Controllo dell’accesso ai dati sensibili nelle aziende

Cosa sono i dati sensibili?

Frequentemente ci capita di leggere articoli di giornale, informative sulla privacy o di ascoltare podcast del settore che parlano di dati sensibili e dati particolari come se fossero intercambiabili. La domanda sorge spontanea: si tratta di sinonimi o parliamo di categorie differenti di dati?

Il Codice Privacy italiano, c.d. “Codice in materia di protezione dei dati personali” emanato con decreto legislativo 196/2003, faceva rientrare all’interno della categoria di “dati sensibili” i dati idonei a rivelare l’origine razziale od etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l’appartenenza sindacale, i dati relativi alla salute o alla vita sessuale.

Con l’introduzione del GDPR (General Data Protection Regulation, Reg. UE 679/2016), l’articolo 9, intitolato ‘Trattamento di categorie particolari di dati personali’, ha inteso includere anche i dati genetici, biometrici e quelli relativi all’orientamento sessuale. Il nuovo Regolamento amplia, quindi, la definizione di dati sensibili rinominandoli come dati “particolari”.

Alcuni esempi di dati particolari?

• I dati sanitari dei dipendenti raccolti dalle aziende, al fine di garantire la sicurezza sul posto di lavoro o la gestione delle assenze e permessi per malattia o infortuni.
• I dati biometrici per l’accesso a specifiche aree pericolose di produzione che richiedono un accesso limitato agli incaricati addetti.
• I dati particolari da cui è possibile desumere l’appartenenza sindacale per la corretta gestione delle trattenute sulle buste paga.

Quando possono essere trattati i dati particolari?

Deve premettersi che il trattamento di dati particolari comporta un rischio per la persona a cui si riferiscono, poiché un uso inappropriato di queste informazioni può portare a gravi conseguenze legali, etiche e sociali.

In via generale, il GDPR al par.1 art.9, impone un divieto di trattare dati particolari. Tuttavia, il divieto viene meno in presenza dei seguenti casi:

1. l’interessato ha prestato il proprio consenso esplicito;
2. il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale;
3. il trattamento è necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;
4. il trattamento è effettuato, nell’ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali;
5. il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato;
6. il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria;
7. il trattamento è necessario per motivi di interesse pubblico rilevante;
8. il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale;
9. il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici;
10. il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici. (FARE RIMANDO ART. 9 GDPR)

Esiste un modo per proteggere i dati particolari in azienda?

I primi passi per proteggere i dati personali iniziano con l’adozione e la diffusione al personale di policy aziendali interne. Queste policy regolano aspetti direttamente collegati ai dati personali, solo per citarne alcuni: la gestione della posta elettronica, la navigazione sul web, le modalità di archiviazione dei dati, i termini di conservazione e l’accessibilità ai dati.

È, inoltre, importante classificare i dati. Conoscere le diverse tipologie di dati personali presenti nei propri archivi cartacei o database telematici permette alle aziende di adottare protocolli di sicurezza specifici.

Il tipico sistema di classificazione dei dati si articola in quattro livelli:

• riservato (l’accesso è riservato a pochi soggetti autorizzati);
• con limitazioni (accessibile ad una categoria di soggetti più ampia di soggetti selezionati);
• uso interno (accessibile a tutti i dipendenti);
• informazioni pubbliche (accessibile a tutti).

Le aziende dovrebbero, altresì, implementare un sistema di controllo degli accessi. Per proteggere adeguatamente i dati, è essenziale disporre di un sistema di autenticazione e autorizzazione che consenta all’organizzazione di identificare gli utenti del proprio sistema informatico.

Esistono diversi modelli di controllo. Si riportano i più diffusi:

• CONTROLLO DEGLI ACCESSI DI TIPO DISCREZIONALE (DAC). Tale sistema consente al “proprietario” del file, cioè a colui che lo ha creato, di concedere l’accesso o revocare l’accesso ad altri utenti. Ad esempio, la creazione di un documento aziendale accessibile solo tramite password.
• CONTROLLO DEGLI ACCESSI VINCOLATO (MAC). L’assegnazione degli accessi è regolata da una gestione centrale che stabilisce a tutti i lavoratori di accedere unicamente ai dati e alle risorse necessarie per lo svolgimento delle proprie attività lavorative.
• CONTROLLO DEGLI ACCESSI BASATO SUI RUOLI (RBAC). L’accesso è concesso in base al ruolo aziendale ricoperto dal lavoratore, il quale può accedere ai soli dati essenziali per il ruolo che riveste (es. operaio, impiegato).
• CONTROLLO DEGLI ACCESSI BASATO SU ATTRIBUTI (ABAC). L’accesso è consentito all’utente che possiede una serie di attributi, come il ruolo, la posizione, il dispositivo utilizzato e l’ora del giorno. L’accesso viene concesso quando questi attributi sono soddisfatti.

