Alcune attività della tua azienda sono svolte in situazioni di mobilità e telelavoro.

Tale decisione può far parte della strategia di gestione, generale o parziale per determinate aree o attività (ad esempio, il personale che viaggia con frequenza) o può essere motivato da situazioni eccezionali e persino dalla circostanza.
Se nel primo caso è necessario eseguire una pianificazione preventiva, nel secondo il circostanze urgenti possono costringere a implementare soluzioni con carattere provvisorio.

Quando quest’ultimo accade, è obbligatorio, creare una continuità, riflettere e adeguare le situazioni del telelavoro. Si deve tener conto del fatto che della continuità dei processi aziendali, diritti e libertà delle parti interessate i cui dati vengono elaborati.
L’organizzazione e il personale che partecipano alle azioni lavorative devono avere considera i seguenti consigli.

RACCOMANDAZIONI DIRETTE AI RESPONSABILI DEL TRATTAMENTO
Una serie di raccomandazioni per il responsabile è elencata di seguito. del trattamento che dovrà adattare alla specifica situazione del suo oggetto di business:

Definire una politica di protezione delle informazioni per le situazioni di mobilità

•  Basato sulla politica di protezione dei dati e sicurezza delle informazioni, è necessario definire una politica specifica per le situazioni di mobilità che soddisfano le esigenze e i rischi particolari introdotti dall’accesso alle risorse aziendali da spazi che non sono sotto il controllo dell’organizzazione.
• Questa politica deve determinare quali sono le forme di accesso remoto consentite, che tipo di dispositivi sono validi per ogni forma di accesso e il livello di accesso consentito in base ai profili di mobilità definiti. Le responsabilità e gli obblighi assunti dal impiegati.
• È necessario fornire guide funzionali adattate alla formazione delle personale impiegato, derivato da tali politiche, e che raccolgono almeno le informazioni esposte nella sezione “Raccomandazioni indirizzate al
  personale che partecipa alle operazioni di trattamento ”di questo stesso documento.
• Il personale deve anche essere informato delle principali minacce da cui può essere influenzato quando si lavora al di fuori dell’organizzazione e possibili conseguenze che potrebbero verificarsi in caso di rottura
  linee guida sia per gli interessati che per il lavoratore.
• In queste guide, è necessario identificare un punto di contatto per comunicare qualsiasi incidente che influisce sui dati personali, nonché canali e formati appropriati per effettuare tale comunicazione.
• Il personale deve firmare un accordo di telelavoro che includa gli impegni acquisiti nell’esercizio delle loro funzioni durante gli spostamenti.

Scegli soluzioni e fornitori di servizi affidabili e garantiti

• Evitare di utilizzare applicazioni e soluzioni di telelavoro che non offrono garanzie e che possono comportare l’esposizione dei dati personali del personale, parti interessate e servizi aziendali dell’organizzazione, in particolare, attraverso i servizi di posta e messaggistica.
• È necessario ricorrere a fornitori e gestori che offrono soluzioni garanzie comprovate e sufficienti che, nello stesso senso, evitano l’esposizione dei dati personali del personale, delle parti interessate e dei servizi aziendali del organizzazione
• Se accedono ai dati personali, saranno presi in considerazione i gestori e il rapporto, saranno regolati da un contratto o un’altro atto legale che vincola il gestore rispetto alla persona responsabile. Questo contratto deve
  stabilire l’oggetto, la durata, la natura e lo scopo del trattamento, il tipo di dati personali e categorie di parti interessate e obblighi e diritti del responsabile del trattamento, in conformità con i termini stabiliti nel Articolo 28.3 del RGPD.

Limitare l’accesso alle informazioni

• I profili o livelli di accesso a risorse e informazioni devono essere configurato in base ai ruoli di ogni persona occupata, in un certo senso ancora più restrittivo rispetto a quelli concessi nell’accesso dalla rete interno.
• A loro volta, è necessario applicare ulteriori restrizioni di accesso a seconda del tipo dispositivo da cui si accede alle informazioni (computer portatili sicurezza aziendale, dispositivi personali esterni e dispositivi mobili come smartphone o tablet) e anche a seconda della posizione dal a cui si accede.

