Compliance privacy dell’azienda messa a rischio dai propri dipendenti?

L’accesso da parte dei dipendenti ai dati dei clienti deve essere soggetto a stringenti controlli e limitazioni, altrimenti l’azienda può essere responsabile per le loro violazioni secondo il Garante per il trattamento dei dati personali.

La decisione del Garante sull’accesso dei dipendenti ai dati dei clienti

Un individuo aveva depositato un ricorso al Garante in merito alla violazione della propria privacy con riferimento all’accesso illegale alle transazioni del proprio conto corrente bancario. Infatti, un elenco delle transazioni del conto bancario del ricorrente era stato presentato in un procedimento giudiziario dal convenuto, il cui coniuge lavorava per la stessa banca dove l’individuo deteneva un conto bancario.

La banca ha negato inizialmente qualsiasi accesso al conto bancario da parte del proprio dipendente, sostenendo che i dipendenti di ogni filiale possono accedere solo ai conti bancari dei clienti della propria filiale, mentre il ricorrente aveva un conto bancario con una diversa filiale. Tuttavia, in seguito la banca ha riconosciuto tale accesso avvenuto 5 anni prima.

Sulla base di tali circostanze, il Garante ha ritenuto che:

  • il trattamento dei dati personali del cliente effettuato dalla banca tramite il proprio dipendente fosse stato illegittimo, poiché il dipendente aveva effettuato un numero di accessi al conto bancario del richiedente senza un valido motivo da una filiale diversa rispetto a quella in cui il ricorrente deteneva il conto;
  • la banca avrebbe dovuto verificare la possibilità di adottare misure ulteriori e più adeguate al fine di verificare la legittimità degli accessi ai dati personali eseguiti dai propri dipendenti e fornire un training adeguato rispetto alle istruzioni fornite.

Proteggete adeguatamente i dati dei clienti dai vostri dipendenti?

Stiamo eseguendo un notevole numero di audit su aziende rispetto ai requisiti di cui al Regolamento europeo sul trattamento dei dati personali (GDPR). Lo scenario più frequente è il seguente:

  1. ci sono diversi profili di accesso da parte dei dipendenti ai dati dei clienti, nonché ai dati dei dipendenti, ma i database a cui ogni dipendente può accedere sono determinati dal dirigente a cui riportano. Ciò ha la conseguenza che non esistono criteri oggettivi di identificazione dei profili di accesso e non esiste un soggetto che controlli l’appropriata definizione dei profili;
  2. un numero elevato di dipendenti ha accesso a una grande quantità di dati dei clienti, in quanto considera tale accesso necessario per la propria attività lavorativa, anche se esistono banche dati a cui alcuni dipendenti hanno accesso mai o quasi mai, rendendo inevitabilmente errata tale valutazione;
  3. i file di log vengono registrati, ma nella maggior parte dei casi si riferiscono unicamente al login e al logout e alle modifiche alle componenti software, con la possibilità che in alcuni casi gli amministratori di sistema e gli sviluppatori eliminino anche i file di log e senza che avvenga la registrazione dei file di log relativi all’attività svolta, una volta eseguito il login nel sistema;
  4. i sistemi volti a verificare accessi abusivi o sospetti alle banche dati sono attuati solo dalle banche sulla base degli obblighi imposti dal Garante in passato, mentre le finanziarie, le compagnie assicurative e in generale le altre società che gestiscono grandi banche dati di clienti non dispongono di tali tecnologie, anche se alcune società hanno sistemi che bloccano l’invio e/o la stampa di documenti contenenti dati di clienti o informazioni finanziarie all’esterno della società.

La mancata attuazione delle misure sopra indicate rappresenta un problema rilevante, se non è possibile dimostrare in altro modo che le misure di sicurezza adottate sono adeguate a impedire un uso illegittimo dei dati personali, perché sono stati implementate ulteriori diverse misure di sicurezza.

Inoltre, l’adozione proprio di misure volte a monitorare potenziali comportamenti illeciti da parte dei dipendenti potrebbe generare problemi di conformità con la normativa privacy. Infatti, il Gruppo di Lavoro dell’articolo 29 che comprende tutti i Garanti privacy europei ha adottato di recente una posizione conservatrice in relazione all’utilizzo delle tecnologie sul luogo di lavoro, limitandone l’utilizzo e richiedendo quantomeno l’esecuzione di un c.d. privacy impact assessment.

In tale contesto, sembra quantomeno insolito che, per poter rispettare la normativa privacy sia necessario adottare misure che potrebbero mettere a rischio la privacy dei dipendenti, qualora l’invasività delle stesse sulla privacy dei dipendenti non fosse adeguatamente valutata. Ma questo è il risultato del Regolamento europeo sul trattamento dei dati personali (GDPR) che purtroppo si basa su principi spesso troppo ampi.

Il puzzle del GDPR sta diventando esponenzialmente complesso e maggio 2018, quando diventerà vincolante, non è più così lontano. Le aziende devono prepararsi e hanno bisogno di farlo ora.

Facebook Comments

LEAVE A REPLY

Please enter your comment!
Please enter your name here