L’introduzione dello smartworking, oggi giorno qusi sempre forzata, ha diversi impatti sull’organizzazione aziendale; quelli relativi alla sicurezza sono stati già analizzati in un precedente articolo. Tuttavia, è bene sottolineare che lo smartworking, modificando i processi e gli strumenti aziendali, introduce quasi certamente la necessità di modifiche anche nel modello organizzativo per la protezione dei dati personali: è un ottimo esempio di come un’azienda conforme alla normativa può improvvisamente diventare non conforme se omette di adeguarlo, e di come anche il mantenimento della conformità al GDPR è esso stesso un processo aziendale.
Cosa cambia
Sono due gli ambiti in cui l’introduzione dello smartworking impatta sul modello organizzativo privacy: i dati personali trattati all’interno delle proprie attività, ed i dati personali dei lavoratori coinvolti nel lavoro remoto.
Per quanto riguarda il primo caso, si deve fare attenzione alle nuove modalità di lavoro (che possono introdurre o modificare i rischi), ai nuovi strumenti, alla necessità di variare le mansioni degli addetti.
Per quanto riguarda il secondo caso, è probabile che si introducano dei veri e propri nuovi trattamenti di dati personali dei lavoratori, in aggiunta ai nuovi strumenti ed alle nuove mansioni.
L’aggiornamento del Registro dei Trattamenti
Come molte volte ricordato, il Registro delle Attività di Trattamento è il cuore della conformità al GDPR: partendo da esso, le modifiche che si rendono necessarie guidano anche alle altrea attività di adeguamento. Analizzando i trattamenti presenti, non è difficile individuare le modifiche: in primis, occorre rivedere l’analisi dei rischi, introducendo i nuovi (relativamente, per esempio, alla connessioni internet, all’utilizzo di dispositivi non aziendali), e aggiornando le probabilità di occorrenza di quelli già presenti (come l’aumento di probabilità di attacchi dall’esterno, modifiche concorrenti di dati). Dalla nuova analisi dei rischi deriva la necessità di nuove misure di sicurezza, che vanno individuate, implementate ed anch’esse riportate nel Registro.
L’introduzione di nuovi strumenti necessita di normare i rapporti con le aziende esterne con la contitolarità o, più probabilmente, con la nomina dei Responsabili del Trattamento (anche se, qualora si tratti di applicativi in cloud, è facile che essa sia già inclusa nella documentazione di contratto del servizio).
Riguardo alla scelta dei nuovi strumenti necessari allo svolgimento delle attività lavorative da casa, è bene sottolineare che, nei limiti del possibile vista la situazione di urgenza, essa deve avvenire senza fretta, valutando bene non solo la conformtità “formale” al GDPR dello strumento, ma anche l’effettiva adeguatezza rispetto alle proprie specifiche necessità (l’analisi dei rischi di cui sopra aiuta in questo). Si ricorda anche che, qualora l’azienda sia Responsabile del Trattamento verso uno o più Titolari, deve informare ed essere autorizzata all’introduzione di nuovi subresponsabili (limitatamente ai trattamenti svolti per conto dei titolari).
Istruzioni e formazione
Fondamentale, nel nuovo contesto lavorativo, è che siano definite modalità precise su come lavorare da remoto.
Nelle aziende strutturate dove già esisteva un regolamento per l’utilizzo dei sistemi informatici, esso deve essere adeguato con l’introduzione delle nuove modalità, in particolare qualora si permetta l’utilizzo dei dispositivi (computer e smartphone) personali. I temi da trattare sono quelli già citati nell’articolo ricordato in cima. Probabilmente le piccole aziende, le associazioni del terzo settore o di volontariato, etc, non hanno un tale regolamento; purtroppo questa è l’evidenza che un tale documento serve non per aumentare la burocrazia, ma per fornire in modo organico le informazioni necessarie quando servono.
In alternativa o in aggiunta al regolamento, le istruzioni e le nomine degli addetti (ex art. 29 del GDPR) devono essere aggiornate e quindi reinviate agli stessi (per esempio: via posta elettronica con richiesta di conferma della ricezione). L’aggiornamento deve contenere le eventuali nuove mansioni assegnate, e le nuove istruzioni operative o il riferimento a dove trovarle (quindi al regolamento di cui sopra o ad altra documentazione applicabile, come manuali operativi). Queste nuove istruzioni, qualsiasi forma esse prendano, non devono dimenticare di includere le linee guida per la getione della documentazione cartacea, sia essa stata presa in consegna dall’ufficio o stampata a casa: è bene prevedere i tempi di conservazione ammessi, la loro custodia (in particolare, rispetto agli altri familiari presenti in casa), e le modalità di distruzione.
Infine, si sottolinea l’opportunità di tenere delle sessioni formative (ovviamente online) che includano almeno la presentazione delle nuove istruzioni, nonché le basi di sicurezza informatica necessarie (anche se si auspica che sia un tema già trattato in passato, in tempi pre-epidemia).
Data Breach
Non ci sono state, né ha senso che ci siano in futuro, deroghe alla gestione delle violazioni di dati personali (“data breach”), per cui i tempi massimi di notifica al Garante rimangono di 72 ore. Ciò comporta che deve essere posta ulteriore attenzione alla procedura di gestione dei data breach (che si ricorda essere sostanzialmente obbligatoria per tutti) ed alla sua applicazione al personale che lavora da remoto, per tenere presente le inevitabili difficoltà aggiuntive nelle comunicazioni tra le persone (che sono soprattutto tra i massimi livelli aziendali) coinvolte; anche in considerazione che le probabilità di un data breach in condizione di smart working aumentano considerevolmente (ed ancor di più se si permette l’utilizzo di dispositivi personali).
Conclusioni
Così come si è evidenziato nell’altro articolo dedicato all’argomento, risulta evidente che molte di queste attività, obbligatorie per legge, contrastano fortemente con i tempi a disposizione, e che quindi sarebbero dovute essere già predisposte in tempi precedenti all’emergenza. Nonostante ciò, è necessario procedere ora alla loro effettuazione il più velocemente possibile.
LabPrivacy RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
