Tempo di lettura stimato: 12'
Non ce lo aspettavamo, ma all’improvviso è arrivato. Il Coronavirus ha fatto piazza pulita di tutto. Ci sta facendo navigare a vista e ha trovato molte aziende, soprattutto le PMI, del tutto impreparate. Impreparate di fronte a cosa? Non solo all’emergenza, è chiaro. Le aziende si sono trovate a dover gestire una nuova modalità di lavoro - lo Smart Working e il lavoro AGILE – che senza il Covid-19 forse non avrebbero neanche mai considerato.
Quasi da un giorno all’altro, in seguito al Decreto del Governo che nei primi giorni di marzo ha esteso questa modalità a tutta l’Italia, i titolari d’azienda e le PA hanno chiesto ai dipendenti di lavorare da casa. E allora è successo di tutto: c’è chi, da un mese, lavora con il computer dei figli, chi ha dovuto chiedere in prestito il pc del vicino, chi aveva il computer ma non l’antivirus.
Insomma, tutti più o meno si sono dovuti barcamenare per portare avanti il lavoro con quello che avevano e purtroppo anche con buona pace dei dati personali e del GDPR.
Smart Working e rischi per i dati personali
Il Decreto del Governo non ha specificato nulla rispetto al trattamento dei dati personali e il Garante non ha ancora chiarito come gestire lo Smart Working durante la pandemia di Coronavirus, anche se si è già espresso il 2 marzo indicando ai datori di lavoro cosa NON devono fare. In questo contesto, i titolari del trattamento – aziende, professionisti ed enti – si sono trovati in a dover rivedere in tutta fretta l’organizzazione e le modalità di lavoro, con seri rischi per i dati personali trattati.
Rischi che sono molti e anche diversi: dai collegamenti VPN non sicuri all’uso di computer e altri dispositivi del tutto privi di misure di sicurezza, facili prede di virus e malware; come pure le videoriprese, le video-lezioni e le riunioni online, che possono presentare dei rischi per la privacy nostra e dei nostri familiari. Milioni di talloni d’Achille che possono aprire il fianco ad altrettante violazioni dei dati personali.
Come gestire questa situazione in modo conforme al GDPR?
Il 16 aprile abbiamo organizzato un corso per parlare proprio di questo.
L’analisi va fatta su tutte le misure di sicurezza
Non c’eri? Nessun problema.
Nei prossimi paragrafi trovi punto per punto quello che è stato detto durante il webinar su come gestire lo Smart Working cum grano salis e a norma di legge.
Smart Working: come farlo a norma GDPR
Vediamo cosa bisogna fare per essere a norma GDPR quando si fa Smart Working:
1 – Analizza e mappa i trattamenti
La prima cosa che viene richiesta dal GDPR è analizzare e mappare. Quindi devi capire quali trattamenti stai facendo, perché li stai facendo, quali dati ci sono e da chi vengono visti all'interno dell'azienda. Dopodiché, guardi quali strumenti usi o vuoi usare, come vengono usati, se ci sono delle misure di sicurezza e quali istruzioni vuoi dare agli addetti che dovranno gestirli.
Mappare i trattamenti vuol dire avere la mente aperta: saper fare le connessioni e valutare che un certo trattamento o un certo strumento ne fa scaturire un altro.
Per esempio, nel momento in cui attivi la VPN per far collegare i dipendenti da casa, hai sicuramente il login utente, che è un trattamento aggiuntivo.
E nel momento in cui fai accedere le persone da casa alla posta elettronica dell’ufficio, se non dai regole precise, loro si scaricano i file di Word e di Excel e ci lavorano col computer che hanno – magari quello del figlio e senza antivirus -, col rischio di beccarsi il Cryptolocker.
Sono tutti asset nuovi che devono essere gestiti, modalità nuove che devono essere gestite.
Non si può più far finta di niente. Perché con una gestione sempre più distribuita, quello che avresti dovuto fare prima, adesso diventa impellente e cioè adesso devi analizzare quali dati tratti, da quali strumenti vengono utilizzati e quali asset li vanno a utilizzare. Devi avere la mappatura di questa cosa. È diventato fondamentale. Senza mappatura non hai consapevolezza, senza consapevolezza non lavori con accountability.
Perché per agire con accountability bisogna essere consapevoli, responsabili e competenti.
Se non sai dove sono i dati e se non sai quali dati tratti come puoi essere accountable?
E i dati non sono solo quelli del gestionale. Sono anche tutti i dati dello Human Resources, sono i dati della produzione, sono tutti dati del Marketing, delle vendite, dei clienti. Sono dati personali che girano su degli asset che devono essere mappati.
