ANDIG

Utilizzo piattaforme web per meeting, webinar e collaborazione da remoto: adempimenti privacy Reg.UE 679/2016

L’intenso utilizzo di qualunque piattaforma da un lato permette una comunicazione rapida e facile da utilizzare, dall’altro introduce la necessità di adottare e ricorrere a quelle opportune cautele che normalmente vengono seguite nell’ordinaria attività lavorativa per così dire “in presenza” ovvero quelle opportune se non necessarie “misure di sicurezza” che normalmente si osservano in un normale contesto lavorativo e/o quotidiano.

 

Sommario:

1. Emergenza Covid-19, distanziamento sociale e connessioni da remoto: parallelismi e relazioni

2. Contesto normativo e impatto privacy

3. Conclusioni

 

1. Emergenza Covid-19, distanziamento sociale e connessioni da remoto: parallelismi e relazioni

L’utilizzo delle piattaforme informatiche e il ricorso ai dispositivi e dei servizi offerti dalla Rete costituisce una vera e propria misura prevista per contrastare e contenere il diffondersi del virus COVID-19 e ciò proprio al fine di garantire il rispetto della distanza di sicurezza interpersonale ovvero quel distanziamento sociale che dalla dichiarata emergenza sanitaria e dalla fase del primo lockdown sta caratterizzando ogni attività quotidiana privata e professionale. Collegarsi a distanza e ricorrere ad una connessione sicura che consenta il collegamento da remoto[1] costituisce oramai la modalità dominante, in tutti i casi possibili e salvo sporadiche eccezioni, nello svolgimento delle attività professionali e delle riunioni, con particolare riferimento a strutture sanitarie e sociosanitarie, servizi di pubblica utilità e relativi coordinamenti. Massimo rilievo poi hanno assunto il lavoro agile[2] quale modalità privilegiata, ancorché ordinaria, di svolgimento della prestazione lavorativa pubblica e privata, per le attività che possono essere svolte al proprio domicilio o in modalità a distanza, nonché l’attività di didattica a distanza e formativa in genere. Piattaforme web per meeting, videoconferenze, motivi di smart working e didattica a distanza, oltre alla dichiarata finalità anticovid, presentano notevoli implicazioni e impatti riguardo le connesse operazioni di trattamento dei dati personali nonché le tematiche di tutela di diritto commerciale e industriale oltre il rispetto delle normali regole di convivenza civile. Occorre infatti assumere piena consapevolezza riguardo ai rischi, alle norme e ai diritti in relazione a tali attività e trattamenti proprio al fine di evitare il rischio di perdita, alterazione e incontrollata diffusione degli stessi.

L’emergenza Covid-19 ha determinato la necessità di superare ed evitare ogni forma di assembramento e quindi a rinunciare alle riunioni in presenza fisica e personale per privilegiare il ricorso a strumenti, quali appunto le piattaforme web per meeting, webinar e collaborazione da remoto, che hanno segnato un indiscusso salto in avanti verso una società ancor più digitale rispetto a quella che abbiamo conosciuto fino ad oggi. In questo periodo il ricorso alla connessione da remoto e ai servizi delle piattaforme online è diventato uno strumento essenziale non soltanto per la pubblica amministrazione, ma ancor più per le imprese di qualsiasi dimensione e per i team di professionisti che hanno la necessità di garantire e continuare a garantire i flussi di lavoro quotidiani con possibilità di tenere videoconferenze, lezioni online e corsi didattici di ogni genere senza che ci sia bisogno di essere contemporaneamente e contestualmente presenti all’interno dei rispettivi uffici.

L’intenso utilizzo di qualunque piattaforma da un lato permette una comunicazione rapida e facile da utilizzare, dall’altro introduce la necessità di adottare e ricorrere a quelle opportune cautele che normalmente vengono seguite nell’ordinaria attività lavorativa per così dire “in presenza” ovvero quelle opportune se non necessarie “misure di sicurezza” che normalmente si osservano in un normale contesto lavorativo e/o quotidiano.

La diffusione del Covid-19 e il rafforzamento del ricorso all’utilizzo di nuovi strumenti e nuove tecnologie e soluzioni informatiche sono reciprocamente legati e si pongono in un rapporto di pragmatico parallelismo e interconnessione. L’emergenza ha modificato molti aspetti della società e dei rapporti interpersonali. Ogni relazione manterrà infatti la sua dimensione digitale e proprio per questo ogni legame dovrà ricevere adeguata attenzione e tutela.

Il singolo utente di qualunque piattaforma web per meeting, webinar e collaborazione da remoto si trova a rivestire sia il ruolo di interlocutore nella relazione con i propri collaboratori, partner e destinatari delle proprie attività professionali, sia il ruolo di contraente e fruitore dei servizi forniti dalla medesima piattaforma web per meeting, webinar e collaborazione da remoto. Il ricorso a tali soluzioni determina rilevanti ricadute su aspetti e questioni giuridicamente rilevanti, primi fra tutti quelli riguardo la tutela della riservatezza e della privacy nonché della sicurezza delle informazioni e dei dati personali.

 

2. Contesto normativo e impatto privacy

Il ricorso a qualunque piattaforma web per meeting, webinar e collaborazione da remoto deve avvenire secondo le principali prescrizioni che disciplinano gli aspetti legati alla tutela dei dati personali oggetto di trattamento che interessano anche la sicurezza e la riservatezza delle informazioni.

Tali modalità sono state infatti privilegiate in quanto comprese tra le misure urgenti in materia di contenimento e gestione dell'emergenza epidemiologica da COVID-19, applicabili sull'intero territorio nazionale (D.L. 23 febbraio 2020, n. 6 e D.P.C.M. 26 aprile 2020[3]). Abbiamo così la necessità di creare uno spazio virtuale in sostituzione e alternativo rispetto a quello reale. In tale spazio vengo svolte tutte quelle attività che, fino a poco più di 3 mesi fa, avvenivano con la contemporanea e contestuale presenza di tutti i soggetti interessati, mentre ora è obbligatorio, più che consigliato, svolgere a distanza e da remoto.

