Category: Privacy

Cookie: dal 10 gennaio sono entrate in vigore le nuove linee guida del Garante

Le nuove linee guida del Garante privacy sui cookie sono entrate in vigore il 10 gennaio 2022 aggiornando quanto richiesto in tema di tracciamento e di possibilità di scelta da dare all’utente che visita il nostro sito.
L’obiettivo di queste linee guida è proprio quello di rafforzare il potere di decisione degli utenti riguardo all’uso dei loro dati personali quando navigano on line. Il provvedimento è stato adottato tenendo conto degli esiti della consultazione pubblica promossa alla fine dello scorso anno. L’aggiornamento delle precedenti Linee guida del 2014 si è reso necessario alla luce delle innovazioni introdotte dal Regolamento europeo in materia di privacy.

Il Garante ha voluto porre l’attenzione su due questioni:
• classificazione dei cookie ed altri strumenti di tracciamento;
• lo “scrolling e la cookie wall”;
• la reiterazione nella richiesta di consenso;
• la privacy by design e by default in relazione ai cookie ed agli altri strumenti di tracciamento;
• le novità in materia d’informativa.

I Cookie sono di regola stringhe di testo che i siti web (cd. publisher o “prima parte”) visitati dall’utente ovvero siti o web server diversi (cd. “terze parti”) posizionano ed archiviano – direttamente, nel caso dei publisher e indirettamente, cioè per il tramite di questi ultimi, nel caso delle “terze parti” – all’interno di un dispositivo terminale nella disponibilità dell’utente medesimo.
Le informazioni codificate nei cookie possono includere dati personali, come un indirizzo IP, un nome utente, un identificativo univoco o un indirizzo e-mail, ma possono anche contenere dati non personali, come le impostazioni della lingua o informazioni sul tipo di dispositivo che una persona sta utilizzando per navigare nel sito.
I cookie possono dunque svolgere importanti funzioni tra le più disparate, compresi l’esecuzione di autenticazioni informatiche, il monitoraggio di sessioni, la memorizzazione di informazioni su specifiche configurazioni riguardanti gli utenti che accedono al server, l’agevolazione nella fruizione dei contenuti online etc. Possono ad esempio essere impiegati per tenere traccia degli articoli in un carrello degli acquisti online o delle informazioni utilizzate per la compilazione di un modulo informatico. I cookie cd. “di autenticazione” sono di particolare importanza ogni qualvolta sia necessaria una verifica in ordine al soggetto che accede a
determinati servizi, come ad esempio quelli bancari.
Se da un lato è tramite i cookie che è possibile consentire, tra l’altro, alle pagine web di caricarsi più velocemente, come pure instradare le informazioni su una rete – in linea dunque con adempimenti strettamente connessi alla operatività stessa dei siti web -, sempre attraverso i cookie è possibile anche veicolare la pubblicità comportamentale (c.d. “behavioural advertising”) e misurare poi l’efficacia del messaggio pubblicitario.

Cosa fare in pratica

Si raccomanda pertanto l’adozione di un sistema di installazione dei cookie da parte del proprio sito web che soddisfi le indicazioni dell’EDPB e del Garante che preveda:
• i cookie dovranno identificarsi tendenzialmente in due tipi: tecnici (1) (che possono ricomprendere gli analitici anonimi che non permettano in nessun modo l’identificazione dell’interessato c.d. single out) e di profilazione (2) [se sono presente quelli analitici anonimi possono uscire da questa barra]. Dovrà ovviamente essere implementato un meccanismo che permetta all’utente granularmente di selezionare solo i cookie tecnici o entrambe le soluzioni.
• libero, per cui dovranno evitarsi banner che prevedano il c.d. “cookie-wall necessary” ossia il meccanismo per cui l’utente debba accettare l’installazione di tutti i cookie per poter accedere ai servizi del sito;
• i cookie andranno quindi acconsenti singolarmente, evitando meccanismi di accettazione multipla nella forma del “bundle”;
• informato, per cui il banner dovrà rendere un’informazione concisa, seppure completa e rimandare mediante link all’informativa estesa ove dovranno essere rese tutte le informazioni pertinenti, quali i tipi di cookie utilizzati, la loro natura e durata laddove prevista, oltre ad ogni altra informazione circa le modalità di accettazione, modifica e revoca;
• inequivocabile, per cui il banner dovrà chiaramente indicare all’utente che è prevista l’installazione di cookie necessari per il funzionamento del sito e che, previo consenso, potranno essere installati anche altri cookie eventualmente non anonimizzati e soprattutto cookie di profilazione.
• Il consenso dovrà essere sempre modificabile ed anche revocabile con la stessa facilità con cui esso è stato prestato: a tale fine è opportuno che l’informativa estesa preveda un comando “MODIFICA” ed un comando “REVOCA”.
• Infine, dovranno evitarsi meccanismi di installazione dei cookie prima che l’utente abbia svolto la propria azione positiva all’ingresso nel sito (per cui dovranno essere previsti strumenti di blocco automatico dei cookie fino alla scelta dell’interessato) oppure che prevedano una forma di opt-out: sono quindi sconsigliate forme di pre-selezione dei checkbox come anche il pre-posizionamento dei pulsanti “on-off” sulla modalità “on” e simili.

