Commissione Sicurezza OIC – Gestione dei Dati Personali: Strumenti e Linee Guida per gli Ingegneri

La Commissione Sicurezza OIC ha redatto una serie di domande frequenti (FAQ) per supportare i professionisti nell’ambito della gestione dei dati personali. Questa guida rappresenta uno strumento utile e pratico, ideato per aiutare i nostri iscritti a implementare correttamente le normative sulla privacy.

Quesito 1: come devo conservare gli elaborati che ho prodotto per i miei clienti? Li posso conservare dopo aver fatturato e quindi dopo averglieli tecnicamente “venduti”?

QUALI DATI DEVO CONSERVARE DEI MIEI CLIENTI?

In linea generale occorre rispettare il principio di “Minimizzazione dei dati”. Infatti la minimizzazione dei dati è un principio importante della privacy che richiede di  evitare la raccolta di dati personali inutili o eccessivi per lo scopo previsto, oltrechè utilizzare solo i dati necessari per il corretto svolgimento del compito assegnato

In particolare prendiamo ad esempio un ingegnere che viene incaricato di una progettazione edile. In linea di massima sono due le tipologie di dati trattati dal professionista:

1 –  dati per l’esecuzione della prestazione. In questo caso vanno conservati per il tempo necessario per l’esecuzione della prestazione. A fine incarico il progettista può conservare per motivi di archivio gli elaborati realizzati, minimizzando i dati personali conservati

2 – dati per la fatturazione della prestazione: in tal caso vanno conservati per il periodo di legge richiesto dalle norme di riferimento  ovvero per un periodo minimo di dieci anni. L’obbligo si riferisce al documento originale, sia esso informatico o cartaceo. Non hanno valore le copie che vanno invece eliminate senza indugio alla fine della prestazione.

Quesito 2: voglio realizzare un portfolio delle mie attività da ingegnere: essendo gli elaborati mia proprietà intellettuale, devo chiedere permessi al mio Cliente? E se si, quali autorizzazioni devo chiedere?

COME REALIZZARE UN PORTFOLIO IN REGOLA CON LA PRIVACY?

La realizzazione di un archivio lavori, sia un elenco lavori che di natura visuale (ad esempio sul sito internet dello studio) è certamente il migliore biglietto da visita per un professionista. Tuttavia vanno rispettate le regole della riservatezza dei dati che possono essere anche di particolare rilevanza (sia in campo privato che industriale).

Come regola generale si suggerisce di raccogliere i dati con i seguenti principi:

1 – Minimizzazione dei dati: Raccogli solo le informazioni personali necessarie per il tuo portfolio evitando di collezionare dati sensibili o eccessivi che non siano rilevanti per il tuo scopo.

2 – Anonimizzazione dei dati: ove possibile applicare l’anonimizzazione dei dati personali nel tuo portfolio evitando che possano essere collegati informazioni ad individui specifici. Gli sforzi potrebbero però essere vani nel caso di strutture uniche o ben conosciute al pubblico.

3 – Consenso degli interessati: se dopo l’applicazione dei due punti precedenti rimangono dati che non rendono la raccolta libera da dati personali, si può raccogliere il consenso degli interessati. Si includa una specifica informativa sulla privacy e richiedi l’approvazione prima di raccogliere e trattare qualsiasi informazione personale.

Inoltre non trascurare nell’attività da condurre l’eventuale ruolo di terze parti (ad es hosting), una adeguata protezione del sito utilizzato, la possibilità di ottenere autorizzazioni per un periodo limitato di tempo. Valuta infine la possibilità di attivare una Consulenza legale per essere sicuro di implementare correttamente le misure di privacy nel tuo portfolio.

Quesito 3: ho seguito un corso di privacy e il docente ha detto che non posso usare più la pennina USB. Trovo la cosa esagerata e inapplicabile nella vita lavorativa reale, cosa ne pensa il mio ordine ingegneri?

POSSO UTILIZZARE LA PENNINA USB PER ARCHIVIARE  E TRAFERIRE I MIEI FILE DI LAVORO?

L’uso di un archivio portatile è sicuramente utile e sbrigativo. Soprattutto per un uso personale.

Discorso diverso è l’utilizzo professionale: nella veste di professionista infatti la norma ci richiede di rispettare tre criteri fondamentali della sicurezza dei dati ovvero, integrità, disponibilità e riservatezza. A questo punto cercheremo di convincerti che la pendrive esterna potrebbe non essere una buona soluzione e cercheremo di darti le alternative corrette.

Criterio 1: INTEGRITÀ. Il GDPR obbliga i responsabili del trattamento a utilizzare dei dati corretti e non contraffatti. Una pennina usb potrebbe rispettare questo criterio se fosse protetta da password e pertanto solo il responsabile ne possa modificare i dati. Tuttavia il passaggio da pc a pc rende la pendrive vulnerabile agli attacchi informatici o all’usura tali da compromettere l’integrità e pertanto alcune organizzazioni stanno inibendo le porte usb nella convinzione che possano rappresentare una minaccia per i sistemi.

Criterio 2: DISPONIBILITÀ. I dati contenuti nel supporto di archiviazione devono essere disponibili: come possono esserlo a seguito di attacco informatico o di smarrimento? Di sicuro non usare quindi la pendrive come unico archivio di lavoro.

Criterio 3: RISERVATEZZA. Anche nei confronti di quest’ultimo criterio, la pendrive è una soluzione poco “robusta”. Si può pensare di risolvere proteggendo i file con una password o criptando il drive. Soluzioni artigianali però potrebbero lasciare il supporto vulnerabile a discapito della riservatezza dei dati.