Il singolo utente dovrà scegliere la piattaforma, ovvero il servizio o il prodotto, che meglio si adatta alle proprie esigenze e alle tipologie di utilizzo e ricorrere quindi ad uno strumento contrattuale che preveda e disciplini le rispettive prestazioni compresi gli aspetti di sicurezza e privacy relativi al trattamento dei dati personali sia dell’utente acquirente, sia degli utenti – clienti o fornitori – che utilizzeranno le funzionalità del servizio medesimo in base al rapporto con il primo (svolgimento della prestazione lavorativa o dell’attività professionale). Il singolo utente che fornisce la prestazione lavorativa, l’attività professionale, il servizio o l’attività di formazione a distanza, agisce quale “titolare del trattamento dei dati personali”, in quanto determina le finalità e i mezzi del trattamento di dati personali[4]. Il contraente di tale utente, da individuare quale fornitore del “servizio di piattaforma web per meeting, webinar e collaborazione da remoto”, interviene quale “responsabile del trattamento dei dati”[5] individuato in base a specifico contratto o altro atto giuridico come previsto dall’art. 28 del Reg.UE 679/2016[6]. Quest’ultimo infatti deve impegnarsi a garantire che si limiterà a quanto strettamente necessario per la fornitura dei servizi richiesti, senza l’effettuazione di operazioni ulteriori, preordinate al perseguimento di finalità proprie del fornitore stesso. Diversamente potrà essere ritenuto responsabile della violazione delle norme sulla tutela dei dati personali per trattamenti effettuati in difformità rispetto alle disposizioni dettate in materia di trasparenza e di informativa circa gli elementi relativi ai trattamenti effettuati sui dati personali[7].

In particolare il soggetto che sottoscrive il contratto relativo alla fornitura del “servizio di piattaforma web per meeting, webinar e collaborazione da remoto”, in qualità di “titolare del trattamento dei dati”, deve allegare allo stesso documentazione volta a precisare che il fornitore interviene quale responsabile del trattamento dei dati personali in base all’art. 28 del Reg.UE 679/2016 e dovrà pertanto accertare che lo stesso garantisca:

  • di rispettare le disposizioni previste dal Reg.UE 679/2016 nelle attività di trattamento dei dati personali degli utenti fruitori delle funzionalità del “servizio di piattaforma web per meeting, webinar e collaborazione da remoto” per effetto del rapporto con l’utente “titolare”
  • di rispettare le misure di sicurezza tecniche per la protezione dei dati personali secondo gli standard ritenuti adeguati in base alle norme tecniche ISO 27001/2018, ISO 27701/2019, ISO 29134/2018 e ISO/29151[8] ovvero degli standard “ENISA On-line tool for the security of personal data processing”[9]
  • di precisare che laddove le attività di trattamento siano svolte ed eseguite al di fuori dello Spazio Economico Europeo, il trasferimento dei dati personali verso Paesi terzi o organizzazioni internazionali rispetta le disposizioni di cui Reg.UE 679/2016 “Capo V - Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali” ovvero in base a specifiche decisioni di adeguatezza o strumenti e soluzioni di cui al https://www.garanteprivacy.it/home/provvedimenti-normativa/normativa/normativa-comunitaria-e-internazionale/trasferimento-dati-estero prima tra tutti l’adesione al Privacy Shield program
  • di indicare i riferimenti del Rappresentante di titolari e responsabili del trattamento stabilito al di fuori dell’UE ai fini dell’applicazione del Reg.UE 679/2016.

Il “titolare” è tenuto quindi a comunicare ai propri interlocutori gli aspetti legati all’utilizzo degli strumenti e funzionalità del “servizio di piattaforma web per meeting, webinar e collaborazione da remoto” condividendo:

  • l’informativa del fornitore del servizio relativa alle operazioni e attività di trattamento dei dati personali ai sensi dell’art. 13 Reg. (UE) 2016/679[10];
  • l’informativa relativa alla descrizione delle attività svolte tramite l’utilizzo degli strumenti e funzionalità del “servizio di piattaforma web per meeting, webinar e collaborazione da remoto”, ovvero la medesima informativa prevista per lo svolgimento di tutte quelle attività ordinariamente svolte in presenza e che scaturiscono dallo svolgimento della prestazione lavorativa o dell’attività professionale, o dal servizio o attività di formazione a distanza.

L’utilizzo delle piattaforme web e il ricorso ai relativi servizi digitali evidenziano la sostanziale sovrapposizione delle esigenze di garanzia e di sicurezza sia per i “dati personali”, sia per le “informazioni”. Ecco quindi come il GDPR e Regolamento EiDAS[11], con i corrispondenti codici della privacy e dell’amministrazione digitale[12], si trovano ad essere integrati dagli Standard internazionali sono accordi documentati che contengono descrizioni tecniche, numeriche o altro, di caratteristiche che materiali, prodotti e servizi debbono possedere per essere adatti allo scopo. L’International Organization for Standardization – ISO (https://www.iso.ch/), il cui nome deriva dal greco "isos", che significa uguale e resta invariato in ogni paese, qualunque sia la lingua, interviene su tali tematiche e sui aspetti con una pluralità di norme riconducibili prevalentemente: alla famiglia ISO/IEC 27000[13] che si occupa dei sistemi di gestione per la sicurezza delle informazioni, e quindi anche degli aspetti connessi al risk assessment in ambito information security; alla famiglia ISO/IEC 29100[14] che ha ristretto l’ambito di applicazione alla privacy (in un quadro generale più ampio della data protection regolamentata nel GDPR), e alle Personally Identifiable Information (PII) ossia le informazioni riferite a persone. Queste poi trovano proprio fondamento sulla norma “UNI/ISO 31000:2018 – Risk management – Guidelines” relativa alla gestione del rischio che permea l’intero impianto del GDPR e delle azioni richieste al titolare[15].

Sullo stesso piano l’attività e la documentazione dell’ENISA (L'Agenzia europea per la sicurezza delle reti e dell'informazione) che, proprio basandosi sulle misure e controlli previsti dalla norma ISO 27001:2013 e sui principi e le procedure di analisi del rischio dettate dalla norma ISO 31000:2018, ha delineato e predisposto uno specifico “tool for the security of personal data processing” fruibile on-line https://www.enisa.europa.eu/risk-level-tool/[17]. Ciò quale dimostrazione della sostanziale coincidenza tra sicurezza delle informazioni e sicurezza dei dati personali che devono essere entrambe improntate ai principi di Riservatezza, Integrità e Disponibilità proprio in quanto proprio il GDPR con la protezione dei dati personali mira a garantire la disponibilità, l’autenticità, l’integrità, la riservatezza e la resilienza dei dati personali degli interessati[18]. Anche e soprattutto con il ricorso alle piattaforme web, la protezione dei dati personali (incluse le particolari categorie di dati personali – precedentemente noti anche come dati sensibili e dati giudiziari), deve avvenire secondo i principi descritti oltre che garantirne la corretta conservazione e trasmissione sempre nella piena e concreta sicurezza dei relativi servizi offerti.

