13 March, 2020

La Privacy al tempo del Coronavirus

Siamo in piena emergenza sanitaria: tutti gli enti, aziende, scuole e strutture si sono dovute adeguare a quelle che sono le varie disposizioni governative e ai DPCM che nel corso di questi giorni si sono succeduti.

Affrontare la pandemia ha tantissimi risvolti, oltre chiaramente a quello sanitario di cui non tratteremo, per ovvie ragioni, in questo articolo. Sicurezza, spazi delimitati, distanza minima, mascherine e gel disinfettante sono entrati di prepotenza nel nostro lessico quotidiano. Vi sono importantissimi aspetti riguardanti il trattamento dei dati personali, in particolare di quelli che potrebbero attenere alla sfera sanitaria del soggetto interessato. Inoltre, in questi giorni si predilige l’attivazione in molte aziende del “lavoro agile” (o smart working) per i dipendenti. Quali rischi comporta questa modalità di lavoro e quali accorgimenti adottare in un regime di emergenza per far fronte alla situazione nel migliore dei modi?

Andiamo con ordine. Un risvolto che ha generato alcuni problemi legati alla privacy è stato quello relativo al primo metodo di gestione adottato per impedire la diffusione del contagio, in particolare una raccolta dati per evitare l’accesso ai locali aziendali a soggetti che fossero transitati dalla zona rossa italiana, dalla Cina o che presentavano determinati sintomi che lasciavano presagire un possibile contagio. Le modalità di raccolta di questi dati sono state diverse:

  • autodichiarazioni firmate dai soggetti interni ed esterni all’azienda;
  • vere e proprie raccolte dati in cui il soggetto forniva direttamente i suoi dati personali, anche di tipo particolare, in quanto attinenti alla sua sfera sanitaria;
  • misurazioni di temperatura corporea con elenchi di soggetti a cui era stata misurata.

Parliamo dunque di vere e proprie raccolte di dati personali su cui il Garante, con un parere del 2 marzo 2020, ha espresso parere contrario, prescrivendo ai titolari di evitarli. Ma fino a dove arriva la tutela del dato e dove questo aspetto può, e forse deve, derogare in ragione del più forte principio della tutela della salute pubblica? Può un soggetto privato raccogliere i dati personali suddetti e misurare la temperatura corporea a chi entra nei locali aziendali? O ha ragione il Garante, prescrivendone il divieto? Il caos regna sovrano, ma mettiamo in luce un aspetto centrale: un trattamento non perfettamente congruo ai dettami del regolamento europeo è meno grave di un singolo e solo episodio di contagio all’interno dell’ente. Non predisporre un’informativa adeguata in un momento di emergenza è meno importante di impedire, ad esempio, ad un fattorino che potrebbe presentare dei sintomi o essere transitato in una zona “pericolosa”, di entrare in contatto con la reception. Tutela del dato personale sempre, ma non ad ogni costo. Forse avrebbe fatto meglio il Garante a prescrivere delle misure più specifiche su tali trattamenti e non vietarli tout court senza grandi specificazioni. Avrebbe potuto dettagliare meglio alcuni aspetti, quali ad esempio il tempo di conservazione i dati, il fatto di preferire un’autocertificazione, come e dove archiviarli: dei piccoli accorgimenti ed indicazioni che avrebbero permesso sia alle aziende di essere più tranquille da un punto di vista sanitario che ai soggetti interessati di percepirsi maggiormente tutelati. Se il GDPR impone l’accountability, questo è il momento di applicarlo: ogni titolare dovrà, in base alla sua struttura e alle sue esigenze, effettuare i controlli che ritiene necessari per tutelare i propri dipendenti, cercando di proteggere al meglio i dati personali dei soggetti di cui raccoglierà i dati senza per questo abbassare la soglia di attenzione verso quella che è, al momento, un’emergenza senza precedenti che deve essere trattata come tale. Il secondo problema, emerso in maniera urgente in questi ultimi giorni, è il lavoro agile. Da domenica 8 marzo il Governo ha indetto ulteriori restrizioni su tutto il territorio italiano, chiedendo di favorire forme di lavoro a distanza per evitare spostamenti e contagi. Le aziende che utilizzavano queste modalità di lavoro erano già pronte e hanno potuto gestire il passaggio con la calma necessaria a risolvere tutte le problematiche inerenti la sicurezza del lavoratore, la sicurezza informatica aziendale e la gestione dei dati personali che, da remoto, devono necessariamente “viaggiare” da un luogo ad un altro, uscendo dalla sicurezza della rete interna aziendale. Le altre aziende, che non avevano ancora predisposto questa modalità di lavoro, devono affrontare impellente necessità di implementarla, cercando dunque di garantire ai propri dipendenti di lavorare da remoto senza per questo mettere a repentaglio la sicurezza informatica della propria infrastruttura IT. Dunque, come bilanciare il lavoro a distanza con la sicurezza informatica, la gestione dei dati e il loro trasferimento in assets potenzialmente non sicure? Non è possibile generalizzare: ogni ente, azienda, struttura avrà delle necessità peculiari. Ognuna di esse dovrà risolvere le sue criticità, nel modo più rapido ed efficace. È necessario mettere da parte generici regolamenti inapplicabili e optare per documenti specifici, in grado di analizzare e risolvere le problematiche evidenziate.

