Data protection ed emergenza COVID: iniziative del Garante della Privacy Irlandese

12 Giugno 2020

Indice:

1. Introduzione, l’azione del Data Protection Commission

2. Linee guida sulla protezione dei dati personali nel “Remote working”

3. Linee guida sulla protezione dei dati personali durante il “video conferencing”

4. Conclusioni, breve comparazione tra interventi in Italia e in Irlanda

1. Introduzione, l’azione del Data Protection Commission

Gestione del cambiamento, valorizzazione di nuovi modelli organizzativi incentrati sui principi di “personalizzazione” e “flessibilità’, nonché nuovi modi di condividere, comunicare ed “incontrarsi”, sono solo alcune delle sfide lanciate dal Covid che sembrano costituire, per tutti noi, una grande opportunità di consapevolezza e crescita individuale e collettiva.

In tale contesto globale di un fluire di piccoli e grandi cambiamenti che rendono necessario un riadattamento delle modalità di trattamento, condivisione e raccolta dei dati personali, è recentemente intervenuto il Garante della Privacy Irlandese, “Data Protection Commission”, il quale, al fine di scongiurare il rischio di violazioni della normativa privacy, ha emanato chiare e specifiche linee guida su diversi aspetti della protezione dei dati nel contesto della crisi sanitaria.

Ai fini del presente articolo, appaiono di particolare interesse quelli sul “remote working” e “video conferencing”.

2. Linee guida sulla protezione dei dati personali nel “Remote working”

Uno dei maggiori fenomeni che si sono sviluppati a seguito della pandemia è stata la diffusione del “remote working” quale modalità di lavoro a distanza che consente di operare al di fuori dei tradizionali locali aziendali e di ufficio.

Qualcuno lo scongiurava, altri lo desideravano da tempo. Alcune aziende tergiversavano nel fornire riscontri concreti.

Una cosa è certa: il recente lockdown non ha lasciato scelta ed ha fatto di necessità, virtù.

Le aziende si sono quindi trovate ad affrontare nuove sfide tra le quali quelle della continuità aziendale, della garanzia di adeguati e sicuri mezzi tecnologici, quelle della diffusione di una cultura digitale tra i dipendenti.

Non solo. Occorre considerare che la maggior parte dei lavoratori in “remote working”, o perando per la prima volta al di fuori del normale ambiente lavorativo d’ufficio, spesso non è consapevole dei rischi che alcune condotte possono causare.

Il Garante della Privacy Irlandese, al fine di assicurare un approccio consapevole da parte di individui ed aziende in tal senso, ha emanato delle linee guida per la protezione dei dati durante il lavoro da remoto, con specifico riferimento a: dispositivi, e-mails, accesso al cloud e alla rete e documenti cartacei.

In particolare:

Dispositivi

Assicurarsi che qualsiasi dispositivo disponga degli aggiornamenti necessari, come gli aggiornamenti del sistema operativo (come iOS o Android) e gli aggiornamenti software / antivirus.
Accertarsi che il computer, il laptop o il dispositivo sia utilizzato in un luogo sicuro, ad esempio dove è possibile controllarlo e ridurre al minimo la possibilità che altri possano visualizzare lo schermo.
Utilizzare controlli di accesso efficaci (come l’autenticazione a più fattori e password complesse) e, se disponibili, la crittografia per limitare l’accesso al dispositivo e per ridurre il rischio in caso di furto o di smarrimento.
Quando un dispositivo viene smarrito o rubato, è necessario prendere immediatamente provvedimenti per garantire la cancellazione remota della memoria, ove possibile.

Emails

Agire in conformità alle policies aziendali relative all’uso della posta elettronica.
Utilizzare la email di lavoro piuttosto che quella personale per le email relative al lavoro che coinvolgono dati personali. Se è necessario utilizzare la posta elettronica personale, assicurarsi che i contenuti e gli allegati siano crittografati ed evitare di utilizzare dati personali o riservati nelle righe dell’oggetto.
Prima di inviare una email, assicurarsi di inviarla al destinatario corretto, in particolare per le email che coinvolgono grandi quantità di dati personali o dati personali sensibili.

Accesso al cloud e alla rete

Laddove possibile, utilizzare solo le reti o i servizi cloud dell’azienda e rispettare tutte le regole e le procedure aziendali relative all’accesso al cloud o alla rete, al login e alla condivisione dei dati.
Se si lavora senza accesso al cloud o alla rete, assicurarsi che tutti i dati archiviati localmente siano adeguatamente sottoposti a backup in modo sicuro.

Documenti cartacei

Se si lavora in remoto con registri cartacei, adottare misure per garantire la sicurezza e la riservatezza di tali registri, ad esempio deponendoli, quando non in uso, in un armadio o cassetto forniti di chiavi, operando uno smaltimento sicuro (ad es. triturazione) quando essi non sono più necessari e assicurandosi che non vengano lasciati in luoghi dove potrebbero essere smarriti o rubati.
Nel caso di documenti contenenti categorie speciali di dati personali (ad es. dati sanitari), dovrebbe prestarsi particolare attenzione a garantirne la sicurezza e la riservatezza di essi, riponendoli in luoghi sicuri.
Laddove possibile, è necessario tenere una registrazione scritta di quali record e files sono stati portati a casa, al fine di mantenere buone pratiche di accesso ai dati e governance.