Risulterà comunque giustificato, se non auspicato, che il titolare provveda ad acquisire dai propri interlocutori specifica dichiarazione relativa alla prestazione del consenso circa l’essere stati informati e aver acconsentito a che i propri dati personali saranno trattati in maniera inscindibilmente correlata tra loro e connessa all’erogazione dei servizi richiesti, a condizione sempre che siano adottate modalità tali da garantirne la sicurezza e la riservatezza, da parte del titolare per:

  • finalità strettamente connesse all’attivazione e successiva esecuzione degli obblighi derivanti dai rapporti contrattuali o per lo svolgimento di attività pre-contrattuali (ad esempio acquisizione d’informazioni preliminari alla conclusione di un contratto con l’interessato, esecuzione di operazioni sulla base degli obblighi derivanti dal contratto concluso con l’interessato, adempimento di specifiche richieste dell’interessato);
  • finalità connesse agli obblighi rivenienti da leggi e da regolamenti, dalla normativa comunitaria, nonché da disposizioni impartite da autorità a ciò legittimate dalla legge.

Del resto, la base giuridica[19] di ogni trattamento dei dati personali legato allo svolgimento della prestazione lavorativa o dell’attività professionale, o dal servizio o attività di formazione a distanza, è da rinvenire in fattispecie distinte dal mero consenso. Tuttavia, stante la particolarità della situazione che stiamo vivendo, nonché l’improvviso proliferare di soggetti fornitori di servizi di piattaforma web per meeting, webinar e collaborazione da remoto, è da ritenere opportuno procedere in tal senso ovvero acquisire il consenso dei partecipanti.

Ultima, ma non meno importante, analoga dichiarazione da acquisire ai fini del rispetto di tutti i partecipanti alla riunione e quindi al rispetto delle norme di comportamento che nel mondo web sono da sempre conosciute come netiquette e che nel mondo fisico e reale sono normale e giusta educazione. Nell’ambito della adesione e utilizzo del “servizio di piattaforma web per meeting, webinar e collaborazione da remoto”, ciascun partecipante, indipendentemente dal ruolo di titolare, responsabile o interessato, è tenuto a rispettare, oltre le richiamate norme previste in tema di privacy, le seguenti norme di comportamento che racchiudono aspetti di riservatezza, tutela del segreto professionale, tutela di marchi, brevetti e know-how, fino alle normali regole di convivenza civile. Ciascuno dovrà quindi conservare in sicurezza e mantenere segreto sia il link di collegamento sia la password personale di accesso al “servizio di piattaforma web per meeting, webinar e collaborazione da remoto” e non dovrà consentirne l'uso ad altre persone; comunicare immediatamente al titolare l’impossibilità ad accedere al “servizio di piattaforma web per meeting, webinar e collaborazione da remoto”, ovvero il sospetto che altri possano accedervi, o comunque episodi come lo smarrimento o il furto della password; impedire che altri utilizzino il “servizio di piattaforma web per meeting, webinar e collaborazione da remoto”, senza averne titolo; non diffondere eventuali informazioni riservate di cui è possibile venire a conoscenza, relative all'attività delle altre persone che utilizzano il medesimo “servizio di piattaforma web per meeting, webinar e collaborazione da remoto”; non inviare e-mail, lettere o comunicazioni a catena (es. catena di S. Antonio o altri sistemi di carattere "piramidale") che causano un inutile aumento del traffico in rete; non utilizzare il “servizio di piattaforma web per meeting, webinar e collaborazione da remoto”  in modo da danneggiare, molestare o offendere altre persone; non creare e/o trasmettere immagini, dati o materiali offensivi, osceni o indecenti; non creare e/o trasmettere materiale offensivo per altre persone o enti; non creare e/o trasmettere materiale commerciale o pubblicitario se non espressamente richiesto; nei casi condivisione di documenti non devono interferire, danneggiare o distruggere il lavoro degli altri utenti; non violare la riservatezza degli altri utenti; utilizzare i servizi offerti solo ad uso esclusivo per le attività inerenti il rapporto instaurato con il titolare; non diffondere in rete le attività realizzate con degli altri utenti; non diffondere in rete screenshot o fotografie relative a tali attività; usare gli strumenti informatici e il “servizio di piattaforma web per meeting, webinar e collaborazione da remoto” in modo accettabile e responsabile e mostrare considerazione e rispetto per gli altri utenti.

Ciascun partecipante viene quindi chiamato ad assumersi la piena responsabilità di tutti i dati da lui inoltrati, creati, condivisi e gestiti attraverso il “servizio di piattaforma web per meeting, webinar e collaborazione da remoto”.

 

3. Conclusioni

Lo svolgimento da remoto della prestazione lavorativa, dell’attività professionale, servizio o attività di formazione a distanza determina la necessità di prestare particolare attenzione alle caratteristiche dei servizi delle “piattaforme web per meeting, webinar e collaborazione da remoto”, nonché sull’opportunità della scelta di un fornitore del servizio in questione stabilito nello Spazio Economico Europeo SEE o al di fuori dei suoi confini. Il tutto per acquisire certezza circa l’assoggettabilità delle operazioni di trattamento alle prescrizioni del GDPR. Occorre infatti interrogarsi sulla tipologia di dati eventualmente memorizzati dai gestori di tali servizi per finalità proprie, del servizio o commerciali; sui soggetti legittimati all’accesso ai metadati delle sessioni e, in particolare, sull’eventualità che il gestore o un amministratore di sistema possa desumere, dai metadati nella sua disponibilità, alcuni dati “comuni, particolari o giudiziari”. Sono questi temi sicuramente rilevantissimi e degni, pur nella condizione emergenziale che stiamo vivendo, della massima attenzione, al fine di coniugare esigenze di tutela della salute e protezione dati.

La questione di fondo è rappresentata dalla cura e attenzione che normalmente si presta, nella quotidianità e nei rapporti che si svolgono in presenza fisica degli interessati, ai temi di tutela e protezione dei dati personali. Analoghe distrazioni e superficialità vengono enfatizzate dallo strumento e dalla soluzione tecnologica che viene utilizzata e che lascia traccia ed evidenza di ogni irregolarità ancor più precisamente di quanto non possa avvenire nell’ambiente fisico.

Aspetti questi che non sono tutt’ora analizzati, se non marginalmente, dal singolo professionista o dalla PMI o dalla stessa PA.

Il Garante per la privacy ha approvato uno specifico atto di indirizzo che individua le implicazioni più importanti dell’attività formativa a distanza sul diritto alla protezione dei dati personali le cui prescrizioni sono comunque valide per ogni utilizzo delle piattaforme web[20]. L’Autorità Garante ha ricordato che il contesto emergenziale in cui versa il Paese ha imposto l’esigenza di proseguire l’attività lavorativa, professionale e didattica con modalità innovative, ricorrendo alle innumerevoli risorse offerte dalle nuove tecnologie. Tuttavia ha sottolineato che “le straordinarie potenzialità del digitale - rivelatesi soprattutto in questo frangente indispensabili per consentire l’esercizio di diritti e libertà con modalità e forme nuove - non devono indurci a sottovalutare anche i rischi, suscettibili di derivare dal ricorso a un uso scorretto o poco consapevole degli strumenti telematici, spesso dovuto anche alla loro oggettiva complessità di funzionamento”. È da considerare infatti che, spesso, i soggetti che accedono a tali piattaforme, siano essi appartenenti o meno a categorie vulnerabili, si cimentano a prime esperienze (se non addirittura della prima) di utilizzo di simili spazi virtuali, e quindi diventa giocoforza evidente come anche quest’attività vada svolta con la dovuta consapevolezza e prudenza.