Di seguito sono indicati quelli che, generalmente, sono gli elementi di maggiore criticità nell’attivazione e nella gestione del telelavoro, elementi che potrebbero aiutare ogni singolo Titolare a concentrarsi sulla specifica criticità che maggiormente abbisogna di essere risolta.

1) L’utilizzo dei dispositivi personali dei dipendenti per l’accesso alla rete aziendale 

 a) I dispositivi personali potrebbero non essere adeguatamente protetti ed esporre l’intera rete aziendale ad attacchi informatici Predisporre un disciplinare che informi il dipendente delle misure di sicurezza che deve attivare e deve garantire

 b) La rete del dipendente non protetta, banalmente il router, potrebbe essere un veicolo di attacco    

 COSA FARE: **Predisporre un disciplinare che informi il dipendente delle misure di sicurezza che deve attivare e deve garantire**

2) L’accesso alla rete aziendale senza adeguate protezioni e senza una adeguata impostazione del firewall aziendale

 a) L’accesso alla rete aziendale deve essere adeguatamente protetto, tramite ad esempio connessione in VPN. Aprire altrimenti la propria LAN all’esterno potrebbe esporla ad attacchi informatici

 COSA FARE: **Interfacciarsi con il proprio tecnico IT per avere la certezza che la propria rete aziendale sia pronta ad affrontare le connessioni dall’esterno senza subire rischi**

3) Dispositivi aziendali e rete aziendale non pensati per lavorare da remoto

 a) La lentezza della connessione potrebbe imporre ai dipendenti di lavorare in locale, senza adeguate procedure di backup sui dati, esponendoli dunque a rischio di perdita    

 COSA FARE: **Interfacciarsi con il tecnico IT per garantire la massima velocità di connessione e informare il dipendente di lavorare sempre sui server aziendali o, in caso di impossibilità, di riversarci nel minor tempo possibile i dati lavorati in locale**

4) Il trattamento di dati particolari (ex sensibili) da remoto

 a) Il dipendente che acceda alla rete aziendale, se avesse l’esigenza di lavorare su dati particolari (ad esempio documenti e dati dei dipendenti) potrebbe avere l’esigenza di strumenti e misure più stringenti

 COSA FARE: **Attivare procedure atte a rendere più sicuro il trattamento di dati particolari (ad esempio invio di dati in formato criptato, attivazione di servizi in cloud, etc.)**

5) Procedure per la gestione dei data breach non adeguata

 a) Se il dipendente subisse, ad esempio, il furto o il danneggiamento del PC o un attacco informatico, sarebbe consapevole di aver subito un data breach, sarebbe in grado di gestirlo nelle tempistiche previste dal regolamento, potrebbe tempestivamente comunicare l’accaduto al referente dei data breach all’interno dell’ente?

