In materia di protezione dei dati personali uno degli strumenti a cui tutte le aziende, pubbliche e private, devono prestare attenzione è la privacy policy aziendale, un documento ufficiale recante tutte le disposizioni in merito all’utilizzo e al trattamento dei dati personali interni all’azienda nonché tutte le norme adottate dall’azienda per disciplinare la condotta dei dipendenti in merito all’uso dei personal computer, alla navigazione sul web e/o alla posta elettronica.
Dopo l’entrata in vigore del GDPR questo strumento ha assunto una notevole importanza che consente all’azienda di prevenire gravi casi di violazione privacy e ai dipendenti di osservare nuovi obblighi.
All’interno di ogni azienda è buona norma definire delle policy aziendali che prevedano tutte le casistiche nelle quali un dipendente può trovarsi, al fine di evitare errori ed essere coscienti di quanto sta facendo.
Lo svolgimento dell’attività lavorativa consente un utilizzo rilevante di dati aziendali che avviene tramite svariati dispositivi. Di conseguenza è opportuno, prima di definire la giusta privacy policy aziendale, che l’azienda identifichi tutti i dispositivi (personali e aziendali) attraverso cui potrebbero attivarsi degli utilizzi illeciti dei dati.
In questo articolo analizzeremo alcune di queste policy.
Policy Aziendale: definizione, caratteristiche ed importanza
Negli ultimi anni sono nate nuove tipologie di lavoro, la crisi pandemica ha portato alla necessità di ripensare alle modalità di lavoro tradizionale, con una spinta verso lo smart working. Il lavoro ibrido o Hybrid Work nasce proprio in questo contesto, in cui le modalità di lavoro sono cambiate per tutti e in cui l’accesso fisico agli uffici non rappresenta più la condizione necessaria per svolgere un’attività professionale e connettersi con superiori, colleghi, collaboratori, clienti e fornitori.
Si lavora in giro per il mondo con smartphone, tablet e portatili e mai come prima l’azienda deve mettere in sicurezza tutte le comunicazioni al di fuori della stessa e regolamentare lo scambio di mail e la condivisione di file, al fine da proteggersi contro eventuali attacchi di ingegneria sociale.
Le policy IT per numerosi lavoratori sono da migliorare, molti dipendenti dichiarano di averle violate per motivi personali e molti altri non sono al corrente della loro esistenza. Troppo spesso i documenti di policy vengono redatti unicamente per la necessità di averli fisicamente e vengono archiviati e dimenticati.
Le policy, invece, hanno bisogno di essere redatte in modo tale che i dipendenti possano comprenderle (evitando, quindi, termini troppo tecnici), devono essere spesso aggiornate ma soprattutto attuate tempestivamente. Le policy preparate dal personale IT in collaborazione con il reparto delle risorse umane, risultano più efficaci nonché più attente alle leggi e alle normative cui deve attenersi il datore di lavoro.
Al fine di evitare ogni tipo di bug in ambito sociale, le policy devono essere costruite e pensate per prevenire attacchi di ingegneria sociale. Nessuna procedura aziendale, quindi, deve essere lasciata al caso ma, anzi, deve essere analizzata nel dettaglio.
L’azienda dovrà, poi, occuparsi di distribuire e informare i dipendenti nelle modalità prescelte, a patto che siano le più chiari possibili. Tutti i dipendenti dovranno essere informati in merito a questo importante documento, che dovrà essere letto, accettato e sottoscritto.
Le policy vanno, inoltre, redatte in base alla sicurezza della procedura svolta e in base al settore di implicazione nonché in base alla sensibilità dei dati trattati, ad esempio. La gestione corretta dei dati, infatti, implica la suddivisione degli stessi per gestire la sicurezza senza ridurre l’operatività dei propri dipendenti.
I dati aziendali quali password, progetti e, in generale, tutte le informazioni personali riservate, dovranno essere classificati come dati sensibili alla privacy e mai comunicati a terzi. Le informazioni interne aziendali, invece, dovranno essere rilasciate esclusivamente al personale interno in base ad una politica di identificazione del dipendente. I dati cedibili all’esterno, come ad aziende partner o clienti fidati, potranno essere divulgati solo dopo una severa valutazione dell’ente.
Esistono, infine, i dati accessibili a tutti (o dati poco sensibili) di cui è buona norma tenere traccia di come e quando vengono rilasciati e a chi, limitando il numero di personale autorizzato a divulgare queste informazioni.
Parallelamente a questa classificazione, è importante implementare una procedura di identificazione dell’utente e di verifica dell’autorizzazione. La distribuzione di badge sarebbe una buona norma per tenere traccia dei log degli accessi in caso di problemi. In ogni postazione, poi, è necessario predisporre un accesso con un account personale, profilato in base alle mansioni concesse al dipendente.
L’introduzione dell’OTP (One Time Password), rappresentato da un dispositivo che genera una password supplementare di 6 numeri valida solo una volta, è stata introdotta per rafforzare la sicurezza dell’accesso ai pc aziendali in aggiunta ad username e password. A tal proposito, le policy andranno ad indicare di custodire con cura l’OTP e di bloccare il pc ogni qualvolta ci si allontana da ecco.
Ulteriori livelli di sicurezza sono stati introdotti per ambienti ad alto rischio: dispositivi per la lettura delle impronte digitali e/o lettura della retina. In questi casi si utilizza una parte biometrica per verificare l’accesso solo alla persona schedata e presente nel database.
Policy Aziendale: regolamento GDPR
Al fine di regolamentare il giusto utilizzo dei dispositivi interni all’azienda, è indispensabile che le aziende ricorrano ad un regolamento apposito da far visionare e sottoscrivere ai soggetti interessati.
In tale documento deve essere specificato l’obbligo dell’utilizzo pertinente di tutti gli strumenti informatici legati all’attività lavorativa. L’obbligo fa riferimento agli art. 2104 e 2105 del Codice Civile: il dipendente dovrà mostrare diligenza, disciplina e massima responsabilità nell’uso dei dispositivi aziendali, con il divieto di installare software esterni, modificare le impostazioni del sistema e prevedere accessi tramite apposite password. L’account di posta elettronica dovrà essere utilizzato unicamente ai fini lavorativi, prestando la massima attenzione all’apertura di messaggi potenzialmente dannosi con provenienza dubbia.
Policy Aziendale: obbligo di formazione
Il titolare del trattamento dei dati nonché il responsabile del trattamento dei dati, hanno il compito di occuparsi dei piani di formazione e del loro costante aggiornamento, rivolti a tutti i dipendenti aziendali.
In caso di inosservanza, sia per gli enti pubblici che per le impresi private, sono previste sanzioni dalla Legge. Nell’art. 39 del GDPR si sottolinea l’importanza del ruolo del Data Protection Officer per la formazione: “Il DPO deve curare la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle attività di controllo.”
GDPR e digitalizzazione
Grazie ai processi di digitalizzazione tutti gli obblighi derivanti dalla corretta osservanza al nuovo GDPR possono essere rispettati senza rischiare di incappare in sanzioni.
La normativa, spesso, risulta di difficile comprensione e/o di ostica applicazione. In questi casi è necessario rivolgersi a consulenti preparati o al proprio legale di fiducia: queste due categorie sono abilitate al supporto dei clienti per l’adeguamento alla normativa GDPR. Con i servizi di audit e sicurezza di Nexsys, la redazione della documentazione richiesta si semplifica e l’adempimento degli obblighi GDPR non sarà più una preoccupazione.
Non dimenticare, inoltre, che per essere GDPR Compliance, la formazione privacy per i dipendenti non è facoltativa, ma obbligatoria.