Altre misure di sicurezza?

Le misure di sicurezza non sono mai troppe. Un efficace sistema di gestione della sicurezza informatica dovrebbe prevedere un sistema di crittografia dei dati.

Come riportato dall’Agenzia per la Cybersicurezza Nazionale (ACN) nelle LINEE GUIDA FUNZIONI CRITTOGRAFICHE, “un sistema crittografico permette di eseguire la cifratura di un messaggio in chiaro utilizzando una o più chiavi crittografiche, per ottenere un messaggio cifrato. Questa operazione deve essere invertibile, in modo che utilizzando le chiavi, sia possibile effettuare la decifratura del messaggio cifrato e riottenere il messaggio in chiaro di partenza”.

La crittografia mira non solo a garantire la confidenzialità di un messaggio, cioè a mantenere segreto il contenuto a chiunque non sia autorizzato, ma garantisce, altresì, “l’integrità, ossia la protezione di un dato, trasmesso o salvato, da modifiche accidentali o illecite; l’autenticazione, che significa confermare ai destinatari l’identità del mittente; il non ripudio, cioè non consentire all’utilizzatore di negare la paternità del dato”.

Potrebbe rivelarsi utile un sistema di policy sulle password?

Per un’adeguata protezione dei dati personali, e quindi dei “particolari”, sarebbe opportuno che le aziende creassero policy interne sulla gestione delle password dirette a esporre ai dipendenti le regole da seguire nell’utilizzo dei device aziendali. Le disposizioni più comuni utilizzate possono essere riassunte nei seguenti punti:

• Le password non devono essere condivise con nessuno. La prima caratteristica di una password è la segretezza, e cioè il fatto che non venga svelata ad altri soggetti;
• È necessario cambiare immediatamente una password se si sospetta che non sia più sicura;
• Le password devono essere lunghe almeno 8 caratteri e contenere lettere maiuscole, caratteri speciali e numeri;
• Le password non devono essere memorizzate su supporti come Post-It (sul monitor o sotto la tastiera) o agende (cartacee, posta elettronica, telefono cellulare);
• Evitare di digitare la propria password in presenza di altre persone che potrebbero vedere la tastiera, anche se sono collaboratori o dipendenti dell’azienda.

E un sistema di autenticazione a più fattori (MFA, Multi-Factor Authentication)?

Il sistema MFA aumenta significativamente la sicurezza dei sistemi rispetto ai comuni metodi di autenticazione basati solo su password, in quanto richiedono due o più elementi indipendenti per verificare l’identità dell’utente (es. password e pin). Si presenta, pertanto, come una scelta fondamentale per la protezione dei dati personali.

Altri aspetti da non sottovalutare?

Infine, è essenziale implementare un piano di formazione per i dipendenti riguardante la privacy e la sicurezza dei dati. Questo rafforzerà la protezione dei dati particolari e assicurerà la conformità alle normative vigenti.

Un programma di formazione efficace consente ai dipendenti di riconoscere e rispondere alle minacce, come phishing, malware e altre tecniche di ingegneria sociale.

Il personale, in questo modo, acquisisce migliori pratiche per la gestione delle password, l’uso sicuro dei dispositivi mobili e la protezione delle informazioni personali.

La formazione deve essere continua. Il personale deve mantenersi aggiornato sulle nuove minacce e sulle tecnologie emergenti. Questo non solo riduce il rischio di incidenti di sicurezza, ma promuove anche una cultura aziendale orientata alla protezione dei dati.

È stato osservato che i dipendenti ben istruiti tendono a rispettare le policy aziendali e a segnalare attività sospette, contribuendo così a rendere l’ambiente di lavoro più sicuro.

Pertanto, investire nella formazione dei dipendenti in materia di privacy e sicurezza dei dati è un passo fondamentale per proteggere l’integrità delle informazioni aziendali e mantenere la fiducia dei clienti e dei partner commerciali.

In un’epoca in cui le minacce informatiche sono in costante aumento, è fondamentale che ogni membro dell’organizzazione comprenda l’importanza della sicurezza dei dati e sappia come prevenire potenziali violazioni.

Esistono delle normative sul tema?

Alcuni obblighi sono contenuti in normative nazionali e internazionali, si pensi alla legge sulla cybersecurity (LEGGE 28 giugno 2024, n. 90), alla direttiva NIS2 e alla norma ISO/IEC 27001 per coloro che vi aderiscono.

Si consiglia di consultare e approfondire il tema attraverso le citate normative.

Scopri di più sul nostro blog .