Nella scelta e nella regolamentazione degli strumenti più utili per la realizzazione delle “piattaforme web per meeting, webinar e collaborazione da remoto” ciascun titolare dovrà orientarsi verso strumenti che abbiano fin dalla progettazione e per impostazioni predefinite misure a protezione dei dati. Può risultare necessaria la valutazione di impatto, prevista dal Regolamento europeo per i casi di rischi elevati, se il trattamento dei dati effettuato in base a legittimo interesse del titolare o al di fuori di finalità istituzionali. Se la piattaforma prescelta comporta il trattamento di dati personali, indipendentemente dalla loro fragilità, il rapporto con il fornitore dovrà essere regolato con contratto o altro atto giuridico in base all’art. 28 del GDPR. Nel caso in cui si ritenga necessario ricorrere a piattaforme più complesse che eroghino servizi più complessi, si dovranno attivare i soli servizi strettamente necessari alle proprie finalità, configurandoli in modo da minimizzare i dati personali da trattare (evitando, ad esempio, geolocalizzazione e social login).

Il trattamento di dati svolto dalle piattaforme per conto di ciascun titolare dovrà limitarsi a quanto strettamente necessario alla fornitura dei servizi richiesti e non per ulteriori finalità proprie del fornitore. I gestori delle piattaforme non potranno condizionare la fruizione di questi servizi alla sottoscrizione di un contratto o alla prestazione del consenso (da parte degli utenti) al trattamento dei dati per la fornitura di ulteriori servizi on line, non collegati all’attività del titolare. Ai dati personali dei minori, inoltre, va garantita una specifica protezione poiché i minori possono essere meno consapevoli dei rischi, delle conseguenze e dei loro diritti. Tale specifica protezione deve, in particolare, riguardare l’utilizzo dei loro dati a fini di marketing o di profilazione.

Per garantire la trasparenza e la correttezza del trattamento, i titolari devono informare gli interessati, con un linguaggio comprensibile anche ai minori, riguardo, in particolare, alle caratteristiche essenziali del trattamento che viene effettuato.

L’utilizzo delle piattaforme web, soprattutto da parte della PA, assumerà sempre più particolare rilievo anche come strumento di semplificazione e di superamento della burocrazia. Ancor di più infatti le PA saranno chiamate a sviluppare soluzioni proprietarie, proprio come sembra essere la direzione intrapresa dal Senato della Repubblica che sostituirà la piattaforma web utilizzata in questo periodo di emergenza per preferirne una propria che possa garantire l’effettiva sicurezza dei dati e delle informazioni. Analogamente le PA, come anche i privati, sono stati chiamati dal Garante ad utilizzare piattaforme web e relativi servizi con contratti non meramente free, quanto piuttosto con contratti che impegnino i fornitori di tali prodotti e servizi al rispetto delle minime prescrizioni dettate dalle disposizioni europee e nazionali ovvero i richiamati GDPR e Regolamento EiDAS. Medesimo approccio riguardo l’ubicazione dei server dove vengono conservati i dati personali oggetto di attività di trattamento da parte delle PA e dei privati, soprattutto per tutti quei servizi in cloud che vanno ben al di là dello Spazio Economico Europeo – SEE. È bene ricordare infatti che, nonostante i soggetti che prestano servizi in cloud siano soggetti a procedure di autenticazione, accreditamento e controllo da parte di AGID - Agenzia per l'Italia digitale, il Garante italiano ha comunque manifestato l’opportunità di privilegiare soluzioni che vedano i server dove conservare tutti i nostri dati all’interno dei confini italiani.

Discorso a parte, anche se correlato, merita lo smart working o lavoro agile, individuato quale modalità ordinaria dello svolgimento della prestazione lavorativa sia in ambito pubblico che privato, e come misura urgente in materia di contenimento e gestione dell'emergenza epidemiologica da COVID-19. I temi e le puntualizzazioni fin qui rappresentate riguardo il ricorso alle piattaforme web e a strumenti e servizi analoghi, trovano puntuale applicazione anche nella disciplina dello smart working, cui si vanno ad aggiungere peculiarità legate agli aspetti della disciplina del rapporto di lavoro dove, alla sicurezza e riservatezza dei dati e alla sicurezza delle connessioni, si vanno ad affiancare e sovrapporre i temi della sicurezza sull’ambiente di lavoro e sulle possibilità di controllo che il datore di lavoro può porre in atto nei confronti dei propri dipendenti e collaboratori. Lavorare da remoto, attraverso una connessione ad una rete locale VPN, magari ricorrendo all’utilizzo di strumenti del dipendente (cd. BYOD - Bring Your Own Device), determina la necessità che il datore di lavoro, quale titolare del trattamento dei dati personali, sia quelli propri del dipendente che quelli oggetto di trattamento nell’ambito della prestazione lavorativa, provveda a disciplinare:

  • le specifiche tecniche minime di custodia e sicurezza dei dispositivi elettronici e dei software, nonché le regole necessarie a garantire la protezione dei dati e delle informazioni del titolare;
  • le modalità di accesso ed utilizzo degli strumenti informatici, di internet, della posta elettronica, messi a disposizione dall’organizzazione ai suoi utenti, intesi come dipendenti nell’ambito della modalità smart working a cui sia stato concesso l’uso di risorse informatiche di proprietà de titolare o mediante il paradigma BYOD (Bring Your Own Device).

Il titolare dovrà altresì specificare che:

  • gli strumenti informatici sono costituiti dall'insieme delle risorse informatiche dell’organizzazione, ovvero dalle risorse infrastrutturali e dal patrimonio informativo digitale (dati personali e informazioni);
  • le risorse infrastrutturali sono costituite dalle componenti hardware e software;
  • il patrimonio informativo è l'insieme delle banche dati in formato digitale ed in generale di tutti i documenti prodotti tramite l'utilizzo delle risorse infrastrutturali.

Ogni smart worker sarà individuato quale persona autorizzata al trattamento dei dati personali e dovrà ricevere le opportuno istruzioni da parte del titolare che riflettono le modalità ordinarie di prestazione lavorativa, ovvero:

  • il dovere di non violare il segreto e la riservatezza delle informazioni trattate;
  • il dovere di proteggere i dati contro i rischi di distruzione o perdita, di accesso non autorizzato o di trattamento non consentito;
  • il dovere di rispettare e applicare le misure di sicurezza fisiche, informatiche, organizzative, logistiche e procedurali;
  • il dovere di rispettare e applicare il Regolamento per l'utilizzo degli strumenti informatici ed elettronici, il Regolamento per l'utilizzo della posta elettronica, di internet e delle app.