La mappatura dei trattamenti scatena altri trattamenti. Dalla mappatura vedi che ci sono altri strumenti e quindi anche altri responsabili esterni. È una catena che devi avere chiara.
Partiamo quindi dagli asset, cioè dagli strumenti.
2 – Definisci quali asset stai usando, fai l’analisi dei rischi e stabilisci delle regole chiare su come usare gli strumenti
Gli asset fisici, cioè gli strumenti, sono di due tipi:
1) quelli di proprietà aziendale cioè gli asset comprati o affittati e i servizi
2) poi ci sono gli asset di proprietà del dipendente, cioè i BYOD (Bring Your Own Device) - che sembra un po’ il nome di una pornostar norvegese - e qui bisogna chiarire una cosa. Se io azienda ho deciso che do la possibilità ai miei dipendenti di utilizzare strumenti proprietari - lo posso fare? Certo che sì! – prima però devo fare delle attività legate al GDPR.
Quali sono le attività che vanno fatte se uso i BYOD?
Primo. Io azienda rimango controller dell'informazione, cioè rimango titolare del trattamento. Non è che se il dipendente usa il suo device diventa titolare del trattamento e sono pippe sue. Rimangono dell'azienda le pippe!
No, te lo dico. Che sia chiara questa cosa!
Secondo. Io azienda dico ai miei dipendenti: “Ti concedo di fare questo ma ti do queste regole, per poter usare il tuo device.” I dipendenti che lavorano in Smart Working devono avere delle regole che in maniera molto chiara dicano che va fatto il backup, il salvataggio, la gestione della sicurezza... altrimenti, se non dai delle regole, stai improvvisando.
Le regole devono essere chiare e soprattutto devo mettere in piedi una serie di automatismi legati alla prevenzione obbligatoria che ho dei dati.
Cioè, se il dipendente usa il suo device, io azienda devo dargli accesso a degli strumenti che prima ho verificato e certificato. Se usasse dei device aziendali, controllati e verificati facendo l’analisi dei rischi e poi censiti, sarebbe un conto. Ma come faccio a verificare gli strumenti dei miei dipendenti?
Verifico il player, cioè lo strumento che gli ho dato. Non vado a verificare se le linee della Telecom o di Fastweb che usa per connettersi sono buone oppure no. Verifico che il fornitore che viaggia sopra le linee Fastweb sia adeguato.
Terzo. Poi devo dare l'informativa ai dipendenti dicendo loro che una serie di informazioni verranno tracciate. Altrimenti come posso tenere un rischio residuale basso su quei trattamenti?
Posso anche non tracciare, ma poi non riesco a tenere il rischio residuale basso.
Ecco perché serve l'analisi dei rischi - che è obbligatoria! – perché devo verificare come le informazioni vengono gestite e archiviate.
Queste cose andrebbero fatte prima.
Non le hai fatte? Male. Però puoi sistemare a posteriori.
Non hai fatto le verifiche né dato le regole per l’uso degli strumenti. E adesso? Fai l’analisi dei rischi
Anche se la frittata è fatta, si può lavorare a posteriori e verificare se le scelte che hai preso erano corrette, facendo l’analisi dei rischi.
L’analisi dei rischi infatti serve per valutare se le informazioni che hai dato e gli strumenti – anche quelli che non sono di tua proprietà - sono corretti e sono adeguati ai sensi dell’articolo 35 del GDPR (valutazione d’impatto), degli articoli 24 e 25 (privacy by design e by default) e dell’articolo 32 (misure di sicurezza fisiche, logiche e organizzative, che devono garantire un rischio residuale basso su tutti i trattamenti).
È importante, sai perché? Perché, per esempio, se la posta viene scaricata su un device e la segretaria dello Human Resources, che lavora in Smart Working, usa il computer del figlio che è infettato di Cryptolocker - un computer dove il figlio non ci ho mai messo un Word neanche a sbagliare - appena arriva lei e scarica la posta sul computer...vruuum! Il virus chiappa tutto, blocca tutto, blocca la casa e spara virus in giro!
È una cosa che può succedere e la domanda che ti potrebbero fare è: ma prima di dare l'accesso, avevi fatto una valutazione? Hai verificato se gli strumenti – i device - e la modalità di lavoro a casa fossero adeguati?
Amen, è successo. Adesso però devi inserire la cosa nel registro delle violazioni - in maniera sicura e non modificabile – poi se è un Data Breach o no lo vediamo dopo, ma intanto devi registrarlo.
Su quali misure di sicurezza devi fare l’analisi dei rischi?
Su tutte!
