I MERCOLEDI' DELLA PRIVACY: le undici regole per il lavoro agile in sicurezza

Ci ha pensato la Cert-PA dell'agenzia per l'Italia digitale (AgID) ad elaborare un documento contenente undici raccomandazioni rivolte ai dipendenti che svolgono la loro attività in smart working, per aiutarli ad utilizzare al meglio e in sicurezza i propri dispositivi personali: pc, smartphone, tablet. Si tratta di indicazioni fornite ai dipendenti pubblici ma che ben si possono considerare applicabili anche agli amministratori di condominio.

I testi di riferimento
Il documento di partenza dal quale sono state stilate le raccomandazioni è la circolare 17 marzo 2017 numero 1/2017, emanata prima dell'avvenuta efficacia del Gdpr (avvenuta il 25 maggio 2018) e, pertanto, si riferiva alle cosiddette «misure minime di sicurezza informatica per la pubblica amministrazione». Come noto, con l'entrata in vigore del Gdpr le misure minime sono state abrogate e sostituite dal concetto di misure adeguate rispetto al rischio, la cui valutazione è in capo del titolare/responsabile del trattamento dati.

Certo è che le misure da considerarsi adeguate secondo il regolamento europeo non potranno di certo essere inferiori rispetto a quelle minime ma, anzi, sulla base del contesto, queste potranno considerarsi derogabili solamente in meglio.

Le regole indicate
Ecco l'elenco delle indicazioni da seguire:
1. Segui prioritariamente le policy e le raccomandazioni dettate dallo studio di amministrazione.
2. Utilizza i sistemi operativi per i quali attualmente è garantito il supporto.
3. Effettua costantemente gli aggiornamenti di sicurezza del tuo sistema operativo.
4. Assicurati che i software di protezione del tuo sistema operativo (firewall, antivirus, ecc.) siano abilitati e costantemente aggiornati.
5. Assicurati che gli accessi al sistema operativo siano protetti da una password sicura e comunque conforme alle password policy emanate dallo studio di amministrazione.
6. Non installare software proveniente da fonti/repository non ufficiali.
7. Blocca l'accesso al sistema e/o configura la modalità di blocco automatico quando ti allontani dalla postazione di lavoro.
8. Non cliccare su link o allegati contenuti in email sospette.
9. Utilizza l'accesso a connessioni wi-fi adeguatamente protette.
10. Collegati a dispositivi mobili (pen-drive, hdd-esterno, etc) di cui conosci la provenienza (nuovi, già utilizzati, forniti dallo studio stesso).
11. Effettua sempre il log-out dai servizi/portali utilizzati dopo che hai concluso la tua sessione lavorativa.

Da queste indicazioni si evince come esercitare la professione in modalità di lavoro agile non è affatto banale ed ha delle criticità dettate dall'uso dello strumento informatico che comunque devono essere prese in considerazione.

I collaboratori
Il collaboratore, da un punto di vista della normativa sulla privacy, svolgerà la sua attività quale “autorizzato” del trattamento dei dati personali e, come tale, deve essere debitamente formato (istruito ex articolo 29 Gdpr), osservando tutte le disposizioni e le misure tecniche ed organizzative che lo studio di amministrazione gli metterà a disposizione, garantendo la conformità del suo operato rispetto al regolamento Ue 16/679 in materia di trattamento dei dati personali.

A questo proposito è compito del titolare dello studio dimostrare di aver impartito le dovute istruzioni, quindi è bene raccogliere prove documentali sia in relazione all'accettazione di policy di studio e sia in relazione alla partecipazione e al superamento delle sessioni formative da parte del collaboratore.La formazione deve prevedere istruzioni anche sulle misure organizzative di sicurezza da seguire.

Le accortezze richieste
È quindi indispensabile che il collaboratore eviti che ai dati possano accedere persone non autorizzate presenti nella sua abitazione (compresi familiari), che blocchi il dispositivo in caso di allontanamento dalla postazione di lavoro, anche per un intervallo molto limitato di tempo, che qualora non si utilizzino dispositivi forniti dal titolare del trattamento si proceda ad installare almeno un buon sistema antivirus ed effettuare un'accurata scansione preventiva. Occorrerà anche sensibilizzare il collaboratore ad evitare l'uso dei social network, o altre applicazioni social facilmente hackerabili.

Si deve poi consigliare di adoperare “misure di sicurezza” nell'utilizzo di pc o tablet come paraschermi (privacy-screen) che impediscano la visuale laterale, nonché evitare di rivelare al telefono informazioni di carattere personale, ma anche il collegamento a reti non sicure o sulle quali non si abbiano adeguate garanzie.

Al termine della sessione lavorativa giornaliera, si deve prestare attenzione a conservare e tutelare i documenti stampati, provvedendo alla loro eventuale distruzione solo una volta che si è rientrati presso la sede di lavoro mentre,quando risulti necessario per il collaboratore trattenere presso il domicilio materiale cartaceo contenente dati personali, questo deve essere custodito in armadi, cassetti o altri contenitori muniti di chiave.

L’obbligo di riservatezza
In pratica, il dipendente in regime di smart working è chiamato ad organizzare all'interno della propria abitazione una postazione di lavoro dedicata, riducendo al minimo le interferenze di altri soggetti, eventualmente presenti nell'abitazione, in termini di rumore ed ingerenze/distrazioni, dando la possibilità al titolare dello studio di chiedere conto del lavoro svolto per dare e ricevere feedback.

Oltre alla tenuta in sicurezza dei dati degli interessati, il dipendente e tenuto alla più̀ assoluta riservatezza sulle informazioni in suo possesso e/o disponibili sul sistema informativo a tutela del know-how dello studio.

Dunque, regole da non sottovalutare, anche in considerazione al rischio di dover rendere conto ai condomini, ex articolo 15 Gdpr, che dovessero chiedere all'amministratore quali misure di sicurezza sono state attuate nel trattamento dei dati che li riguardano.