10 Settembre 2019 | Frida Del Din
Dati Personali, Sicurezza e Privacy per Nomadi Digitali e Lavoratori da Remoto
La corretta gestione dei dati personali, la sicurezza e la tutela della privacy sono aspetti fondamentali ai quali bisogna prestare sempre molta attenzione, soprattutto quando si lavora da remoto in giro per il mondo. Ecco alcuni consigli che possono esserti utili.
Businessman use Laptop with interface of padlock and cloud computing technology © Di laymanzoom/Shutterstock
Lavorare da remoto è il sogno di molti, che desiderano viaggiare per il mondo o lavorare da casa stando accanto alla propria famiglia, gestendo i propri tempi ed i propri movimenti in completa autonomia.
L’estrema volatilità del lavoro, grazie alla diffusione degli strumenti tecnologici, comporta una completa smaterializzazione dei confini tra gli ambienti (casa – lavoro – tempo libero).
L’immagine più diffusa del Nomade Digitale è quella di un individuo singolo, che si sposta nel mondo con il proprio PC che contiene tutto il suo ufficio e tutti i dati di cui ha bisogno per lavorare.
E’ allora molto importante chiedersi come debba avvenire la corretta gestione dei dati personali trattati da chi non ha una sede fissa, ma si sposta periodicamente in ogni angolo del pianeta.
GDPR a chi si Applica
GDPR (general data protection regulation) concept. © Di Jirsak/Shutterstock
La grandissima novità introdotta dal GDPR (General Data Protection Regulation) è quella di essere applicabile non solo per i freelance o le aziende che hanno la propria sede all’interno dell’Unione Europea, ma anche per realtà che hanno sede fuori dall’UE, ma che trattano dati personali di interessati che si trovano nell’Unione.
Il trattamento dei dati finalizzato all’offerta di beni o la prestazione di servizi, rilevante ai fini dell’applicazione di questa normativa, prescinde dal fatto che tale trattamento sia effettuato a titolo oneroso o gratuito. Quindi anche la mera offerta di una risorsa gratuita comporta la piena applicazione di questo regolamento.
Il GDPR si applica al trattamento interamente o parzialmente automatizzato di dati personali contenuti in un archivio (archivio inteso in senso ampio).
Quindi anche vivendo ed avendo la residenza fiscale al di fuori dell’Unione Europea, occorre osservare le norme del GDPR per trattare dati personali di interessati che si trovano nell’UE.
GDPR = Protezione dei Dati
Businessman and businesswoman are protected by a shield from attack. © Di Krol/Shutterstock
Tutto l’impianto di questo corposo regolamento ruota attorno al concetto di protezione dei dati. I dati personali, a maggior ragione in una società tecnologica come la nostra, assurgono al rango dei diritti fondamentali della persona umana.
Il dato personale è, decisamente, un frammento che rappresenta quella persona determinata, la sua reputazione, le sue scelte e la sua individualità.
Scoprire di essere stati profilati senza il nostro consenso, di essere tempestati di spam nella nostra casella di posta elettronica, o peggio che le nostre informazioni sono state rubate e utilizzate in modo illecito o pubblicate indiscriminatamente sul web, sono spiacevoli episodi che noi tutti non vorremmo mai vivere.
La presenza dei nostri dati online ci rende più vulnerabili, ecco perché questo regolamento è intervenuto per cercare di “dare un giro di vite” a tanti abusi ed illeciti.
Probabilmente starai pensando che sia troppo tardi, ormai i nostri dati si trovano ovunque in rete, perchè noi per primi, inconsapevolmente, li abbiamo ceduti negli ultimi 15 anni.
Però è così che funziona, solo quando arrivano i problemi e si comincia a chiedere giustizia, prima arrivano le sentenze dei giudici che cercano di risolvere il caso concreto e, poi, a distanza di tempo (che dipende molto dagli equilibri politici che quel tema tocca) arriva la legge, che mette paletti e limitazioni.