Configurare periodicamente le apparecchiature e i dispositivi utilizzati in situazioni di mobilità

• I server di accesso remoto devono essere rivisti e deve essere garantito il loro corretto aggiornamento e la loro configurazione per garantire il rispetto della politica di protezione delle informazioni per le diverse situazioni, stabilite dall’organizzazione, nonché il controllo dei profili e codici di accesso definiti.
• Le apparecchiature aziendali utilizzate devono:

1. essere aggiornato a livello di applicazione e sistema operativo
2. disattivare i servizi non necessari
3. avere un’impostazione di privilegio minimo predefinita impostata da Servizi ICT che non possono essere disattivati o modificati dal dipendente
4. installare solo le applicazioni autorizzate dall’organizzazione
5. hanno aggiornato il software antivirus
6. avere un firewall locale abilitato
7. avere solo comunicazioni (wifi, bluetooth, NFC, …) attivate e porte (USB o altro) necessarie per eseguire le attività affidato

Monitorare l’accesso alla rete aziendale dall’estero

• I sistemi di monitoraggio devono essere istituiti per identificare modelli di comportamento anomalo nel traffico di rete trasportati nel quadro della soluzione di accesso remoto e mobilità per evitare malware sia diffuso sulla rete aziendale o  l’accesso e utilizzo non autorizzato di risorse.
• Devono essere segnalate violazioni della sicurezza relative ai dati personali all’autorità di controllo e / o alle parti interessate, al fine di creare un ambiente di telelavoro resiliente.
• Il personale deve essere informato, nella politica di protezione delle informazioni per le situazioni di mobilità, sull’esistenza e la portata di queste attività di controllo e supervisione.
• Se sono state utilizzate anche attività di monitoraggio per verificare il rispetto degli obblighi lavorativi del personale, la persona responsabile del trattamento deve informare in anticipo, e chiaramente, in modo chiaro e conciso i dipendenti e, se è il caso, i loro rappresentanti delle misure adottate nel quadro delle funzioni di controllo previste dal Statuto dei lavoratori da esercitare nel quadro giuridico, con i limiti intrinseci ad esso.
• I meccanismi di monitoraggio implementati nel contesto di accesso remoto alle risorse aziendali in situazioni di mobilità e telelavoro devono rispettare i diritti digitali stabiliti nel LOPDGDD, in particolare, il diritto alla privacy e all’uso dei dispositivi digitali e il diritto alla disconnessione digitale sul posto di lavoro.
• La configurazione definita per accedere alle risorse in remoto deve essere rivisto periodicamente per assicurarsi che non sia stato modificato o disattivato senza autorizzazione oltre a rimanere aggiornato e adattato a un ambiente di rischio esterno che si evolve continuamente.

Gestire razionalmente la protezione e la sicurezza dei dati

• Le misure e le garanzie stabilite nelle politiche definite devono essere stabilito da un’analisi del rischio in cui il proporzionalità tra i vantaggi che si ottengono dall’accesso remoto e potenziale impatto della compromissione dell’accesso alle informazioni di un personaggio personale.
• La politica deve includere procedure interne per fornire e controllare dispositivi client di accesso remoto, gestione dell’infrastruttura e procedure di monitoraggio, servizi forniti dai gestori e come è la politica rivisto e aggiornato ai rischi esistenti.
• Le risorse a cui è possibile accedere devono essere limitate a seconda del valutazione del rischio che rappresenta una perdita del dispositivo client e esposizione non autorizzata o accesso alle informazioni gestite.
• Le applicazioni e le soluzioni di accesso remoto devono essere pianificate e valutate tenendo conto dei principi sulla privacy in base alla progettazione e per impostazione predefinita in tutte le fasi di implementazione della soluzione: dalla definizione dei requisiti e delle esigenze fino al ritiro dello stesso o di uno qualsiasi dei i suoi componenti.

RACCOMANDAZIONI INDIRIZZATE AL PERSONALE CHE PARTECIPA ALLE OPERAZIONI DI TRATTAMENTO

Le raccomandazioni per il personale devono essere incluse nella politica di telelavoro responsabile, indicato nell’accordo di telelavoro e adeguato alla situazione concreto dei compiti da svolgere.

Una guida al contenuto di queste raccomandazioni è il seguente:

1. Rispettare la politica di protezione delle informazioni nelle situazioni di mobilità definite dalla persona responsabile

• Devono essere osservate le misure e le raccomandazioni contenute negli orientamenti e nella politica sulla protezione dei dati e la sicurezza delle informazioni nelle situazioni di mobilità definite dall’organizzazione, nonché il resto delle regole e procedure che lo sviluppano e, soprattutto, quali riguarda l’obbligo di riservatezza del lavoratore in relazione ai dati personali a cui ha avuto accesso nell’esercizio delle sue funzioni lavorative.