Lo Smart Worker ha poi specifici obblighi quali:

  • individuare in casa uno spazio deputato per allestire la postazione lavorativa che possa essere utilizzato in modo sicuro e senza la presenza contemporanea di altri familiari, con possibilità di chiusura della porta a chiave, con armadietti dotati di serratura ove riporre la documentazione e/o gli strumenti di lavoro;
  • assicurarsi della conformità delle prese elettriche domestiche prima di utilizzarle per alimentare il dispositivo o i dispositivi aziendali;
  • assicurarsi che la postazione scelta non possa essere investita da acqua, fuoco, vento, calore eccessivo;
  • evitare di lasciare incustodita la postazione e al termine di ogni sessione lavorativa riporre tutto negli armadietti chiusi a chiave;
  • utilizzare il dispositivo fisso / mobile aziendale solo ed esclusivamente per le attività lavorative evitando assolutamente di utilizzarlo per accedere a social network o a qualsiasi sito web o server mail che non appartenga a quelli già preventivamente impostati e autorizzati dall'amministratore di sistema;
  • evitare di comunicare con i colleghi tramite mezzi diversi da quelli indicati dal datore di lavoro;
  • evitare di postare ai colleghi le proprie credenziali di accesso;
  • evitare di condividere con i colleghi documenti aziendali o attività lavorative su piattaforme come Google document ovvero altre simili e/o comunque piattaforme diverse da quella aziendale o da quella indicata dal datore di lavoro;
  • rispettare l’orario delle giornate di  prestazione  lavorativa  svolta  in  modalità  smart  working  in relazione all’articolazione oraria individuale (esempio: 6  ore,  9  ore,  pTime  5  ore,  ) escludendo  prestazioni  di  lavoro straordinario né eccedenze orarie flessibili;
  • garantire la disponibilità / reperibilità ad essere contattato per ragioni di servizio  dal dirigente  e/o  dai  colleghi  durante  le  fasce orarie  indicate dal titolare;
  • predisporre e aggiornare al termine di ogni giornata lavorativa un breve diario / report in merito alle attività svolte inerenti le informazioni trattate, a eventuali condivisioni di documenti con i colleghi o ai colloqui con essi, alle conferenze via Skype o simili intercorse con fornitori, utenti, partners o qualsiasi altro soggetto, al fine di poter risalire la catena delle attività compiute in caso di esigenze di recupero dati e/o informazioni.

Il Titolare si può comunque riservare di effettuare verifiche sul corretto utilizzo degli strumenti informatici (hardware e software), della posta elettronica, di Internet, nel rispetto delle normative vigenti e delle istruzioni descritte, nonché dei provvedimenti presenti nella intranet aziendale.

Gli eventuali controlli, compiuti dal personale incaricato dal Titolare, potranno avvenire mediante un sistema di controllo dei contenuti (utilizzo di Proxy server che creino "barriera di difesa" verso il web, agendo da filtro per le connessioni entranti ed uscenti e monitorando, controllando e modificando il traffico interno) o mediante “file di log” della navigazione svolta. Il controllo sui file di log non è continuativo ed i file stessi vengono conservati non oltre tre mesi, ossia il tempo indispensabile per il corretto perseguimento delle finalità organizzative e di sicurezza.

La violazione da parte dello Smart worker dei principi e delle norme e istruzioni richiamate comporta l'applicazione delle sanzioni previste dalle disposizioni normative e contrattuali vigenti in materia, previo espletamento del procedimento disciplinare.

Si tratta in sostanza della necessità e opportunità da parte del Titolare di predisporre un vero e proprio regolamento data protection che lo Smart Worker è chiamato ad osservare. Tutti gli obblighi descritti fanno parte integrante della prestazione lavorativa e pertanto sono dovuti dallo Smart worker in base al contratto di lavoro.

 

[1] Da Wikipedia, l'enciclopedia libera. https://it.wikipedia.org/wiki/Accesso_remoto Accesso remoto

In informatica l'accesso remoto è un tipo di connessione che si effettua tra due o più computer posti a distanza tra loro collegandoli tra loro normalmente attraverso una rete informatica (LAN, WAN), come ad esempio attraverso Internet (connessione remota), permettendo il controllo più o meno limitato di una delle due macchine operando da una sull'altra. Si tratta tipicamente di una funzionalità appannaggio degli amministratori di sistema, contrapponendosi dunque al tipico accesso diretto in cui l'operatore informatico e il semplice utente agiscono direttamente sulla macchina.

Descrizione

Nello schema generale di funzionamento il computer utilizzato per impostare le operazioni da far eseguire viene chiamato solitamente client, mentre quello che effettua le operazioni, cioè viene raggiunto, normalmente server. Sul client dovrà quindi esserci un software adatto all'invio, secondo un determinato protocollo di comunicazione, dei comandi per il server e la possibilità di ricevere delle risposte da quest'ultimo; sul server dovrà esserci invece un demone (programma o processo eseguito solitamente in background) in ascolto, atto a ricevere i comandi in modo da eseguire le operazioni impartitegli e comunicare di conseguenza con il client.

Uno dei protocolli più comuni di accesso remoto sviluppato originariamente per i sistemi Unix e molto usato in passato è il telnet, che attraverso un'interfaccia di tipo testuale permette di controllare altre macchine a distanza. Detto protocollo venne esteso alla maggior parte dei sistemi operativi e a diverse architetture, ma attualmente è usato piuttosto in reti private ed è caduto in disuso per le comunicazioni su reti estese in quanto insicuro, viste le odierne necessità in fatto di protezione dei dati e in generale di sicurezza. A questo proposito molto usati attualmente sono protocolli e programmi quali SSH e OpenSSH che fanno uso di tecniche crittografiche.

Tramite accessi da remoto possono venir erogati diversi servizi, controllati ad esempio server di posta elettronica ed FTP, eseguiti comandi di shell, pilotati desktop di sistemi operativi posti su altri calcolatori (VNC - Virtual Network Computing), accedere ad un calcolatore senza interfaccia grafica da un altro posto a notevole distanza ed in modo del tutto trasparente (esempio X11 - X Window System di Linux).