La guida non è esaustiva e dovrà essere calata in ogni singola realtà in base alle esigenze ed ai trattamenti svolti. Meraki può supportare l’azienda nell’implementazione di queste nuove linee guida!

Italy's Covid-19 Green Pass For Post-Vaccine Travel

Green Pass obbligatorio in azienda: le regole per adempiere ai controlli

Il Consiglio dei Ministri ha pubblicato, nella Gazzetta Ufficiale n. 226 del 21 settembre 2021, il decreto-legge 21 settembre 2021, n. 127, che introduce misure urgenti per assicurare lo svolgimento in sicurezza del lavoro pubblico e privato mediante l’estensione dell’ambito applicativo della certificazione verde COVID-19 e il rafforzamento del sistema di screening.
Il Decreto prevede l’obbligo di esibire il certificato verde nei luoghi di lavoro, pubblici e privati, da venerdì 15 ottobre 2021 e fino al 31 dicembre 2021, termine di cessazione dello stato di emergenza.

Per il settore privato sono previste importanti novità, che riassumiamo sinteticamente di seguito.

PREVISIONI PER IL SETTORE PRIVATO (art. 3, D.L. 21 settembre 2021 n. 127)

  1. dal 15 ottobre 2021 al 31 dicembre 2021, chiunque svolga un’attività lavorativa nel settore privato è tenuto a possedere il green pass al fine di accedere al luogo in cui l’attività viene svolta, nonchè ad esibire il documento su richiesta ai soggetti incaricati del controllo;
  2. l’obbligo è esteso anche nei confronti di chi svolga -nei luoghi di lavoro di cui al punto precedente- nel settore privato, a qualsiasi titolo, la propria attività lavorativa o di formazione o di volontariato, anche sulla base di contratti esterni;
  3. sono incaricati di tale controllo i datori di lavoro, in relazione ai propri dipendenti, nonchè i committenti per eventuali soggetti esterni che svolgano attività lavorativa all’interno dei propri siti;
  4. entro il 15 ottobre 2021, i datori di lavoro sono tenuti a definire le modalità operative per l’organizzazione del controllo, anche a campione. Le verifiche delle certificazioni sono effettuate secondo le modalità indicate dal Decreto del Presidente del Consiglio dei Ministri del 17 giugno 2021 (cap. 2 del documento). Prioritariamente, ove possibile, i controlli devono essere svolti al momento dell’accesso al luogo di lavoro. I soggetti incaricati dell’accertamento delle eventuali violazioni saranno individuati con atto formale, emanato dal datore di lavoro.
  5. i lavoratori, nel caso in cui comunichino di non essere in possesso del green pass o qualora risultino privi della predetta certificazione al momento dell’accesso al luogo di lavoro, andranno considerati assenti ingiustificati fino alla presentazione della predetta certificazione e, comunque, non oltre il 31 dicembre 2021. Per i giorni di assenza ingiustificata non sono dovuti la retribuzione nè altro compenso o emolumento, comunque denominato, pur mantenendo la conservazione del posto di lavoro e non rilevando l’assenza ai fini disciplinari;
  6. nel caso in cui i lavoratori accedano ai luoghi di lavoro senza possedere il green pass, saranno sanzionabili disciplinarmente dal datore di lavoro e soggetti a sanzione amministrativa;
  7. sono soggette a sanzione le imprese che entro il 15 ottobre non definiscano le modalità del controllo o che, in concreto, non effettuino tale verifica;
  8. per le imprese con meno di quindici dipendenti, dopo il quinto giorno di assenza ingiustificata (lavoratore privo di certificazione al momento dell’accesso o non in possesso del green pass), il datore di lavoro potrà sospendere il lavoratore per la durata corrispondente a quella del contratto di lavoro stipulato per la sostituzione, comunque per un periodo non superiore a dieci giorni, rinnovabili per una sola volta, e non oltre il termine del 31 dicembre 2021.

