Questo periodo di lock down dovuto alla pandemia da Covid-19 le Autorità di Sorveglianza in Europa hanno cercato di aiutare le organizzazioni a implementare soluzioni digitali per continuare a lavorare da remoto e in sicurezza.

La necessità di restare operativi anche con il personale a casa ha rappresentato una sfida sia per l’organizzazione del personale, perché la gestione di un team remoto è diversa dalla gestione dei dipendenti in presenza, sia per la sicurezza dei dati personali e compliance GDPR.

Le pronunce si sono focalizzate su diversi aspetti:

• Raccolta dei dati sanitari dei dipendenti per garantire la sicurezza sul luogo di lavoro
• Implementazione di soluzioni di smart working
• Consigli per la didattica online
• Utilizzo di App sulla salute

In questo post mi soffermerò sui primi due punti, rinviando a un altro post, le pronunce sulla didattica online e le app legate alla salute.

EDPB e trattamento dei dati personali durante l’emergenza

Il 19 marzo 2020 l’European Data Protection Board (EDPB) ha adottato una risoluzione sul trattamento dei dati durante l’emergenza da Covid-19 ricordando che:

“anche in questi momenti eccezionali, titolari e responsabili del trattamento devono garantire la protezione dei dati personali degli interessati. Occorre pertanto tenere conto di una serie di considerazioni per garantire la liceità del trattamento di dati personali e, in ogni caso, si deve ricordare che qualsiasi misura adottata in questo contesto deve rispettare i principi generali del diritto e non può essere irrevocabile. L’emergenza è una condizione giuridica che può legittimare limitazioni delle libertà, a condizione che tali limitazioni siano proporzionate e confinate al periodo di emergenza.”

La necessità di identificare i contagiati e mappare i contatti per circoscrivere il contagio è evidentemente una limitazione alla libertà delle persone che appare giustificata dall’emergenza sanitaria.

Al tempo stesso, ricorda l’EDPB, questo trattamento dovrà essere circoscritto al solo tempo dell’emergenza, onde scongiurare il pericolo dell’introduzione di sistemi di sorveglianza di massa che si protraggano anche una volta scomparsa l’emergenza.

In proposito, sul trattamento dei dati vengono ricordati una serie di punti:

Liceità del trattamento

Il GDPR riconosce la possibilità per le autorità sanitarie pubbliche e i datori di lavoro di trattare i dati sanitari senza il consenso dell’interessato in caso di motivi di interesse pubblico rilevante nel settore della sanità pubblica.

Trattamento da parte delle autorità sanitarie: viene riconosciuta la competenza degli stati membri

Trattamento da parte dei datori di lavoro: la base giuridica del trattamento può essere individuata nell’adempimento di un obbligo legale da parte del datore di lavoro (sicurezza dei luoghi di lavoro o perseguimento di un interesse pubblico come il controllo di malattie e minacce di natura sanitaria).

Il GDPR prevede anche deroghe rispetto al divieto di trattare le particolari categorie di dati personali di cui all’articolo 9 GDPR (sanitari, politici, sindacali, orientamento sessuale, religioso ecc) per:

• motivi di interesse pubblico nel settore della sanità (art. 9.2, lett i),
• sulla base del diritto dell’Unione o nazionale o
• laddove vi sia la necessità di proteggere gli interessi vitali dell’interessato (articolo 9.2.c), poiché il considerando 46 fa esplicito riferimento al controllo di un’epidemia.

Tracciamento

Per quanto riguarda il trattamento dei dati nelle telecomunicazioni, come i dati sull’ubicazione, viene richiamato il contenuto della direttiva e-Privacy (che deve essere rispettata).

Tuttavia, l’articolo 15 della stessa direttiva consente alle legislazioni nazionali di introdurre deroghe per salvaguardare la sicurezza pubblica a condizione che siano:

• necessarie
• adeguate
• proporzionate
• nel contesto di una società democratica.

Questi criteri sono richiamati anche per quanto riguarda gli strumenti di tracciamento per monitorare i contatti dei soggetti risultati positivi al Covid-19 di cui si sta discutendo in questi giorni.