[2] Legge 22 maggio 2017, n. 81 “Misure per la tutela del lavoro autonomo non imprenditoriale e misure volte a favorire l'articolazione flessibile nei tempi e nei luoghi del lavoro subordinato.” - Art. 18.  Lavoro agile - 1.  Le disposizioni del presente capo, allo scopo di incrementare la competitività e agevolare la conciliazione dei tempi di vita e di lavoro, promuovono il lavoro agile quale modalità di esecuzione del rapporto di lavoro subordinato stabilita mediante accordo tra le parti, anche con forme di organizzazione per fasi, cicli e obiettivi e senza precisi vincoli di orario o di luogo di lavoro, con il possibile utilizzo di strumenti tecnologici per lo svolgimento dell'attività lavorativa. La prestazione lavorativa viene eseguita, in parte all'interno di locali aziendali e in parte all'esterno senza una postazione fissa, entro i soli limiti di durata massima dell'orario di lavoro giornaliero e settimanale, derivanti dalla legge e dalla contrattazione collettiva. 2.  Il datore di lavoro è responsabile della sicurezza e del buon funzionamento degli strumenti tecnologici assegnati al lavoratore per lo svolgimento dell'attività lavorativa. 3.  Le disposizioni del presente capo si applicano, in quanto compatibili, anche nei rapporti di lavoro alle dipendenze delle amministrazioni pubbliche di cui all'articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, e successive modificazioni, secondo le direttive emanate anche ai sensi dell'articolo 14 della legge 7 agosto 2015, n. 124, e fatta salva l'applicazione delle diverse disposizioni specificamente adottate per tali rapporti. 3-bis.  I datori di lavoro pubblici e privati che stipulano accordi per l'esecuzione della prestazione di lavoro in modalità agile sono tenuti in ogni caso a riconoscere priorità alle richieste di esecuzione del rapporto di lavoro in modalità agile formulate dalle lavoratrici nei tre anni successivi alla conclusione del periodo di congedo di maternità previsto dall'articolo 16 del testo unico delle disposizioni legislative in materia di tutela e sostegno della maternità e della paternità, di cui al decreto legislativo 26 marzo 2001, n. 151, ovvero dai lavoratori con figli in condizioni di disabilità ai sensi dell'articolo 3, comma 3, della legge 5 febbraio 1992, n. 104. 4.  Gli incentivi di carattere fiscale e contributivo eventualmente riconosciuti in relazione agli incrementi di produttività ed efficienza del lavoro subordinato sono applicabili anche quando l'attività lavorativa sia prestata in modalità di lavoro agile. 5.  Agli adempimenti di cui al presente articolo si provvede senza nuovi o maggiori oneri per la finanza pubblica, con le risorse umane, finanziarie e strumentali disponibili a legislazione vigente.

[3] D.P.C.M. 26-4-2020 “Ulteriori disposizioni attuative del decreto-legge 23 febbraio 2020, n. 6, recante misure urgenti in materia di contenimento e gestione dell'emergenza epidemiologica da COVID-19, applicabili sull'intero territorio nazionale.” -  Art. 1.  Misure urgenti di contenimento del contagio sull'intero territorio nazionale - 1.  Allo scopo di contrastare e contenere il diffondersi del virus COVID-19 sull'intero territorio nazionale si applicano le seguenti misure: … t)  sono adottate, in tutti i casi possibili, nello svolgimento di riunioni, modalità di collegamento da remoto con particolare riferimento a strutture sanitarie e sociosanitarie, servizi di pubblica utilità e coordinamenti attivati nell'ambito dell'emergenza COVID-19, comunque garantendo il rispetto della distanza di sicurezza interpersonale di un metro; … gg)  fermo restando quanto previsto dall'art. 87 del decreto-legge 17 marzo 2020, n. 18, per i datori di lavoro pubblici, la modalità di lavoro agile disciplinata dagli articoli da 18 a 23 della legge 22 maggio 2017, n. 81, può essere applicata dai datori di lavoro privati a ogni rapporto di lavoro subordinato, nel rispetto dei principi dettati dalle menzionate disposizioni, anche in assenza degli accordi individuali ivi previsti; gli obblighi di informativa di cui all'art. 22 della legge 22 maggio 2017, n. 81, sono assolti in via telematica anche ricorrendo alla documentazione resa disponibile sul sito dell'Istituto nazionale assicurazione infortuni sul lavoro; … ii)  in ordine alle attività professionali si raccomanda che: a)  sia attuato il massimo utilizzo di modalità di lavoro agile per le attività che possono essere svolte al proprio domicilio o in modalità a distanza; b)  siano incentivate le ferie e i congedi retribuiti per i dipendenti nonché gli altri strumenti previsti dalla contrattazione collettiva; c)  siano assunti protocolli di sicurezza anti-contagio e, laddove non fosse possibile rispettare la distanza interpersonale di un metro come principale misura di contenimento, con adozione di strumenti di protezione individuale; d)  siano incentivate le operazioni di sanificazione dei luoghi di lavoro, anche utilizzando a tal fine forme di ammortizzatori sociali;

[4] GDPR Articolo 4 "Definizioni" - Ai fini del presente regolamento s'intende per: … 7) «titolare del trattamento»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri; … .

[5] GDPR Articolo 4 "Definizioni" - Ai fini del presente regolamento s'intende per: …8) «responsabile del trattamento»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento; … .

[6] GDPR Articolo 28 "Responsabile del trattamento" - 1. Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest'ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell'interessato. 2. Il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento. Nel caso di autorizzazione scritta generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti l'aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l'opportunità di opporsi a tali modifiche. 3. I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. Il contratto o altro atto giuridico prevede, in particolare, che il responsabile del trattamento: a) tratti i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un'organizzazione internazionale, salvo che lo richieda il diritto dell'Unione o nazionale cui è soggetto il responsabile del trattamento; in tal caso, il responsabile del trattamento informa il titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico; b) garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza; c) adotti tutte le misure richieste ai sensi dell'articolo 32; d) rispetti le condizioni di cui ai paragrafi 2 e 4 per ricorrere a un altro responsabile del trattamento; e) tenendo conto della natura del trattamento, assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l'obbligo del titolare del trattamento di dare seguito alle richieste per l'esercizio dei diritti dell'interessato di cui al capo III; f) assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli 32 a 36, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento; g) su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell'Unione o degli Stati membri preveda la conservazione dei dati; e h) metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato. Con riguardo alla lettera h) del primo comma, il responsabile del trattamento informa immediatamente il titolare del trattamento qualora, a suo parere, un'istruzione violi il presente regolamento o altre disposizioni, nazionali o dell'Unione, relative alla protezione dei dati. 4. Quando un responsabile del trattamento ricorre a un altro responsabile del trattamento per l'esecuzione di specifiche attività di trattamento per conto del titolare del trattamento, su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento di cui al paragrafo 3, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento. Qualora l'altro responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei confronti del titolare del trattamento l'intera responsabilità dell'adempimento degli obblighi dell'altro responsabile. 5. L'adesione da parte del responsabile del trattamento a un codice di condotta approvato di cui all'articolo 40 o a un meccanismo di certificazione approvato di cui all'articolo 42 può essere utilizzata come elemento per dimostrare le garanzie sufficienti di cui ai paragrafi 1 e 4 del presente articolo. 6. Fatto salvo un contratto individuale tra il titolare del trattamento e il responsabile del trattamento, il contratto o altro atto giuridico di cui ai paragrafi 3 e 4 del presente articolo può basarsi, in tutto o in parte, su clausole contrattuali tipo di cui ai paragrafi 7 e 8 del presente articolo, anche laddove siano parte di una certificazione concessa al titolare del trattamento o al responsabile del trattamento ai sensi degli articoli 42 e 43. 7. La Commissione può stabilire clausole contrattuali tipo per le materie di cui ai paragrafi 3 e 4 del presente articolo e secondo la procedura d'esame di cui all'articolo 93, paragrafo 2. 8. Un'autorità di controllo può adottare clausole contrattuali tipo per le materie di cui ai paragrafi 3 e 4 del presente articolo in conformità del meccanismo di coerenza di cui all'articolo 63. 9. Il contratto o altro atto giuridico di cui ai paragrafi 3 e 4 è stipulato in forma scritta, anche in formato elettronico. 10. Fatti salvi gli articoli 82, 83 e 84, se un responsabile del trattamento viola il presente regolamento, determinando le finalità e i mezzi del trattamento, è considerato un titolare del trattamento in questione.