3. Linee guida sulla protezione dei dati personali durante il “video conferencing”

L’uso di tecnologie e applicazioni di videoconferenza (tecnologia VC) da parte delle imprese per riunioni sia interne che esterne, è oramai sempre più diffuso.

Allo stesso modo, il voler rimanere in contatto con familiari ed amici, anche per un drink dopo lavoro, piuttosto che la partecipazione a quiz o ai “club del libro” come nuova modalità di interazione e socializzazione a distanza, ha portato gli individui ad affidarsi sempre di più alle varie tecnologie VC.

Su tali basi e in considerazione dei rischi potenzialmente connessi all’uso di tali tecnologie sotto il profilo della privacy, il Garante Irlandese è intervenuto sul tema emanando le seguenti raccomandazioni:

Per comunicazioni legate alla sfera lavorativa, i dipendenti delle organizzazioni aziendali dovrebbero utilizzare i servizi prestati dai provider dell’azienda stessa, in modo da assicurare un adeguato livello di sicurezza.
Ai dipendenti devono essere fornite linee guida e policies chiare, aggiornate e facilmente comprensibili su come utilizzare le piattaforme di videoconferenza (inclusi eventuali controlli effettuati dal fornitore di servizi);
Le organizzazioni dovrebbero prendere in considerazione l’implementazione di ulteriori controlli di sicurezza, di accesso sicuro come “l’autenticazione a più fattori”, e limitare l’uso e la condivisione dei dati a ciò che è assolutamente necessario.
Controlli di accesso alle piattaforme efficaci e, ove possibile, crittografia per limitare l’accesso al dispositivo, dovrebbero essere utilizzati per ridurre al minimo il rischio in caso di smarrimento o furto di un dispositivo.
Qualsiasi dispositivo utilizzato per accedere alla tecnologia VC deve disporre di un software di sicurezza antivirus / online e di tutti gli aggiornamenti necessari.
Prima di concedere l’autorizzazione a una tecnologia VC è necessario prendere in considerazione l’accesso ai dati e / o l’accesso ad altre informazioni / applicazioni contenute nel dispositivo.

4. Conclusioni, breve comparazione tra interventi in Italia e in Irlanda

Il Garante della Privacy Irlandese è intervenuto tempestivamente in supporto di individui ed aziende fornendo concrete e chiare raccomandazioni su come tutelare la propria privacy, anche con semplici accorgimenti.

Gli interventi del Garante Italiano in tempo di pandemia sembrano più essere focalizzati sull’aspetto del contrasto e della prevenzione del contagio, sul trattamento dei dati nel contesto lavorativo pubblico e privato oltre che sul tema del tracciamento degli spostamenti.

Tale dato non stupisce considerando che l’Italia è stato il primo paese in Europa ad essere stato colpito in modo devastante dalla crisi sanitaria; crisi neanche minimamente paragonabile a quella Irlandese.

Un recente intervento del Garante della privacy Italiano (Provvedimento n. 64 del 26 marzo 2020) sull’uso della tecnologia si registra in materia di didattica a distanza, dove lo stesso ha ribadito che le scelte degli istituti dovranno conformarsi al principio di privacy by design and default.

A prescindere da ogni considerazione, una cosa sembra evidente: la necessità per le aziende di investire in tecnologia e sicurezza.

Dal confronto con colleghi irlandesi impiegati in diverse imprese anche di piccola e media dimensione, è emerso che le stesse stanno già attivamente lavorando su molteplici progetti in questa direzione. Peraltro, in diversi casi, le imprese, sin dall’inizio della crisi sanitaria, hanno supportato i loro dipendenti fornendo ulteriori incentivi per “attrezzarsi” da casa e lavorare nelle migliori condizioni possibili.

In conclusione, riuscire a vedere nella pandemia, non un “ostacolo” ma una “opportunità”, sembra essere la chiave per una nuova consapevolezza individuale e sociale, per un nuovo concetto di “flessibilità” e per lo sviluppo di nuovi scenari lavorativi e tecnologici.

Data protection ed emergenza COVID: iniziative del Garante della Privacy Irlandese

Attacco hacker ai sistemi informatici della regione Lazio: arrivano le sanzioni del Garante Privacy

Solicitor e barrister “sotto lo stesso tetto” nelle nuove legal partnership irlandesi

Videosorveglianza e servitù: legittima anche senza il permesso di chi ha la servitù di passaggio

Pro e contro dello Smart Working o Lavoro Agile

Carcere e sessualità: illegittimo il divieto dell' inderogabilità del controllo a vista

Incroci e interrelazioni tra 231 e privacy

Le indagini aziendali, il diritto di accesso difensivo ed il rispetto della privacy

Sullo «scudo penale»

Shopping low cost: quali sono i veri rischi

Dati neurali: il Cile sancisce la loro tutela e li equipara ai dati sensibili

Altri articoli dell'autore

Articoli più letti su questo argomento