Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Autore: Stefano Gazzella
Quando si analizza il rischio derivante dal comportamento degli operatori, una delle fonti da computare riguarda comportamenti sleali o dolosi e per l’effetto conduce alle necessità di dare definizione a dei sistemi deputati al monitoraggio dei “comportamenti a rischio” come misura preventiva.
Ovviamente, nell’ipotesi di violazione di sicurezza tali sistemi possono agevolare l’attività di analisi e l’individuazione degli eventuali responsabili interni o esterni all’organizzazione.
Ma fino a che punto è possibile svolgere queste attività, e soprattutto quali sono i limiti legali di cui si deve tenere conto per queste attività di prevenzione e rilevazione di comportamenti non conformi ai disciplinari d’impiego o – più in generale – per accertare la fedeltà dei dipendenti?
Secondo una falsa narrazione, la privacy del lavoratore sarebbe un ostacolo a qualsiasi attività di controllo soprattutto se svolta attraverso dei sistemi Nex-Gen.
In realtà, ogni attività che possa comportare il controllo a distanza del lavoratore deve seguire le prescrizioni di cui all’art. 4 L. 300/1970 (Statuto dei lavoratori), svolgersi secondo il criterio di proporzionalità e rispettare la disciplina in materia di protezione dei dati personali.
Ciò comporta pertanto non un divieto o un impedimento, bensì una condizione affinché tali controlli possano svolgersi evitando ad esempio che assumano un carattere eccessivo ed illimitato per profondità, estensione o persistenza.
L’obbligo che comunemente ricorre è lo svolgimento di una valutazione d’impatto privacy, dal momento che si riscontra l’ipotesi richiamata dall’elenco di trattamenti di cui all’art. 35.4 GDPR:
Trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendentiEd è proprio in sede di svolgimento di valutazione d’impatto che possono essere verificate – anche attraverso consultazione del DPO, se presente – adeguatezza, proporzionalità e venire rendicontato il raggiungimento di quell’equilibrio fra tutela del lavoratore e tutela del patrimonio aziendale richiesto dalla normativa.
Inoltre, non solo è possibile verificare l’utilizzo accettabile delle strumentazioni informatiche senza trovare alcun ostacolo nella privacy ma al più una regolamentazione circa le modalità operative, ma è lo stesso principio di integrità e riservatezza del GDPR a prevedere che il titolare del trattamento debba adottare misure tali da:
“garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali”. E dunque, la mancata previsione di un sistema per il monitoraggio delle anomalie e dei comportamenti a rischio può costituire – come spesso costituisce – un inadempimento sul profilo della sicurezza dei trattamenti (art. 32 GDPR).
Ritenere che l’impiegato infedele possa farsi scudo con la privacy e per l’effetto rinunciare all’adozione di misure coerenti con l’analisi delle minacce e lo stato dell’arte significa – in pratica – accettare di esporre gli interessati a determinati rischi pur in presenza di misure di trattamento possibili. Con tutte le conseguenze legali di carattere risarcitorio e sanzionatorio, soprattutto in caso di data breach.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Innovazione
Cybercrime
Vulnerabilità
Innovazione
Cyber Italia