Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

LA GUIDA PRATICA

Policy aziendali per il trattamento dati mediante strumenti ICT: regole di accountability

Le policy aziendali per il trattamento dei dati sono utili per imporre agli incaricati al trattamento comportamenti consapevoli finalizzati a prevenire danni diretti o indiretti di vario tipo all’organizzazione. Ecco i consigli e le regole da seguire per realizzarle nel pieno rispetto del principio di accountability

29 Ott 2019
D
Amalia De Merich

Responsabile interna Privacy


Il Regolamento UE 2016/679 (GDPR) rovescia la prospettiva della disciplina in materia di protezione dei dati personali in quanto tutto il nuovo quadro normativo è prevalentemente incentrato sui doveri e sulla responsabilizzazione del titolare del trattamento (accountability).

La crescente dipendenza delle informazioni dai sistemi informatici e dalle reti espone il titolare del trattamento ad una duplice responsabilità:

  1. responsabilità diretta verso i lavoratori, nel caso di violazione dei loro diritti;
  2. responsabilità, ex art. 2049 c.c., per gli eventuali danni causati da fatti illeciti dei dipendenti nell’esercizio dell’attività lavorativa.

In questo contesto, un importante strumento a disposizione delle aziende è costituito dalla possibilità di predisporre specifiche policy aziendali che impongano agli incaricati comportamenti consapevoli finalizzati a prevenire danni diretti o indiretti di vario tipo all’organizzazione.

Tali regole interne saranno finalizzate a fornire indicazioni di carattere tecnico-organizzativo sui comportamenti che gli incaricati dovranno adottare nell’utilizzo degli strumenti informatici e sui pericoli connessi a comportamenti non corretti.

Policy aziendali per il trattamento dati: i contenuti

Nella stesura di policy aziendali efficaci per il trattamento dati occorre che siano chiaramente individuati i seguenti elementi:

valutazione del rischio: in relazione all’utilizzo non corretto di detti strumenti, si individuano i seguenti rischi possibili e conseguenti effetti:

keyboard_arrow_right
keyboard_arrow_left
AttivitàRischioMotivazionePossibile effetto
Manutenzione di periferiche hardware interne (schede video, memoria ecc.)AltoPossono essere danneggiati componenti interni e il PCDanneggiamento dei PC
Manutenzione di periferiche hardware esterne (tastiere, mouse ecc.)Basso
Download non controllato o non programmato di aggiornamenti relativi ad applicazioni installate dal responsabile di reteAltoPossono essere scaricate applicazioni non verificate con il pericolo di portare virus informatici o di alterare la stabilità delle applicazioni dell’elaboratoreDanneggiamento del software del PC o della rete informatica interna.
Download controllato o programmato di aggiornamenti relativo ad applicazioni installate dal responsabile di reteBasso
Download di dati non inerenti alle attività lavorative (musica, giochi, ecc.)AltoPossono essere scaricate applicazioni non verificate con il pericolo di portare virus informatici o di alterare la stabilità delle applicazioni dell’elaboratore.Danneggiamento del software del PC o della rete informatica. Gravi responsabilità civili e penali per l’Istituto in caso di violazione della normativa a tutela dei diritti d’autore.
Installazione di applicazioni senza l’autorizzazione del responsabile della reteAltoPossono essere installate applicazioni non compatibiliDanneggiamento del software del PC o della rete informatica interna.
Accesso alla rete effettuato da PC di proprietà dell’utenteAltoAccessi non autorizzati alla reteFurto di dati
Download delle e-mailMedio/Alto
Apertura di allegati di posta elettronica di incerta provenienzaAltoContenere Malware/SpywareDanneggiamento del software del PC o della rete informatica interna. Divulgazione di password e dati riservati
Elaboratore connesso alla rete lasciato incustodito o divulgazione di passwordAltoPossibile utilizzo da parte di terziUso indebito di dati riservati, danneggiamento della rete informatica interna.
Utilizzo di supporti removibili esterni non autorizzatiAltoPossono essere trasferite applicazioni dannose per il PC nella rete informaticaDanneggiamento dei PC o della rete informatica interna. Furto di dati
Mancata distruzione o perdita accidentale di supporti magnetici riutilizzabili (dischetti, nastri, DAT, chiavi USB, CD riscrivibili) contenente dati sensibili e giudiziariAltoRecupero di dati memorizzati anche dopo la loro cancellazioneUso indebito di dati riservati

Misure di tipo organizzativo

Per ridurre il rischio di impieghi abusivi o dannosi, il titolare del trattamento provvede a:

  • individuare preventivamente le postazioni di lavoro e assegnarle direttamente a ciascun incaricato;
  • individuare preventivamente gli utenti a cui è accordato l’utilizzo della posta elettronica e l’accesso a Internet;
  • individuare quali categorie di siti web si considerano, in quanto correlati con l’attività di impresa, affidabili e consentiti e, quindi, legittimamente accessibili dal lavoratore;
  • individuare eventuali specifici limiti alla navigazione, con riferimento ai tempi di navigazione, accessi, download, upload ecc.;
  • chiarire se è possibile conservare files scaricati da Internet o dalla posta elettronica sulla rete interna aziendale;
  • esplicitare l’adozione di filtri o altri sistemi in grado di impedire, a monte, di accedere a determinati siti ritenuti pericolosi per l’azienda e/o di scaricare file, allegati o software non sicuri;
  • individuare qual è il tempo di conservazione dei dati di navigazione per ogni postazione e, in ogni caso, garantire la loro anonimizzazione a tutela della privacy dei singoli lavoratori;
  • esplicitare se e in quale misura è possibile utilizzare l’account di posta elettronica aziendale per ragioni personali;
  • individuare chi può accedere alle informazioni memorizzate sugli strumenti informatici affidati ai singoli incaricati;
  • individuare quali informazioni possono essere conservate più a lungo, ad esempio, per esigenze di backup, di gestione della rete, di registrazione dei file log (questi ultimi, in particolare, sono importanti in caso di data breach per ricostruire la dinamica della violazione e, dunque, quale elemento importante da inserire tra le informazioni da fornire al Garante in base alle norme del GDPR);
  • la possibilità o meno di utilizzare gli strumenti aziendali per effettuare acquisti on-line, anche di natura personale.

È importante assicurarsi che le policy vengano scritte in modo tale che gli incaricati possano realmente comprenderle.

Un documento di policy pieno di termini tecnici è pressoché inutile.

Inoltre, le policy devono essere scritte tenendo a mente sia la sicurezza sia la produttività, policy troppo severe rischiano di ostacolare il lavoro degli incaricati.

Deve esserci un equilibrio.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5