Portale Lavoratori
La privacy in azienda coma va gestita?
Il tema della privacy ha assunto un'importanza sempre maggiore negli ultimi anni, in particolare dopo la pubblicazione del Regolamento Generale Sulla Protezione Dei Dati (Regolamento UE 2016/679), più noto come GDPR. Ormai le persone sono sempre più connesse attraverso i propri dispositivi tecnologici e giornalmente immettono una quantità impressionante di dati su software e siti.
Che importanza ha la gestione dei dati e della privacy sul posto di lavoro? Come vengono trattate le informazioni personali dei lavoratori? Approfondiamo l'argomento in questo articolo.
Trattamento dei dati nelle aziende
Il trattamento dei dati non è solo interesse dei dirigenti e dei lavoratori interni alle aziende, ma anche dei clienti. Al giorno d'oggi, chiunque entri in contatto con una azienda, tramite web o contratto, deve fornire una serie di dati personali sensibili. Purtroppo, sono ancora molte le attività e i professionisti che non si sono adeguati alla normativa vigente e che non si rendono conto dei rischi che corrono, oltre che dell'importanza di tutelare i dati delle persone con cui vengono a contatto.
Queste aziende disattente, non comprendono ancora che gli attacchi informatici sono all'ordine del giorno e che i malintenzionati potrebbero accedere agli archivi rubando documenti molto importanti, utilizzandoli a proprio favore.
Il primo articolo del Decreto Legislativo 30 giugno 2003, n. 196, meglio conosciuto come Codice in materia di protezione dei dati personali, dice chiaramente che chiunque ha diritto alla protezione dei dati personali che lo riguardano. Non si tratta quindi di un argomento che suscita interesse da poco tempo, con la diffusione radicale di internet, ma che veniva affrontati già quasi vent'anni fa. Inoltre, non è un aspetto della legge che si può sottovalutare: se dei malintenzionati sfruttano delle informazioni personali senza consenso si rischia di mettere in pericolo il loro possessore.
Il trattamento dei dati personali deve essere svolto nel rispetto dei diritti e delle libertà fondamentali, in modo da garantire la dignità, ma anche la riservatezza, l'identità e la protezione dell'individuo.
Chi è il responsabile del trattamento dei dati in azienda
Il responsabile dei dati raccolti da una azienda è nelle mani del datore di lavoro. Le informazioni sui clienti, sui visitatori dell'impresa, ma anche sui dipendenti sono da lui raccolte, gestite ed elaborate. L'azienda viene considerata Titolare del trattamento, ma essa è sempre e comunque rappresentata dalla persona che di più la conosce, appunto, il datore di lavoro.
Tra i suoi obblighi ci sono quindi quello di tutela dei diritti e delle libertà del proprietario dei dati, nonché la comunicazione esplicita del tipo di trattamento degli stessi. Egli deve quindi occuparsi del processo di adeguamento al GDPR mediante quelle attività che analizzeremo meglio nel prossimo paragrafo.
Come effettuare l' adeguamento alla normativa in materia di privacy in azienda
Le aziende hanno innanzitutto l' obbligo di individuare al loro interno tutte quelle attività che richiedono la raccolta e il trattamento di dati personali. Una volta individuate queste attività, come per esempio la sottoscrizione di un utente al sito aziendale o la condivisione di un documento di identità al momento dell'ingresso nella sede dell'impresa, è fondamentale individuare delle strategie adeguate per la tutela dei dati.
A questo punto, vogliamo fare una precisazione: è vero che ci sono delle aziende che palesemente si devono occupare della gestione dei dati di clienti, fornitori ecc. ma non è detto che altre imprese non debbano aderire alla normativa. Per esempio, è chiaro che una software house o un'agenzia di marketing utilizzi molti più dati rispetto a un negozio che si occupa di vendita di alimenti o articoli di qualsiasi tipo.
Tuttavia, anche piccole imprese di questo tipo presentano dipendenti e fornitori, i quali devono condividere spesso le proprie informazioni. Ed ecco che anche un piccolo negozio si ritrova fra le mani un insieme di dati da trattare.