L’analisi va fatta su tutte le misure di sicurezza
L’articolo 32 del GDPR ci dice: bisogna verificare tutte le misure di sicurezza, anche quelle logiche e organizzative, non solo quelle fisiche.
Hai dato le istruzioni a chi lavora in Smart Working?
Le persone sanno come si devono comportare?
Sai come accedono da remoto?
Hai fatto la verifica su cosa viene tracciato e su cosa viene verificato durante il lavoro esterno all'azienda?
Anche queste sono misure di sicurezza!
Attenzione! Se poi in azienda per fare lo Smart Working hai deciso di usare dei BYOD, devi sapere che stai usando device fuori dal tuo controllo. Quindi non è che puoi andare a dire al tuo dipendente: “Peppino, guarda che sul tuo telefonino non devi installare Snapchat e neanche Tik Tok.”
Perché giustamente Peppino ti risponde “Il telefono è mio e ci faccio quello che voglio. Se non vuoi che mi installi queste cose, dammene uno tu!”
Quindi se per fare lo Smart Working decidi di usare i dispositivi dei tuoi dipendenti devi gestire questa situazione e adottare delle misure di sicurezza che vanno valutate. Come si fa?
Vanno valutate così:
- Prendi i trattamenti, i dati e le misure di sicurezza fisiche logiche e organizzative. Fai l'analisi dei rischi - che è obbligatoria ai sensi dell'articolo 32 – e guardi: il rischio residuale che viene fuori com'è?
- Risposta: Medio-alto. Non va bene.
- Torna da capo: o tiri via dei dati o aggiungi misure.
- Rifai l’analisi: il rischio è basso.
- Fantastico!
Adesso puoi procedere col trattamento e aggiornare il registro dei trattamenti.
3 – Aggiorna il registro dei trattamenti
Fatta la valutazione? Identificati gli asset (strumenti)? Hai visto che quello che stai facendo ha un rischio residuale basso? Benissimo.
A questo punto devi aggiornare il registro dei trattamenti.
E quindi ci devi indicare:
- tutti i trattamenti, eventualmente anche quelli nuovi
- tutti gli asset nuovi
- tutti i fornitori nuovi (responsabili esterni del trattamento)
- tutte le misure di sicurezza nuove.
Nel registro devi dare evidenza che hai ragionato sui nuovi trattamenti, che hai visto che certi asset e certe scelte ne hanno fatti scaturire altri. Devi dare evidenza di aver fatto una valutazione che quello strumento, quel servizio, quella modalità di erogazione, quelle istruzioni sono ok.
Questo è quello che deve andare sul registro perché, ai sensi dell’articolo 30, il registro deve essere una fotografia della situazione.
Quindi fai la foto, poi istruisci le persone.
4 – Nomina gli addetti e dai istruzioni
Dopo aver fatto la foto – cioè dopo aver riportato la situazione nel registro dei trattamenti – se ancora non lo avevi fatto, devi nominare gli addetti ai trattamenti e dare nuove istruzioni.
Quindi, a chi lavora da casa, se le istruzioni non le avevi ancora date, devi dare quelle aggiuntive, così sanno come devono comportarsi.
Se lavorano con strumenti che non necessitano di formazioni aggiuntive, ad esempio con i client remoti, non darai nessuna informazione aggiuntiva.
È una verifica che va fatta: in base agli strumenti che usi, devi verificare se è il caso di aggiornare le istruzioni oppure no.
E poi devi dare l’informativa.
5 – Aggiorna e consegna l’informativa
Se in azienda non avete mail lavorato in Smart Working devi dare sicuramente una nuova informativa.
Non è sempre detto che serva, perché magari nella vecchia informativa queste cose c’erano già: dipende da cosa c’è scritto, da cosa facevi prima e da cosa fai adesso.
Al dipendente devi chiedere un consenso? No!
Bene. Detto questo, prima di concludere, facciamo una breve panoramica delle norme del GDPR che toccano lo Smart Working.
Lavoro da casa: cosa dice il GDPR?
La situazione pandemica ha obbligato moltissime aziende a lavorare in Smart Working. Bene.
Cosa ci dice il GDPR su questo? Vediamo gli articoli del Regolamento. Quelli che riguardano lo Smart Working sono:
- Articoli 24 e 25 cioè privacy by design e by default
In sostanza questi articoli ci dicono: “Guarda, prima di fare qualsiasi trattamento, devi verificare se quello che vuoi fare o se quello che stai facendo rispecchiano la norma e quindi se hai adeguati strumenti, adeguata formazione, se hai dato un’adeguata istruzione agli addetti e se puoi produrre tutte le evidenze del caso.”
