• Non ci sono risultati.

Circolare n. 2 su Smartworking e trattamento dei dati personali

N/A
N/A
Info
Scarica
Protected

Academic year: 2022

Condividi "Circolare n. 2 su Smartworking e trattamento dei dati personali"

Copied!
8
0
0

Caricamento.... (Visualizza il testo completo ora)

Scarica adesso ( 8 pagine )

Testo completo

(1)

MILANO Partners Avv. Nicola TILLI Avv. Miriam POLINI Avv. Fabio ZANATI Avv. Alessandro ANZANI Collaboratori

Avv. Luca QUARANTINI Avv. Giovanna BELLO Avv. Anna SIANI Dott. Tommaso LI MANDRI Rag. Marzia GIURATO Of counsel

Avv. Marco MAGLIO Prof. Avv. Gabriele MARRA Avv. Luigi PAGANI Dott. Serafino RUSCICA Avv. Simone FACCHINETTI

Main offices in Milano & Roma

A tutti i destinatari interessati

Circolare n. 2 su Smartworking e trattamento dei dati personali

Milano, up date 27 marzo 2020

A seguito della situazione contingente legata al rischio epidemiologico, sono stati pubblicati vari provvedimenti normativi emergenziali che riferiamo.

Inizialmente era intervenuto il Decreto Legge n. 6/2020 ora abrogato dal D.L. 25 marzo 2020 n. 19 (tranne due articoli – art. 3 co. 6 bisd e art. 4).

Sono poi intervenuti anche i D.P.C.M. 8 marzo 2020, D.P.C.M. 9 marzo 2020, D.P.C.M. 11 marzo 2020 e D.P.C.M. 20 marzo 2020 nonché due D. M Salute del 20 e 22 marzo con indicazioni alla cittadinanza sui doveri comportamentali individuali connessi alla situazione contingente.

E’ stato redatto anche un Protocollo tra le parti sociali del 14 marzo 2020 (misure per il contrasto e il contenimento del virus COVID – 19 negli ambienti di lavoro).

(2)

Ovviamente per completezza in tutto ciò si inquadra anche il decreto più amplio (cd.

Decreto “Cura Italia”) D. L. 17 marzo 2020 n. 18 che riguarda i temi di sostegno economico al paese.

Con questo quadro si è provveduto ad attuare la modalità di lavoro agile (d’ora in avanti

“Smart working”) disciplinata dagli articoli da 18 a 23 della legge 22 maggio 2017, n. 81, per la durata dello stato di emergenza.

Dalle indicazioni appare inevitabile un aggiornamento aggiuntivo dell’informativa privacy rilasciata ai dipendenti in quanto l’informativa base non poteva certo ricomprendere elementi specifici relativi alla odierna situazione contingente.

E’ ulteriormente da indicare che la normativa va coordinata con quanto di pertinenza degli amministratori di sistema e del responsabile IT in quanto l’attività lavorativa in modalità di smart working, al fine della corretta gestione dei dati personali evoca anche una corretta gestione di conformità dei modelli Cybersecutity che devono essere adeguatamente potenziali (se già non lo fossero) dato che si tratta di traffico e di flussi dati che viaggiano in Rete tra molteplici terminali aziendali e/o anche privati.

Tornando all’ipotesi di informativa aggiornata da rilasciare, da parte del Titolare occorrerà quindi porre attenzione alle seguenti tematiche:

a) fornitura di strumentazione tecnologica:

✓ Smartphone

✓ Auricolare

✓ Tablet

✓ Notebook

b) di converso, autorizzazione ad utilizzare strumentazione tecnologica personale a determinate garanzie e condizioni.

(3)

c) attuazione delle misure di sicurezza predisposte dal Titolare per fronteggiare i rischi connessi all’esecuzione della prestazione in modalità remoto che permettono di accedere ai Sistemi aziendali.

Attenzione: a nulla possono avere esimenti derivanti dalla situazione di emergenza sanitaria, perché non vi è connessione alcuna tra le necessità di salute pubblica attuali e la carenza organizzativa-strutturale interna in materia di cyber-sicurezza o tecnologie aziendale che consentano il lavoro da remoto che dovevano essere predisposte a regime e che ora vanno unicamente implementate.

Attraverso le indicazioni avute, l’interessato è tenuto ex adverso a:

a) osservare le disposizioni e le istruzioni impartite dal Titolare con riferimento alla Protezione dei dati personali;

b) utilizzare correttamente le attrezzature di lavoro, Smartphone, Auricolare, Tablet, Notebook, sim dati, forniti da Titolare o dallo stesso autorizzati;

c) solo se previamente autorizzati dal Titolare, utilizzare correttamente i propri dispositivi personali per accedere ai Sistemi aziendali, ivi incluse le connessioni di rete (ADSL, WiFi, ecc).

