Cybersicurezza e Smart Working: uno sguardo al futuro
Quanto è importante oggi saper potenziare le competenze dei dipendenti in Smart Working per proteggere i rischi di attacco al patrimonio aziendale?
Giuridicamente, lo smart working rappresenta una mera modalità di esecuzione del lavoro subordinato, e non certo un nuovo tipo negoziale. Comunemente si parla di un “nuovo” modo di organizzazione del lavoro, anche se lo stesso era già stato disciplinato nel 2017, con la legge n. 81.
Prima di essere un ideale giuridico però, lo smart working rappresenta una filosofia manageriale fondata sulla concessione ai lavoratori di autonomia, flessibilità e libertà di scelta su luoghi e orari di lavoro. Il tutto a fronte di una maggiore responsabilizzazione sui risultati finali.
E’ stato, in realtà, grazie alla pandemia, e quindi solo negli ultimi due anni, che il lavoro svolto in modalità agile ha ricevuto una spinta senza precedenti.
Imprese e lavoratori si sono dovuti adattare, per quanto possibile, alla situazione di crisi pandemica,
che li ha costretti ad nuova visione dell’idea stessa di lavoro: riprogrammarlo fisicamente “al di fuori dell’azienda” ha significato ripensare in toto all’organizzazione degli strumenti di lavoro, ridefinire gli obiettivi da raggiungere ricadenti in capo al dipendente e le modalità di controllo/supervisione da parte del datore di lavoro, aggiornare il concetto stesso di orario di lavoro. Senza dimenticarne le inevitabili implicazioni in termini del c.d. diritto alla disconnessione, in materia di privacy e sicurezza, temi oggigiorno estremamente caldi e delicati.
E’ proprio su questi due ultimi aspetti che è necessario oggi soffermarsi: lavorare in un differente layout degli spazi fisici in azienda spinge inevitabilmente i dipendenti a nuovi possibili rischi.
Il GDPR (General Data Protection Regulation – REGOLAMENTO UE 2016/679) non ha solo segnato un aggiornamento della normativa privacy, ma ha cambiato le prospettive di come aziende, professionisti, ma anche gli stessi dipendenti, debbono approcciarsi a tutte le attività in cui è previsto un trattamento di dati sensibili.
Che cosa significa garantire la privacy?
Non si tratta solo implementare le soluzioni gestionali, ricorrendo al miglior offerente sul mercato.
Per quanto l’azienda adotti tutte le misure di prevenzione idonee a far fronte a qualsivoglia attacco informatico, il rischio potenziale di una falla nei sistemi di sicurezza con conseguente furto di dati sensibili non potrà mai essere azzerato. Ad alimentare questo rischio concorre innanzitutto un fattore purtroppo mai trascurabile, rappresentato dall’errore umano.
Per quanto ci si rivolga ai software migliori è necessario, se non fondamentale, formare i propri collaboratori e dipendenti sui possibili rischi dei sistemi informatici, il tutto in un’ottica di sicurezza delle informazioni e dei dati gestiti. L’errore umano è dietro l’angolo … si pensi solamente alla possibilità per un dipendente di “abboccare” ai tentativi di phishing, o di cliccare su un collegamento ad un link potenzialmente dannoso. Che dire poi dei numerosi casi di ransomware, finalizzati a bloccare l’utilizzo del pc chiedendo in cambio un riscatto da pagare.
Inutile dire che i rischi sopra descritti in smart working aumentano esponenzialmente.
Gli strumenti informatici a disposizione possono diventare oggetto di vulnerabilità, se non utilizzati da personale qualificato. Si parla di analfabetismo digitale e non inteso solo nella totale incapacità e non conoscenza degli strumenti informatici, ma definito anche come mancanza di consapevolezza dei possibili danni derivanti dal cattivo utilizzo degli stessi.
Quali sono i rischi quando un dipendente non è formato? Il più noto è il c.d. DATA BREACH definizione prevista dall’art. 33 del Reg. Ue 679/2016 consistente in una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali.
Alcuni possibili esempi:
- l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;
- il furto o la perdita di dispositivi informatici contenenti dati personali;
- la deliberata alterazione di dati personali;
- l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.;
- la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;
- la divulgazione non autorizzata dei dati personali.
Si può quindi ben comprendere come un utente consapevole delle potenzialità dei sistemi informatici con cui opera, adeguatamente formato e istruito circa le modalità di corretto impiego degli stessi e le più comuni modalità di minaccia informatica, rappresenti parte integrante, fondamentale e imprescindibile, del “sistema di sicurezza informatico” tout-court.
Anzi, se pensiamo soltanto ad alcuni dei ben noti casi più recenti (Casi di Ransomware, Caso Regione Lazio), potremmo addirittura affermare che ne rappresenta la componente più delicata.
Cosa fare in caso di violazione dei dati personali?
Il titolare del trattamento (soggetto pubblico, impresa, associazione, partito, professionista, ecc.) senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, deve notificare la violazione al Garante per la protezione dei dati personali a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.
Le notifiche al Garante effettuate oltre il termine delle 72 ore devono essere accompagnate dai motivi del ritardo.
Inoltre, se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che non abbia già preso misure tali da ridurne l’impatto.
Il titolare del trattamento, a prescindere dalla notifica al Garante, documenta tutte le violazioni dei dati personali, ad esempio predisponendo un apposito registro. Tale documentazione consente all’Autorità di effettuare eventuali verifiche sul rispetto della normativa.
Il sistema sanzionatorio in caso di Data Breach – Le azioni del garante
Il Garante può prescrivere misure correttive (v. art. 58, paragrafo 2, del Regolamento UE 2016/679) nel caso sia rilevata una violazione delle disposizioni del Regolamento stesso, anche per quanto riguarda l’adeguatezza delle misure di sicurezza tecniche e organizzative applicate ai dati oggetto di violazione. Sono previste sanzioni pecuniarie che possono arrivare fino a 10 milioni di Euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale.
Il regolamento pone con forza l’accento sulla “responsabilizzazione” (accountability nell’accezione inglese) di titolari e responsabili – ossia, sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento (si vedano artt. 23-25, in particolare, e l’intero Capo IV del regolamento). Si tratta di una grande novità per la protezione dei dati in quanto viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali – nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel regolamento.
Alla luce di ciò, è bene responsabilizzare, volendo utilizzare la stessa terminologia, anche tutti coloro che fanno parte della medesima realtà aziendale.
In conclusione, possiamo affermare come un utilizzo corretto delle risorse e degli strumenti a disposizione possa aiutare dipendenti e datori a sfruttare al meglio ciò che la tecnologia offre, ed è in quest’ottica che lo smart working rappresenta un valido strumento al fine del perseguimento, al meglio, dei risultati aziendali.
Articolo a cura di Alice Stevanato
Alice Stevanato, Consulente del lavoro iscritta all’Ordine di Venezia e formatrice in ambito Hr.
E’ Partner de Il Sole 24 ore, con cui collabora. Da sempre appassionata al mondo del diritto del lavoro e delle risorse umane.
https://alicestevanato.com/it/