 COSA FARE: **Predisporre urgentemente una procedura per la gestione dei data breach, individuando un referente interno atto a gestire le eventuali violazioni, comunicando a tutti i dipendenti i suoi recapiti e le tempistiche di gestione**

6) I dati aziendali (personali e non) sono adeguatamente protetti da diffusione o divulgazione?

 a) Lavorando da remoto il dipendente potrebbe, anche erroneamente, esporre il patrimonio di dati aziendali a diffusioni o divulgazioni, esponendo l’ente a gravi ripercussioni

 COSA FARE: **Predisporre un adeguato accordo di riservatezza, che tuteli l’azienda da eventuali divulgazioni o diffusioni di dati aziendali**

Queste sono le principali criticità riportate in un elenco chiaramente non esaustivo, ma che potrebbe e dovrebbe imporre un momento di riflessione per tutti i titolari che desiderino attivare o abbiano già attivato forme di lavoro agile. Tale processo va sicuramente incentivato, ma potrebbe esporre l’azienda ad attacchi, perdite di dati e violazioni senza le adeguate, o almeno minime, garanzie.

Per chiudere questa breve disamina di quanto sta accadendo in questi giorni il consiglio è di affidarsi al buon senso di tutti i soggetti coinvolti, anche da un punto di vista della tutela del dato personale. Effettuare la raccolta dati per prevenire contagi, se ritenuta necessaria, proteggendo sempre gli interessati. E ancora, attivare forme di smart working per evitare spostamenti e assembramenti, ma farlo con cognizione e consigliando/informando il dipendente sui rischi che incombono e sulle misure di sicurezza che potrebbero evitare all’azienda attacchi e violazioni. Se tutti remiamo nella stessa direzione potremo uscire da questa emergenza senza aver esposto l’infrastruttura aziendale a violazioni che potrebbero appesantire ulteriormente la situazione già non facile.

Emanuele Solombrino Consulente Privacy 01 S.r.l. – Servizi Privacy

Altre News

  • 02 April, 2025Un hacker può violare la privacy della vostra abitazione: come può riuscirci e come difendersi
  • 26 March, 2025Attenzione alla truffa telefonica del curriculum che vi sottrae soldi e dati personali
  • 26 March, 2025Quando l’uso improprio di tool di intelligenza artificiale al lavoro diventa un rischio sia per l’azienda che per gli stessi dipendenti
  • 19 March, 2025Integrare GDPR e NIS 2: perché la cyber security è la naturale evoluzione della privacy
  • 12 March, 2025Aumentati del 197% gli attacchi hacker veicolati tramite email, e il 31% dei messaggi ricevuti è spam
  • 05 March, 2025Si possono passare delle informazioni ai colleghi SENZA violare la privacy?
  • 03 March, 2025NIS 2, tempo scaduto! Ma c'è una possibilità
  • 18 February, 2025Per l'accesso ai dati personali non basta la parola dell’avvocato
  • 07 February, 2025In vigore i divieti sui sistemi di intelligenza artificiale che comportano un rischio inaccettabile: le Linee Guida della Commissione UE
  • 30 January, 2025La lente del Garante sull'intelligenza artificiale cinese di DeepSeek: possibile rischio per i dati personali di milioni di persone
  • 10 January, 2025Che cos'è la NIS2 e cosa bisogna fare?
  • 08 January, 2025DATA BREACH a Infocert: interrogazioni del Garante
  • 18 December, 2024Il DPO nell’era dell’AI: custode della privacy e architetto dell’etica digitale
  • 04 December, 2024Shopping online, 4.700 siti fasulli mettono a rischio privacy e sicurezza degli utenti in occasione del Black Friday
  • 25 November, 2024Attenzione ad usare la password dei colleghi
  • 04 November, 2024Dossieraggio, l’alibi del super hacker per distrarci dall’inadeguatezza della sicurezza
  • 23 October, 2024Data breach, Garante Privacy sanziona Postel per 900mila euro
  • 23 October, 2024Garante: stop al software che accede all’email del dipendente
  • 08 October, 2024Installare una telecamera È LEGALE per un privato cittadino? Solo a certe condizioni!