CON TABLET E SMARTPHONE L UFFICIO È IN TASCA, MA OCCHIO ALLA PRIVACY!

Transcript

1

2 Nicola Bernardi Presidente FederPrivacy CON TABLET E SMARTPHONE L UFFICIO È IN TASCA, MA OCCHIO ALLA PRIVACY! I dispositivi mobili dei quali facciamo largo uso possono rivelarsi una concreta insidia alla nostra privacy ed è, pertanto, fondamentale conoscere le regole principali per proteggerli e salvaguardare le informazioni in essi contenuti. A tale argomento sarà dato ampio spazio al 3 Privacy Day Forum che si svolgerà a Pisa il prossimo 23 maggio 28

3 Secondo un articolo pubblicato sul Washington Post, tablet e smartphone multimediali ora hanno una potenza di elaborazione maggiore rispetto a quella che nel 1965 aveva il Comando per la Difesa Aerea del Nordamerica. Se in effetti pensiamo a normali attività che svolgiamo nella nostra giornata d ufficio a suon di click, viene difficile pensare che fino a pochi anni fa per fare le medesime cose in ufficio impiegavamo di gran lunga molto più tempo e fatica rispetto ad oggi, e persino lo stesso pc che utilizzavamo ci sembrava una innovazione futuristica. Che il sorpasso dei dispositivi mobili rispetto ai tradizionali pc sia avvenuto, lo dimostra il fatto che tablet e smartphone non sono più semplicemente dei telefoni. Tutti i modelli più diffusi permettono di collegarsi a internet, inviare e ricevere , fax e messaggi di testo, guardare la TV, ascoltare musica, fare fotografie e filmati, intrattenere rapporti con gli amici sui social network, spostarsi col navigatore satellitare e se lo si desidera anche telefonare a qualcuno! Addirittura, grazie a tablet e smartphone, anche il tradizionale concetto di ufficio fisico è diventato relativo, e siamo ormai in grado di disbrigare la maggior parte dei nostri problemi quotidiani mentre siamo in viaggio, da casa, o persino dal luogo di vacanza. Presi dall ebbrezza della grande libertà di movimento di cui ormai godiamo, è importante non dimenticare una cosa: tablet e smartphone costituiscono degli strumenti potenti che ci permettono di gestire rispetto al passato un numero enorme di attività in modo spesso semplice, e non sono le attività quotidiane che sono diminuite. Anzi, attraverso il vostro affezionato smartphone passano fiumi di megabyte ogni giorno che si concretizzano in grandi quantità di informazioni personali e dati sensibili. Avete mai perso uno smartphone o un tablet? Se vi è purtroppo capitato, qual è la prima cosa a cui avete pensato? Due sono le possibilità: o al valore dell oggetto, o ai dati che vi erano contenuti. Sperando che i nativi digitali non si offendano, se avete pensato esclusivamente al valore dell oggetto, questo ci porta a concludere che probabilmente lo utilizzavate relativamente, forse maggiormente per attività ludiche, o comunque per cose non top secret ; ma se il vostro incubo era il contenuto del dispositivo che avete perso, dei files di cui avevate assolutamente bisogno, di informazioni troppe riservate per finire in mani sconosciute, e di quello che può succedere se tali dati fossero finiti in mano alle persone sbagliate o dei malintenzionati, ciò sta allora a significare che il vostro dispositivo portatile era il compagno con cui abitualmente condividevate le gior- 29

4 nate. E allora potrebbero esserci grane in vista, a meno che non abbiate pensato preventivamente a proteggere la vostra privacy. Già, perchè se è vero che il nostro Codice della Privacy disciplina il trattamento di dati personali, anche detenuti all estero, effettuato da chiunque, prescrivendoci l adozione di misure di sicurezza minime e idonee, è anche vero che a prescindere dalla legge, ci sono delle regole fondamentali e delle best practices che, se messe in atto non solo possono evitarci il pericolo di eventuali violazioni della privacy con conseguenti sanzioni civili e penali, ma possono anche tenerci al riparo da brutte sorprese come la totale perdita dei dati, o la loro diffusione o comunicazione a soggetti non tenuti a conoscere i nostri affari. Come possiamo conoscere le regole fondamentali per proteggere adeguatamente il nostro dispositivo mobile senza amari rimpianti con il senno di poi? Prima di tutto, occorre premettere che il Legislatore, sebbene abbia messo nero su bianco l attuale Codice della Privacy ben 10 anni fa, non ha affatto dimenticato tablet e smartphone, infatti l art.3 del Dlgs 196/2003 include tra gli strumenti soggetti alla protezione qualunque dispositivo elettronico o comunque automatizzato con cui si effettua il trattamento. Non vi sono dubbi quindi che agli occhi della Legge anche un palmare che tratta dati personali deve essere considerato alla stregua di un qualsiasi comune computer. Una traccia iniziale sul da farsi ce la forniscono dunque le misure minime di sicurezza del Dlgs 196/2003, che sono state scritte dal Legislatore per evitarci conseguenze penali. Questo significa in primo luogo che se trattasi di un tablet o di uno smartphone aziendale, tutti quegli addetti che li utilizzano devono essere appositamente nominati come incaricati del trattamento di dati personali ai sensi dell art.30 del Dlgs

