Il trattamento dei dati personali e l utilizzo degli strumenti informatici in ambito lavorativo Argomenti Conservazione e cancellazione dei dati contenuti in apparecchiature elettriche ed elettroniche. I principi del Codice privacy e il luogo di lavoro. Cenni
RIFIUTI DI APPARECCHIATURE ELETTRONICHE (RAAE) E MISURE DI SICUREZZA DEI DATI PERSONALI Il Garante ha messo a punto una serie di indicazioni per evitare che, la momento di dismettere apparecchiature informatiche elettriche ed elettroniche Raae - (pc, CDRom, DVD, HardDisk, ecc) rimangano in memoria nomi, indirizzi, mail, rubriche, foro, filmati, preferiti, e comunque dati personali in generale riferiti sia all utilizzatore che eventualmente anche a terzi. A seguito di alcune segnalazioni (relative al rinvenimento di dati personali all'interno di apparecchiature cedute a rivenditori per la dismissione o per far valere la garanzia) e di notizie di stampa sul rinvenimento di dati bancari di oltre un milione di individui in un disco rigido usato commercializzato attraverso un sito Internet, il Garante ha adottato un provvedimento generale sui rischi derivanti dalla circolazione di componenti elettroniche "usate" contenenti dati personali, con particolare riguardo all'eventuale accesso di terzi ai dati memorizzati all'interno di apparecchiature destinate alla dismissione (o oggetto di nuova commercializzazione).
decreto legislativo 25 luglio 2005, n. 151 (Attuazione delle direttive 2002/95/Ce, 2002/96/Ce e 2003/108/Ce, relative alla riduzione dell'uso di sostanze pericolose nelle apparecchiature elettriche ed elettroniche, nonché allo smaltimento dei rifiuti) prevede misure e procedure finalizzate a prevenire la produzione di rifiuti di apparecchiature elettriche e elettroniche, nonché a promuovere il reimpiego, il riciclaggio e altre forme di recupero di tali rifiuti in modo da ridurne la quantità da avviare allo smaltimento La menzionata disciplina (e la normativa secondaria che ne è derivata) che non si occupa dei profili di protezione dei dati personali lascia impregiudicati gli obblighi gravanti sui titolari del trattamento relativamente alle misure di sicurezza adottate. Ogni titolare è tenuto ad adottare: MISURE ORGANIZZATIVE E TECNICHE per garantire l'effettiva cancellazione o trasformazione in forma non intelligibile dei dati personali contenuti nei supporti elettrici ed elettronici in occasione della dismissione di apparati elettrici ed elettronici (art. 31 e ss. del Codice misure di sicurezza). Ciò, anche incaricando soggetti tecnicamente qualificati (che attestino l'esecuzione di tali operazioni o si impegnino ad effettuarle), qualora il titolare non sia in grado di cancellare effettivamente i dati o di anonimizzarli.
L'Autorità ha anche indicato ai titolari dei trattamenti alcune procedure (suscettibili di aggiornamento alla luce dell'evoluzione tecnologica) ritenute idonee a garantire che, in sede di reimpiego, riciclaggio, ovvero di smaltimento di apparecchiature elettriche ed elettroniche, siano effettivamente cancellati (o resi anonimi) i dati personali ivi memorizzati (]). Provvedimento del Garante del 13 ottobre 2008 [doc. web n. 1571514] L'applicazione della disciplina contenuta nel d.lg. n. 151/2005, mirando (tra l'altro) a privilegiare il recupero di componenti provenienti da rifiuti di apparecchiature elettriche ed elettroniche (Raee), anche nella forma del loro reimpiego o del riciclaggio in beni oggetto di (nuova) commercializzazione, comporta un rischio elevato di "circolazione" di componenti elettroniche "usate" contenenti dati personali, anche sensibili, che non siano stati cancellati in modo idoneo, e di conseguente accesso ad essi da parte di terzi non autorizzati (quali, ad esempio, coloro che provvedono alle predette operazioni propedeutiche al riutilizzo o che acquistano le apparecchiature sopra indicate);
REIMPIEGO Operazione che consente l'utilizzo dei rifiuti elettrici ed elettronici o di loro componenti "allo stesso scopo per il quale le apparecchiature erano state originariamente concepite, compresa l'utilizzazione di dette apparecchiature o di loro componenti successivamente alla loro consegna presso i centri di raccolta, ai distributori, ai riciclatori o ai fabbricanti (art. 3, comma 1, lett. e), d.lg. n. 151/2005) RICICLAGGIO "ritrattamento in un processo produttivo dei materiali di rifiuto per la loro funzione originaria o per altri fini" (art. 3, comma 1, lett. e), d.lg. n. 151/2005)
Le misure da adottare in occasione della dismissione di componenti elettrici ed elettronici suscettibili di memorizzare dati personali devono consistere nell'effettiva cancellazione o trasformazione in forma non intelligibile dei dati personali negli stessi contenute, sì da impedire a soggetti non autorizzati che abbiano a vario titolo la disponibilità materiale dei supporti di venirne a conoscenza non avendone diritto (si pensi, ad esempio, ai dati personali memorizzati sul disco rigido dei personal computer o nelle cartelle di posta elettronica) Il problema dell'e-waste riguarda chiunque mantenga memorizzati su dispositivi elettronici dati relativi a sé o a terzi: è infatti compito del loro possessore dati assicurare che questi non possano andare dispersi e acquisiti anche in modo incontrollato da estranei. La semplice cancellazione dei file o la formattazione dell'hard disk, infatti, non sempre realizzano una vera cancellazione delle informazioni registrate, che rimangono spesso fisicamente presenti e tecnicamente recuperabili.
