[GDPR E Servizi ICT] 8 regole per il il web surfing in azienda

Nell’era digitale, l’uso appropriato degli strumenti tecnologici sul posto di lavoro è fondamentale per salvaguardare la sicurezza dei dati aziendali. Tuttavia, la gestione non corretta di questi strumenti può esporre le aziende a seri rischi di sicurezza. In questo contesto, esploriamo le misure tecniche ed organizzative che le aziende possono adottare per proteggere efficacemente le informazioni sensibili e garantire una navigazione sicura su internet per i loro dipendenti. Scopriremo le otto regole essenziali per una corretta politica di utilizzo della rete aziendale e come queste politiche possono prevenire l’abuso dei dati personali dei lavoratori, preservando la legalità e la sicurezza delle operazioni online.

L’uso improprio da parte del lavoratore degli strumenti tecnologici è una delle principali fonti di rischio per la sicurezza dei dati e delle informazioni aziendali che, però, può essere tutelata e garantita attraverso l’adozione di specifiche misure tecniche ed organizzative. 

Infatti, la mera connessione ad Internet comporta un trattamento di dati, quali per esempio l’indirizzo IP (sia statico che dinamico), il MAC address, ma anche i dati di traffico che, se collegati a un pc in uso ad un singolo utente, devono essere considerati dati personali (questi, infatti, permettono di identificare il lavoratore e rivelare la durata della connessione, il suo contenuto e il luogo da dove la connessione è avvenuta). 

D’altro canto tali dati sono accessibili a chi mantiene il sistema informatico aziendale. 

Pertanto, da un lato l’azienda dovrà garantire la liceità e correttezza del monitoraggio del traffico in rete e dei dati connessi informando correttamente i dipendenti del trattamento in atto e della relativa base giuridica (che in tal caso spesso è il legittimo interesse) dall’altro il dipendente deve attenersi alle indicazioni di sicurezza e corretto utilizzo dei device aziendali (come descritto nella  policy IT interna che deve indicare le caratteristiche del sistema e disciplinarne le modalità d’uso). 

La navigazione in internet: le 8 regole essenziali 

Affinché sia disciplinato correttamente l’utilizzo della rete internet aziendale, nella relativa policy, l’azienda dovrà: 

  1. individuare le categorie di lavoratori a cui si rivolge, ossia tutte le persone a cui sono assegnate le risorse informatiche aziendali e che sono autorizzate a svolgere le operazioni di trattamento dei dati personali (dipendenti, collaboratori, consulenti, stagisti); 
  2. esplicitare che l’uso di internet è esclusivamente limitato allo svolgimento dell’attività lavorativa e che l’indirizzo IP è assegnato all’azienda; pertanto, si dovrà tenere un comportamento tale da tutelare l’immagine aziendale; 
  3. vietare l’accesso a un elenco di siti i cui contenuti non sono consentiti, attraverso l’implementazione di sistemi di filtraggio gestiti dall’amministratore di sistema, prevedendo anche la ricezione di un avviso da parte dell’utente qualora tenti di accedervi; 
  4. vietare l’upload o il download di software o file da siti internet senza l’autorizzazione dell’Amministratore di sistema (in caso di dubbio dovrà essere richiesto il suo intervento); 
  5. vietare la registrazione a siti non connessi all’attività lavorativa; 
  6. vietare l’utilizzo di servizi di comunicazione o condivisione file p2p (peer-to-peer); 
  7. vietare le transazioni finanziarie (acquisti online, operazioni di home-banking) estranei all’attività lavorativa; 
  8. disciplinare l’utilizzo applicazioni di messaggistica istantanea e social network (come WhatsApp o Telegram) per scambiare dati inerenti all’attività lavorativa, se non espressamente autorizzati dall’Amministratore di sistema. 

Gruppi aziendali di messaggistica istantanea: come regolamentarli

L’utilizzo di applicazioni come WhatsApp, Telegram o altri social network dovrebbe essere subordinato all’adozione di regole di comportamento chiare e precise, istruendo ed informando i lavoratori, in particolare: 

  1. nomina di un amministratore di gruppo;
  2. divieto di installazione su device privati o utenze private;
  3. obblighi in capo all’amministratore del gruppo:
    • valutare la necessità e l’opportunità di procedere alla creazione del gruppo; 
    • individuare i partecipanti tra coloro che sono autorizzati a trattare i dati che saranno scambiati nel gruppo; 
    • raccogliere il consenso degli aderenti e rimuoverli in caso di revoca del consenso o cessazione del rapporto di lavoro; 
    • stabilire le finalità del gruppo; 
    • determinare le regole di comportamento e vigilare sul loro rispetto; 
    • cancellare il gruppo una volta che le finalità sono state perseguite; 

  1. le regole generali di comportamento per i partecipanti al gruppo, aggiuntive a quelle che stabilirà  l’amministratore, come per esempio:  
    • possibilità di scambiare informazioni solo se attinenti all’attività lavorativa; 
    • divieto di scambiare messaggi a contenuto offensivo; 
    • osservare il segreto d’ufficio e la normativa in merito alla protezione dei dati personali, anche in relazione agli altri partecipanti; 
    • divieto di usare i contatti per scopi diversi da quelli predeterminati; 
    • evitare di pubblicare notizie false o divulgare foto di locali aziendali; 
    • divieto di divulgare informazioni riservate.                     

PER QUANDO HAI TEMPO E VOGLIA DI APPROFONDIRE