Articoli

Proteggere app e dati senza perdere agilità e produttività del lavoro mobile

Lo smart working è un’opportunità per dipendenti ed aziende, ma senza le dovute misure di sicurezza per i dispositivi mobili può rappresentare un rischio rilevante per la sicurezza dei dati. Un tema che va affrontato e gestito in modo appropriato con le piattaforme di Enterprise Mobility Management.

Il lavoro sta radicalmente cambiando: cambiano le modalità organizzative delle imprese e delle organizzazioni e cambia il modo in cui viene svolto dalle persone.

Le professioni sono sempre meno caratterizzate dalla necessità di disporre di postazioni fisse e diventano sempre più “agili”. I dipendenti, grazie al lavoro in mobilità, sono in grado di migliorare le proprie prestazioni, gestendo con più indipendenza i propri ritmi e i propri tempi nei contesti più appropriati.

È, questa, una delle grandi opportunità della trasformazione e una bella opportunità che viene messa a disposizione dall’innovazione tecnologica. Ma non ci sono solo effetti positivi. Questa “rivoluzione” porta con sé anche una serie di nuovi rischi che devono essere analizzati e compresi a fondo dalle aziende e affrontati nel modo migliore, per tenere al sicuro i dati aziendali anche quando vengono utilizzati e condivisi attraverso queste nuove modalità di lavoro.

La soluzione nel campo dei dispositivi mobili c’è, e si chiama Enterprise Mobility Management (o EMM) e si concretizza in una piattaforma attraverso la quale i manager IT possono gestire da remoto le funzioni degli smartphone e dei tablet dei dipendenti con il duplice obiettivo di garantire sicurezza e di aumentare l’efficienza nelle attività di device management.

Il tutto grazie a un approccio e a una organizzazione dei controlli in grado di separare gli ambiti di utilizzo dei dispositivi attinenti alla sfera professionale e lavorativa, nei quali l’azienda deve poter disporre della massima visibilità, da quelli che attengono invece alla sfera privata, dove è indispensabile garantire il massimo rispetto della privacy.

I vantaggi dell’EMM per lo smart working

Se da una parte lo smart working è una nuova filosofia manageriale che restituisce alle persone flessibilità e autonomia nella scelta degli spazi, degli orari e degli strumenti da utilizzare a fronte di una maggiore responsabilizzazione sui risultati, dall’altra si tratta di uno strumento che apporta un cambiamento sostanziale dal punto di vista dei confini e degli strumenti di produzione dell’azienda.

Il cosiddetto perimetro aziendale si estende dunque all’esterno dei tradizionali spazi di lavoro e gli strumenti di lavoro sono sempre più frequentemente rappresentati dai dispositivi mobili dei dipendenti. Un insieme di fattori che rendono questo “nuovo perimetro” azienda più difficile da difendere da intrusioni o minacce informatiche.

I reparti IT hanno la necessità di garantire alle proprie organizzazioni la possibilità per i dipendenti di accedere ai sistemi informativi anche da mobile, nella cornice di una strategia generale pensata per mantenere al sicuro i dati e le informazioni aziendali.

Ma nello stesso tempo l’IT deve essere nella condizione di accompagnare i lavoratori in tutte le fasi dell’attività professionale, sia nel momento in cui si svolge nell’ambito del perimetro fisico dell’impresa: dall’accesso nella sede aziendale alla prenotazione delle sale riunioni, sia nel momento in cui si configura in attività che vengono svolte all’esterno.

A rendere possibile tutto questo sono proprio le piattaforme EMM, che consentono di semplificare e automatizzare la gestione di una serie di funzionalità che prima necessitavano di autorizzazioni e passaggi burocratici causando rallentamenti e inefficienze.

La questione della sicurezza

Con un perimetro aziendale, che smartphone, tablet, PC portatili e dispositivi IoT, come già sottolineato, diventa sempre più variabile, le piattaforme di Enterprise Mobility Management permettono di gestire da remoto e a livello centralizzato tutti i questi dispositivi, con un’attenzione particolare riservata ai temi della sicurezza e della prevenzione.