- Articolo 32 sulle misure di sicurezza
Ci dice che, per ogni trattamento che facciamo, dobbiamo assicurarci di aver adottato tutte le adeguate misure di sicurezza e che il rischio residuale su quei trattamenti sia basso.
Quindi, dal momento che i dipendenti lavorano al di fuori dell'azienda con lo Smart Working, sicuramente bisogna verificare questa cosa! È una verifica obbligatoria per tutte le aziende e per tutti i trattamenti, non c'è nessuna distinzione, a maggior ragione se parte dell’attività è svolta da casa. Ma quali misure di sicurezza bisogna verificare?
Tutte! Vanno verificate le misure fisiche, logiche e organizzative, non solo le misure di sicurezza tecnologiche. Tutta la filiera deve essere gestita e verificata: devo avere il controllo delle attività, delle persone e devo avere il controllo degli strumenti. Le misure di sicurezza infatti toccano tutto in maniera trasversale.
- Articolo 28 sui responsabili esterni
Un altro articolo su cui dobbiamo ragionare è l'articolo 28 sui responsabili esterni del trattamento e che riguarda anche lo Smart Working perché tutte le volte che usiamo degli strumenti - delle strutture esterne alla nostra azienda – per archiviarci delle informazioni, per abilitare le conferenze, per organizzare meeting, per distribuire i documenti attraverso il Cloud, cioè tutte le volte che noi utilizziamo servizi esterni, secondo l'articolo 28, dobbiamo verificare che il fornitore esterno rispecchi certe caratteristiche, cioè che sia a norma GDPR.
- Articolo 29 sulla formazione agli addetti
L’articolo 29 del GDPR ci dice: “Guarda, quando uno dei tuoi dipendenti subordinati o parasubordinati fa dei trattamenti - qualcuno sotto il tuo controllo diretto (persona fisica) – prima deve essere adeguatamente formato. Sappi infatti che tutte le persone fisiche che lavorano sui tuoi trattamenti, sui dati che tu prendi, devono essere istruite e formate.”
Quindi se hai chiesto ai tuoi dipendenti di lavorare in Smart Working, nel momento in cui usano nuovi strumenti e nuove metodologie, devi dare delle istruzioni perché le persone siano adeguatamente formate ai sensi dell'articolo 29.
- Articolo 30 sul registro dei trattamenti
Lo Smart Working chiaramente inciderà sul registro dei trattamenti. Perché è quel documento che fotografa la situazione attuale e dà evidenza a chi deve controllare - ma in primis a te, titolare del trattamento - di come sei arrivato a scegliere certi trattamenti, certi strumenti e certi dati. Su questa base, in caso di visita ispettiva, puoi dire: “Guarda carissimo nucleo ispettivo della Guardia di Finanza, abbiamo scelto di usare Go to Meeting, l’abbiamo nominato responsabile esterno, abbiamo fatto la valutazione, l'abbiamo inserito come nuovo trattamento qui nel registro. Quindi abbiamo l'evidenza del percorso logico che ci ha portato a dire che lo strumento che abbiamo scelto è corretto e che Tizio, Caio, Sempronio e Peppino sono gli incaricati.”
- Articolo 35 sulla valutazione d’impatto
L’articolo 35 ci dice: “Guarda che su alcuni trattamenti tu devi fare la valutazione di impatto. Quindi devi fare l'analisi dei rischi e valutare che impatto hanno.” L'analisi dei rischi e la DPIA (Data Privacy Impact Assessment) danno evidenza del percorso fatto.
- Articoli 13 e 14 sull'informativa
Se fino a questo momento lo Smart Working non era stato fatto, sappi che va inserito nell'informativa e che quindi anche questa va aggiornata.
Bene. Questo è il quadro normativo da tenere bene a mente e da mettere in pratica quando si fa Smart Working in azienda.
Bene. Questo è il quadro normativo da tenere bene a mente e da mettere in pratica quando si fa Smart Working in azienda.
Concludo con due spunti:
1) Business Continuity
Per le aziende che hanno sposato il concetto di Business Continuity, con il Coronavirus non è cambiato nulla, o meglio, ho la speranza che sia così. Non sai cos’è la Business Continuity?
Dai un’occhiata a questo articolo su Smart Working, Business Continuity e GDPR
2) Scelta degli strumenti
Quali strumenti hai usato per fare Smart Working? Con quali criteri li hai scelti? Ti consiglio di leggere come si scelgono gli strumenti per fare lo Smart Working (e non solo!) perché chi fa lo Smart Working – ma è un concetto che vale sempre – deve essere consapevole degli strumenti che usa.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.