5 regole per la protezione dei dati personali durante l’emergenza COVID-19

L’emergenza relativa alla diffusione del virus COVID-19 in Italia, oltre alle ormai note ed ovvie conseguenze sanitarie ed economiche, comporta una serie di problematiche e criticità anche in relazione alla protezione dei dati personali.

Ecco quindi, riassunte in 5 punti, le buone pratiche da mettere in atto allo scopo di operare coerentemente alla normativa di settore e proteggere le informazioni aziendali, dei dipendenti, collaboratori e visitatori.

  1. CONTROLLI SANITARI IN AZIENDA: Si è diffusa in questi giorni la pratica per la quale il dipendente o visitatore sarebbe tenuto alla sottoscrizione di un autocertificazione sul proprio stato di salute o, addirittura, sarebbe tenuto a sottoporsi ad un controllo della temperatura corporea prima di fare ingresso in azienda.
    Come chiarito dal Garante per la Protezione dei Dati Personali, tale pratiche sono da considerarsi assolutamente VIETATE.
    il trattamento dei dati sanitari, infatti deve avvenire sulla base di una delle eccezioni previste dall’art. 9 del GDPR, nel caso di specie l’unica opzione percorribile sarebbe quella della raccolta di uno specifico consenso da parte del lavoratore o visitatore, tuttavia, in tali situazioni il consenso difficilmente potrebbe considerarsi davvero liberamente prestato e di conseguenza valido.
    Inoltre, il trattamento di dati sanitari del lavoratore non può nemmeno basarsi sulla normativa (d.lgs. 81/2008) in materia di sicurezza sul lavoro, in quanto è fatto espresso divieto di effettuare controlli preventivi sullo stato si salute del dipendente.
    La conclusione pertanto è quella di astenersi dall’effettuare tali controlli, i quali spettano esclusivamente alle autorità preposte.
  2. CONTROLLI SUGLI SPOSTAMENTI: Altra pratica che ha preso piede è quella per la quale visitatori e dipendenti darebbero tenuti a presentare un’autocertificazione in merito ai loro ultimi spostamenti, dichiarando di non essere stati in zone a rischio negli ultimi 14 giorni.
    A tale proposito, la raccolta di questi dati risulta assolutamente esuberante rispetto alle legittime finalità dell’azienda e deve pertanto essere in ogni caso evitata.
    Anche in questo caso la raccolta di queste informazioni spetta infatti esclusivamente alle autorità preposte.
  3. CERTIFICATI DI QUARANTENA: I soggetti che sono entrati in contatto con il virus vengono sottoposti dall’autorità competente ad un periodo di quarantena di 14 giorni, la comunicazione della USLL competente viene inoltrata, tra gli altri, anche al datore di lavoro.
    Tale certificazione contiene inevitabilmente dati personali, tuttavia, il datore di lavoro ha la possibilità di conservarla, al solo scopo di dare seguito ai propri obblighi di legge (in materia retributiva, contributiva e di sicurezza sul lavoro), sulla base di una norma imperativa (l’art. 3, comma 2, lett. C e d del DPCM 1 Marzo 2020)
    E’ da valutare caso per caso l’esigenza di aggiornare l’informativa ex. Artt. 13 e 14 diretta ai dipendenti.
  4. COMUNICAZIONI DEL LAVORATORE: Se invece è il lavoratore che, nell’adempiere ai propri obblighi di comunicazione, rende noto al proprio datore di lavoro di essere un soggetto a rischio contagio, tale informazione può essere trattata allo scopo di garantire la sicurezza degli altri dipendenti e collaboratori.
  5. TELELAVORO, LAVORO AGILE, SMARTWORKING:
    In questi giorni di allerta per l’infezione da CoViD-19 molte aziende hanno scelto lo strumento del lavoro da remoto allo scopo di limitare le possibilità di contagio tra i propri dipendenti e collaboratori.
    I vantaggi che la diffusione degli strumenti tecnologici come cloud, connessioni VPN e software per i collegamenti da remoto comporta, sono bilanciati dal fatto che l’utilizzo di reti e strumenti domestici è quasi sempre più rischioso rispetto all’infrastruttura aziendale, che si suppone essere costantemente presidiata e dotata di misure di sicurezza che un cittadino non può acquistare.

    File condivisi
    Uno dei punti critici dello smart working è collegato alla condivisione e sincronizzazione dei file, per lavorare da remoto è impossibile farne a meno ma questo comporta dei rischi, specie se vengono utilizzati dispositivi diversi (es. smartphone, pc), se non si cura la sicurezza dei canali utilizzati.
    La condivisione che avviene all’interno della rete aziendale è facilmente gestibile, mentre un dipendente che accede dall’esterno della rete porta con se i rischi tipici delle reti domestiche, molto più facilmente attaccabili, alcuni rischi potrebbero essere:
  • Furto delle credenziali del dipendente, con conseguente apertura di falle nella rete aziendale.
  • Infezione trasmessa dal dispositivo personale ai dispositivi della rete aziendale.
    Nasce di conseguenza l’esigenza di adottare soluzioni ad hoc che potrebbero essere ad esempio la crittografia end-to-end delle informazioni trasmesse, controlli utente e sequenze cronologiche di informazioni, permettendo al chi si occupa di sicurezza informatica in azienda di continuare a tenere sotto controllo la situazione, mantenendo l’archiviazione dei file centralizzata.

    Utilizzo degli account
    Aspetto che presente moltissime criticità è certamente quello dell’account utilizzato per lo svolgimento delle proprie mansioni.
    La prima, fondamentale, azione è quella di consentire esclusivamente l’utilizzo dell’account aziendale, limitandone però i diritti di accesso e utilizzando una Vpn per la connessione
    Inoltre è fondamentale che il dispositivo utilizzato dal lavoratore sia dotato di un antivirus aggiornato ed effettui la cifratura degli hard disk interni ed esterni.
    In generale, quindi, è sconsigliabile utilizzare i dispositivi personali, e qualora ciò sia possibile è preferibile fornire dispositivi aziendali correttamente configurati.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *


Torna in alto