COME VANNO EFFETTUATE LE VERIFICHE (art. 13 del DPCM 17 giugno 2021) – sintesi

  1. Comma 1. La verifica delle certificazioni verdi COVID-19 è effettuata mediante la lettura del codice a  barre bidimensionale, utilizzando esclusivamente l’applicazione mobile descritta nell’allegato B, paragrafo 4, [C19 Check] che consente unicamente di controllare  l’autenticità, la validità e l’integrità della certificazione, e di conoscere le generalità dell’intestatario, senza rendere visibili le informazioni che ne hanno determinato l’emissione.
  2. Comma 4. L’intestatario della certificazione verde COVID-19 all’atto della verifica di cui al  comma 1 dimostra, a richiesta dei verificatori di cui al comma 2, la propria identità personale mediante l’esibizione di un documento di identità.
  3. Comma 5. L’attività di verifica delle certificazioni non comporta, in alcun caso, la raccolta dei dati dell’intestatario in qualunque forma.

COSA FARE QUINDI

Per quanto, ad oggi, è dato sapere (in attesa di chiarimenti) si può affermare che:

  • I controlli devono essere svolti da personale formalmente individuato a cui è stata consegnata la lettera di autorizzazione contenente specifiche istruzioni su come dovrà comportarsi in materia di privacy;
  • NON è possibile per le aziende creare un elenco di dipendenti che riassuma quali siano vaccinati e quali no e/o con appuntante le scadenze del certificato vaccinale;
    È possibile, per i soggetti incaricati, tenere un elenco dei soggetti per cui sia stato effettuato il controllo di green pass al fine di rendicontare (soprattutto per aziende numerose) al responsabile HR di aver effettuato un controllo completo sul personale in forza;
  • Il decreto legge del 21 settembre 2021 riduce i tempi di “attesa” tra la seconda dose e l’abilitazione al green pass. Un dipendente che viene vaccinato dopo poche ore dovrebbe trovare il proprio green pass nel suo fascicolo personale (mediante l’accesso all’app IO);
  • L’app C19 check nella lettura può restuire la validità sia tramite schermate di colore verde che di colore azzurro. Entrambe valide in Italia.
  • Dovrà essere esposta nei luoghi di lavoro un’informativa privacy relativa al controllo green pass (che può anche essere inviata per posta una tantum ai dipendenti).
Merakisas.it è disponibile per supportare le aziende negli adempimenti sopra indicati! 

Green Pass: obbligatorio il controllo anche nelle mense aziendali

Una FAQ pubblicata sul sito di Palazzo Chigi riporta: “Per la consumazione al tavolo al chiuso i lavoratori possono accedere nella mensa aziendale o nei locali adibiti alla somministrazione di servizi di ristorazione ai dipendenti, solo se muniti di certificazione verde. A tal fine, i gestori sono tenuti a verificare le certificazioni con le modalità indicate dal dpcm del 17 giugno” è necessario provvedere alla designazione dei soggetti che muniti di APP sul telefonino procederanno al controllo del Green Pass.

È opportuno ricordare che:

  1. Per fini di privacy per il controllo del green pass può essere usato anche un cellulare personale in quanto l’applicazione non salva alcun dato nel dispositivo.
  2. Validare il Green Pass con il telefonino non è la stessa cosa che chiedere al dipendente se è vaccinato. Ad oggi non ci sono norme che autorizzino le aziende (salvo qualche categoria particolare) a richiedere ai propri dipendenti se abbiano o meno effettuato la vaccinazione Covid.

 

SmartWorking: guida pratica agli adempimenti Privacy e di Sicurezza

La guida che segue rappresenta una sintesi di quali siano gli elementi essenziali per la pianificazione di un “miglior” SmartWorking nel rispetto della normativa privac anche in riferimento alle misure di sicurezza informatica.
Vorrei dare a dipendenti e collaboratori la possibilità di lavorare da remoto, cosa devo sapere?

Ci sono alcune questioni che è opportuno considerare prima di implementare modalità di lavoro da remoto:

  • Qual è lo stato attuale dell’infrastruttura ICT aziendale?
  • Qual è il livello di formazione attuale dei dipendenti in materia di privacy e sicurezza?
  • Esistono già politiche interne che disciplinano l’uso delle risorse aziendali?
  • Sarà necessario monitorare le attività dei dipendenti a distanza?
  • Dovrò utilizzare soluzioni tecnologiche particolari e/o software as a service?
Notebook aziendale o personale?