Quindi, per non dilungarmi troppo su questo tema, il concetto fondamentale è che chi tratta dati personali altrui lo deve fare non solo nel massimo rispetto, ma anche nella massima protezione degli stessi. Vediamo come
Titolare e Responsabile
Professional IT Engineers Working in System Control Center Full of Monitors and Servers © Di Gorodenkoff/Shutterstock
Le due figure sono diverse e saperle distinguere è molto importante per capire quale grado di responsabilità spetta all’uno e all’altro.
Il Titolare (Data Controller) è colui che determina le finalità e i mezzi di trattamento dei dati personali. Quindi è colui che decide perché e come saranno trattati i dati personali.
- Esempio: un’assistente virtuale viene contattata da un blogger che gli chiede di svolgere alcuni compiti per suoi conto. I dati personali del blogger (suo cliente) saranno trattati con le modalità e le finalità che deciderà la nostra assistente virtuale che, nel preparare il contratto di incarico e l’informativa privacy, deciderà e scriverà tutte le informazioni relative al trattamento di quei dati personali.
Il Responsabile (Data Processor) invece è colui che tratta dati personali per conto del titolare del trattamento.
- Esempio: sempre la nostra assistente virtuale, una volta che comincia a lavorare per il blogger, se nei suoi compiti è compresa la gestione della casella E-mail o della lista E-mail del blogger, naturalmente consulterà i dati personali dei followers di quel blogger. Quindi, per questi dati personali, non dovrà inviare un’informativa a tutti, ma dovrà ricevere una designazione a responsabile del trattamento, contenente delle regole ben precise su come potrà (o non potrà) gestire quei dati personali)
Naturalmente il Titolare avrà responsabilità più ampie rispetto al Responsabile, anche se quest’ultimo potrà essere considerato pienamente responsabile di azioni dannose poste in essere esclusivamente da questi.
Fatta questa indispensabile distinzione, si deducono due importanti conclusioni:
- Se non c’è uno specifico atto di designazione a responsabile del trattamento e si trattano dei dati di terzi senza una valida “autorizzazione”, fatta in base alla legge, si rischia di assurgere a titolare del trattamento di dati illecitamente acquisiti
- Se viaggi e, quindi, porti con te attorno al mondo i dati personali, è bene specificarlo sia nella tua informativa, sia prima di firmare il contratto.
Smart Working Subordinato
Woman working on her laptop in coffee shop © Di Dejan Dundjerski /Shutterstock
Nel caso del dipendente che lavora, totalmente o parzialmente in remoto, la questione è diversa. Egli non sarà un responsabile ma un semplice incaricato del datore di lavoro, che manterrà ogni responsabilità in ordine al trattamento dei dati personali.
Ovviamente anche qui, ai fini disciplinari ed anche di accountability, sarà opportuno fornire al lavoratore una Policy aziendale specifica per il trattamento dei dati personali effettuati al di fuori dei locali aziendali, in modo da gestire il trattamento secondo le direttive e le cautele indicate dal titolare del trattamento.
Misure di Sicurezza
Blue chip manager is unlocking a virtual locking mechanism to access shared cloud resources © Di LeoWolfert /Shutterstock
Quando si parla di Privacy e GDPR generalmente si pensa alla Privacy Policy da far firmare e poco altro.
In realtà tutto l’apparato documentale e burocratico ha poco senso se non si fa un’attenta riflessione sull’aspetto delle misure di sicurezza.
Come abbiamo visto poco sopra l’obiettivo primario del GDPR è quello di favorire la circolazione dei dati personali in modo completamente sicuro, favorendone la protezione.
Quindi l’aspetto sicurezza è il primo al quale bisogna pensare, soprattutto quando si viaggia con un computer che contiene tutto il nostro lavoro (e i dati delle persone).
Ecco, allora, alcune cose alle quali fare attenzione
Password
Calendar with words Time to change password © Di designer491 /Shutterstock
Ancora molti conservano gelosamente la stessa password da anni ed anni ma questo atteggiamento è molto pericoloso, soprattutto oggi che con i sistemi computazionali disponibili e gli Hacker-Robot, riescono a scovare le password in tempi sempre più rapidi.