Per prevenire l'acquisizione indebita di dati è necessario operare in diversi modi e tempi a seconda delle circostanze Misure tecniche preventive per la memorizzazione sicura dei dati Misure tecniche per la cancellazione sicura dei dati Smaltimento di rifiuti elettrici ed elettronici Misure tecniche preventive È bene proteggere i file usando una password di cifratura, oppure memorizzare i dati su hard disk o su altri supporti magnetici usando sistemi di cifratura automatica al momento della scrittura. Cifratura di singoli file o gruppi di file, di volta in volta protetti con parole-chiave riservate, note al solo utente proprietario dei dati, che può con queste procedere alla successiva decifratura. Questa modalità richiede l'applicazione della procedura di cifratura ogni volta che sia necessario proteggere un dato o una porzione di dati (file o collezioni di file), e comporta la necessità per l'utente di tenere traccia separatamente delle parole-chiave utilizzate.
. Memorizzazione dei dati sui dischi rigidi (hard-disk) dei personal computer o su altro genere di supporto magnetico od ottico (cd-rom, dvd-r) in forma automaticamente cifrata al momento della loro scrittura, tramite l'uso di parole-chiave riservate note al solo utente. Può effettuarsi su interi volumi di dati registrati su uno o più dispositivi di tipo disco rigido o su porzioni di essi (partizioni, drive logici, file-system) realizzando le funzionalità di un c.d. file-system crittografico (disponibili sui principali sistemi operativi per elaboratori elettronici, anche di tipo personal computer, e dispositivi elettronici) in grado di proteggere, con un'unica parola-chiave riservata, contro i rischi di acquisizione indebita delle informazioni registrate. L'unica parola-chiave di volume verrà automaticamente utilizzata per le operazioni di cifratura e decifratura, senza modificare in alcun modo il comportamento e l'uso dei programmi software con cui i dati vengono trattati Misure tecniche di cancellazione sicura La cancellazione sicura delle informazioni su disco fisso o su altri supporti magnetici è ottenibile con programmi informatici di "riscrittura" che provvedono - una volta che l'utente abbia eliminato dei file dall'unità disco con i normali strumenti previsti dai sistemi operativi (ad es., con l'uso del "cestino" o con comandi di cancellazione) - a scrivere ripetutamente nelle aree vuote del disco. Si possono anche utilizzare sistemi di formattazione a basso livello degli hard disk o di "demagnetizzazione", in grado di garantire la cancellazione rapida delle informazioni.
Cancellazione sicura delle informazioni, ottenibile con programmi informatici (quali wiping program o file shredder) che provvedono, una volta che l'utente abbia eliminato dei file da un'unità disco o da analoghi supporti di memorizzazione con i normali strumenti previsti dai diversi sistemi operativi, a scrivere ripetutamente nelle aree vuote del disco (precedentemente occupate dalle informazioni eliminate) sequenze casuali di cifre "binarie" (zero e uno) in modo da ridurre al minimo le probabilità di recupero di informazioni anche tramite strumenti elettronici di analisi e recupero di dati. Il numero di ripetizioni del procedimento considerato sufficiente a raggiungere una ragionevole sicurezza (da rapportarsi alla delicatezza o all'importanza delle informazioni di cui si vuole impedire l'indebita acquisizione) varia da sette a trentacinque e incide proporzionalmente sui tempi di applicazione delle procedure, che su dischi rigidi ad alta capacità (oltre i 100 gigabyte) possono impiegare diverse ore o alcuni giorni), a secondo della velocità del computer utilizzato. Formattazione "a basso livello" dei dispositivi di tipo hard disk (low-level formatting LLF), laddove effettuabile, attenendosi alle istruzioni fornite dal produttore del dispositivo e tenendo conto delle possibili conseguenze tecniche su di esso, fino alla possibile sua successiva inutilizzabilità Demagnetizzazione (degaussing) dei dispositivi di memoria basati su supporti magnetici o magneto-ottici (dischi rigidi, floppydisk, nastri magnetici su bobine aperte o in cassette), in grado di garantire la cancellazione rapida delle informazioni anche su dispositivi non più funzionanti ai quali potrebbero non essere applicabili le procedure di cancellazione software (che richiedono l'accessibilità del dispositivo da parte del sistema a cui è interconnesso).
