Mondo-Privacy-Blog-Tutela-della-privacy-in-azienda1

Tutela della privacy in azienda

15 Maggio 2016

Con la legge 675/96 prima e con il D.Lgs. 196/2003 poi, le aziende si sono trovate, a cavallo del cambio di secolo, a dover affrontare il problema della tutela della Privacy.

La storia della legge 196 del 2003 e il suo impatto nelle aziende

Il D.Lgs. 196/2003 viene prorogato per tre anni ed entra in vigore, nel pieno dei suoi effetti, nel 2006cogliendo, comunque, la maggior parte delle aziende italiane in contropiede. Vissuto all’epoca come mero adeguamento normativo, si traduce presto in una serie (inutile) di invii di fax e raccomandate a regolare principalmente i rapporti tra clienti e fornitori. Infatti, fino alle semplificazioni introdotte dal Governo Monti, le misure della privacy riguardavano sia le persone fisiche che le persone giuridiche, gli enti e le associazioni.

Dal punto di vista informatico, le misure minime evidenziavano la precarietà delle infrastrutture digitali presenti all’epoca in azienda: password spesso assenti o uguali per ogni incaricato, backup raramente presenti e quando presenti con supporti obsoleti (nastri) o poco sicuri (cd-rom e chiavette usb), antivirus installati piratati o nelle versioni free “not for business”, firewall rudimentali e non sempre presenti …

Mentre le aziende correvano ai ripari ed iniziavano a porre in essere delle misure organizzative e informatiche che fossero all’altezza delle pur minime richieste del legislatore, la crisi internazionale arrivava con tutto il suo impeto a partire dal 2008 e si procedeva con delle semplificazioni (come se la crisi fosse un problema di privacy).

Tali semplificazioni sono risultate in alcuni casi intelligenti (come la ridefinizione di “dato personale”, finalmente riferito solo alle informazioni della “persona fisica”) ma in altri veramente poco significative.

Ne è un esempio il venir meno dell’obbligatorietà del DPS, in contrasto con l’allora già nascente Regolamento Europeo (che prevede una valutazione dei rischi), disallineato rispetto altre norme, come:

  • il D.Lgs. 231/2001 (che prevede una serie di obblighi dal punto di vista della sicurezza informatica),
  • l’art. 15 del D.Lgs. 196/2003 sempre in vigore che, rifacendosi all’art. 2050 del codice civile, prevede l’inversione dell’onere della prova (quale documento, meglio del DPS, può indicare ad un giudice tutti gli sforzi fatti in azienda per evitare danni nel trattamento dei dati ?)

Le imprese che non si sono lasciate sviare dal processo semplificativo sono oggi quelle più pronte ad affrontare con tranquillità quanto previsto dal Regolamento Europeo, perché nel corso di questi anni hanno pian piano provveduto ad affinare le loro procedure e a migliorare le loro infrastrutture informatiche.

 

Vediamo ora un decalogo delle principali misure di tutela della privacy che devono essere implementate in ogni azienda:

1 – Informative e lettere di incarico

  • Persiste l’obbligo di gestire la parte burocratica nei confronti dei soggetti di cui si trattano i dati (interessati) ovvero informative e lettere di incarico.
  • Le informative, accompagnate o meno dalla “richiesta di consenso” a seconda dei casi, devono essere fornite agli interessati. Vi è un obbligo di rendicontare l’avvenuta consegna dell’informativa (che può essere data anche oralmente). Alcuni trattamenti (come ad esempio i dati dei dipendenti necessari per gestire il rapporto di lavoro o l’installazione di telecamere per motivi di sicurezza) possono essere attuati dando semplicemente l’informativa privacy e non è previsto il consenso, in quanto vi sono delle autorizzazioni generali del Garante.
  • Le lettere di incarico vanno consegnate a tutti i soggetti (incaricati), persone fisiche, che trattano i dati e che sono sotto il controllo aziendale, ovvero seguono le regole che l’azienda ha posto in essere nella gestione dei dati. Potrebbero non essere solo i dipendenti!

2- Lettere di incarico per Responsabili Esterni

Nell’ambito della gestione dei dati delle persone fisiche, l’azienda potrebbe avvalersi di società esterne che devono essere nominate Responsabili Esterni al trattamento dei dati. In capo all’azienda, titolare del trattamento, rimane comunque la responsabilità delle modalità di trattamento dei dati, la definizione delle regole e tutte le conseguenze dal punto di vista civile e penale. Novità su questo punto le porta il Regolamento Europeo, che prevede la possibilità di avere dei co-titolari nel trattamento dei dati e lo scarico di responsabilità gestito a livello contrattuale.