Quanto sopra esposto naturalmente vale anche per tutti i supporti informatici e cartacei. Il professionista dovrà fare un’analisi di rischio per ogni supporto di archiviazione e fare le dovute valutazioni. Naturalmente potrà rendersi necessario un confronto con un esperto privacy soprattutto nelle casistiche di gestione di dati particolari o di Clienti più proattivi sulla tematica in questione.

In conclusione non c’è un unico modo per lavorare bene o male: gli strumenti vanno usati con raziocinio e consapevolezza, adeguati all’ambiente di lavoro a disposizione.

Quesito 4: durante i miei sopralluoghi mi aiuto sistematicamente con una raccolta fotografica più o meno ampia (anche per tenere traccia delle date/attività). Posso utilizzare queste foto senza problemi nel mio giornale di cantiere?

UTILIZZO DELLE FOTO DI UN SOPRALLUOGO: QUALI ACCORGIMENTI?

I rilievi fotografici fanno sicuramente parte della normale attività professionale dell’ingegnere. Tuttavia ci potrebbero essere due macrocategorie di problemi.

La prima è relativa al know how aziendale del soggetto ospitante: in tal caso è necessario essere preventivamente autorizzati dal soggetto ospitante (l’argomento non afferisce alla problematica protezione dei dati ai sensi del GDPR).

La seconda è relativa alla presenza di oggetti e persone che potrebbero comportare un problema di riservatezza e protezione dei dati personali di quanto inquadrato nello scatto fotografico: in questo caso gli scatti dovranno essere utilizzati per un uso interno o riservato e non divulgate all’esterno. La natura confidenziale dovrà essere esplicitata nello scambio del report in questione. L’utilizzo per altri scopi (ad esempio didattici) non potrà essere consentito se non previa anonimizzazione dei contenuti (oscuramento volti, scritte, ecc). Si precisa che l’anonimizzazione può essere eseguita alla fonte ottemperando il criterio di “privacy by design / by default” rendendo libero l’estensore del documento da indebiti utilizzi successivi.

Quesito 5: purtroppo ho subito il furto del mio pc di lavoro. Mi ricordo che al corso mi hanno detto che forse devo fare la denuncia al Garante della Privacy. È vero?

HO SUBITO IL FURTO DEL PC: DEVO FARE DENUNCIA AL GARANTE?

Il quesito appare semplice ma la risposta deve essere necessariamente articolata. Innanzitutto questa evenienza deve essere presa in seria considerazione in fase di redazione delle Policy Privacy dell’organizzazione, sia essa un piccolo studio di Ingegneria o un ente più articolato. Questo afferisce all’assessment iniziale dell’analisi del rischio. Nella maggior parte dei casi il problema relativo al furto del pc può essere minimizzato tramite i comuni accorgimenti che comprendono: limitazione d’accesso alla macchina tramite password, autentificazione a più fattori, Crittografia dispositivo, backup su cloud. Conoscere il pc in questione permetterà di valutare il rischio di ulteriori accessi autorizzati.

Per quanto riguarda il quesito, ovvero la denuncia al Garante Privacy, dovrà effettuarsi immediatamente una indagine approfondita per determinare le cause e l’entità di una possibile violazione. Vanno considerati i fattori di rischio di una violazione e analizzata la tipologia di dati eventualmente compromessi.

Se esiste il rischio che integrità, disponibilità e riservatezza dei dati non siano garantite, la denuncia al Garante dovrà essere effettuata “senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, deve notificare la violazione al Garante per la protezione dei dati personali a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche”. In tal caso dev’essere inviata una notifica agli interessati.

Quesito 6: nell’ambito delle funzioni che svolgo in qualità di RSPP aziendale (interno/esterno), capita che mi vengano inviate le busta paghe dei lavoratori dipendenti dell’azienda per la quale lavoro a dimostrazione dell’assunzione /per estrapolare l’anagrafica

I DATI CONTENUTI ALL’INTERNO DI UNA BUSTA PAGA, SONO DATI SENSIBILI?

I dati contenuti all’interno di una busta paga sono dei dati da considerarsi appartenenti alla categoria dei dati Particolari (come definiti oggi nel GDPR, e denominati “sensibili nel vecchio Codice Privacy” D.Lgs. 196/2003), perchè possono contenere : informazioni personali (nome completo, CF, luogo e data di nascita), benifici o bonus (indennità, bonus fiscali, e  bonus e benefici legati alla salute del lavoratore e/o dei familiari, benefici aggiuntivi legati alla categoria di lavoro – es: appartenenza categorie protette- etc.) dettaglio sul salario (contributi previdenziali e assicurazioni),  informazioni relative all’appartenenza sindacale ( quota di iscrizione al sindacato).

Lo strumento conforme alla normativa GDPR per la trasmissione di tali informazioni è il modello UNILAV che secondo i criteri della minimizzazione contiene le informazioni strettamente necessarie per l’esecuzione della prestazione lavorativa.

Tutte le informazioni che sono comunicate dal Datore di lavoro (Titolare del Trattamento) al RSPP in relazione ai lavoratori (“Interessati dal trattamento”, ossia proprietari del dato), se ritenuto che il loro contenuto sia eccessivo rispetto alla finalità richieste, va gestito mediante distruzione del documento,  dando anche  comunicazione al DDL

Azione preventiva: l’OIC raccomanda al professionista  una richiesta puntuale e mirata delle informazioni necessarie e delle finalità del trattamento (es: mi occorre l’UNILAV per l’aggiornamento dell’anagrafica), al fine di prevenire l’invio di dati sovrabbondanti.