Smaltimento di rifiuti elettrici ed elettronici In caso di smaltimento di rifiuti elettrici ed elettronici, l'effettiva cancellazione dei dati personali dai supporti contenuti nelle apparecchiature elettriche ed elettroniche può anche risultare da procedure che, nel rispetto delle normative di settore, comportino la distruzione dei supporti di memorizzazione di tipo ottico o magnetoottico in modo da impedire l acquisizione indebita di dati personali. La distruzione dei supporti prevede il ricorso a procedure o strumenti diversi a secondo del loro tipo, quali: sistemi di punzonatura o deformazione meccanica; distruzione fisica o di disintegrazione (usata per i supporti ottici come i cd-rom e i dvd); demagnetizzazione ad alta intensità. "Non fare ai dati degli altri quello che non vorresti fosse fatto ai tuoi". Codice Privacy Art. 7. Diritto di accesso ai dati personali ed altri diritti [ ] 3. L'interessato ha diritto di ottenere: a) [ ] b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati; c) l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato.
Art. 16. Cessazione del trattamento 1. In caso di cessazione, per qualsiasi causa, di un trattamento i dati sono: a) distrutti; b) ceduti ad altro titolare, purchè destinati ad un trattamento in termini compatibili agli scopi per i quali i dati sono raccolti; c) conservati per fini esclusivamente personali e non destinati ad una comunicazione sistematica o alla diffusione; d) conservati o ceduti ad altro titolare, per scopi storici, statistici o scientifici, in conformità alla legge, ai regolamenti, alla normativa comunitaria e ai codici di deontologia e di buona condotta sottoscritti ai sensi dell'articolo 12. 2. La cessione dei dati in violazione di quanto previsto dal comma 1, lettera b), o di altre disposizioni rilevanti in materia di trattamento dei dati personali è priva di effetti. I PRINCIPI DEL CODICE PRIVACY E IL LUOGO DI LAVORO
Il datore di lavoro può trattare informazioni di carattere personale strettamente indispensabili per dare esecuzione al rapporto di lavoro. Deve individuare il personale che può trattare tali dati e assicurare idonee misure di sicurezza per proteggerli da indebite intrusioni o illecite divulgazioni. Inoltre il lavoratore deve essere informato in modo puntuale sull'uso che verrà fatto dei suoi dati e gli deve essere consentito di esercitare agevolmente i diritti che la normativa sulla privacy gli riconosce (accesso ai dati, aggiornamento, rettifica, cancellazione etc). Entro 15 giorni dalla richiesta il datore di lavoro è tenuto a comunicare in modo chiaro tutte le informazioni in suo possesso. Vediamo l applicazione pratica di questi principi rispetto ad alcuni aspetti specifici che caratterizzano comunemente la vita quotidiana aziendale I cartellini identificativi Nelle aziende private può essere eccessivo indicare sul cartellino identificativo del dipendente dati anagrafici o generalità: a seconda dei casi può bastare un codice identificativo o il solo nome o solo il ruolo professionale. In assenza del consenso non si possono comunicare informazioni ad associazioni di datori di lavoro, di ex dipendenti o a conoscenti, familiari, parenti.
I dati biometrici Non è lecito l'uso generalizzato e incontrollato di dati biometrici, specie se ricavati dalle impronte digitali. L'uso può essere giustificato solo in casi particolari, per presidiare, ad esempio, accessi ad "aree sensibili" (processi produttivi pericolosi, locali destinati a custodia di beni, documenti riservati). Anche quando l'uso è consentito non è ammessa la costituzione di banche dati centralizzate: è infatti sufficiente la memorizzazione su una smart card in uso esclusivo del dipendente. I dati sanitari I dati sanitari vanno conservati in fascicoli separati. Il lavoratore assente per malattia è tenuto a consegnare al proprio ufficio un certificato senza la diagnosi ma con la sola indicazione dell'inizio e della durata presunta dell'infermità. Il datore di lavoro non può accedere alle cartelle sanitarie dei dipendenti sottoposti ad accertamenti dal medico del lavoro. Nel caso di denuncia di infortuni o malattie professionali all'inail, il datore di lavoro deve limitarsi a comunicare solo le informazioni connesse alla patologia denunciata.
Intranet, bacheche aziendali E necessario il consenso per pubblicare informazioni personali (foto, curricula) nella Intranet aziendale e a maggior ragione in Internet. Nella bacheca aziendale possono essere affissi solo ordini di servizio, turni lavorativi o feriali. Non si possono invece diffondere emolumenti percepiti, sanzioni disciplinari, assenze per malattia, adesione ad associazioni.