Un parametro fondamentale quando si vuole dare la possibilità di lavorare da remoto, è decidere se i dipendenti lavoreranno con strumenti aziendali o personali.

Da un lato, consentire l’uso di strumenti personali può rendere l’esperienza di lavoro più proficua grazie alla familiarità con lo strumento, oltre a derivarne un risparmio economico per l’azienda.

D’altro canto, utilizzare strumenti personali potrebbe comportare dei rischi per la sicurezza dei dati.

Parola d’ordine: gestione del rischio

Lavorare da remoto è sempre più una necessità, e negli ultimi anni è diventato anche molto semplice. Esistono soluzioni che in poco tempo e con poco sforzo permettono di impostare il lavoro da remoto. La semplicità apparente però non deve ingannare. Il lavoro da remoto comporta diversi rischi sia per l’azienda che per i diritti dei dipendenti. Pianificare il lavoro da remoto nel rispetto della normativa privacy (GDPR e Codice Privacy) può aiutare a mitigare molti di questi rischi.

Panorama Normativo

Il GDPR trova applicazione ogni volta che sono raccolti e trattati dati personali. Per “dato personale” si intende ogni informazione riferibile a persone identificate o identificabili.

Per quanto riguarda gli argomenti qui trattati, il GDPR non è l’unica fonte da considerare:

  • lgs. n. 196/2003, come modificato dal D.lgs. n. 101/2018 (Codice Privacy);
  • 300/1970 (Statuto dei Lavoratori);
  • Circolari INL (Ispettorato Nazionale Lavoro);
  • Provvedimenti dell’Autorità Garante;
  • Normative di riferimento sulla sicurezza informatica.
Cosa c’entra il lavoro da remoto con il GDPR?

Il lavoro da remoto, a prescindere dalla tipologia (telelavoro, smart working…) pone diversi rischi per l’organizzazione che sceglie di implementarlo, sia dal punto di vista della cybersicurezza, che per quanto riguarda il rispetto della normativa privacy. Spesso nell’ambito del lavoro da remoto sono previste soluzioni tecnologiche che comportano il trattamento di dati personali dei dipendenti, che deve essere realizzato nel rispetto del GDPR.

Per sua natura il lavoro da remoto aumenta il rischio di accesso non autorizzato ai sistemi informativi aziendali e ai dati trattati. Oltre a questo, l’assenza del contesto aziendale potrebbe comportare un aumento degli errori umani, con rischio di perdita o alterazione non autorizzata di dati.

Il GDPR prescrive specifici obblighi sia per la sicurezza dei dati trattati dall’azienda (compresi anche quelli dei dipendenti), sia per quanto riguarda i principi applicabili ad ogni tipologia di trattamento.

Questo non significa che il lavoro da remoto sia da evitare, ma che è un’attività che va pianificata e gestita anche tenendo conto dei requisiti privacy e dei rischi per la sicurezza dei dati trattati dall’azienda.

LE PRINCIPALI MISURE ORGANIZZATIVE

Il lavoro da remoto richiede una pianificazione che tenga conto del contesto di partenza, degli obiettivi, delle risorse a disposizione e dei rischi. Vediamo quali sono le principali misure organizzative che possono essere adottate, nel rispetto del GDPR.

Definizione degli Obiettivi

Per lavorare da remoto non basta soltanto dare un pc portatile ai dipendenti. Prima ancora di partire, è necessario definire e adottare una politica interna che descriva nel modo più dettagliato possibile alcuni punti essenziali:

  • Condizioni d’uso delle risorse aziendali accessibili da remoto;
  • Modalità di collegamento alle risorse aziendali;
  • Limiti di utilizzo degli strumenti di lavoro.

E se i dipendenti useranno dispositivi personali per lavorare:

  • Modalità di utilizzo dei dispositivi personali per fini lavorativi;
  • Sistemi operativi e software ammessi.

Queste politiche interne, una volta definite e adottate, dovranno essere rese note ai dipendenti che lavoreranno da remoto.

Se possibile, prevedi un paio d’ore di formazione per assicurarti che tutti abbiano compresso le regole.

Definire queste regole minime aiuta a prevenire rischi per la sicurezza dei dati e agevola anche la tutela dei diritti dei dipendenti.