L’EDPB chiarisce che gli stati membri devono privilegiare le soluzioni che anonimizzano i dati e – laddove non fosse possibile anonimizzare i dati – scegliere le soluzioni meno intrusive, tenuto conto dell’obiettivo da raggiungere.

Viene chiarito che il tracciamento può essere considerato proporzionato in circostanze eccezionali e a seconda delle modalità concrete di tracciamento. Tuttavia, viene ribadito che occorre prevedere un controllo rafforzato e il rispetto dei principi in materia di protezione dei dati personali. In particolare:

• proporzionalità della misura in termini di durata e portata,
• ridotta conservazione dei dati,
• rispetto del principio di limitazione della finalità

Trattamento dei dati da parte dei datori di lavoro

Per quanto riguarda i rapporti di lavoro, la disciplina viene rinviata agli stati membri, ricordando ai datori di lavoro di rispettare i principi di minimizzazione e proporzionalità, chiedendo solo i dati consentiti dalla legislazione nazionale.

Laddove sia necessario comunicare a terzi il nome e il cognome di dipendenti contagiati, nell’ambito di un sistema di prevenzione disciplinato dalla normativa nazionale, ciò dovrà avvenire tutelando la dignità e integrità dei dipendenti coinvolti.

I consigli dell’Autorità francese (CNIL) su smart working e telelavoro

Il CNIL ha emanato una guida che trovate qui in lingua originale, per aiutare i lavoratori che si trovano a casa a improvvisare soluzioni di lavoro remoto rispetto al loro ufficio. Essendo consigli molto utili, mi sento di condividerli e li ho tradotti in italiano.

Consigli per i dipendenti

1. Seguire le direttive del datore di lavoro: se la vostra organizzazione ha una policy per il telelavoro, seguitela. Altrimenti, utilizzate i vostri strumenti informatici in modo consapevole e responsabile, non fate mai a casa ciò che non fareste a lavoro (ad esempio visitare siti internet pericolosi mentre trattate dati di lavoro).
2. Rendete sicura la vostra connessione internet: verificate la password di accesso alla rete e cambiatela rispetto a quella data dal vostro operatore. Aggiornate il router se necessario (in caso di bisogno contattate il vostro operatore telefonico). Se utilizzate il Wi-Fi utilizzate chiavi WPA2 o WPA3 con una password lunga e complessa (almeno una ventina di caratteri), disattivate il WPS e il WiFi hotspot. Collegatevi solo a siti sicuri ed evitate di condividere l’accesso con terzi.
3. Preferite l’utilizzo degli strumenti forniti e controllati dalla vostra azienda. Se avete una VPN aziendale preferitela per lo scambio di dati, rispetto alle email. Connettetevi almeno una volta al giorno alla VPN aziendale per aggiornarla. Disattivate la VPN solo se usate dei servizi estranei all’attività lavorativa che non necessitano di passare dalla rete aziendale come i servizi di streaming video.
4. Se usate un vostro computer, assicuratevi che sia protetto:
   1. Installate un antivirus e un firewall, se usate Windows 10 verificate la protezione al centro di sicurezza;
   2. Utilizzate un account personale con diritti limitati e protetto da una password forte e non condivisa con altre persone (tipo i familiari). Sull’account di lavoro installate solo il software strettamente necessario.
   3. Aggiornate il sistema, i software, i browser
   4. Fate backup regolari del vostro lavoro, preferendo i sistemi aziendali e automatici.
   5. Utilizzate password forti e – se possibile – autenticazione a due fattori (PIN, OTP sul cellulare, autorizzazione via email), usate un sistema di management delle password per conservarle e e gestirle (vengono suggeriti KeePass o ZenyPass)
5. Comunicate in sicurezza
   1. Evitate di inviare dati riservati attraverso sistemi cloud pubblici, condivisi o via messagistica. Al contrario, cifrate i dati e trasmettete la chiave di cifratura attraverso un canale di comunicazione distinto
   2. Installate solo software autorizzato dalla vostra azienda e scaricatelo dai siti ufficiali dei produttori.
   3. Preferite strumenti di comunicazione cifrati
   4. Preferite sistemi di videoconferenza che proteggano la vita privata.
6. Siate vigilanti sui tentativi di intrusione: non vi fidate
   1. Di persone che non conoscete
   2. Di chi vi invia una comunicazione inconsueta (cercate di verificare l’informazione attraverso un altro canale tipo il telefono o SMS)
   3. Di chi cerca di creare uno stato di urgenza o pericolo. Nel caso, utilizzate un altro canale per verificare le informazioni comunicate.