Grazie a queste piattaforme è infatti possibile evitare le conseguenze di possibili comportamenti incauti da parte dei dipendenti riducendo i rischi di data breach e di altre minacce per l’azienda.

Tra le soluzioni più avanzate per affrontare e gestire queste esigenze c’è la piattaforma Knox Manage di Samsung, che garantisce anche una protezione a livello hardware.

Tra le varie funzionalità la soluzione permette di semplificare la configurazione dei dispositivi, abilita la gestione di whitelist e blacklist applicative e di procedere volte a velocizzare e semplificare le attività di installazione di aggiornamenti e patch di sicurezza senza che sia necessario l’intervento diretto dell’utente.

Allo stesso tempo Knox Manage permette di separare, con modalità diverse in funzione delle piattaforme Android Enterprise o iOS, i dati personali da quelli aziendali, che potranno contare su un importante livello di protezione grazie al fatto che sono gestiti in aree distinte da quelle dedicate all’organizzazione aziendale.

Privacy e smart working avanti di pari passo

Questa gestione “separata”, che in funzione del tipo di ambiente operativo può essere a livello di gestione di OS o a livello di applicazione, rappresenta una importante componente della risposta alle nuove sfide aperte dallo smart working dove troviamo appunto anche la dimensione della privacy.

Chi utilizza il proprio smartphone per lavorare deve poter distinguere tra l’ambito privato e quello professionale. L’azienda deve effettivamente essere nelle condizioni di accedere liberamente alle informazioni che riguardano lo specifico ambito lavorativo; deve avere la certezza che questi dati sono al sicuro anche se sono trattati su dispositivi che operano lontani dal perimetro aziendale e, non ultimo e non meno importante, deve essere nella condizione di garantire al dipendente il massimo rispetto della privacy nella certezza della completa compliance normativa.

 

Fonte: CyberSecurity360

Rapporto tra titolare e responsabile del trattamento, lo standard contrattuale tipo

L’EDPB ha pubblicato lo standard contrattuale tipo tra titolare e responsabile del trattamento adottato dall’Autorità per la protezione dei dati danese, con l’intento di aiutare le organizzazioni a soddisfare i requisiti richiesti dall’art. 28 del GDPR

L’Autorità per la protezione dei dati danese ha presentato al Comitato europeo per la protezione dei dati (in seguito anche “EDPB”) una bozza di standard contrattuale tipo tra titolare e responsabile del trattamento, ai sensi dell’art. 28 del Regolamento (UE) 679/2016 (in seguito, “GDPR”), richiedendo un parere del Comitato, per un approccio coerente a livello dell’Unione europea nel rapporto tra titolare e responsabile del trattamento.

Rapporto tra titolare e responsabile del trattamento: il parere dell’EDPB

La decisione in merito alla completezza della bozza è stata presa il 9 luglio 2019, con il parere del Comitato europeo per la protezione dei dati.

Si specifica che, nel contesto del rapporto tra un titolare e un responsabile del trattamento, il GDPR stabilisce, nel suo articolo 28, un insieme di disposizioni relative alla redazione di un contratto specifico tra le parti interessate e disposizioni obbligatorie che dovrebbero essere incorporate in esso.

Di fatti, ai sensi dell’articolo 28, paragrafo 3, del GDPR, il trattamento di dati da parte di un responsabile del trattamento dei dati è regolato da un contratto o altro atto giuridico ai sensi del diritto dell’Unione o degli Stati membri che vincoli il responsabile del trattamento al titolare, che resta colui che definisce un insieme di aspetti specifici del rapporto contrattuale in essere.

A seguito del parere n.14/2019, l’EDPB ha pubblicato nel registro delle decisioni prese dalle autorità europee, lo standard contrattuale tipo tra titolare e responsabile del trattamento adottato dall’Autorità per la protezione dei dati danese.

Esso mira ad aiutare le organizzazioni a soddisfare i requisiti dell’art. 28 (3) e (4) del Regolamento (UE) 679/2016, dato che un tale contratto non dovrebbe limitarsi a riportare le prescrizioni del GDPR, bensì precisarle ulteriormente, ad esempio per quanto riguarda l’assistenza fornita dal responsabile al titolare.

