Un recente sondaggio effettuato da Federprivacy tra i suoi soci, che seguiva una ricerca fatta invece a livello mondiale, ha evidenziato che Whatsapp, ma anche altre soluzioni di messaggistica istantanea, vengono largamente utilizzate in ambito lavorativo per lo scambio di dati, anche sensibili. Ma è corretto ciò dal punto di vista della normativa sui dati personali (ma non solo)? Analizziamo la questione.
Comunicazione dati come trattamento
Alla luce della definizione contenuta al c. 2 dell’art. 4 del Regolamento UE (GDPR), la comunicazione fa parte delle operazioni che costituiscono in tutto o in parte un trattamento. Questo significa che ogni tipo di trasmissione di qualsiasi dato personale sotto qualunque forma deve essere considerato un trattamento e di conseguenza entrano in gioco tutti gli adempimenti previsti, in primis il rispetto dei principi di privacy by design e by default, l’analisi dei rischi e le misure di sicurezza.
Ciò vale a prescindere dalle modalità di comunicazione, ma l’oggetto di questo articolo è focalizzato sulla trasmissione digitale tramite messaggi testuali, a cui possono essere allegati dei file: in questa categoria rientrano tutti gli strumenti di posta elettronica (inclusa la PEC), gli SMS e gli MMS, le chat, la c.d. messaggistica istantanea, etc (quindi: tutti i servizi e programmi di email; Whatsapp e Messenger; Telegram, Signal, WeChat, etc; tutte le chat private o di gruppo presenti all’interno di social network come per es. Twitter o strumenti di collaborazione come per es. Teams o app di videochiamata come FaceTime o Skype).
L’analisi dei rischi
Tutti questi sistemi e strumenti si autodichiarano rispettosi della privacy, intendendo con ciò che solo mittenti e destinatari legittimi sono in grado di vedere le comunicazioni. Ma a parte il problema che tale dichiarazione è appunto autoprodotta (non in tutti i casi è possibile verificarla), ciò risolverebbe solo una parte della questione. Infatti, com’è noto, per tutti i trattamenti si devono garantire riservatezza, integrità, disponibilità e resilienza (art. 32, c.1, lett. b). Inoltre. l’utilizzo effettivo di tali strumenti spesso non si limita alla sola trasmissione, ma anche alla conservazione (illimitata, ahimé) dei dati.
Quindi:
- Le riservatezza deve essere garantita sia “lungo il percorso” che agli estermi della comunicazione, in particolare i dispositivi di mittente e destinatari;
- L’integrità deve essere garantita sia al momento e lungo la trasmissione, ma anche in seguito se la comunicazione viene conservata (ed ovunque sia conservata);
- La disponibilità deve essere garantita in relazione alla criticità della comunicazione rispetto ad un possibile ritardo, breve o lungo che sia;
- La resilienza deve essere garantita in relazione a tutte le altre operazioni/trattamenti sugli stessi dati oggetto della trasmissione (cosa accade se non è possibile la trasmissione al momento voluto?).
I problemi di sicurezza
Gli strumenti in questione presentano delle problematiche intrinseche che devono essere tenute in conto durante l’analisi dei rischi (in particolare, nella valutazione della probabilità del verificarsi di una minaccia).
La posta elettronica è basata su un protocollo completamente insicuro, nel senso che la comunicazione avviene “in chiaro” ed è facilmente e completamente intercettabile.
SMS e MMS sono ugualmente intercettabili, anche se meno facilmente per via della differente infrastruttura; comunque tutto ciò che è basato sulle SIM di comunicazioni mobili è soggetto alle minacce di swapping, cioè di dirottamento verso altre SIM (sfruttando le procedure di portabilità del numero).
I servizi di messaggistica istantanea più diffusi sono gratuiti, ed alcuni basano le proprie entrate su raccolta e vendita di dati, spesso personali, degli utilizzatori. Inoltre, i servizi sono quasi tutti basati (cioè: i computer che li rendono possibili si trovano) fuori dell’Unione Europea, il che rende complesso da parte loro conformarsi alla normativa europea, e per gli utilizzatori far eventualmente valere i propri diritti.
