Da oltre 50 anni a Pistoia

QUALI DATI PERSONALI TRATTA IL DATORE DI LAVORO?

Il rapporto di lavoro è fonte di un trattamento o anche più trattamenti di dati personali, anche di natura sensibile, tale da renderlo molto delicato e occorre che il titolare del trattamento (azienda o persona fisica) sia edotto dei potenziali rischi che sono insiti a tale trattamento e quindi ponga in essere tutte le misure di sicurezza adeguate.

I PRINCIPI DA RISPETTARE

Il datore di lavoro in qualità di titolare del trattamento deve rispettare i seguenti principi:

• Il principio di necessità – ovvero devono essere trattati solamente i dati strettamente necessari per eseguire la prestazione e il rapporto di lavoro;
• Il principio di esattezza – I dati trattati devono essere esatti e attuali, pertanto qualora il dipendente richieda un accesso agli stessi e/o una modifica il titolare deve adempiere entro massimo un mese dalla richiesta;
• Il principio di trasparenza – questo principio è il cardine di tutto il Regolamento GDPR e si estrinseca attraverso il rilascio della informativa e di eventuali disciplinari interni;

QUALI CONTROLLI SONO VIETATI?

Importante è ricordare che ci sono controlli assolutamente vietati quali indagini sulle opinioni politiche, sindacali o religiose del lavoratore sia nella fase di assunzione che successiva.

E’ consentito invece al datore di lavoro disciplinare l’utilizzo per esempio della rete internet, della posta elettronica ad esempio individuando quali siano i siti web correlati o meno con la prestazione lavorativa ed è possibile, ai fini della sicurezza informatica del perimetro aziendale, configurare anche filtri ai fini sempre delle configurazioni di security aziendale.

Possono essere trattati i dati in forma anonima e aggregata al fine per esempio di individuare pericoli e rischi cyber, sempre però nel rispetto del principio di minimizzazione e della dignità del lavoratore.

Nel caso della posta elettronica ad esempio è possibile assegnare al dipendente un account privato oltre che a quello aziendale, consentendo una delega per visionare la posta a un collega di fiducia in caso di prolungata assenza, ricordando che i controlli devono quindi essere sempre adeguati e pertinenti.

Non sarebbe certo lecito un controllo mirato sulla posta elettronica di un dipendente, in quanto violerebbe anche il principio della libertà di corrispondenza.

QUALI BASI GIURIDICHE NEL RAPPORTO DI LAVORO?

Le basi giuridiche o condizioni di liceità presenti nel rapporto di lavoro sono:

• L’adempimento di obblighi contrattuali
• Adempimento di obblighi di legge (in materia di sicurezza del lavoro, previdenza ecc.)
• Interesse legittimo (in questo caso da controbilanciare con i diritti dei lavoratori)

Il consenso quindi è una base giuridica residuale nel rapporto di lavoro e non può essere considerata lecita al fine del trattamento dei dati del lavoratore in quanto l’eventuale consenso non sarebbe reso validamente ai sensi della normativa che richiede che sia libero e sempre revocabile. (art. 7 GDPR)

Avv. Francesca Ariodante

IL GDPR E IL DIRITTO ALLA CANCELLAZIONE DEI DATI

Il soggetto interessato può chiedere in ogni momento che siano cancellati i dati che lo riguardano e che sono oggetto di un trattamento, sempre che non sia presente una condizione che impedisce al titolare la cancellazione, come ad esempio un obbligo di legge da rispettare.

E’ in ogni caso fondamentale avere in azienda una procedura che consenta di sapere come cancellare i dati oggetto di trattamento, sia in caso di richiesta da parte del soggetto interessato, sia in caso in cui sia spirato il termine di conservazione.

IL PRINCIPIO DI LIMITAZIONE DELLA CONSERVAZIONE

Il dato personale deve avere una scadenza e non può essere conservato dal titolare del trattamento per un periodo indefinito. Infatti nell’art. 13 comma 2 lettera A del Regolamento GDPR è indicato espressamente il contenuto della informativa che deve esplicitare il periodo di conservazione dei dati indicando se non è possibile, i criteri di riferimento per individuarlo.

L’IMPORTANZA DELLE POLICY AZIENDALI

Un utile metodo per essere conformi alla normativa è quello di redigere una policy, con l’aiuto di consulenti o eventualmente del DPO se presente, all’interno della quale stabilire per ogni trattamento di dati, il periodo di conservazione.

Infatti per ogni finalità di trattamento sussiste una diversa tempistica di conservazione.