Proprio a tale scopo, lo standard contrattuale in esame prevede quattro appendici:

1. L’Appendice A contiene dettagli sul trattamento dei dati personali, includendo le finalità e la natura del trattamento, la tipologia di dati, le categorie di soggetti interessati e la durata del trattamento;

2. L’Appendice B contiene le condizioni del titolare del trattamento per il trattamento dei dati da parte del responsabile del trattamento, di sub-responsabili e un elenco di sub-responsabili autorizzati dal titolare del trattamento;

3. L’Appendice C contiene le istruzioni del titolare del trattamento in merito al trattamento dei dati personali, e le misure di sicurezza che il responsabile del trattamento deve adottare;

4. L’Appendice D contiene disposizioni per altre attività che non sono coperte dallo standard contrattuale.

Il perimetro d’azione del responsabile del trattamento

Da un’attenta analisi dello standard contrattuale emerge come lo stesso ripercorre quelli che sono gli elementi essenziali che il contratto o altro atto giuridico di nomina a responsabile del trattamento deve avere, ai sensi dell’art. 28 del GDPR.

La prima parte dell’atto giuridico deve stabilire il perimetro di azione in cui andrà ad operare il responsabile del trattamento.

A seguire, in particolare, dovranno essere indicati:

1. i diritti e gli obblighi del titolare del trattamento;
2. gli obblighi del responsabile del trattamento;
3. la garanzia che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
4. l’obbligo di adottare le misure di sicurezza richieste dall’art. 32 del GDPR;
5. l’uso di sub- responsabili;
6. eventuale trasferimento dei dati verso paesi terzi o organizzazioni internazionali;
7. l’obbligo di assistere il titolare del trattamento nell’adempimento delle richieste, presentate dall’interessato, per l’esercizio dei diritti previsti dal Capo III del Regolamento;
8. l’obbligo di informare il titolare del trattamento, senza ingiustificato ritardo, di una violazione di dati personali dopo esserne venuto a conoscenza;
9. la possibilità di svolgere audit o ispezioni da parte del titolare per verificare se il responsabile del trattamento sia compliance al GDPR.

Attualmente, il testo dello standard contrattuale è disponibile e scaricabile gratuitamente, in lingua inglese, sul sito web dell’EDPB.

 

Fonte: CyberSecurity360

Titolare autonomo e responsabile del trattamento dati: ruoli e differenze alla luce del GDPR

Le figure di titolare “autonomo” e responsabile del trattamento dei dati suscitano un dibattito interpretativo attuale, su cui si è espresso anche il Garante della privacy nel tentativo di fare chiarezza. Ecco il contesto normativo e i differenti ruoli nel trattamento dei dati personali

A poco più di un anno dall’applicazione del GDPR, nonostante la precisazione diffusa dal Garante in risposta al quesito posto dal Consiglio nazionale dei consulenti del lavoro in ordine all’autonoma titolarità del trattamento dei dati, il dibattito interpretativo sul binomio, ove esistente, tra titolare “autonomo” e responsabile del trattamento dati risulta più che mai attuale.

Molte categorie professionali hanno preso posizione rifiutando o comunque mal digerendo una nomina quale responsabile del trattamento ritenendo di avere autonoma titolarità sui singoli dati trattatati siano essi propri ovvero derivati.

Titolare autonomo e responsabile del trattamento dati: il contesto normativo

Come noto, oramai, il GDPR, in un’ottica generale di maggiore flessibilità, ridisegna i rapporti tra i vari soggetti coinvolti nel trattamento consentendo ai titolari di contribuire fattivamente a far vivere le norme in esso contenute.

L’articolo 4, comma 7, del GDPR definisce “titolare del trattamento” la persona fisica o giuridica, l’Autorità pubblica, il servizio o ogni altro organismo che, singolarmente o insieme ad altri, determina finalità e mezzi del trattamento effettuato ed al comma 8 delinea il “responsabile del trattamento” come la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.
Dunque, potremmo definire il titolare come colui che decide le sorti del trattamento ed il responsabile come colui che opera per conto del titolare.

