Il regolamento informatico aziendale ai tempi dello smart working

Articolo pubblicato su Linkedin in data 26 febbraio 2020

Negli ultimi giorni non si fa altro che parlare di smart working o “lavora agile” come definito dal decreto legge emesso dal governo e che autorizza le imprese del nord Italia ad applicare questa modalità di lavoro in maniera semplificata senza tutti gli adempimenti necessari secondo la previgente normativa (DPCM 23 febbraio 2020, Disposizioni attuative del decreto-legge 23 febbraio 2020, n. 6, recante misure urgenti in materia di contenimento e gestione dell’emergenza epidemiologica da COVID-19. (20A01228) (GU Serie Generale n.45 del 23-02-2020).

Premesso ciò in questo articolo vorrei descrivere brevemente, non gli adempimenti burocratici o i presupposti normativi per attuarlo, ma di uno strumento operativo necessario ad implementare questa modalità di lavoro, ossia il regolamento informatico aziendale, chiamato anche protocollo, manuale delle procedure informatiche, etc.

Per capire meglio questo documento cominciamo a descriverne il suo scopo, raccogliere le istruzioni operative per i dipendenti sulle modalità d’uso degli strumenti informatici aziendali, dentro e fuori l’azienda.

Il contenuto di questo documento deve comprendere una descrizione degli strumenti in uso, le modalità d’utilizzo, cosa non fare e le soluzioni in caso di problemi, soluzioni si specifica anche di tipo organizzativo non solo tecniche.

Riguardo a questo ultimo punto bisogna specificare che queste procedure non devono tentare di trasformare un impiegato in un tecnico informatico, un esperto di cyber-sicurezza o di privacy.

La difficoltà nel redigere questo tipo di documento risiede pertanto nel redigerle utlizzando un approccio human-centered (come si dice oggi nel mondo del legal design).

Ma qual è il vantaggio per l’impresa? Per l’impresa adottare questo tipo di documento ha molteplici vantaggi.

Prima di tutto è inserito nel sistema di gestione della infrastruttura informatica, difatti come ben sa ogni esperto di sicurezza informatica l’anello debole del sistema informatico è sempre l’uomo. Partendo da questa considerazione già risulta evidente come fornire delle procedure pronte all’uso aiuto la conoscenza e mitiga il rischio informatico all’interno dell’impresa. Altresì questa documentazione da una parte responsabilizza l’impiegato il quale non può più nascondersi dietro la motivazione che non è stato informato sul corretto uso del device, dall’altra mette al riparo, o almeno mitiga, la responsabilità dell’impresa di fronte a violazioni di alcune normative, si pensi ad esempio alla L. 231/01 o alla disciplina privacy ai sensi del GDPR.

Detto tutto quanto sopra vediamo quindi più in dettaglio quale debba essere il contenuto del regolamento.

Sicuramente un regolamento vede al principio un elenco delle definizioni utili a capire il testo e lo scopo dello stesso, successivamente bisogna descrivere i device in uso in azienda e le loro modalità d’utilizzo specificando bene quello che si può fare e non fare, molto importante ritengo è descrivere bene le modalità d’uso delle mail aziendali e chat, anche in modalità BYOD (Bring Your Own Device), i dispositivi di archiviazione di massa, l’uso di strumenti crittografati o l’eliminazione di alcuni (pen-drive usb non criptate proibirle).

Come detto le indicazioni devono essere anche organizzative, nel senso che bisogna indicare i soggetti da contattare in base alla problematica da risolvere, ad esempio per questione tecnica l’IT, mentre per questioni riguardanti la privacy probabilmente sarà più opportuno riferire al DPO, per altre ancora potrebbe essere più opportuno contattare prima il capoufficio.

Inoltre il regolamento ormai può allargarsi ad aspetti correlati come l’uso dei social nonché se e come parlare dell’azienda sui social, oltre ovviamente spiegare e giustificare se avviene un qualche tipo di tracciamento dell’attività del lavoratore e con finalità (in tale ambito sempre attenzione a rispettare statuto dei lavoratori ed il Jobs Act).

Infine occorrerà specificare le eventuali sanzioni disciplinari, nonché penali, cui potrà incorrere il dipendente che non rispetterà le istruzioni contenute nel regolamento. Dopo tutto ciò è possibile allegare in fondo, se opportuno, le norme di legge e/o tecniche ritenute più idonee rispetto all’utente e all’impresa cui è destinato il regolamento che si ricorda deve essere sempre oggetto di revisione nonché di formazione per dipendenti e management.

