GDPR e Smart Working

 

Quali sono gli aspetti che l’azienda deve considerare per essere conforme al GDPR se effettua la propria, o parte della propria attività in smartworking.

L’art. 32 del GDPR indica al Titolare o il Responsabile del Trattamento di mettere in atto misure tecniche e organizzative adeguate a garantire, ai Dati Personali, un livello di sicurezza adeguato al rischio.

Le attività in smartworking, soprattutto necessitando del collegamento a internet costante, sono soggette a maggiori rischi e potenziali minacce rispetto alle attività svolte all’interno di un perimetro informatico protetto che comunque ultimamente sono molte. Per la natura delle attività in smartworking, le informazioni (spesso contenenti anche Dati Personali) devono essere disponibili in modo “smart”, quindi accessibili a più persone, da diversi dispositivi e in qualsiasi momento, nonché la possibilità di condividere informazioni tra più persone distanti tra loro.

Se l’azienda dispone già di una buona organizzazione in ambito Privacy, precedente all’inizio delle attività in smartworking, può soddisfare il regolamento in modo semplice. Il cardine della conformità al GDPR, ma soprattutto la garanzia di un livello di sicurezza adeguato al rischio per la protezione dei Dati Personali può essere assicurata solo mediante l’uso di attrezzature informatiche di qualità, di software licenziato e di figure professionali competenti.

Il Titolare (o il Responsabile) del Trattamento dei Dati Personali dovrà infatti analizzare se i seguenti aspetti hanno o meno modificato lo scenario per la sicurezza dei Dati Personali:
– Contesto di smartworking in cui si opera;
– Dati personali oggetto del trattamento in smartworking;
– Parti interessate (stakeholder) dallo smartworking;

Il Titolare (o il Responsabile) del Trattamento ha il compito di individuare il contesto in cui opera l’azienda, formato dagli Asset dove risiedono i Dati Personali, dalle modalità di connessione ai Dati Personali, dagli Asset che si collegano ai Dati Personali.

Determinato il contesto, il rischio potrebbe variare in base alle tipologie di Dati Personali soggette al trattamento, che devono quindi essere determinate dal Titolare (o il Responsabile) del Trattamento. Il Registro delle Attività di Trattamento è lo strumento di supporto in questa fase.

Il Titolare (o il Responsabile) del Trattamento deve poi individuare i soggetti che trattano i Dati Personali avendo cura che siano tutti debitamente formati in materia di GDPR, sicurezza informatica e protezione dei Dati Personali.

La consapevolezza dei rischi e delle potenziali minacce che incombono sulle attività in smartworking è un elemento indispensabile per elevare il livello di sicurezza dei Dati Personali.

Il Titolare (o il Responsabile) del Trattamento, può con questi elementi determinare quali siano le azioni necessarie a garantire la sicurezza dei Dati Personali oggetto del trattamento. La struttura informatica dell’azienda deve infatti fornire un livello adeguato di sicurezza per i Dati Personali.

Al termine degli interventi effettuati il Titolare (o il Responsabile) del Trattamento deve controllare l’Informativa Privacy in vigore, aggiornarla debitamente qualora necessiti di modifiche in considerazione delle attività aziendali eseguite in smartworking e diffonderla per soddisfare il principio di Trasparenza indicato all’art. 5 del GDPR. 

Pin It on Pinterest

Condividi queste informazioni con i tuoi contatti

Condividi questo articolo nel tuo social preferito.