Va espressamente comunicato alla risorsa quali siano i rischi più comuni quando si lavora da remoto:

  • Furto o abuso delle credenziali di accesso ai sistemi informativi e servizi informatici aziendali;
  • Maggiore esposizione a virus e malware;
  • Maggiore esposizione a vulnerabilità software;
  • Maggiore tendenza a commettere errori, in assenza di confronto diretto con i colleghi.

La sicurezza delle informazioni in un’azienda è fatta da persone che lavorano in modo consapevole e competente.

La consapevolezza di quel che si fa è molto importante quando si lavora da remoto.

Normazione del rapporto con i fornitori esterni

Per agevolare il lavoro da remoto vengono spesso utilizzate soluzioni tecniche di tipo software as a service. I fornitori di queste soluzioni sono a tutti gli effetti Responsabili del trattamento, e questo comporta una serie di conseguenze giuridiche che richiedono attenzione.

LE PRINCIPALI MISURE TECNICHE

Nei fatti, il lavoro da remoto è fatto da strumenti e software che permettono al lavoratore di collegarsi alle risorse aziendali interne ovunque si trovi. Questa grande libertà comporta però anche dei rischi, che sono gestibili se vengono presi in considerazione durante la fase di pianificazione.

Dispositivi aziendali o personali?

I rischi sono diversi se per il lavoro da remoto si utilizzeranno dispositivi forniti direttamente dall’azienda o dispositivi personali.

La motivazione è semplice: i dispositivi personali sono molto eterogenei tra loro, e la loro configurazione è al di fuori del controllo dell’azienda.

Alcuni dipendenti potrebbero avere notebook con sistemi operativi non aggiornati, o peggio ancora fuori supporto. Altri potrebbero avere installato del software che per sua natura comporta dei rischi per la cybersicurezza aziendale.

Allo stesso modo, un dispositivo personale o una rete domestica potrebbero essere compromessi senza che la persona ne sia consapevole, rischiando così di compromettere tutta la rete aziendale.

Per questo motivo, per sviluppare un modello in grado di gestire minacce e rischi bisogna tenere in considerazione che tipo di dispositivi useranno le persone per lavorare da remoto.

Sistema operativo e antivirus

Prima di consentire l’uso di dispositivi personali per il lavoro da remoto, è fondamentale accertarsi che siano soddisfatti dei requisiti minimi di sicurezza, come:

  • Sistema operativo recente e aggiornato con patch di sicurezza periodiche;
  • Software antivirus installato e periodicamente aggiornato.

Se il dipendente non dispone di Sistema operativo adeguato o software antivirus aggiornato, potrebbe essere opportuno dotarlo di licenza per l’installazione del software, o di un pc aziendale configurato in modo sicuro.

Credenziali di autenticazione

Soprattutto quando si usa un pc personale per lavorare è fondamentale gestire le credenziali di autenticazione in modo adeguato.

Come detto, i dispositivi personali potrebbero essere compromessi all’insaputa di chi li utilizza, mettendo a rischio anche le credenziali di autenticazione usate per accedere ai sistemi informativi aziendali.

Come se non bastasse, è possibile che questi dispositivi vengano usati in ambito familiare, aumentando ancora di più i rischi di abuso delle credenziali di accesso.

Fortunatamente, mitigare questi rischi è semplice: basta dotare i dipendenti di password manager, software in grado di memorizzare in modo sicuro (eventualmente anche in Cloud) migliaia di credenziali di accesso.

Nel caso in cui i dipendenti debbano accedere a risorse particolarmente importanti per l’operatività o per la natura dei dati trattati, sarebbe opportuno implementare tecniche di autenticazione multi-fattore, così da mitigare rischi di abuso delle credenziali di autenticazione e accesso non autorizzato ai sistemi aziendali.

Come accedere alle risorse aziendali?

Se le risorse aziendali non sono in Cloud, per accedervi da remoto ci sono due soluzioni:

  • Utilizzare una connessione VPN;
  • Installare un software per il controllo remoto.

La VPN (Virtual Private Network) è una connessione privata con cui è possibile collegarsi direttamente alle risorse aziendali. Le connessioni tramite VPN sono cifrate ed ogni utente deve essere autenticato.

Una volta connessi con VPN, i dipendenti potranno accedere direttamente al server aziendale, e lavorare come se fossero alla loro scrivania.

L’alternativa è utilizzare software per il controllo remoto. Una volta installati su un computer, questi software permettono di connettersi e gestire questo computer tramite un altro computer, collegato al primo grazie all’accesso remoto (a distanza).