3- Predisposizione del disciplinare per l’utilizzo dei dati

L’azienda si deve dare delle regole per la gestione dei dati, in particolare con strumenti informatici. Tale disciplinare deve affrontare le modalità di trattamento dei dati con i vari “device” aziendali (server, pc, notebook, smartphone, tablet, …) e con la posta elettronica, indicando regole e procedure aziendali sia per il trattamento dei dati digitali che di quelli cartacei. Sei interessato all’argomento? Scarica il disciplinare GRATUITO dall’apposito form nella barra qui accanto.

4 – Il sito internet aziendale

Il sito internet dell’azienda potrebbe trattare tre tipologie diverse di dati: dati anonimi inerenti la navigazione, dati derivanti da cookies (tecnici o di profilazione), dati raccolti tramite form. E’ importante predisporre una corretta informativa a riguardo che dettagli le specifiche a riguardo, spesso sconosciute in azienda e note solo alla società di web designer. 

5 – Videosorveglianza

La presenza di telecamere di sorveglianza in azienda è un trattamento che deve essere gestito in modo preciso ed accurato, prevede un’informativa breve (il cartello con l’immagine stilizzata della telecamera) ed un’informativa di dettaglio esposta per a disposizione delle persone riprese. Se le telecamere riprendono i dipendenti mentre svolgono la loro attività è necessario seguire un iter approvativo ben definito.

6 – Gestione della busta paga

La busta paga deve essere gestita con una serie di procedure che tutelino i dati dei dipendenti. Evitare la distribuzione con mezzi non sicuri (es. e-mail), preferire la distribuzione “brevi manu” o il download da siti web protetti da password. Attenzione ai consulenti esterni che elaborano le paghe e ve le inviano via mail: evidentemente il loro processo privacy non è corretto e la responsabilità è sempre dell’azienda che ha l’obbligo di controllare che i propri fornitori a cui affida i dati si muovano secondo le regole previste.

7 – Password, antivirus e firewall

Queste sono le misure minime previste per il trattamento di dati personali di qualsiasi tipo con strumenti informatici (anche una semplice lista di numeri telefonici dei dipendenti). E’ necessario prestare cura a che le password siano personali, robuste, cambiate ogni 3/6 mesi a seconda della tipologia di dati trattati. L’antivirus deve essere originale, installato su tutti i device che contengono dati (compresi smartphone e tablet!), periodicamente aggiornato. Attenzione al firewall, questo strumento è sconosciuto a molti ma risulta determinante, in caso di giudizio, come prova positiva per dimostrare di aver implementato delle misure idonee per evitare l’evento dannoso.

8 – Update dei sistemi e Disaster Recovery

L’aggiornamento dei sistemi operativi e degli altri software installati non è facoltativo ma obbligatorio! E’ necessario aggiornare al più presto i sistemi operativi, appena la casa madre rilascia gli aggiornamenti, in quanto sono sempre più numerose le zero day vulnerability, ovvero gli attacchi compiuti dall’esterno alle infrastrutture aziendali sfruttando delle vulnerabilità note, indicate dalla stessa casa produttrice del software, ma che l’azienda non ha provveduto ad installare sui propri device.

E’ comunque fondamentale predisporre un piano di Disaster Recovery in grado di far fronte in tempi brevi alle eventuali emergenze, garantendo il ripristino dei dati e dell’operatività nei tempi di legge. Ricordatevi che il nuovo Regolamento Europeo prevede che in caso di Data Breach, ovvero in caso di violazione dei dati aziendali, l’azienda deve attivarsi nel comunicare la cosa sia all’autorità Garante delle Privacy sia a tutti coloro (interessati) i cui dati erano contenuti nella sua base dati!!

9 – Marketing e geolocalizzazione

I dati raccolti possono essere utilizzati per fini di marketing ma bisogna essere molto cauti e gestire molto bene il consenso in fase di raccolta e la possibilità di evitare ulteriori comunicazioni da parte dell’interessato. E’ dimostrato, inoltre, che comunicazioni di marketing non volute peggiorano il rapporto tra la il potenziale cliente e l’azienda. Grazie al Job Act è possibile utilizzare degli strumenti di geolocalizzazione dei dipendenti con più facilità. Rimangono comunque delle regole da seguire, in modo particolare la gestione dell’informativa, che è meglio non sottovalutare onde evitare spiacevoli controversie con la Direzione Provinciale del Lavoro o con i sindacati aziendali e per garantire la tutela della privacy del personale.

10 – Formazione

Sebbene la norma non indichi con precisione durata e contenuto di un corso di formazione, la formazione degli “incaricati” risulta fondamentale per l’azienda che deve affidare l’incarico di trattamento dei dati solo a soggetti in grado per competenze e capacità personali di garantire la sicurezza di tali dati. Va da sé che un corso di formazione sulla specifica attività gestoria renda l’azienda più capace di affrontare un’eventuale accusa di mala gestio per “colpa in eligendo”.

Ti serve una consulenza privacy?

Il nostro team sarà felice di trovare la soluzione perfetta per te!

Contattaci