Il Regolamento, rispetto alla previgente disciplina, ha sicuramente precisato e delimitato i compiti che possono essere attribuiti dal titolare del trattamento al responsabile, individuando espressamente l’ambito delle rispettive responsabilità, le modalità nonché gli obblighi di cooperazione cui questi è tenuto esclusivamente in funzione delle attività svolte per conto del titolare.

La posizione del Garante

La risposta data dal Garante in data 22/01/2019, i cui principi sono applicabili a svariate categorie, partendo proprio dalla definizione di cui all’art. 4, consente di orientarci verso l’una o l’altra scelta attraverso un’attenta valutazione dei singoli rapporti: ruolo rivestito; tipo di attività e diverse modalità di trattamento.

Occorre, dunque, distinguere la posizione del soggetto che tratta dati in ragione dell’incarico ricevuto, contenente anche le istruzioni sulle modalità, dalla diversa ipotesi nella quale questi non si limiti ad effettuare un’attività meramente esecutiva di un trattamento “per conto” del cliente, bensì eserciti un potere decisionale del tutto autonomo sulle “finalità” e sui “mezzi del trattamento”.

Nel primo caso dovrà essere inquadrato e qualificato come responsabile nel secondo caso quale titolare del trattamento.
Il trattamento dei dati effettuato dai “professionisti” ed il fatto che questi siano già soggetti a norme anche deontologiche, non attribuisce loro una diversa autonomia rispetto a quei dati che provengono dall’esterno ossia non in ragione di un incarico ma di un rapporto derivato.

Peraltro, la scelta di qualificarsi quali titolari autonomi del trattamento o co-titolari comporta una serie di obblighi ancor più stringenti rispetto alla figura del responsabile.

Garanzie e ruoli

Con riferimento alla tutela dell’interessato, infatti, la distinzione titolare autonomo e responsabile del trattamento rimarrebbe sostanzialmente ininfluente sotto il profilo delle garanzie, attesa la responsabilità solidale tra gli stessi, distinzione che diventerebbe invece decisiva con riguardo alle rispettive responsabilità.

Il titolare, come sappiamo, assume responsabilità ben specifiche ed individuate nelle norme del regolamento, mentre il responsabile risponde per il danno causato dal trattamento solo se non ha adempiuto agli obblighi del regolamento a lui diretti, o se ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare.
È dunque evidente il maggior carico di responsabilità e compiti attributi al titolare rispetto al responsabile.

È pur vero che nella prassi, assai di frequente, si assiste a maldestre o generiche “istruzioni” contenute in succinti e standardizzati contratti o altri “atti di nomina”, spesse volte predisposti dagli stessi responsabili, che certamente mal si prestano a rendere quelle garanzie richieste dalla norma e fungere da corretto paramento di adempimento.

Potrebbe infatti non essere infrequente l’ipotesi che il responsabile riesca a dimostrare di aver rispettato gli obblighi del GDPR e le istruzioni ricevute dal titolare andando così esente da responsabilità per il danno subito dall’interessato in caso di contestazione.

Definiti così i ruoli e l’inquadramento del responsabile quale soggetto che tratta dati personali per conto del titolare del trattamento, in molte ipotesi concrete tale inquadramento sembra vacillare scontrandosi con la realtà e la prassi.

Conclusioni

Dunque, se da un punto di vista esplicativo tale qualifica risulti più corretta, da un punto di vista pratico, talvolta, risulta difficile immaginare il concreto esercizio di quei poteri di controllo per il quale il Regolamento assegna al titolare nei confronti del responsabile del trattamento.

Come accennato, e in generale, la flessibilità ed il principio di armonizzazione posti alla base del nuovo Regolamento EU, unitamente ai fondamentali principi di accountability e dei criteri di privacy by design e privacy by default, dovrebbero orientare gli operatori ad agire guardando il singolo caso concreto, concentrandosi più sulle finalità piuttosto che sui formalismi, preferendo il generale principio della sostanza sulla forma nella primaria ottica di protezione dei dati e prima ancora delle persone.

 

Fonte: CyberSecurity360