Questi software devono essere però scelti con cura e assicurare che possano fornire un controllo centralizzato degli accessi, onde evitare rischi di accesso non autorizzato ai sistemi aziendali.

La scelta e configurazione di software per l’accesso remoto non è sempre semplice e dipende anche dal contesto di applicazione.

Per questo motivo, la soluzione preferibile a lungo termine potrebbe comunque essere la VPN.

Gestire le identità digitali

Quando si lavora da remoto, l’unico modo che hai per evitare rischi di accesso non autorizzato alle risorse aziendali è assicurare una buona gestione delle identità digitali.

In particolar modo:

  • Verifica periodicamente e amministra le identità digitali e credenziali di accesso dei dipendenti, revocandole quando necessario, ad esempio in caso di assenza prolungata;
  • Verifica periodicamente i diritti di accesso e autorizzazioni secondo i principi di minimo privilegio e separazione delle funzioni;

È molto frequente che in assenza di controlli gli utenti acquisiscano sempre più diritti di accesso nel corso del tempo (privilege creep).

Altri consigli “tecnici”

Si riportano di seguito alcuni ulteriori consigli tecnici da adottare per aumentare il livello di sicurezza informatica e delle informazioni in contesto di smart working:

  • Mantenere aggiornati i dispositivi aziendali forniti con le ultime patch di sicurezza e adeguatamente equipaggiati con software antivirus e sistemi EDR (Endpoint Detection & Response); questo permette di ridurre ulteriormente il rischio di compromissioni di questi dispositivi al di fuori della rete aziendale e di comunicare tempestivamente eventuali anomalie ai team IT e cyber security aziendali, per gestire correttamente ed in tempo utile eventuali incidenti. La capacità di risposta agli incidenti offerta da questo tipo di piattaforma è anche utile per la gestione remota di questo tipo di eventi, in quanto permette di interrogare gli endpoint ed effettuare attività di blocco direttamente dal punto centrale di gestione.
  • Prevedere una corretta hardenizzazione dei dispositivi ovvero applicare una configurazione che ne impedisca un utilizzo diverso da quello lavorativo. Bisogna quindi fare in modo, ad esempio, che i dispositivi non possano navigare in internet senza transitare per i proxy aziendali e inibire l’utilizzo delle porte USB per connettere unità di archiviazione di massa, o forzare la cifratura dei dispositivi rimovibili.
  • Intensificare la periodicità di scansioni perimetrali ed interne con strumenti di vulnerability management allo scopo di identificare vulnerabilità, principalmente legate alla gestione del cambiamento (a seguito dell’introduzione dello smart working) e all’estensione del perimetro aziendale ICT, verificando le vulnerabilità sui sistemi server, sui dispositivi gateway che permettono la remotizzazione delle attività e sulle postazioni di lavoro del lavoratore in smart working.
  • Verificare che i gateway VPN, e i dispositivi di protezione perimetrale in genere, siano up to date all’ultima release e all’ultima patch resa disponibile dal vendor, e che il dispositivo sia hardenizzato, eliminando servizi e funzionalità inutili, che non sia esposta l’interfaccia di gestione su rete pubblica, che non siano utilizzate password e account di default/deboli, che vengano utilizzati protocolli sicuri per la cifratura e “cypher suite” robuste.
  • Adottare soluzioni di tipo Early Warning per la tempestiva comunicazione di vulnerabilità e minacce sulle tecnologie particolarmente esposte causa smart working (boundary protection, VPN gateway, workstation & endpoint).
  • Applicare tecniche di virtualizzazione desktop (Virtual Desktop Infrastructure); adottando soluzioni che consentano l’accesso ad asset virtualizzati, interni alla rete aziendale e che permettano quindi di mantenere le informazioni all’interno del perimetro protetto dell’azienda, quali Virtual Desktop Infrastructure/Environment, application streaming o altro).
  • Prevedere sistemi di cifratura dei dati locali (File System/Disk Encryption) al fine di prevenire la perdita di dati critici in caso di furto o smarrimento dei PC dei dipendenti in quanto la mobilità ne aumenta la probabilità di accadimento.
  • Utilizzare esclusivamente connessioni cifrate (Virtual Private Network) per la connessione alle reti aziendali, utilizzando “cypher suite” con l’adeguato grado di robustezza (lunghezza delle chiavi, algoritmi non deprecati, …).
  • Adottare sistemi anti-DDoS per essere pronti a mitigare il rischio di attacchi volumetrici. Infatti, se fino ad oggi le attività svolte da remoto erano una minima parte, ora sicuramente rappresenteranno una quota maggioritaria. Questo significa che una indisponibilità dei sistemi aziendali che terminano le VPN o più in generale dell’accesso alle risorse aziendali, determinerà un blocco o un rallentamento significativo delle attività.
  • Adottare soluzioni multi-carrier che prevedano l’utilizzo di due o più carrier a garanzia della continuità dei servizi erogati e della operatività del proprio personale remoto legati ai disservizi dei carrier, che in periodi di sfruttamento elevato della rete diventano sempre più probabili e frequenti.