Quindi le password devono essere molto complesse (esistono anche dei software che le generano e le memorizzano per noi) e soprattutto devono essere diverse per ogni piattaforma o servizio utilizzato.
Usa password lunghe (almeno 8 caratteri) con lettere, numeri e caratteri speciali, per renderle più sicure possibili.
Mai usare la stessa password per due servizi diversi o, peggio, per tutti i servizi che utilizzi.
Segnati in agenda, almeno ogni tre mesi, di cambiare tutte le tue password.
Cripta le Cartelle “Sensibili” o l’Intero Hard Disk
Protection network security computer and safe your data concept © Di Monster Ztudio /Shutterstock
Un altro sistema di sicurezza è quello di criptare i contenuti per renderli illeggibili.
Non basta avere impostato una password per accedere al tuo profilo utente del PC, perché basta collegare il tuo pc ad un altro PC per bypassare completamente la password e leggere in chiaro tutte le tua cartelle.
La criptazione, invece, rende completamente illeggibile il contenuto delle tue cartelle o del tuo hard disk e, quindi, se ti rubano il computer almeno sei sicuro che non potranno leggere nulla del suo prezioso contenuto.
Backup
Backup technology concept. © Di Alexander Supertramp /Shutterstock
Anche la legge sulla privacy richiede il periodico backup dei dati, questo perché gli stessi devono essere sempre disponibili per soddisfare eventuali richieste degli interessati.
Quindi la perdita dei dati non è solo un danno alla tua attività, ma rappresenta anche un pregiudizio per gli interessati i cui dati sono stati irrimediabilmente persi.
Quindi lavorando in movimento, in particolare, non puoi prescindere dalla scelta di un backup anche in Cloud, avendo cura di scegliere un fornitore che assicuri sui dati tutte le tutele previste dalle normative europee.
Passaggio Frontiere
Empty border crossing at Ivanica between Bosnia and Herzegovina and Croatia © Di Kirk Fisher/Shutterstock
Questo tema è molto delicato, perché è risaputo che la polizia di frontiera potrebbe procedere ad ispezioni e chiederci di accendere il dispositivo e controllare o scaricare dei dati, in nome delle politiche di sicurezza nazionale.
Se viaggi per turismo, la cosa migliore da fare è lasciare a casa i dispositivi contenenti dati personali altrui. Se, però, sei un nomade digitale che fa del viaggio il suo stile di vita e di lavoro, non puoi certo farne a meno.
Quindi la cosa migliore da fare, a protezione e tutela dei dati personali è, innanzitutto, quello di spegnere il computer e tutti i dispositivi elettronici prima di attraversare la frontiera.
Se proprio dovesse capitare che ti chiedano di accenderli, l’ideale sarebbe avere tutti i dati salvati in cloud, senza avere nulla in locale. Ad esempio negli Stati Uniti la polizia di frontiera può obbligarti a sbloccare il PC per i controlli, ma non possono chiederti legittimamente le password per accedere ai Cloud.
Prima di visitare un nuovo Paese extra UE, è bene raccogliere qualche informazioni in più in ordine a questi controlli ed, eventualmente, ad altre forme di controllo che possono sussistere all’interno del Paese, semplicemente connettendosi ad una rete locale, in modo da poter mettere in atto per tempo tutte le cautele necessarie per mantenere protetti i dati personali che tratti per lavoro.
Se desideri ricevere una consulenza per un contratto o per capire cosa fare per un corretto adeguamento Privacy, segui questo link: Consulenza Legale Digitale – Inserisci il promo code “SRAWMYM” al momento dell’acquisto per ottenere uno sconto di 20,00€ riservato alla Community dei Nomadi Digitali
Foto credit: Shutterstock
- Normative e Contratti: Tra Smart Working e le Nuove Frontiere del Lavoro Freelance
- Cosa Devi Verificare Prima di Firmare Un Contratto di Lavoro da Remoto
- Smart Working: la Normativa Contrattuale del Lavoro Agile in Italia
- La Guida Fiscale per il Nomade Digitale