Data protection: guida alla stesura della policy aziendale in chiave GDPR

Nella sua qualità di titolare del trattamento dei dati personali, l’azienda è tenuta al rispetto del fondamentale principio di accountability (di cui all’art. 24 del Regolamento (UE) 2016/679), secondo cui deve mettere in atto misure tecniche e organizzative adeguate a garantire, ed essere in grado di dimostrare, che il trattamento sia effettuato conformemente alla normativa europea in materia di protezione dei dati personali.

La sicurezza del trattamento

Soffermando ora la nostra attenzione sulle “misure tecniche e organizzative adeguate” da adottare, il quarto comma dell’art. 32 (rubricato “Sicurezza del trattamento”) stabilisce[1] come spetti altresì al titolare l’obbligo di far sì che chiunque agisca sotto la sua autorità e abbia accesso ai dati personali, non tratti tali dati se non sia stato da lui istruito in tal senso.[2]

Ebbene, oltre a inquadrare i soggetti interni (come dipendenti e i collaboratori) quali “designati” o “autorizzati” al trattamento – provvedendo a perimetrare già negli atti di nomina i principali obblighi e divieti ai quali dovranno attenersi – nonché dopo lo svolgimento di attività formativa, appare senz’altro fondamentale dotarsi di una specifica policy aziendale.

L’importanza della policy aziendale

L’importanza, in ottica di compliance al GDPR, di un documento interno volto a disciplinare la condotta del personale, assume rilievo proprio alla luce degli obblighi “formativi” in capo al titolare sopra richiamati.

Non solo: la policy aziendale è certamente uno strumento favorevole al rispetto del principio di accountability richiamato in premessa, nonché valida alleata nella prevenzione dei rischi derivanti dal trattamento.

Prima di passare all’elenco delle indicazioni per la stesura della policy aziendale, è quanto mai opportuno sottolineare – ad avviso di chi scrive – come il tema non può essere del tutto incasellato in un decalogo rigido di elementi da prevedere nel documento quanto, piuttosto, appaia opportuno elaborare e cucire il modello in base alla struttura, alle attività, all’ambito operativo, nonché ai dispositivi e strumenti utilizzati dall’azienda.

Lo scopo della policy

Lo scopo della policy è infatti quello di contenere le indicazioni inerenti allo svolgimento delle attività di trattamento dei dati personali e tutte le disposizioni in merito, ad esempio, all’uso dei dispositivi aziendali (quali, ad esempio, computer, telefoni, tablet, stampanti e fotocopiatrici, etc.), alla navigazione web, all’utilizzo della posta elettronica e così via.

Ciascuna azienda, pertanto, deve identificare e regolamentare tutte le attività, i processi e gli strumenti interessati dal trattamento dei dati personali, al fine di orientare correttamente la condotta del personale durante lo svolgimento della propria attività.

Policy aziendale, le indicazioni generali

A prescindere dagli aspetti disciplinati all’interno della policy, ai quali si accennerà in seguito, appare imprescindibile il rispetto di talune indicazioni di carattere generale, tra cui principalmente:

• Definire lo scopo del documento e il suo contenuto, avendo cura rispettivamente di delimitare l’ambito applicativo e collaborando con aree interne (es. reparto IT, legal, etc.) o con professionisti esterni per l’elaborazione di indicazioni di carattere tecnico.
• Considerare la necessità di dotarsi di più di una policy, nel caso risulti opportuno prevedere delle regole specifiche da destinare soltanto a una parte del personale (ad es. smart working policy per i soli soggetti che svolgono la propria attività lavorativa in modalità “agile”).
• Assicurarsi di utilizzare un linguaggio semplice e chiaro e una formulazione quanto mai comprensibile: la policy deve risultare intelligibile al personale, dato che l’obiettivo è quello di definire le regole di comportamento interne. In questa prospettiva potrebbe risultare utile il ricorso a case study o far antecedere una vera e propria attività formativa rispetto alla diffusione del documento.
• Definire l’entrata in vigore della policy e assicurarsi che sia conosciuta dal personale. Appare altresì utile prevedere una comunicazione multicanale, su base cartacea (es. affissione nella bacheca aziendale) e digitale (es. intranet aziendale, email del dipendente).
• Svolgere un’attività periodica ma costante di revisione del modello, in modo da consentirne l’aggiornamento alla luce di eventuali cambiamenti quali, ad esempio:
  • L’introduzione in azienda di nuove procedure o strumenti;L’adeguamento rispetto a rinnovate scelte di politica aziendale o a mutamenti dell’assetto lavorativo;L’aggiornamento dei dispositivi e degli strumenti utilizzati (es. software);L’adattamento rispetto a nuove leggi o altri regolamenti;
  • L’adattamento rispetto ai feedback ricevuti dal personale o a ipotesi di violazioni della policy. Se, ad esempio, si sono verificate molteplici violazioni rispetto a un determinato tema, potrebbe risultare opportuno inserire indicazioni maggiormente dettagliate.
• Definire e comunicare le conseguenze di eventuali violazioni, in modo da accrescere il carattere della trasparenza nonché l’efficacia delle regole in essa contenute.