Per ogni dubbio chiamate il vostro amministratore di sistema o il responsabile della sicurezza informatica.

Consigli per i datori di lavoro

1. Rendete sicuro il vostro ambiente informatico
   1. Elaborate una policy sul telelavoro o almeno delle regole minime da far rispettare e comunicatatele ai vostri collaboratori, invitandoli a seguire il vostro regolamento interno.
   2. Se dovete modificare il sistema informatico per consentire il telelavoro (modifica degli accessi, autorizzazione all’accesso a distanza degli amministratori), valutate i rischi e prendete le misure necessarie per diminuirli.
   3. Munite i vostri collaboratori almeno di un antivirus e un firewall e un sistema di antimalware.
   4. Realizzate una VPN per evitare l’accesso diretto sulla Rete. Se è possibile attivate l’autenticazione a due fattori della VPN
2. Se i vostri servizi sono su internet
   1. Utilizzate dei protocolli che garantiscano la riservatezza e l’autenticazione del destinatario (HTTPS) utilizzando le versioni più recenti dei protocolli
   2. Aggiornate la sicurezza dei device e delle soluzioni per il lavoro remoto che utilizzate (VPN, ufficio remoto, messaggistica, videoconferenze, ecc)
   3. Utilizzate l’autentificazione a doppio fattore.
   4. Verificate gli accessi dai log con regolarità.
   5. Non rendete accessibili da remoto le interfacce dei server o riducetele al minimo per ridurre i rischi di attacco.

Qui trovate la guida in lingua originale: https://www.cnil.fr/fr/les-conseils-de-la-cnil-pour-mettre-en-place-du-teletravail

I consigli dell’Agenzia spagnola per la protezione dei dati

Anche l’AEPD (Agencia Española Protecciòn Datos) ha pubblicato una guida simile a quella del CNIL che potete scaricare qui: https://www.aepd.es/sites/default/files/2020-04/nota-tecnica-recomendaciones-proteger-datos-personales-teletrabajo.pdf

I consigli sono divisi in raccomandazioni per i responsabili del trattamento e quelle per il personale che partecipa alle operazioni di trattamento. In tal senso, le raccomandazioni dell’AEPD sono rivolte anche a organizzazioni che operano in contesto non aziendale (ad esempio il no-profit o i liberi professionisti)

Raccomandazioni per i responsabili del trattamento

1. Definire una politica di protezione dei dati per il lavoro in mobilità
2. Scegliere soluzioni e fornitori di servizi affidabili (con sufficienti garanzie di compliance)
3. Restringere l’accesso ai dati
4. Aggiornare periodicamente la configurazione delle attrezzature e dispositivi utilizzati in mobilità
5. Monitorare gli accessi esterni alla rete dell’organizzazione
6. Gestire razionalmente la protezione dei dati e la sicurezza (fare una valutazione di impatto dei rischi e de dei benefici di una politica di lavoro in mobilità, stabilire procedure per l’accesso ai dati, limitare gli accessi, tenere conto dei principi di privacy by design e by default nella scelta delle soluzioni di accesso remoto)

Raccomandazioni per il personale che partecipa alle operazioni di trattamento

1. Rispettare la politica di protezione dati definita dal titolare;
2. Proteggere il dispositivo utilizzato in mobilità e il suo accesso;
3. Garantire la protezione delle informazioni che si trattano;
4. Salvare le informazioni negli spazi di rete previsti (evitare di salvare i file in locale, su spazi condivisi o pubblici, eliminare periodicamente alcuni file rimasti in locale)
5. Se si sospetta che la riservatezza del dato sia stata compromessa, comunicarlo immediatamente al DPO o al responsabile sicurezza designato.

Spero che l’articolo sia stato utile. Condividetelo se vi va, per ogni dubbio o chiarimento, scrivetemi pure!

Alessandra

Qui trovate invece l’ultimo articolo pubblicato.