One of the effects of the current epidemiological emergency is undoubtedly a rapid increase in the use of technology in daily activities and, in particular, in professional activities.
The need to pursue smart working activities has led to increased use of electronic devices and communication tools different from those provided by the company to which one belongs.
In particular, the need to communicate at a distance between colleagues quickly has led to a preference for instant messaging applications over the traditional company email, with all the risks associated with the security of the information transmitted.
Due to the extreme simplicity of use, much of the information transmitted by message or image often travel so that it is not possible to verify the correct destination and/or origin, with an obvious risk of violation of the privacy of those concerned.
Therefore, it is of fundamental importance to comply with the principle of Accountability, i.e. making the data controller responsible, to protect the security of the confidential information being communicated through all appropriate measures and measures to prevent its unlawful disclosure.
Therefore, once the communication tools that employees may use have been identified, the employer should check their level of security and adopt any precautions, in compliance with the principles of Privacy by Design and Privacy by Default, limiting processing to the specific purposes envisaged and for the period strictly necessary.
Among the prevention measures that data controllers can adopt to prevent the risk of unlawful disclosure of data using devices that are generally not part of the communication tools used in the business context, it is undoubtedly necessary to carry out a Privacy Impact Assessment, under Article 35 of Regulation (EU) 2016/679 (GDPR).
Also, the data controller should always involve the DPO (Data Protection Officer) in any business process involving the processing of personal data, as required by Article 38 of the GDPR. The DPO, therefore, should be consulted whenever the employer intends to change the previous corporate communication structure, given the strong impact that such a change would have from a data protection perspective.
Not only. Under Article 32 GDPR on the subject of security of processing, an ad hoc internal policy should be drawn up to use new and different corporate communication tools to demonstrate an adequate risk assessment and management.
Finally, of central importance in preventing violations is the training and constant updating of personnel concerning the use, during smart working activities, of electronic devices or applications intended for domestic or personal use for professional communications.
****
LA PROTEZIONE DEI DATI NELLA COMUNICAZIONE AZIENDALE: L’UTILIZZO DI DISPOSITIVI ELETTRONICI E MESSAGGISTICA ISTANTANEA IN SMART WORKING
Tra gli effetti dell’emergenza epidemiologica in corso spicca senz’altro un rapido incremento dell’uso della tecnologia nelle attività quotidiane e, in particolare, nelle attività professionali.
Infatti, la necessità di proseguire le attività lavorative in smart working ha comportato un maggiore utilizzo di dispositivi elettronici e strumenti di comunicazione differenti rispetto a quelli forniti dalla realtà aziendale di appartenenza.
In particolare, l’esigenza di effettuare rapidamente comunicazioni a distanza tra colleghi ha comportato la preferenza dell’utilizzo di applicazioni di messaggistica istantanea rispetto alla tradizionale e-mail aziendale, con ogni rischio connesso alla sicurezza delle informazioni trasmesse.
Complice l’estrema semplicità di utilizzo, infatti, larga parte delle informazioni trasmesse via messaggio o tramite immagine viaggia spesso in modo tale da non poterne verificare la corretta destinazione e/o provenienza, con evidente rischio di violazione della privacy dei soggetti interessati.
Fondamentale rilevanza assume, quindi, il rispetto del principio di Accountability, ovvero di responsabilizzazione del titolare del trattamento, al fine di tutelare la sicurezza delle informazioni riservate oggetto di comunicazione, attraverso ogni misura e adempimento opportuni a preservarne l’illecita diffusione.
Il datore di lavoro, pertanto, una volta individuati gli strumenti di comunicazione eventualmente utilizzabili dai dipendenti, dovrebbe verificarne il livello di sicurezza ed adottare eventuali precauzioni, nel rispetto dei principi di Privacy by Design e Privacy by Default, limitando il trattamento alle specifiche finalità previste e per il periodo strettamente necessario.
Tra le misure di prevenzione adottabili dai titolari del trattamento per prevenire il rischio di illecita diffusione di dati a mezzo di dispositivi non rientranti, di norma, negli strumenti di comunicazione utilizzati nel contesto aziendale, rientra senz’altro lo svolgimento di una Valutazione d’Impatto Privacy, ai sensi dell’art. 35 del Regolamento (UE) 2016/679 (GDPR) .
Inoltre, il titolare del trattamento dovrebbe coinvolgere sempre il DPO (Data Protection Officer) in qualsiasi processo aziendale avente ad oggetto il trattamento di dati personali, come previsto dall’art. 38 del GDPR. Il DPO, quindi, dovrebbe essere consultato ogni qualvolta il datore di lavoro intenda modificare il precedente assetto della comunicazione aziendale, considerato il forte impatto che tale modifica presenterebbe sotto il profilo della protezione dei dati.
Non solo. Ai sensi dell’art. 32 GDPR in tema di sicurezza del trattamento, occorrerebbe predisporre una policy interna ad hoc per l’utilizzo di nuovi e diversi strumenti di comunicazione aziendale, in modo da poter eventualmente dimostrare un’adeguata valutazione e gestione del rischio.
Infine, di centrale importanza nella prevenzione delle violazioni è la formazione e il costante aggiornamento del personale in relazione all’utilizzo, durante l’attività lavorativa in smart working, di dispositivi elettronici o applicazioni destinati ad uso domestico o personale per comunicazioni di carattere professionale.