Per evitare danni e potenziali conseguenze derivanti dalla presenza di virus informatici sui sistemi informativi utilizzati per il trattamento dei dati personali il Titolare può autorizzare l’istallazione di software antivirus, il cui scopo è proprio quello di rilevare la presenza di virus e contemporaneamente di bloccarli e quindi eliminarli dal sistema, riducendo allo stesso tempo il rischio che il virus possa cagionare danni al sistema, ai software installati e ai dati trattati;

(4)

d) non compiere di propria iniziativa operazioni che possano compromettere il sistema informatico aziendale e la Protezione dei dati personali aziendali.

e) non rimuovere o modificare senza autorizzazione i dispositivi di sicurezza, antivirus, istallati su PC portatili, dispositivi mobili, smartphone, sim dati;

f) non utilizzare sistemi personali, neppure per leggere la posta elettronica, ma ricorrere sempre a dispositivi forniti dal Titolare. Non procedere all’auto-installazione di nuovo software o di aggiornamento hardware ma informare il Titolare che valuterà l’opportunità di autorizzare l’upgrade della macchina e/o dell’installazione del nuovo applicativo;

g) il servizio e-mail è considerato uno strumento di lavoro, al pari del telefono cellulare.

Pertanto, deve esserne fatto uso appropriato, che non esuli dal contesto lavorativo in cui si opera.

h) evitare l’uso dei social network, o altre applicazioni social facilmente hackerabili;

i) astenersi dal creare nuove autonome banche dati senza preventiva autorizzazione del Titolare;

j) Non è permessa la copia su supporti rimovibili (cd/dvd, chiavette USB, hard disk, etc.) di dati personali, se non nei casi previsti e autorizzati dal Titolare, al fine ridurre al minimo il rischio di perdita o distruzione anche accidentale dei dati personali ivi conservati.

Nel caso in cui per lo svolgimento dell’attività lavorativa sia indispensabile effettuare una copia di dati personali su supporti rimovibili, occorre attenersi alle seguenti prescrizioni:

✓ utilizzare solo ed esclusivamente supporti forniti dall’Azienda e/o supporti personali solo previa autorizzazione preventiva della stessa Azienda Titolare;

✓ accertarsi che il supporto rimovibile sia debitamente formattato e privo di altri file,

(5)

di dubbio, è necessario provvedere alla formattazione ex novo del supporto, prima di registrare ulteriori dati personali;

✓ qualsiasi supporto rimovibile deve essere contrassegnato da un’etichetta, con una indicazione in chiaro od in codice, tale da permettere di riconoscere immediatamente il contenuto del supporto in questione, ed evitare che si possa confondere con altri supporti in possesso al fine di facilitare la procedura di identificazione del supporto smarrito per l’eventuale segnalazione di un possibile Data Breach;

✓ i supporti rimovibili contenenti dati personali devono essere sempre direttamente e personalmente custoditi;

✓ qualora i dati contenuti su supporti rimovibili non abbiano più ragione di essere conservati, si deve provvedere immediatamente alla formattazione dei supporti;

✓ poiché i supporti rimovibili potrebbero essere danneggiati da campi magnetici, per evitare la perdita anche accidentale dei dati, tali supporti non devono mai essere avvicinati ad un campo magnetico;

✓ assicurarsi che non rimangano incustoditi i supporti di memorizzazione che contengano dati personali. Se il supporto viene smarrito o rubato dovrà essere immediatamente avvisato il Titolare/Responsabile e il DPO.

k) evitare il collegamento a reti non sicure o sulle quali non si abbiano adeguate garanzie;

l) segnalare immediatamente al Titolare e al DPO qualsiasi eventuale condizione - di pericolo per la protezione dei dati,

- di violazioni di dati personali (di seguito anche “data breach) scrivendo all’indirizzo mail:___________________, indicando:

• una breve descrizione della violazione, ivi incluso se la violazione sia logica o fisica (es.

smarrimento di dispositivi o di supporti portatili) dei dati personali;

(6)

• l’indicazione della data anche presunta della violazione, e del momento della sua scoperta;

• l’indicazione del luogo in cui è avvenuta la violazione dei dati, anche nel caso in cui essa sia avvenuta a seguito di smarrimento di dispositivi o di supporti portatili;

• l’indicazione della natura e del contenuto dei dati, anche solo presumibilmente coinvolti;

• le categorie e il numero approssimativo di interessati presumibilmente coinvolti;

• le categorie e il numero approssimativo di registrazioni dei dati personali presumibilmente violati;