5 196/2003, attenendosi alle istruzioni impartite dal titolare, il quale ultimo è tenuto ad adottare tutte le misure minime di sicurezza specificate nel Disciplinare Tecnico (All.B al Dlgs 196/2003). Ecco quelle principali: Accesso mediante credenziali di autenticazione personali assegnate all incaricato, che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti. (Regola 1 Disciplinare Tecnico) Quindi l incaricato che dall esterno accede alle banche dati aziendali con un palmare o un tablet deve poterlo fare solo previo inserimento delle proprie credenziali, generalmente con la digitazione dei propri username e password. Attenzione, per rispettare questo parametro non è sufficiente il comune P.I.N.! Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell incaricato. (Regola 4 Disciplinare Tecnico) Il titolare deve pertanto fornire un regolamento aziendale contenente precise istruzioni anche per il diligente uso e custodia dei palmari aziendali, nonché tutte le cautele da adottare; La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno otto caratteri..non contiene riferimenti agevolmente riconducibili all incaricato ed è modificata da quest ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi. (Regola 4 Disciplinare Tecnico) Come nel caso degli elaboratori fissi, anche le password di accesso usate dai dispositivi mobili, devono essere composte da almeno 8 caratteri, non contenere riferimenti personali dell incaricato, ed essere cambiate almeno ogni 6 mesi, oppure ogni 3 mesi, se la banca dati alla quale si accede contiene informazioni sensibili. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento. (Regola 9 Disciplinare Tecnico) Dato che il palmare è in genere sottratto al controllo fisico della direzione aziendale, in modo particolare al di fuori degli orari di lavoro, nei giorni festivi, e negli orari notturni, è particolarmente importante SICUREZZA DISPOSITIVI MOBILI La delicata attività di tutela deve essere espletata anche avvalendosi di esperti qualificati come Privacy Officer o specifici Consulenti della Privacy che, dopo aver effettuato un accurato screening sulle tipologie dei dati trattati e dei rischi che incombono su di essi, stileranno un elenco di misure di sicurezza atte a garantire una ulteriore protezione per i tablet e gli smartphone aziendali che il titolare impartisca con il regolamento anche le istruzioni per la custodia dell apparecchio portatile fornito in dotazione. Pensate semplicemente al caso in cui vostro figlio dopo l ora di cena, smanettando con il vostro tablet, possa aver accesso anche fortuitamente ai dati dell azienda per cui lavorate... I dati personali sono protetti contro il rischio di intrusione e dell azione di programmi di cui all art. 615-quinquies del codice penale, mediante l attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale. (Regola 16 Disciplinare Tecnico) Anche sul palmare aziendale devono essere installati software antivirus e firewall! Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l aggiornamento è almeno semestrale. (Regola 17 Disciplinare Tecnico) Come i comuni pc da ufficio, anche i palmari devono essere quindi impostati per effettuare gli aggiornamenti periodici forniti dal produttore. (Un consiglio: non fatelo annualmente, come prescrive il Codice, sarebbe un disastro). Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale. (Regola 18 Disciplinare Tecnico) Se il palmare accede a banche dati residenti esclusivamente su server aziendali, in genere non sarà necessario prevedere il back-up dei dati sul dispositivo portatile, come invece sarà d obbligo, se tutti o anche solo parte dei dati sono salvati anche nella memoria dello stesso palmare. C era poi la Regola 19.6, abrogata di recente dal Governo Monti, in ordine alla 31

6 previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali. Anche se rimossa dalle misure minime di sicurezza obbligatorie per evitare conseguenze penali, la formazione degli incaricati che utilizzano dispositivi mobili aziendali, rimane comunque una misura idonea, e soprattutto il primo modo per ricordare all utilizzatore che il tablet ricevuto in dotazione non è un regalo di Natale per socializzare con gli amici ma un delicato strumento di lavoro. E quindi opportuno che anche gli incaricati che utilizzano dispositivi mobili aziendali, debbano necessariamente essere inclusi nel programma degli interventi formativi. A proposito di misure minime e misure idonee, mentre quelle minime sono dettagliate punto per punto nel Disciplinare Tecnico del Codice della Privacy e la loro adozione serve per non andare in galera, quelle idonee non sono elencate da nessuna parte, ma sono ugualmente richieste dalla legge per evitare il pericolo di pesanti risarcimenti. Come si risolve questo rompicapo? Individuarle è compito dell azienda, sulla quale pesa la responsabilità del onere della prova, ovvero di dimostrare che ha fatto tutto il possibile anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o Anche se rimossa dalle misure minime di sicurezza obbligatorie per evitare conseguenze penali, la formazione degli incaricati che utilizzano dispositivi mobili aziendali, rimane comunque una misura idonea e, soprattutto, il primo modo per ricordare all utilizzatore che il tablet ricevuto in dotazione non è un regalo di Natale per socializzare con gli amici ma un delicato strumento di lavoro. È quindi opportuno che anche gli incaricati che utilizzano dispositivi mobili aziendali debbano necessariamente essere inclusi nel programma degli interventi formativi di trattamento non consentito o non conforme alle finalità della raccolta (Art.31 Dlgs 196/2003). Questa delicata attività può e deve naturalmente essere espletata anche avvalendosi di esperti qualificati come Privacy Officer o specifici Consulenti della Privacy, che, dopo aver fatto un accurato screening sulle tipologie di dati trattati e i rischi che incombono su di essi, stileranno un elenco di misure di sicurezza atte a garantire una ulteriore protezione per i tablet e gli smartphone aziendali. Data l estrema attualità dell argomento, al 3 Privacy Day Forum, ( che si svolgerà al Palazzo dei Congressi di Pisa il 23 maggio 2013, sarà dato ampio spazio alle tematiche privacy sulle best practices da adottare su smartphone e tablet. Decisamente, meglio prevenire che curare, e soprattutto rimpiangere, rendendo remota l eventualità che il nostro amico tascabile, possa d improvviso trasformarsi in uno dei nostri più pericolosi nemici. 32