CONTROLLO A DISTANZA DEI DIPENDENTI

Il controllo a distanza dei dipendenti è un campo di intersezione tra normativa sul lavoro e normativa privacy.
Entrambe devono essere tenute in considerazione, ed entrambe prevedono alcune specifiche prescrizioni.

È possibile farlo?

Si può fare, ma ad alcune stringenti condizioni.

Per prima cosa, non dimenticare che controllare l’attività dei dipendenti significa trattare dati personali.
Ogni attività di controllo dovrà quindi rispettare la normativa privacy (GDPR e Codice Privacy per l’Italia).
Oltre alla normativa privacy bisogna tenere in considerazione lo Statuto dei lavoratori, che prevede espressamente alcune disposizioni proprio in merito all’attività di controllo del datore di lavoro.
Per quello che ci interessa, lo Statuto esprime tre concetti importanti:

  • L’impiego di strumenti da cui deriva la possibilità di controllo a distanza dei lavoratori è possibile solo per esigenze organizzative, produttive, e di sicurezza. L’uso di questi strumenti deve essere approvato tramite accordo sindacale o autorizzato da INL;
  • Questo non si applica però agli strumenti di lavoro e strumenti per la registrazione delle presenze, che potranno essere monitorati anche senza accordo sindacale o autorizzazione dell’INL;
  • Lo Statuto prevede infine che ogni attività di controllo debba rispettare la normativa privacy. In caso contrario, le informazioni raccolte saranno inutilizzabili e il datore potrebbe essere esposto alle sanzioni previste dal GDPR.
Trasparenza e rispetto dei diritti dei dipendenti

I dipendenti hanno il diritto di sapere se la loro attività lavorativa potrà essere monitorata a distanza, soprattutto nel caso di smart working, per il quale è prassi poter valutare il raggiungimento di certi obiettivi e le performance del lavoratore.

Informare i dipendenti non è soltanto una scelta di buon senso, ma una prescrizione normativa che deriva sia dal GDPR che dallo Statuto dei lavoratori.

In particolare, i dipendenti hanno il diritto di conoscere:

  • L’elenco degli strumenti suscettibili di controllo a distanza;
  • La natura, estensione (anche temporale) e finalità del trattamento;
  • Le modalità con cui saranno trattati i loro dati personali, tempi di conservazione ed eventuali soggetti coinvolti nel trattamento.
Il trattamento deve essere lecito e proporzionale

Monitorare l’attività dei dipendenti significa acquisire e trattare dati personali. Ogni attività di trattamento, di qualsiasi natura, deve fondarsi su una o più condizioni di liceità.

Il controllo a distanza, quando non strettamente necessario per eseguire la prestazione lavorativa, è tipicamente basato sul legittimo interesse del datore di lavoro, che può realizzare queste attività di trattamento senza il consenso del dipendente.

Il ricorso al legittimo interesse richiede però di effettuare un giudizio di bilanciamento tra gli interessi contrapposti di dipendenti e datore. Questo giudizio è una vera e propria analisi dei pro e contro delle soluzioni che si vorranno implementare, tenendo conto dei diritti dei dipendenti.

Ricorda che è comunque vietato il controllo indiscriminato, sistematico e su larga scala dell’attività dei dipendenti. Ogni attività deve avere una finalità determinata e lecita.

 

Merakisas.it può aiutarti a normare il tema nella tua società!

Cookie: dal 1° aprile entrano in vigore le nuove linee guida francesi

Il 1 ° aprile 2021 (e non si tratta di un pesciolino), diverranno applicabili le nuove linee guida “sui cookie e tecnologie similari” emanate dall’Autorità francese per la protezione dei dati (CNIL), contenti anche acune raccomandazioni finali sulle modalità pratiche per ottenere il consenso degli utenti alla memorizzazione oppure all’utilizzo di cookie non essenziali e tecnologie simili sui propri dispositivi, nonché una serie di Faq sull’argomento.