Ciò premesso, come denominatore comune ciascuna policy dovrà comunque essere orientata a stabilire criteri operativi di uniformità per i soggetti operanti a qualsiasi titolo sotto la direzione del titolare del trattamento, al fine di garantire la sicurezza e l’integrità dei dati personali (così come dei processi e degli strumenti impiegati) in azienda.

Cosa sarà oggetto di regolamentazione

A mero titolo esemplificativo e non anche esaustivo, pertanto, saranno oggetto di regolamentazione:

• L’utilizzo dei dispositivi elettronici aziendali, quali computer, smartphone e tablet, attraverso l’indicazione di specifiche regole di comportamento in tema di password e accessi, installazione di applicativi di terze parti, modalità di custodia del dispositivo, eventuali furti o smarrimenti, verificarsi di incidenti informatici, etc.

• Senz’altro utili sono poi indicazioni di dettaglio nel caso di ricorso al cosiddetto BYOD (Bring Your Own Device)[3] laddove, a fronte di vantaggi, l’utilizzo del dispositivo personale del dipendente (ad es. lo smartphone) può comportare anche dei rischi per l’azienda sotto il profilo dell’integrità e della riservatezza delle informazioni inerenti alla sfera lavorativa.

• La navigazione internet, da regolamentare – qualora l’azienda non abbia già previsto delle restrizioni tecniche in tal senso – rispetto ai siti web visitabili e agli orari nei quali è eventualmente consentita una navigazione per scopi personali.
• L’utilizzo della posta elettronica, che deve includere, ad esempio, regole dettagliate sul comportamento che il dipendente deve tenere in caso di ricezione di email sospette, il divieto di un suo utilizzo per scopi personali, l’inclusione di appositi avvisi di riservatezza da inserire nella firma dell’email, la regolamentazione dell’accesso alla mail nel caso di assenza prolungata del dipendente o la dismissione della casella di posta elettronica nel caso di dimissioni o licenziamento, e così via.
• L’utilizzo e la conservazione di supporti rimovibili, quali chiavette USB e hard disk esterno, soprattutto laddove il loro utilizzo avvenga al di fuori della struttura aziendale (es. fiere o convegni), dato il maggior rischio che si verifichino furti o smarrimenti.
• L’utilizzo di stampanti e fotocopiatrici, con l’indicazione di evitare di lasciare stampe incustodite e file di scansione in aree di rete a cui possono accedere persone non autorizzate.

Conclusioni

In definitiva, alla luce di quanto riportato, non sfuggirà la difficoltà di esaurire – in questa sede – l’intero ventaglio di indicazioni da poter includere nella policy aziendale. Ciò sarebbe addirittura controproducente, in quanto fare affidamento a soluzioni “one-fits-all” e circoscrivere la redazione del modello a un’impostazione statica, che non tenga conto delle varie peculiarità dell’ambito operativo nel quale va a inserirsi, non apparirebbe neppure conforme rispetto al carattere di applicazione sostanziale e non meramente formale richiesto dall’applicazione dello stesso GDPR.

Note

[1] Cfr. altresì art. 29 GDPR.

[2] Fa eccezione il caso in cui agisca e abbia accesso ai dati alla luce del diritto dell’Unione europea o degli Stati membri.

[3] Sul tema del BYOD www.cybersecurity360.it/legal/privacy-dati-personali/smart-working-e-byod-i-rischi-per-la-sicurezza-aziendale-e-per-la-protezione-dei-dati-personali/