• una sintetica descrizione dei sistemi di elaborazione o di memorizzazione dei dati coinvolti, con indicazione della loro ubicazione;

• le azioni intraprese per gestire e porre rimedio alla violazione.

m) non lasciare incustoditi e accessibili a terzi gli strumenti elettronici, prima di aver provveduto alla messa in sicurezza dei dati;

n) non adottare condotte che possano generare rischi per la tutela e protezione dei dati personali;

o) mantenere la massima riservatezza sui predetti dati e informazioni aziendali e non svolgere l’attività in aree e/o con presenza di altre persone che potrebbero venire a conoscenza di dati personali e informazioni riservate. A tal fine mettere, pertanto, in atto tutte le precauzioni che consuetamente si adottano svolgendo attività outdoor;

p) una volta terminati i lavori spegnere le attrezzature e riporle in luogo sicuro;

q) custodire e non divulgare il codice di identificazione personale (username) e la password di accesso agli strumenti elettronici;

(7)

r) in caso di perdita del dispositivo o di accesso da parte di terzi non autorizzati informare immediatamente il Titolare e/o il Responsabile;

s) in caso di impiego di tablet e smartphone per rispondere a chiamate vocali prestare attenzione alla presenza di terzi non autorizzati che potrebbero venire a conoscenza di dati personali aziendali evitando di tenere il volume su livelli elevati e prediligendo l’utilizzo dell’auricolare;

t) spegnere il dispositivo quando può causare situazioni di pericolo.

Gli obblighi relativi alla riservatezza dei dati a cui si ha accesso nel corso dell’espletamento delle proprie mansioni lavorative in modalità smart working devono essere scrupolosamente osservati.

Preme ricordare a tal proposito che, l’utilizzo per scopi personali o comunque per fini non legittimi dei dati personali ai quali si ha accesso nell’esecuzione delle proprie attività lavorative, anche nel caso in cui non si generi un danno e/o una connessa responsabilità in capo al Titolare ai sensi della legge applicabile, non è consentito e potrebbe comunque comportare l’applicazione di sanzioni disciplinari.

Nel caso in cui, invece, non sia possibile adottare lo smartworking, è suggeribile che il datore di lavoro rilasci ai lavoratori una certificazione attestante la necessità che la prestazione lavorativa venga resa presso la sede aziendale, indicando che in assenza potrebbe esservi pregiudizio per la necessaria continuità produttiva (o organizzativa) aziendale.

Il DPO ha il potere/dovere di vigilare sull’intero sistema di assessment e sulle relative peculiarità introdotte nella situazione contingente descritta e di collaborare attraverso un utile confronto a quanto sopra indicato.

Cordiali saluti

(8)

Riferimenti

Scarica adesso ( PDF - 8 pagine - 238.44 KB )

Documenti correlati

ACCORDO SUL TRATTAMENTO DEI DATI PERSONALI

10.1 La responsabilità di ciascuna delle Parti derivante da o correlata al presente DPA e tutti i DPA in essere tra le Affiliate e Mapp, sia essa una responsabilità di natura

INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI

I Suoi dati personali potranno possono essere trattati, senza la necessità del Suo consenso, per finalità connesse al perseguimento dei nostri legittimi interessi,

INFORMATIVA AL TRATTAMENTO DEI DATI PERSONALI

Prima di procedere al trattamento dei dati, come richiesto dal Regolamento Generale sulla Protezione dei Dati Personali dell'UE (GDPR 2016/679, Articolo 13), si informa che i

informativa sul trattamento dei dati personali

Come indicato sopra, la Camera di commercio di Torino può avvalersi, anche per il tramite dei propri Responsabili del trattamento, di società di servizi IT e di

Titolare del Trattamento Il titolare del trattamento dei dati personali è

g) opporsi ad un processo decisionale automatizzato relativo alle persone siche, compresa la profilazione. h) chiedere al titolare del trattamento l’accesso ai dati personali e

UNI. copia. Dati personali. Dati sensibili. Finalità. del trattamento. Modalità del. trattamento. Titolare del. trattamento.

Gli intermediari non devono acquisire il consenso degli interessati per il trattamento dei dati in quanto previsto dalla legge, mentre sono tenuti ad acquisire il consenso

Applicazione: Trattamento Dati Personali

Per poter adempiere alle disposizioni normative in materia di protezione dei dati personali, l'Istituto ha realizzato una applicazione finalizzata al censimento e alla

L’INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI

Tale principio riguarda, in particolare, l'informazione degli interessati sull'identità del titolare del trattamento e sulle finalità del trattamento e ulteriori informazioni