[7] L’interessato ha il diritto di accedere alle informazioni concernenti i propri dati personali e di ottenere dal titolare del trattamento la conferma dell’esistenza o meno di trattamenti sui suoi trattamenti sui suoi dati e INFORMAZIONI DETTAGLIATE su: FINALITÀ del trattamento; CATEGORIE di dati trattati; DATI che sono oggetto di trattamento; DESTINATARI o categorie di destinatari a cui sono comunicati i dati; periodo di CONSERVAZIONE dei dati personali; diritti di RETTIFICA, di CANCELLAZIONE, di LIMITAZIONE del trattamento e di OPPOSIZIONE; diritto di proporre un RECLAMO ad un’Autorità Garante Privacy; ORIGINE dei dati oggetto di trattamento; processo decisionale AUTOMATIZZATO o di PROFILAZIONE, logica utilizzata e conseguenze previste; garanzie in caso di trasferimento dei dati in un PAESE TERZO.

[8] Gli Standard internazionali sono accordi documentati che contengono descrizioni tecniche, numeriche o altro, di caratteristiche che materiali, prodotti e servizi debbono possedere per essere adatti allo scopo. L’International Organization for Standardization – ISO (https://www.iso.ch/) è un'organizzazione internazionale indipendente e non governativa con un'adesione di 164 organismi nazionali di normalizzazione. Attraverso i suoi membri, riunisce esperti per condividere conoscenze e sviluppare standard internazionali volontari, basati sul consenso e pertinenti al mercato che supportano l'innovazione e forniscono soluzioni alle sfide globali. ISO deriva dal greco "isos", che significa uguale. Qualunque sia il paese, qualunque sia la lingua, l’acronimo è sempre ISO. In Italia l’ente rappresentativo è UNI «Ente italiano di Normazione» (https://www.uni.com). La famiglia di norme ISO/IEC 27000 si occupa dei sistemi di gestione per la sicurezza delle informazioni, e quindi anche degli aspetti connessi al risk assessment in ambito information security;

la famiglia di norme ISO/IEC 29100 ha ristretto l’ambito di applicazione alla privacy (in un quadro generale più ampio della data protection regolamentata nel GDPR), e alle Personally Identifiable Information (PII) ossia le informazioni riferite a persone.

[9] L'Agenzia europea per la sicurezza delle reti e dell'informazione (ENISA, European Network and Information Security Agency) è una delle agenzie dell'Unione europea. La missione di ENISA è migliorare la sicurezza informatica e delle reti di telecomunicazioni dell'Unione europea per lo sviluppo della cultura della sicurezza delle informazioni e delle reti a beneficio dei cittadini, dei consumatori, delle imprese e del settore pubblico europei e, di conseguenza, favorire lo sviluppo del mercato interno dell'Unione stessa. L’attività di ENISA si rivolgono anche agli aspetti relativi alla sicurezza nelle attività di trattamento dei dati personali.

[10] l’informativa relativa alle operazioni e attività di trattamento dei dati personali indicando ai sensi dell’art. 13 Reg. (UE) 2016/679:

1. Identità e dati di contatto del Titolare del trattamento e del legale rappresentante (art. 13, par. 1, lett. a) Reg. (UE) 2016/679)

2. Dati di contatto del responsabile della protezione dei dati (art. 13, par. 1, lett. b) Reg. (UE) 2016/679)

3. Modalità, base giuridica del trattamento dei dati (art. 13, par. 1, lett. c) Reg. (UE) 2016/679) e finalità del trattamento

4. Categorie di dati personali in questione (art. 14, par. 1, lett. d) Reg. (UE) 2016/679)

5. Obbligatorietà o facoltatività conferimento dati (art. 13, par. 2, lett. e) Reg. (UE) 2016/679)

6. Eventuali destinatari o le eventuali categorie di destinatari dei dati personali (art. 13, par. 1, lett. e) Reg. (UE) 2016/679)

7. Trasferimento dei dati personali a Paesi extra Ue o a Organizzazioni internazionali (art. 13, par. 1, lett. f) Reg. (UE) 2016/679)

8. Periodo di conservazione dei dati personali (art. 13, par. 2, lett. a) Reg. (UE) 2016/679)

9. Diritti dell’interessato (art. 13, par. 2, lett. b) e d) Reg. (UE) 2016/679)

10. Dati soggetti a processi decisionali automatizzati (art. 13, par. 2, lett. f) Reg. (UE) 2016/679)

[11] REGOLAMENTO  (UE)  N.  910/2014  DEL  PARLAMENTO  EUROPEO  E  DEL  CONSIGLIO del  23  luglio  2014 in   materia   di   identificazione   elettronica   e   servizi   fiduciari   per   le   transazioni   elettroniche   nel   mercato  interno  e  che  abroga  la  direttiva  1999/93/CE.

[12] Decreto Legislativo 7 marzo 2005, n. 82 Codice dell'amministrazione digitale.

[13] UNI CEI EN ISO/IEC 27001:2013 – Information technology – Security techniques – Information security management systems – Requirements; UNI CEI EN ISO/IEC 27002:2013 – Information technology – Security techniques – Code of practice for information security controls; ISO/IEC 27005:2013 – Information  technology – Security techniques – Information security risk management; ISO/IEC 27017:2015 – Information technology – Security techniques – Code of practice for information security controls based on ISO/IEC 27002 for cloud services; ISO/IEC 27018:2019 – Information technology – Security techniques – Code of practice for protection of Personally Identifiable Information (PII) in public clouds acting as PII processors; ISO/IEC 27701:2019 – Security techniques – Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management – Requirements and guidelines.

