Skip to main content
BlogGDPR

Privacy in azienda: come gestire lo smart working in regola con il GDPR?

By 9 Giugno 2021Gennaio 26th, 2024No Comments

Durante la gestione del COVID-19, molte aziende si sono trovate ad affrontare complesse questioni su come trovare un equilibrio tra garantire un ambiente di lavoro sano e sicuro e proteggere la privacy in azienda dei dipendenti. In questo ultimo anno infatti tante imprese, soprattutto le PMI, si sono ritrovate impreparate non solo di fronte all’emergenza, ma anche nella gestione della nuova modalità di lavoro – lo smart working – capovolgendo così i loro processi lavorativi. I titolari d’azienda hanno chiesto ai propri dipendenti di lavorare da casa: c’è chi ha lavorato per mesi con il pc personale e c’è chi invece non aveva nemmeno l’antivirus installato. L’obiettivo era portare avanti il lavoro nonostante i mezzi, a discapito però dei dati personali e delle regole del Regolamento Generale sulla Protezione dei Dati – GDPR. Allo stesso tempo, in questo contesto i titolari del trattamento – aziende, professionisti ed enti – hanno dovuto rivedere l’organizzazione e le modalità di lavoro, con seri rischi per i dati personali trattati.

Abbiamo discusso di tutti i rischi legati al lavoro agile durante il webinar “2021: collaborare meglio e in sicurezza. Cosa cambia?”

[vc_empty_space]

Rivediamoli brevemente assieme:

  • accessi non autorizzati durante la condivisione di file
  • aumento delle pratiche hacker di social engineering nelle interconnessioni da remoto
  • danneggiamento del lavoro altrui su un file condiviso in fase di modifica
  • condivisione involontaria di infezioni dovute a minacce malware
  • reati informatici dovuti a una sottrazione di dati
  • cancellazione di file o cartelle per errore o per dolo

Tutta una serie di rischi per la nostra privacy in azienda! Inoltre la necessità di gestire in tutta fretta il trattamento dei dati ha fatto luce su una serie di inefficienze che molte aziende hanno in termini di compliance. Per tale ragione uno dei temi più importanti sollevati dal Covid è proprio quello di rafforzare le misure in materia di protezione dei dati personali. Un aspetto fondamentale nella compliance aziendale, soprattutto in vista della necessità di rispettare le normative e tutelare i dati personali e sensibili dei dipendenti.

Come essere in regola con il GDPR?

Le aziende possono garantire la loro conformità al GDPR e ad altre normative sulla privacy attuali o future sviluppando «sistema privacy» che si evolve nel tempo, costituito dai seguenti componenti: 1. Registro dei Trattamenti 2. Informative 3. Lettere di Designazione 4. Procedure 5. Registro Data Breach 6. Analisi dei Rischi 7. Privacy by Design e DPIA

[vc_empty_space] Vuoi saperne di più per adeguare in modo semplice la tua azienda al GDPR? Scarica il whitepaper! [vc_empty_space]

Vediamo quindi cosa bisogna fare per essere a norma GDPR quando si fa Smart Working:

  • Analisi e mappatura dei trattamenti Le aziende sono tenute a mappare il flusso dei dati e delle informazioni al fine di valutare i rischi alla sicurezza e alla privacy legati alla nuova modalità di lavoro a distanza. La mappatura del flusso dei dati è un passo fondamentale per il completamento di una valutazione d’impatto sulla protezione dei dati (DPIA).
  • Analisi dei rischi L’analisi dei rischi serve per valutare se le informative fornite ai dipendenti e gli strumenti utilizzati – aziendali/personali – siano adeguati in base alla valutazione d’impatto, alla privacy by design e by default e alle misure di sicurezza fisiche, logiche e organizzative, che devono garantire un rischio residuale basso su tutti i trattamenti.
  • Revisione del regolamento aziendale per l’utilizzo dei sistemi informatici È necessario fornire le istruzioni per l’utilizzo lavorativo di devices personali dei dipendenti (c.d. policy BYOD) e per l’adozione dei necessari sistemi di sicurezza; le regole e le modalità tecniche per l’accesso in sicurezza degli smart workers alla rete aziendale (VPN); l’autorizzazione ai dipendenti al trattamento di dati fuori dai locali aziendali e le relative istruzioni tecniche e organizzative per garantire la sicurezza dei dati.
  • Adeguamento delle politiche sulla privacy Le aziende devono contattare il proprio DPO per rivedere le politiche sulla privacy per garantire che i processi siano conformi e per adattare le policy quando entrano in vigore nuovi requisiti.
  • Notifica agli utenti quando cambiano le policy Le aziende devono informare tempestivamente i propri utenti dell’avvenuta modifica.
  • Mappatura di tutti i flussi di dati Le organizzazioni hanno bisogno di sapere dove risiedono tutti i loro dati sensibili e come vengono condivisi; questo consentirà una rapida risposta agli incidenti.
  • Monitoraggio degli aggiornamenti normativi della privacy Per stare al passo con i nuovi requisiti normativi le aziende devono adeguare in modo tempestivo i propri processi e documenti con il supporto del proprio DPO.
[vc_empty_space]