Stefano Gazzella : 18 Agosto 2022 08:00
Autore: Stefano Gazzella
Quando si analizza il rischio derivante dal comportamento degli operatori, una delle fonti da computare riguarda comportamenti sleali o dolosi e per l’effetto conduce alle necessità di dare definizione a dei sistemi deputati al monitoraggio dei “comportamenti a rischio” come misura preventiva.
Ovviamente, nell’ipotesi di violazione di sicurezza tali sistemi possono agevolare l’attività di analisi e l’individuazione degli eventuali responsabili interni o esterni all’organizzazione.
Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)
Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure se solamente un curioso, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Ma fino a che punto è possibile svolgere queste attività, e soprattutto quali sono i limiti legali di cui si deve tenere conto per queste attività di prevenzione e rilevazione di comportamenti non conformi ai disciplinari d’impiego o – più in generale – per accertare la fedeltà dei dipendenti?
Secondo una falsa narrazione, la privacy del lavoratore sarebbe un ostacolo a qualsiasi attività di controllo soprattutto se svolta attraverso dei sistemi Nex-Gen.
In realtà, ogni attività che possa comportare il controllo a distanza del lavoratore deve seguire le prescrizioni di cui all’art. 4 L. 300/1970 (Statuto dei lavoratori), svolgersi secondo il criterio di proporzionalità e rispettare la disciplina in materia di protezione dei dati personali.
Ciò comporta pertanto non un divieto o un impedimento, bensì una condizione affinché tali controlli possano svolgersi evitando ad esempio che assumano un carattere eccessivo ed illimitato per profondità, estensione o persistenza.
L’obbligo che comunemente ricorre è lo svolgimento di una valutazione d’impatto privacy, dal momento che si riscontra l’ipotesi richiamata dall’elenco di trattamenti di cui all’art. 35.4 GDPR:
Trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti
Ed è proprio in sede di svolgimento di valutazione d’impatto che possono essere verificate – anche attraverso consultazione del DPO, se presente – adeguatezza, proporzionalità e venire rendicontato il raggiungimento di quell’equilibrio fra tutela del lavoratore e tutela del patrimonio aziendale richiesto dalla normativa.
Inoltre, non solo è possibile verificare l’utilizzo accettabile delle strumentazioni informatiche senza trovare alcun ostacolo nella privacy ma al più una regolamentazione circa le modalità operative, ma è lo stesso principio di integrità e riservatezza del GDPR a prevedere che il titolare del trattamento debba adottare misure tali da:
“garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali”.
E dunque, la mancata previsione di un sistema per il monitoraggio delle anomalie e dei comportamenti a rischio può costituire – come spesso costituisce – un inadempimento sul profilo della sicurezza dei trattamenti (art. 32 GDPR).
Ritenere che l’impiegato infedele possa farsi scudo con la privacy e per l’effetto rinunciare all’adozione di misure coerenti con l’analisi delle minacce e lo stato dell’arte significa – in pratica – accettare di esporre gli interessati a determinati rischi pur in presenza di misure di trattamento possibili. Con tutte le conseguenze legali di carattere risarcitorio e sanzionatorio, soprattutto in caso di data breach.
Nella giornata di oggi, la banda di criminali informatici di FUNKSEC rivendica all’interno del proprio Data Leak Site (DLS) un attacco informatico all’università italiana di Modena ...
L’attacco informatico a X, il social network di Elon Musk, ha scatenato una vera e propria caccia ai responsabili. Dopo le dichiarazioni dello stesso Musk, che ha attribuito l’attacco a ...
Le reti wireless IEEE 802.11, meglio note come Wi-Fi, sono il cuore pulsante della connettività moderna. Da soluzione di nicchia per uso domestico a pilastro tecnologico per l’Internet del...
X, la piattaforma di social media precedentemente nota come Twitter, nella giornata di oggi è rimasta offline per diverso tempo. Secondo Downdetector.com, X ha riscontrato per la prima volta...
Nelle ricognizioni nel mondo dell’underground e dei gruppi criminali svolte dal laboratorio di intelligence delle minacce DarkLab di Red Hot Cyber, ci siamo imbattuti all’interno di un D...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006