I software che permettono l’utilizzo di questi servizi mantengono spesso i dati in un’area di memoria del dispositivo su cui sono installati, senza che l’utente se ne renda conto. Tali dati possono essere facilmente acceduti da altri software presenti sullo stesso dispositivo (non solo virus: molte app che sembrano legittime includono proprio questo tipo di funzionalità), a meno che non siano protetti con metodi crittografici, che però devono essere sicuri (algoritmi noti con chiavi di lunghezza adeguata).
Infine, fare affidamento unicamente su un dato servizio comporta il rischio che se esso per qualsivoglia motivo “sparisca”, con esso possono sparire anche i nostri dati (o semplicemente la capacità di accedervi).
Ma quindi si possono usare?
Non esiste un divieto assoluto all’utilizzo di questi strumenti di comunicazione, ma esiste di fatto il divieto di utilizzo indiscriminato, cioè senza limiti. Secondo il principio di accountability, la definizione di tali limiti sono in capo al Titolare del Trattamento, utilizzando l’approccio basato sul rischio. È francamente impensabile vietare completamente la posta elettronica, ed in parte anche le chat, poiché le necessità di comunicazione e collaborazione sono ineluttabili.
L’approccio corretto è quindi quello di individuare le necessità di comunicazione dell’organizzazione (includendo anche le tipologie di dati che devono essere trasmessi), e di conseguenza individuare gli strumenti adeguati, sia rispetto alle funzionalità richieste che alla sicurezza. Il risultato di questo lavoro comporterà probabilmente di privilegiare strumenti di tipo collaborativo (che, in sostanza, si basano su protocolli crittografati e definizione di privilegi di accesso ai dati) rispetto agli strumenti di comunicazione vera e propria, che possono però continuare ad essere utilizzati per messaggi che non contengano informazioni sensibili (non solo dati personali: anche dati economici/finanziari o tecnici). La scelta poi del servizio specifico deve assolutamente includere la valutazione delle condizioni contrattuali, con particolare attenzione al riutilizzo dei dati raccolti, alla disponibilità di backup e/o ridondanze, alla possibilità di impostazioni personalizzate; in questo senso, è decisamente improbabile che servizi gratuiti offrano garanzie sufficienti.
Cosa bisogna fare:
Quindi, la prima e indispensabile cosa da fare è decidere come devono avvenire le comunicazioni interne (tra persone della stessa organizzazione) ed esterne (tra persone di organizzazioni diverse); considerando che uno stesso strumento può essere lecito/accettabile per certi tipi di comunicazioni e non per altri (dipendendo dal contenuto, oppure dal destinatario). In questo passaggio deve essere inclusa l’analisi dei rischi con eventuale estensione a Valutazione di Impatto (DPIA).
Una volta stabilite le modalità di comunicazione, esse devono essere documentate e rese note a tutti coloro che devono usarla. Quindi: il trattamento (o comunque quello di cui la trasmissione fa parte) deve essere citato nel Registro dei trattamenti, con tutte le informazioni richieste ma anche, se del caso, altre aggiuntive; e le modalità stabilite devono essere parte di un manuale o di una direttiva applicabile a tutti coloro che nell’organizzazione partecipano a quei trattamenti, e in aggiunta è assolutamente opportuna una sessione di formazione che renda tutti consapevoli dell’esistenza e della comprensione di tali manuali/direttive e relative sanzioni disciplinari.
Le nomine per gli addetti e per i responsabili del trattamento potrebbero dover essere aggiornate, soprattutto nella parte delle istruzioni (questo sicuramente vale per i responsabili, mentre per gli addetti dipende dalla presenza o meno dei manuali/direttive sopra citate).
Infine, una possibile conseguenza di queste scelte riguarda la necessità di dotare i lavoratori di dispositivi aziendali, o di obbligare all’installazione sui dispositivi personali di strumenti dedicati di sicurezza: nel primo caso, occorrerà comunque avere dei verbali di consegna dei dispositivi e istruzioni dedicate; e poi, in entrambi i casi, occorrerà valutare se ricorrono le condizioni di possibile monitoraggio remoto dei lavoratori, per le quali è obbligatorio l’accordo sindacale o l’autorizzazione amministrativa ai sensi dello Statuto dei Lavoratori.
LabPrivacy RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.