Circolare informativa – Telelavoro e privacy

Reggio Emilia, 13 marzo 2020

I recenti decreti emanati per far fronte alla diffusione del Coronavirus, chiedono esplicitamente ai datori di lavoro di incentivare laddove possibile, il lavoro da casa. Il momento contingente, ha contribuito a “sdoganare” lo smart working, questo ha fatto sì che molte aziende si siano trovate ad doverlo attivare in pochissimo tempo e potrebbero non aver prestato la dovuta attenzione agli aspetti legati alla cyber security e protezione dati personali.

Di seguito i punti da considerare per gestire al meglio le modalità di telelavoro in accordo con i principi del GDPR.

  1. L’utilizzo dei dispositivi personali dei dipendenti per l’accesso alla rete aziendale:
    • i dispositivi personali potrebbero non essere infatti adeguatamente protetti ed esporre l’intera rete aziendale ad attacchi informatici;
    • anche la rete del dipendente, banalmente il router, non protetto potrebbe essere un veicolo di attacco;

COSA FARE: predisporre un disciplinare che informi il dipendente delle misure di sicurezza che deve attivare e deve garantire.

  1. L’accesso alla rete aziendale senza adeguate protezioni e senza una adeguata impostazione del firewall aziendale:
    • l’accesso alla rete aziendale deve essere adeguatamente protetto, tramite ad esempio connessione in VPN. Aprire altrimenti la propria LAN all’esterno potrebbe esporla ad attacchi informatici;

COSA FARE: interfacciarsi con il tecnico IT per avere la certezza che la propria rete aziendale sia adeguata e pronta ad affrontare le connessioni dall’esterno senza subire rischi.

  1. Dispositivi aziendali e rete aziendale non pensati per lavorare da remoto:
    • La lentezza della connessione potrebbe imporre ai dipendenti di lavorare in locale, senza adeguate procedure di backup sui dati, esponendoli dunque a rischio di perdita.

COSA FARE: interfacciarsi con il tecnico IT per garantire la massima velocità di connessione e informare il dipendente di lavorare sempre sui server aziendali o, in caso di impossibilità, di trasferirvi nel minor tempo possibile i dati lavorati in locale.

  1. Il trattamento di dati particolari (ex sensibili) da remoto:
    • Il dipendente che accede alla rete aziendale, se avesse l’esigenza di lavorare su dati particolari (ad esempio documenti e dati dei dipendenti) potrebbe avere l’esigenza di strumenti e misure più stringenti;

COSA FARE: attivare procedure atte a rendere più sicuro il trattamento di dati particolari (ad esempio invio di dati in formato criptato, attivazione di servizi in cloud, etc.)

  1. Procedure per la gestione dei data breach non adeguata:
    • Se il dipendente subisse, ad esempio, il furto o il danneggiamento del PC o un attacco informatico:
      1. sarebbe consapevole di aver subito un data breach?
      2. sarebbe in grado di gestirlo nelle tempistiche previste dal regolamento?
      3. potrebbe tempestivamente comunicare l’accaduto al referente dei data breach all’interno dell’ente?

COSA FARE: predisporre urgentemente una procedura per la gestione dei data breach, individuando un referente interno atto a gestire le eventuali violazioni, comunicando a tutti i dipendenti i suoi recapiti e le tempistiche di gestione.

  1. I dati aziendali (personali e non) sono adeguatamente protetti da diffusione o divulgazione?
    • Lavorando da remoto il dipendente potrebbe, anche erroneamente, esporre il patrimonio di dati aziendali a diffusioni o divulgazioni, esponendo l’ente a gravi ripercussioni.

COSA FARE: predisporre un adeguato accordo di riservatezza, che tuteli l’azienda da eventuali divulgazioni o diffusioni di dati aziendali.

 

Dal punto di vista della privacy, i progetti di smart working implicano il coinvolgimento di tutta l’organizzazione e comportano una maggiore responsabilizzazione (accountability) dei lavoratori/autorizzati caratterizzata non solo da maggiore autonomia, ma anche da maggiore responsabilità perché espone anche a maggiori rischi informatici. Per gestire in modo più coerente con le disposizioni del GDPR e considerando che ogni azienda e ogni ente ha delle proprie caratteristiche o peculiarità: si consiglia di predisporre una procedura la gestione degli strumenti utilizzati durante il telelavoro; una clausola di riservatezza che imponga la non diffusione o divulgazione di dati.

Gli uffici 01 s.r.l. sono a disposizione per approfondimenti nella materia specifica.

01 Srl
Via Ferravilla, 19/C – 42124 Reggio Emilia (RE)
Tel. 0522/087829

www.01privacy.it – info@01privacy.it