Proteggi il dispositivo utilizzato in mobilità e accedi ad esso

• Il dipendente deve definire e utilizzare password di accesso robuste e diverse da quelle utilizzate per accedere agli account e-mail personali, ai social network e ad altri tipi di applicazioni utilizzate nel campo della sua vita personale.
• Non è necessario scaricare o installare applicazioni o software che non sono stati precedentemente autorizzati dall’organizzazione.
• Si consiglia di evitare la connessione dei dispositivi alla rete aziendale da luoghi pubblici, nonché la connessione a reti WIFI aperte non protette.
• I meccanismi di autenticazione definiti (certificati, password, token, sistemi a doppio fattore, ecc.) Devono essere protetti per essere convalidati prima dei sistemi di controllo dell’accesso remoto dell’organizzazione.
• Se si dispone di un team aziendale, non deve essere utilizzato per scopi privati, evitando l’accesso a social network, e-mail personali, siti Web con reclami e pubblicità scioccante, nonché ad altri siti che potrebbero contenere virus o favorire l’esecuzione di codice dannoso.
• Se l’apparecchiatura utilizzata per stabilire la connessione remota è personale, è necessario evitare di combinare attività personali e professionali e definire profili indipendenti per svolgere ogni tipo di attività.
• Il sistema antivirus installato sul computer deve essere operativo e aggiornato.
• La legittimità delle e-mail ricevute deve sempre essere verificata, verificando che il dominio elettronico da cui proviene sia valido e noto, e diffidando di scaricare allegati con estensioni insolite o di stabilire connessioni tramite collegamenti inclusi nel corpo della posta che presenta uno schema fuori dal comune.
• Se possono essere gestiti dal dipendente, è conveniente disattivare le connessioni WIFI, bluetooth e simili che non vengono utilizzate.
• Alla fine della giornata lavorativa in una situazione mobile, la sessione di accesso remoto deve essere disconnessa e l’accesso al dispositivo deve essere spento o bloccato.

Garantire la protezione delle informazioni che vengono gestite

• Sia nei luoghi pubblici che nell’ambiente domestico, è obbligatorio prendere le precauzioni necessarie per garantire la riservatezza del informazioni che vengono gestite.
• Se la carta viene generalmente generata e lavorata, durante le situazioni di mobilità è importante ridurre al minimo o evitare l’ingresso e l’uscita della documentazione su questo supporto e prendere le precauzioni estreme per evitare l’accesso non autorizzato da parte di terzi.
• Le informazioni cartacee, comprese le bozze, non possono essere eliminate senza garantire che siano adeguatamente distrutte. Se possibile, non gettare pezzi di carta interi o strappati nei bidoni degli hotel, in luoghi pubblici o nei rifiuti domestici a cui qualcuno potrebbe accedere e recuperare informazioni personali.
• È consigliabile prendere precauzioni estreme per evitare l’accesso non autorizzato a informazioni personali, proprietarie e di terze parti, gestite, non esponendo alcun supporto informativo nel luogo in cui avviene il telelavoro e bloccando le sessioni dei dispositivi quando sono inascoltati.
• Evitare di esporre lo schermo allo sguardo di terzi. Se di solito lavori da luoghi pubblici, si consiglia di utilizzare un filtro per la privacy per lo schermo.
• Per quanto possibile, è consigliabile impedire che le conversazioni di terze parti vengano ascoltate utilizzando, ad esempio, le cuffie o ritirandosi in uno spazio in cui il dipendente non è accompagnato.

Salvare le informazioni negli spazi di rete abilitati

• È conveniente evitare di archiviare localmente le informazioni generate durante la situazione di mobilità sul dispositivo utilizzato, essendo preferibile utilizzare le risorse di archiviazione condivisa o cloud fornite dall’organizzazione.
• Se è consentito l’uso di attrezzature personali, in nessun caso utilizzare applicazioni non autorizzate nella politica dell’entità per condividere informazioni (servizi cloud per l’hosting di file, e-mail personali, messaggistica veloce, ecc.)
• Non è necessario bloccare o disabilitare i criteri di backup azienda definita per ciascun dispositivo.
• Si consiglia di rivedere ed eliminare periodicamente le informazioni residue che possono essere memorizzate sul dispositivo, come file temporanei del browser o download di documenti.

Se si sospetta che le informazioni possano essere state compromesse, comunicare immediatamente la violazione della sicurezza

• Qualsiasi anomalia che possa influire sulla sicurezza delle informazioni e dei dati personali trattati deve essere comunicata alla persona responsabile, senza indugio e quanto prima, attraverso i canali definiti a tale scopo.
• In caso di domande che potrebbero sorgere nel contesto di situazioni di mobilità e che possano rappresentare un rischio per la protezione delle informazioni e l’accesso alle risorse aziendali, il dipendente deve consultare il Responsabile della protezione dei dati e la persona responsabile per sicurezza delle informazioni o dei profili responsabili designati a tale scopo, trasmettendo loro qualsiasi informazione di interesse di cui siano a conoscenza.

FONTE: AUTORITA’ PER LA PROTEZIONE DEI DATI PERSONALI DELLA SPAGNA – AEPD