Quando si sono individuate le attività che richiedono l' acquisizione di informazioni sensibili, è il momento di analizzarne le caratteristiche: quale strumento si usa per raccoglierle? Quali sono le finalità? Chi leggittima il titolare al trattamento dei dati? Per quanto tempo vengono conservate queste informazioni?
Per rispondere a queste domande è necessario analizzare i documenti di raccolta dei dati, verificare le finalità, così come il sistema di archiviazione degli stessi.
Valutazione dei rischi
La valutazione dei rischi non è qualcosa che interessa solo la sicurezza degli ambienti di lavoro, ma anche il monitoraggio della gestione dei dati. In questa fase è necessario comprendere a fondo le conseguenze di un uso scorretto delle informazioni raccolte (in caso di perdita, condivisione a terzi non autorizzati, modifica...) e individuare delle misure di sicurezza volte alla tutela di chi le ha fornite.
Questa fase non è solo utile per tutelare l' interessato che ha fornito i dati, ma anche per rispettare la legge ed evitare pesanti sanzioni.
L'adeguatezza delle misure di sicurezza è lasciata alla responsabilità del titolare del trattamento, che dovrà adottare le precauzioni più opportune per la sua impresa.
Potrebbe interessarti: che cos'è il documento di valutazione dei rischi?
Quali sono le misure da adottare per la tutela della privacy
Come abbiamo già accennato, i cyber attacchi sono all'ordine del giorno e le ditte devono potersi proteggere. Una misura da adottare è sicuramente un potente antivirus, un firewall e password affidabili all'accesso di tutti i programmi più vulnerabili. Altra misura di cui oggi non si può più fare a meno è il backup che consente di salvare tutto ciò che si ritiene importante, in modo da non perderlo in caso di hackeraggio.
Altra misura che tutti ormai conosciamo, perché siamo entrati in contatto almeno una volta con essa, è l'adozione di un consenso per la privacy (privacy policy). Si tratta di un documento informativo che illustra i metodi di gestione dei dati da parte del titolare. L' informativa deve essere letta e accettata, come previsto dal GDPR.
Cosa deve contenere il consenso sulla privacy? Ecco i contenuti obbligatori: chi è il titolare, chi è il RPD, di cui parleremo tra poco, quali sono le finalità della raccolta, chi sono i soggetti a cui verranno comunicati i dati, per quanto tempo verranno conservati, le modalità di cancellazione degli stessi. I documenti devono essere personalizzati in base agli interessati e ai titolari, non è possibile usare consensi per la privacy di altri professionisti o ditte.
Altra misura di sicurezza è la nomina di un Responsabile della protezione dei dati (RPD) o Data Protection Officer (DPO). La nomina di questa figura non è sempre obbligatoria, tranne che in caso in cui il trattamento sia effettuato da un’autorità pubblica o da un organismo pubblico, avvenga un monitoraggio regolare e sistematico degli interessati su larga scala oppure se vengono trattati interessati appartenenti a categorie particolari (articolo 9 e 10 del GDPR).
Infine, è necessario che i dipendenti o chiunque entri in contatto con i dati affronti un percorso di formazione adeguato per comprendere rischi e misure di sicurezza circa la tutela della privacy.
Scritto da Paolo Calderone
https://www.linkedin.com/in/paolo-calderone/
Professionista con più di 25 anni di esperienza maturati nell’ambito della gestione dei servizi di medicina, formazione e sicurezza sul lavoro, fornisce consulenza alle Aziende che desiderano tutelarsi da tutte le sanzioni in cui si potrebbe incorrere a causa del vasto quadro normativo concernente la sicurezza sul lavoro (D.Lgs 81/08). Docente dei corsi di formazione per le figure professionali previste dal D.lvo 81/08.
Tutte le news Per utilizzare questa funzionalità di condivisione sui social network è necessario accettare i cookie della categoria 'Marketing'