Se un’azienda non si dota di un sistema di governance sul tema della conservazione dei dati, rischia che vi sia una proliferazione di informazioni e dati personali non necessari, oggetto di possibili data breach e attacchi informatici.

LE PROCEDURE DI DISTRUZIONE SICURA

Altrettanto fondamentali risultano le tecniche di distruzione sicura dei device e apparati contenenti dati personali.

Per i device si possono utilizzare software di sovrascrittura e di cifratura, ovviamente solo laddove il supporto sia ancora funzionante.

Nel caso invece che il device non sia più funzionante o si tratti di cd o dvd, si può procedere con distruzione fisica o modalità hardware quali la demagnetizzazione.

Avv. Francesca Ariodante

La crescita esponenziale di siti di commercio elettronico va di pari passo con il numero di attacchi informatici ai siti web.

Oggi i proprietari di negozi on line non possono trascurare il fenomeno dei cyberattacchi e quindi non possono trascurare la sicurezza informatica, che diventa una variabile strategica del proprio business.

Coloro che non si preoccupano di riporre energie e risorse economiche al fine di proteggere gli asset strategici, come il proprio sito di e- commerce, mettono a rischio milioni di dati preziosi oltre che esporsi a sanzioni e peggio ancora a perdita di clienti.

Cosa fare?

Il primo step è sicuramente non improvvisare ma affidarsi a consulenti esperti e seri. La scelta giusta è investire nella sicurezza informatica.

Questa scelta è di primaria importanza per il proprio business. Il cliente avrà fiducia nell’acquisto sicuro e preferirà, tra i concorrenti, il negozio on line che consentirà l’acquisto in totale sicurezza nella gestione dei propri dati personali.

Quali rischi per il negozio on line?

Ad esempio:

• Nelle transazioni
• Aumento di attacchi cyber a banche e istituti di credito
• I criminali informatici acquistano le informazioni dal dark web
• Mancanza di compliance al GDPR con perdita di riservatezza, integrità e disponibilità dei dati

Non dimentichiamoci che un e- commerce tratta molti dati personali di persone fisiche… quali l’IBAN, codice fiscale, e mail, indirizzo residenza ecc.

La perdita o modifica di questi dati comporta conseguenze negative per la reputazione aziendale oltre che un impatto sui diritti e libertà delle persone fisiche.

Quali suggerimenti per difendersi?

In primis occorre implementare l’autenticazione a due fattori, cosiddetta forte, e utilizzare certificati SSL.

Ma soprattutto utilizzare la strategia della prevenzione, utilizzando tecniche di analisi del sito web, vulnerability assessment e penetration test che consentono di anticipare le mosse di eventuali attacchi cyber e individuare i punti deboli della web application.

Ignorare l’aggiornamento della piattaforma web può avere conseguenze gravissime!

Esiste infatti il cosiddetto “formjacking” ovvero tecnica che consente di rubare i dati sfruttando le vulnerabilità di web application non aggiornate.

Gli attacchi più pericolosi restano quelli alle risorse umane.

Una risorsa umana non “skillata” può essere davvero il lato più vulnerabile di un’azienda. Occorre quindi sapere che oggi ci sono tecniche molto evolute di Ingegneria Sociale che sfruttano proprio le “leggerezze” umane al fine di carpire dati preziosi dell’azienda.

Nel settore dell’ e- commerce il rischio maggiore è quello di siti-fake molto simili a quelli originali attraverso cui adescare i clienti ignari.

Per aumentare la consapevolezza delle risorse umane che gestiscono siti web aziendali o in ogni caso operano sugli asset strategici, non basta solo la formazione tradizionale ma sono utili le campagne di simulazione di attacchi cyber mediante uso di interfacce web per esercitare ai comportamenti virtuosi.

Il backup dei dati del sito.

Fondamentale è anche effettuare il back up dei dati raccolti dal sito web. Occorre un piano di disaster recovery in caso di attacco avvenuto.

Non è possibile pensarci dopo che l’attacco è stato effettuato. E’ troppo tardi.

Un back up corretto deve essere realizzato in modo professionale e sicuro, contemplando più copie di sicurezza.

Implementare la sicurezza by default.

Occorre valutare con esperti, in base al numero di clienti del sito e commerce e dal volume degli acquisti, un servizio aggiuntivo sul sito web che preveda un monitoraggio costante per anticipare le vulnerabilità.

Conclusione.

Parlare di sicurezza informatica del proprio sito e commerce, vuol dire aumentare la brand reputation e fidelizzare i clienti consentendo tranquillità e fiducia nell’acquisto virtuale.

 

Avv. Francesca Ariodante