Se hai domande o curiosità sull’articolo che hai appena letto scrivimi pure alla mia e-mail: s.familiari@lsclex.com

L’uso di algoritmi nella Pubblica Amministrazione

In data odierna è stato pubblicato il mio contributo per il sito d’informazione “Quotidiano giuridico” sul tema della controllabilità degli algoritmi quando a farne uso è la Pubblica Amministrazione. Di seguito un estratto:

“È dell’otto aprile scorso la pubblicazione della sentenza n. 2270/2019 emanata dalla sesta sezione del Consiglio di Stato, nella quale viene operato il sindacato della corte sul funzionamento di un algoritmo. Ecco quali sono le importanti implicazioni del provvedimento”.

Il resto del commento lo si può trovare al seguente link dell’editore.

Data breach Marriott hotel – spunti di riflessione

data breachHo deciso di partire dall’analisi del data breach subito dalla catena di hotel Marriott, in quanto il settore alberghiero rispetto ad altri è quello forse che riesce a rendere meglio l’idea di come chiunque di noi possa essere vittima di un data breach, difatti chi non ha mai dormito in albergo?

Premesso ciò il data breach della catena Marriott in esame, definito da alcuni del secolo, dalle ricostruzioni fino ad adesso svolte sembra andasse avanti da qualche tempo e riguarda tutti i dati dei clienti registrati sulle piattaforme della catena quali nome, cognome, documenti d’identità, carte di credito con relativi codici, date di check-in e check-out.

I pericoli potenziali rispetto al furto di questi dati sono diversi, si parte dal furto d’identità vero e proprio, alla clonazione della carta di credito e dei documenti quali ad esempio i passaporti.

Facciamo l’esempio del passaporto, in questo caso il soggetto cui i dati del passaporto sono stati rubati con un data breach si troverà davanti alla scelta (ma direi meglio obbligo) di dover denunciare il fatto e richiedere l’emissione di un documento nuovo, con tutti i problemi relativi non solo ai costi ma ai tempi burocratici per ottenere un documento nuovo. Quanto alle carte di credito? Anche qui i danni possono essere ingenti e il dimostrare di non essere stato colui il quale ha effettuato eventuali pagamenti può essere lungo e costoso oltre che una grande perdita di tempo.

Da questi brevi esempi tratti da un caso reale si evince come l’attenzione alla diffusione dei propri dati personali debba essere ormai un aspetto imprescindibile di ogni transazione on line, qualunque essa sia, come prenotare un albergo o acquistare un prodotto o un servizio. In tutti questi casi bisognerà sviluppare un personale protocollo di sicurezza per tenere al sicuro i propri dati e in definitiva se stessi.

In altre parole bisogna porsi le domande sulla necessità e non ridondanza dei dati richiesti, la loro retention, lo scopo, la loro condivisione, l’affidabilità del soggetto richiedente, ed alla luce di ciò adeguare le misure di sicurezza (come ad esempio munirsi di carta di credito prepagata o utilizzare portafogli elettronici come paypal per evitare di diffondere i dati della propria carta di credito in ogni dove, etc..).

Quanto visto per quel che riguarda il punto di vista user, che ricordiamo essere il punto focale del nuovo GDPR, mentre passando al lato business questo esempio  porta all’attenzione delle imprese i danni che possono provocare le loro mancanze da cui possono derivare oltre le sanzioni dei vari garanti anche le richieste di risarcimento danno dai soggetti vittime dei data breach.

Premesso ciò le imprese non dovranno concentrarsi solo sull’aspetto tecnico per prevenire i data breach, ciò sarebbe un’ottica parziale se non monca di quello che è un buon approccio al trattamento dei dati, ma devono adottare una revisione totale dei processi in atto secondo i dettami del GDPR al fine di mitigare il più possibile i rischi per gli utenti. Detto in altre parole come prescritto dal GDPR oltre l’approccio tecnico sulle famose misure di sicurezza adeguate è necessario svolgere costantemente un mappatura del trattamento dati in essere, ponendosi domande sulla finalità della raccolta dati, sulla sua necessarietà, il tempo di conservazione, la scelta dei partner tecnici, etc..

In definitiva questo esempio come altri che verranno analizzati in futuro dimostra sempre di più come la data protection sia per le imprese un adempimento dinamico e soggetto a revisione da inserire un processo di tipi iterativo mentre dal lato utenti/cittadini un aspetto su cui informarsi e porre sempre più la massima attenzione.