Il 17 dicembre 2015 la European Data Protection Supervisor (EDPS) - istituzione che persegue, anche attraverso la predisposizione di Policy e Linee Guida, l’obiettivo di assicurare il rispetto della normativa privacy da parte delle istituzioni europee - ha pubblicato sul proprio sito internet le Linee Guida sulla protezione dei dati personali e le comunicazioni elettroniche nelle istituzioni europee e le Linee Guida sulla protezione dei dati personali nell’uso dei dispositivi mobili da parte delle istituzioni europee.

Tali documenti offrono, anche a tutte le società ed organizzazioni, importanti suggerimenti pratici per l’integrazione dei principi di protezione dei dati personali nella gestione delle email, di internet e della telefonia per scopi lavorativi.

Si riporta qui di seguito la lista delle principali raccomandazioni indicate dall’EDPS.

Comunicazioni elettroniche:

  1. LOG E MONITORAGGIO: definirne il contenuto ed il periodo di conservazione, in misura proporzionale rispetto alle esigenze di sicurezza dell’organizzazione; adottare un approccio progressivo nel monitoraggio dell’uso autorizzato dei servizi di comunicazione online;
  2. SCOPO: i dati raccolti per ragioni di sicurezza devono essere usati solo per tali scopi;
  3. ANONIMIZZAZIONE: assicurarsi che le statistiche generate sia anonime;
  4. MINIMIZZAZIONE: istruire i soggetti esterni (providers) affinché minimizzino il trattamento di dati personali;
  5. TEMPO DI CONSERVAZIONE: definire periodi di conservazione dei dati fiscali basati sul periodo di legge entro il quale le fatture possono essere contestate;
  6. REGISTRAZIONE TELEFONATE: dettagliare come e perché è necessario registrare le telefonate a linee dedicate, ed informare preliminarmente sia i chiamanti sia lo staff in merito all’eventuale registrazione;
  7. ACCESSO ALLA CASELLA DI POSTA ELETTRONICA DEL LAVORATORE: adottare misure precauzionali per ridurre al minimo tali accessi; dotarsi di una policy per gestire tali accessi; assicurarsi che le risultanze di tali accessi possano essere utilizzate in procedimenti amministrativi e disciplinari;
  8. PRINCIPI GENERALI: prima di ciascuna operazione di trattamento di dati personali, assicurarsi che gli scopi perseguiti siano specifici, espliciti e legittimi e che i dati raccolti siano proporzionali agli scopi perseguiti; definire i tempi di conservazione dei dati; informare gli interessati; garantire il diritto di accesso e rettifica;
  9. DPO: comunicare preliminarmente al data protection officer il trattamento dei dati personali; porre in essere un processo di gestione documentata del rischio che garantisca la sicurezza delle informazioni; mantenere aggiornata la documentazione e la comunicazione al DPO;
  10. CONTRATTI: inserire clausole sul trattamento dei dati nei contratti con i fornitori esterni (providers) e monitorarne il corretto adempimento.

Uso dei dispositivi mobili:

  1. DPO: coinvolgere preliminarmente il DPO su tutti gli aspetti relativi all’introduzione e all’uso di dispositivi mobili aziendali o personali utilizzati anche per fini lavorativi (c.d. Bring Your Own Device);
  2. PIA: effettuare un Privacy Impact Assessment, inteso come valutazione caso per caso di benefici e rischi connessi all’uso dei dispositivi mobili, che tenga conto in particolare di eventuali ulteriori funzionalità aggiunte ai dispositivi mobili, nonché degli impatti sulla sicurezza dell’infrastruttura IT e del rispetto dei principi generali imposti dalla normativa vigente (liceità, proporzionalità, necessarietà, tempo di conservazione, ecc.)
  3. POLICY: adottare una policy sull’uso accettabile dei dispositivi mobili per tutto il ciclo di vita dei dati;
  4. PROCESSO DI GESTIONE DEL RISCHIO: dotarsi di un processo di gestione del rischio documentato, che preveda controlli sulle misure di sicurezza dei dispositivi mobili;
  5. DATA BREACH: dotarsi di procedure interne per la corretta e tempestiva gestione delle eventuali violazioni di dati;
  6. BYOD: se il BYOD è autorizzato, sarà opportuno • valutarne i rischi • dotarsi di una specifica policy, che preveda in particolare la possibilità per l’utilizzatore interessato di ottenere la cancellazione, la rettifica e il blocco dei dati personali presenti nel device.

Fonte: https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/EDPS/PressNews/Press/2016/EDPS-2016-01-EDPS_eComms_EN.pdf