vigore a livello aziendale così come il contesto in cui viene portata all’attenzione dei nuovi assunti (ad esempio contestualmente alla data di assunzione, previa assunzione, in bacheca aziendale ecc.). Opportuno anche inserire a chi si potrà rivolgere il dipendente in caso di chiarimenti sulle disposizioni contenute nel documento e se verrà concessa una fase di apprendimento o affiancamento di qualche collega per la comprensione dei meccanismi aziendali.
  8. Utilizzo del personal computer: occorre esplicitare le metodologie di utilizzo partendo dall’accensione e spegnimento fino all’installazione e l’utilizzo di programmi ad uso aziendale. Possiamo affermare che queste regole, a gestione totale da parte dell’amministratore di sistema sono state facilitate dall’uso delle reti aziendali sottoforma di gruppo di lavoro o dominio in modo da uniformare le regole per tutti gli utenti appartenenti ad un unico ambiente di lavoro.
  9. Utilizzo di PC portatili: lasciando il perimetro di sicurezza aziendale aumentano i rischi di perdita, furto, manomissione e contaminazione. Oltre alle regole esposte che valgono anche per questa tipologia di device devono aggiungersi le opportune attenzioni alle reti utilizzate per il trasferimento dei dati in ambienti non sicuri (Wi-Fi dell’aeroporto), la mancanza di una password adeguata sul dispositivo, il mancato utilizzo di collegamenti VPN.
  10. Gestione ed assegnazioni delle password: in questa parte devono essere esplicitate le regole che governano la gestione, assegnazione, ripristino e cancellazione dei sistemi di autenticazione su pc e software. Naturalmente le regole saranno gestite e coordinate dall’attività dell’amministratore di sistema che seguirà i dettami consigliati dagli organi competenti come ad esempio ENISA.
  11. Uso della rete aziendale: al fine di consentire un accesso condiviso alle informazioni di interesse aziendale e facilitare un’archiviazione protetta e sicura attraverso una coerente politica di backup occorre imporre agli utilizzatori un uso puntuale delle informazioni presenti sui server o non sui terminali in modo da garantire un accesso ed un salvataggio sicuro delle informazioni.
  12. Uso della rete internet: ricordando sempre che l’utilizzo della rete deve sempre essere indirizzato allo svolgimento di mansioni aziendali occorre informare, in caso che l’amministratore di sistema ponga dei limiti alla navigazione, al download e all’upload di file e software al fine di tutelare tutta la rete aziendale dall’accesso indiscriminato a siti non sicuri.
  13. Uso dei supporti removibili: in caso in cui non si crei una limitazione informatica nelle impostazioni di sistema o utilizzando software specifici che impediscono il riconoscimento di supporti removibili come chiavette USB, dischi esterni, smartphone al fine di impedire la sottrazione di dati o il rischio di contaminazione da supporti veicolanti qualsiasi forma di virus.
  14. Utilizzo della posta elettronica: di primaria importanza precisare che le caselle di posta elettronica aziendale non devono essere utilizzate per motivi personali, attraverso di esse non devono transitare messaggi che contengono informazioni, allegati, file che non siano di pertinenza aziendale. Importante anche ricordare che i messaggi di posta elettronica sono un veicolo incredibilmente efficace di virus e attacchi di social engineering per cui è fondamentale la formazione su queste tematiche.
  15. Protezione antivirus: in caso in cui l’utente venga avvisato da segnalazioni di anomalie provenienti dal software antivirus presente sul pc deve immediatamente avvisare il proprio amministratore di sistema che analizzerà l’accaduto e prendere gli opportuni provvedimenti.
  16. Utilizzo VoIP: in cui si utilizzino sistemi di comunicazione VoIP (Voice over IP) è bene esplicitare la possibilità di effettuare controlli sugli accessi e sulle direttrici di chiamata e sulle durate delle conversazioni.
  17. Utilizzo dei telefoni e fotocopiatrici aziendali: ricordando sempre che l’utilizzo deve essere sempre e comunque per lo svolgimento di attività lavorative è necessario prestare attenzione anche a documenti lasciati incustoditi in stampanti in uso condiviso e alle scansioni effettuate su stampanti multifunzione che indirizzano i documenti in cartelle comuni visibili a tutti i colleghi.
  18. Utilizzo smartphone: oltre all’obbligo di utilizzare pin di accesso agli smartphone al fine di proteggere i dati ivi presenti occorre limitare l’installazione di applicazioni non necessarie ai fini dello svolgimento dell’attività lavorativa. È possibile indicare le modalità di utilizzo e di riconsegna del device che al termine dell’impiego deve essere reso allo stato di fabbrica ovvero depurato di tutte le informazioni che sono state salvate nella memoria interna. Naturalmente in caso di incapacità da parte dell’utente nello svolgere tale mansione sarà l’amministratore di sistema in sua presenza a realizzare l’operazione.
  19. Utilizzo social network: oltre alla limitazione degli accessi ai social network durante gli orari di lavoro occorre ricordare agli utenti l’impossibilità di far transitare attraverso i propri account privati immagini e informazioni di carattere aziendale.
  20. Continuità attività lavorativa: in caso di assenza più o meno prolungata dall’attività lavorativa è necessario stabilire le modalità con cui i mittenti delle mail verranno avvisati dell’assenza del destinatario. Tendenzialmente la procedura migliore da attuare è predisporre un risponditore automatico alle mail ricevute che informi la possibilità di rivolgersi ad un collega di cui si riportano gli estremi al fine di poter offrire l’assistenza adeguata. È bene non utilizzare mai un inoltro automatico ad un altro indirizzo di posta, questo per un’ulteriore tutela del lavoratore che, contravvenendo alle regole aziendali può aver diffuso il proprio indirizzo mail aziendale anche per fini privati.

Naturalmente in parallelo alle indicazioni riportate all’interno di qualsiasi policy aziendale è fondamentale accompagnare gli utilizzatori con un’adeguata e continua formazione che possa far comprendere appieno gli opportuni comportamenti da contrapporre alle minacce del mondo cyber.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5