[14] ISO/IEC 29134:2017 – Information technology – Security techniques – Guidelines for privacy impact assessment; ISO/IEC 29151:2017 – Information technology – Security techniques – Code of practice for personally identifiable information protection.

[15] GDPR articolo 32 “Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio“.

[16] Il tool ENISA si articola in n. 6 passaggi: 1. Definition and Context of the Processing Operation DESCRIZIONE E CONTESTO; 2. Impact evaluation    VALUTAZIONE LIVELLO DI IMPATTO; 3. Threat Analysis   ANALISI     DELLE MINACCE; 3.a Network and Technical Resources RETE E RISORSE TECNICHE; 3.b Processes/Procedures Related to the Processing of Personal Data PROCESSI / PROCEDURE RELATIVE AL TRATTAMENTO DEI DATI PERSONALI; 3.c Parties/People Involved in the processing of Personal Data PARTI / PERSONE COINVOLTE NEL TRATTAMENTO DEI DATI PERSONALI; 3.d Business Sector and Scale of Processing SETTORE COMMERCIALE E SCALA DI ELABORAZIONE; 4. Risk Evaluation (PROBABILITÀ CHE LA MINACCIA SI REALIZZI) X (IMPATTO CONSEGUENZE) = (LIVELLO DI RISCHIO); 5. Security Measures (ENISA – ISO 27001:2013); 6. Export the analysis and the proposed measures.

[17] Il tool ENISA si articola in n. 6 passaggi: 1. Definition and Context of the Processing Operation DESCRIZIONE E CONTESTO; 2. Impact evaluation    VALUTAZIONE LIVELLO DI IMPATTO; 3. Threat Analysis   ANALISI     DELLE MINACCE; 3.a Network and Technical Resources RETE E RISORSE TECNICHE; 3.b Processes/Procedures Related to the Processing of Personal Data PROCESSI / PROCEDURE RELATIVE AL TRATTAMENTO DEI DATI PERSONALI; 3.c Parties/People Involved in the processing of Personal Data PARTI / PERSONE COINVOLTE NEL TRATTAMENTO DEI DATI PERSONALI; 3.d Business Sector and Scale of Processing SETTORE COMMERCIALE E SCALA DI ELABORAZIONE; 4. Risk Evaluation (PROBABILITÀ CHE LA MINACCIA SI REALIZZI) X (IMPATTO CONSEGUENZE) = (LIVELLO DI RISCHIO); 5. Security Measures (ENISA – ISO 27001:2013); 6. Export the analysis and the proposed measures.

[18] Riservatezza è il grado in cui l’accesso alle informazioni è limitato a un gruppo preventivamente definito ed autorizzato ad avere questo accesso; questo include anche misure per proteggere la privacy; le informazioni che si vogliono proteggere non devono essere inaccessibili, ma devono essere accessibili solo dal personale autorizzato. Integrità è il grado con cui le informazioni sono aggiornate e sono prive di errori (sia intenzionali che accidentali); l’integrità è caratterizzata da due aspetti che sono: correttezza delle informazioni; completezza delle informazioni; l’integrità delle informazioni equivale a dire che queste siano aggiornate. Disponibilità è il grado in cui le informazioni sono disponibili all’utente e/o al sistema informativo nel momento in cui queste vengono richieste in quanto sono necessarie e a chi le deve ricevere. La disponibilità è caratterizzata da tre aspetti e sono: 1. temporale – i sistemi informativi sono disponibili quando necessario; 2. continuità – il personale può continuare a lavorare in caso di guasto; 3. robustezza – vi è una capacità sufficiente per consentire a tutto il personale nel sistema di lavorare.

[19] GDPR Articolo 6 "Liceità del trattamento"- 1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni: a) l'interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità; b) il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso; c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento; d) il trattamento è necessario per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica; e) il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento; f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore. La lettera f) del primo comma non si applica al trattamento di dati effettuato dalle autorità pubbliche nell'esecuzione dei loro compiti. 2. Gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l'applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto anche per le altre specifiche situazioni di trattamento di cui al capo IX. 3. La base su cui si fonda il trattamento dei dati di cui al paragrafo 1, lettere c) ed e), deve essere stabilita: a) dal diritto dell'Unione; o b) dal diritto dello Stato membro cui è soggetto il titolare del trattamento. La finalità del trattamento è determinata in tale base giuridica o, per quanto riguarda il trattamento di cui al paragrafo 1, lettera e), è necessaria per l'esecuzione di un compito svolto nel pubblico interesse o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento. Tale base giuridica potrebbe contenere disposizioni specifiche per adeguare l'applicazione delle norme del presente regolamento, tra cui: le condizioni generali relative alla liceità del trattamento da parte del titolare del trattamento; le tipologie di dati oggetto del trattamento; gli interessati; i soggetti cui possono essere comunicati i dati personali e le finalità per cui sono comunicati; le limitazioni della finalità, i periodi di conservazione e le operazioni e procedure di trattamento, comprese le misure atte a garantire un trattamento lecito e corretto, quali quelle per altre specifiche situazioni di trattamento di cui al capo IX. Il diritto dell'Unione o degli Stati membri persegue un obiettivo di interesse pubblico ed è proporzionato all'obiettivo legittimo perseguito. 4. Laddove il trattamento per una finalità diversa da quella per la quale i dati personali sono stati raccolti non sia basato sul consenso dell'interessato o su un atto legislativo dell'Unione o degli Stati membri che costituisca una misura necessaria e proporzionata in una società democratica per la salvaguardia degli obiettivi di cui all'articolo 23, paragrafo 1, al fine di verificare se il trattamento per un'altra finalità sia compatibile con la finalità per la quale i dati personali sono stati inizialmente raccolti, il titolare del trattamento tiene conto, tra l'altro: a) di ogni nesso tra le finalità per cui i dati personali sono stati raccolti e le finalità dell'ulteriore trattamento previsto; b) del contesto in cui i dati personali sono stati raccolti, in particolare relativamente alla relazione tra l'interessato e il titolare del trattamento; c) della natura dei dati personali, specialmente se siano trattate categorie particolari di dati personali ai sensi dell'articolo 9, oppure se siano trattati dati relativi a condanne penali e a reati ai sensi dell'articolo 10; d) delle possibili conseguenze dell'ulteriore trattamento previsto per gli interessati; e) dell'esistenza di garanzie adeguate, che possono comprendere la cifratura o la pseudonimizzazione.

[20] [doc. web n. 9300784] Provvedimento del 26 marzo 2020 - "Didattica a distanza: prime indicazioni" https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9300784