ControlloRemotoCheckList - MSPD ACME SPA

GESTIONE DEL SISTEMA PRIVACY
E PROTEZIONE DEI DATI
Vai ai contenuti

Menu principale:

MATERIALE - FORMAZIONE fac simile
DI COSA SI PARLA...
Prima di tutto chiariamo che la  "distanza" in informatica non è una misura di spazio ma anche di tempo!

Spieghiamo velocemente un aspetto che abbiamo trattato in dettaglio nel nostro video-seminario a questo tema destinato. Si intende controllo a distanza non solo quello della video sorveglianza ma anche quello che a "distanza di tempo" può essere dedotto e valutato da una analisi Ex Post di log.

Una puntualizzazione utile riguarda il fatto che quando si parla di controllo a distanza  ci si riferisce alle "attività dei lavoratori", non ai lavoratori in quanto persone fisicbe. Il datore di lavoro ha i suoi diritti, e quello che può essere individuato con "Interesse legittimo" giustificato dalla tutela contrabilanciata del patrimonio aziendale (Riforma dell' art. 4 Comma 3° dello Statuto dei lavoratori).

ELENCO CONTROLLI E REQUISITI DI SISTEMA

  • Il titolare/datore di  lavoro individua e predefinisce gli strumenti di lavoro che anche solo potenzialmente comportano una attività di controllo a  distanza delle attività dei lavoratori

  • Il titolare/datore di  lavoro indica tra gli strumenti, quelli che sono necessari allo svolgimento delle mansioni, e li distingue da  quelli che non lo sono

  • la lista degli strumenti necessari allo svolgimento delle prestazioni di lavoro si condive con le RSU, se presenti

  • Alcuni esempi di strumenti anche e non solo se connessi a servizi internet e di posta elettronica:

      • personal computers
      • computers portatili
      • computers palmari
      • tablets
      • telefoni cellulari/smartphones
      • altro .......................................................................................

    • Particolare attenzione a:                     
      • strumenti di registrazione degli accessi/uscite dai luoghi di lavoro
      • dispositivi di registrazione degli accessi intra-aziendali

                                 
  • Per gli strumenti/dispositivi considerati si formalizzi specifica 'policy'  indicando condizioni e ai limiti di utilizzo

  • La Policy va resa nota a tutto il personale (dipendenti e collaboratori) a mezzo di un Disciplinare Interno

  • si divulghi il DI a mezzo:

      • la consegna a ciascuno del documento cartaceo
      • la messa a disposizione del medesimo sulla rete intranet aziendale
      • la sua affissione in luogo accessibile a tutti
                                                 
  • Il titolare/datore di  lavoro pianifica  eventi specifici di formazione (Responsabile del Trattamento se ricevuto istruzioni)

  • Sono documentate/documentabili:

      • la comunicazione/messa a disposizione della policy
      • la (in)formazione sui contenuti della medesima
                            
  • La Policy spiega anche le informative relative al trattamento dei dati raccolti sulle attività di controllo a distanza (eventuale liceità di trattamento proattiva per tutela patrimonio e sicurezza informatica)

  • Il contenuto delle  informative deve essere coerente con le tipologie di strumenti di  lavoro/dispositivi, ed è redatta una specifica informativa per  ciascuna tipologia di strumento/dispositivo (o categoria di funzione aziendale)

  • Le informative dichiarano finalità determinate, esplicite, legittime

  • Le finalità di cui sopra corrispondono a quelle effettivamente perseguite

  • Le informative spiegano tutte le  categorie di dati oggetto di ognuno degli specifici trattamenti nell'ambito delle attività di controllo a distanza

  • Devono essere esplicitate le caratteristiche essenziali dei relativi trattamenti (Rif. al Registro dei Trattamenti)

  • Le informative devono chiaramente elencare le categorie di destinatari cui i dati personali potranno/dovranno essere comunicati

  • Le attività di monitoraggio devono essere associate alle funzioni aziendali formalmente e correttamente

  • I lavoratori sono resi  consapevoli, con informative allegate alle nomine come "soggetti autorizzati", sulla funzione/unità organizzativa aziendale a cui possono rivolgersi per l'esercizio dei loro diritti

  • Il titolare pianifica l'aggiornamento delle informative ai requisiti previsti dal Regolamento  UE 2016/679 con particolare riferimento al periodo di conservazione dei dati personali e i criteri di utilizzo

  • La Policy deve avere esplicito riferimento alle informative relative alle modalità di controllo; tutte le informative sono distinte per tipologia di strumento/dispositivo (categoria delle funzioni dei soggetti autorizzati)

  • Le informative sul  trattamento dei dati e quelle sulle modalità di controllo disseminate  tramite:

      • accesso ad internet
      • servizio di posta elettronica
                               
  • Per la navigazione internet il titolare/datore di lavoro, deve aver:

      • definito le categorie di siti non correlate alla prestazione lavorativa (Es.: Blacklist su Firewall)
      • disposto l'applicazione di filtri che prevengano determinate operazioni (
        Es.:
        sw DLP)


  • Per la posta elettronica il titolare/datore di lavoro, deve aver:

      • messo a disposizione dei lavoratori funzionalità d'uso semplici per l'invio automatico, in caso di  assenze, di messaggi di rinvio ad altro lavoratore/funzione interna o  altre modalità utili di contatto dell'organizzazione
      • disciplinato nella policy, in caso di assenza  imprevista o prolungata del lavoratore, l'accesso alla sua casella di  posta elettronica da parte di un collega fiduciario previamente delegato  dal lavoratore interessato
      • disposto l'inserzione automatica nei messaggi di un  avviso ai destinatari della natura professionale e non  personale/confidenziale del messaggio stesso
                                                
  • Le modalità di controllo giustificate dal TdT rispettano il criterio della gradualità

  • I software mediante i  quali è disposto il controllo devono essere configurati in modo da cancellare periodicamente e automaticamente i dati personali relativi agli accessi  internet e al traffico telematico; precisare in quali casi si ricorre al prolungamento dei  tempi di conservazione di determinati dati

  • Le attività di controllo devono essere conformi al principio di necessità compatibilmente con misure organizzative e tecnologiche finalizzate a  prevenire il rischio di utilizzi impropri dei dati dei lavoratori

  • Il titolare/datore di lavoro accerta che le attività di controllo non comportino funzionalità vietate ad esempio:

      • la lettura e la registrazione sistematica dei  messaggi di posta elettronica ovvero dei relativi dati esteriori, oltre  quanto necessario tecnicamente per lo svolgimento del servizio e-mail
      • la riproduzione e l'eventuale memorizzazione sistematica delle pagine web visualizzate dal lavoratore
      • la lettura e la registrazione dei caratteri inseriti tramite la tastiera
                                     

__________________________________________________________________________________









Torna ai contenuti | Torna al menu