Volendo sintetizzare ciò che il documento contiene, riassumiamo di seguito per punti ciò che riteniamo più importate del provvedimento.

A chi si applica il provvedimento

Le linee guida si applicano alle aziende francesi o ad aziende che hanno utenti francesi tra la propria utenza.

Pulsante “accetta” e “rifiuta”

Sia le linee guida che le raccomandazioni sottolineano che deve essere altrettanto facile accettare o rifiutare l’uso dei cookie. Le interfacce di consenso che includono solo i pulsanti “accetta tutto” e “personalizza impostazioni”, in base ai quali gli utenti possono accettare tutti i cookie con un click ma possono rifiutarli con più click, non sono lecite. Se è presente un pulsante “accetta tutto”, deve esserci un pulsante “rifiuta tutto” della stessa dimensione e allo stesso livello sull’interfaccia. In alternativa, l’interfaccia per il consenso potrebbe includere un link “continua senza accettare”. Deve essere chiaro agli utenti come possono rifiutare i cookie.

Viene precisato che il “silenzio” da parte dell’utente, la mancanza di azione diretta dell’utente o altre azioni non direttamente riconducibili ad un chiaro atto positivo di espressione del consenso, debbano essere considerate come rifiuto.

Cookie di Analytics (anonimi) presentano alcune semplificazioni

Qualora vengano utilizzati soltanto cookie di Analytics anonimi per rendicontazioni ed analisi aggregate e qualora questi cookie non vengano relazionati con altri dati allo scopo di produrre analisi approfondite sugli utenti (non più anonime), si potrà procedere senza acquisire uno specifico consenso da parte degli utenti. A tal proposito, da quanto si legge nelle linee guida, la CNIL dovrebbe anche pubblicare un elenco di “strumenti” (cookie) che possano essere espressamente esentati dal consenso alle condizioni appena descritte.

Preferenze espresse dall’utente

Gli utenti, secondo quanto si legge dal provvedimento e dalle FAQ della CNIL, non dovrebbero essere invitati troppo spesso ad esprimere le proprie preferenze riguardanti i cookie.

La CNIL indica come “buona norma” la conservazione delle scelte dell’utente per 6 mesi (indicando che tale presupposto può e deve essere valutato caso per caso in base alle specifiche esigenze dell’azienda e del suo pubblico online).

Costruzione del banner relativo ai cookie

Si rende necessario, nel banner dei cookie, indicare a che tipologie di strumenti l’utente dia il proprio consenso. La CNIL indica tra le possibili categorie da poter utilizzare i cookie: “strettamente necessari, interazione e funzionalità semplici, miglioramento dell’esperienza, misurazione e/o targeting e pubblicità” alle quali, sempre secondo la CNIL, l’utente potrà prestare un consenso anche granulare (ovvero singolarmente, ad una o più delle citate categorie).

Terze parti

Nella Policy Privacy devono essere inseriti i link alle Policy Privacy delle singole aziende che forniscono cookie per cui sia necessario esprimere un consenso.

Consenso degli utenti prestato per ciascun sito

La CNIL in precedenza riteneva che fosse accettabile richiedere il consenso degli utenti per un gruppo di siti se gli utenti fossero stati informati della portata esatta del loro consenso. Quando i cookie non essenziali sono impostati da entità diverse dall’editore web e tali cookie consentono il monitoraggio delle attività degli utenti attraverso altri siti, ora la CNIL consiglia vivamente di richiedere il consenso degli utenti individualmente per ciascun sito.

Merakisas.it può aiutarti a sistemare la cookie policy, il cookie banner e quanto necessario per il rispetto della normativa. Contattaci senza impegno! 

 

 

Videosorveglianza e Privacy: quanto è importante il tempo di conservazione delle immagini?

La Videosorveglianza è uno strumento di grande utilità nel panorama aziendale.
Parallelamente alla crescita di installazioni di questo sistema di sicurezza, cresce anche la tecnologia applicabile sia ai dispositivi di ripresa (telecamere), sia ai dispositivi di registrazione che permettono l’utilizzo di add-on sempre più tecnologici quali l’identificazione facciale, l’accesso alle immagini da APP tramite smartphone/tablet, l’invio di una mail contenente una foto al passaggio di un soggetto davanti al cono di ripresa, la timbratura automatica aziendale, ecc…

Attacchi informatici: il Veneto nel mirino dei criminali

I reati informatici vivono un momento di grande vivacità nel nostro territorio.
Vediamo qualche mossa da mettere in atto nelle piccole aziende per fronteggiare questa minaccia.