In Italia, le imprese sono chiamate a rispondere alle richieste del DL 196/03 per la sicurezza aziendale e nel contempo affrontare la questione della tutela della Privacy degli utenti. I responsabili si ritrovano così a dover affrontare una situazione per certi versi paradossale.
Se è noto che la maggior parte delle PMI e la quasi totalità delle grandi imprese è dotata di strumenti informatici per regolare l’accesso a Internet e prevenire azioni di tipo illegale che potrebbero compromettere la sicurezza aziendale, meno noto è che questi strumenti registrano puntualmente tutti gli accessi e le informazioni personali degli utenti.
Proprio come una telecamera puntata alle spalle dei dipendenti nel corso dell’intera giornata lavorativa, questi strumenti registrano file caratterizzati da una possibilità di conservazione e di consultazione illimitata.
Il paradosso privacy-sicurezza aziendale
Se da un lato queste misure protettive sono volte a contrastare fenomeni illegali e che potrebbero compromettere la sicurezza dell’azienda, dall’altro lato registrano dati personali anche di natura sensibile.
I dipendenti sono così costantemente controllati attraverso l’uso di report forniti dagli strumenti di Content Security esistenti che, violando la Privacy dei lavoratori, raccolgono puntualmente i tracciati della navigazione utente per utente, sito per sito, in file conservati nel tempo e consultabili da chiunque.
Sebbene questo tipo di informazioni non possa essere utilizzato davanti ad un Giudice quale prova di un eventuale illecito, è altrettanto vero che permane uno spinoso paradosso per la convivenza di privacy e sicurezza aziendale, poiché queste informazioni sono a disposizione di chiunque e possono dare una precisa idea della sfera privata di un dipendente.
Per rispondere alle richieste del DL 196/03 in materia di protezione dei dati personali, le aziende sono chiamate a raccogliere i log comprovanti gli accessi degli amministratori di sistema, al fine di garantire la sicurezza dell’impresa e per contrastare attività criminali come il download di materiale pedopornografico, o ancora accesso a siti di social networking o peer-to-peer che comprometterebbero la sicurezza e l’efficienza aziendale.
Per questo, la soluzione migliore è quella in grado di garantire una risposta a entrambe le necessità: offrire alle aziende tutte le informazioni utili ad identificare l’autore di un illecito commesso sul Web, ma che al contempo tuteli la Privacy degli utenti sulla rete.
Più nello specifico, significa potere fornire alle aziende prova certa circa l’autore di un illecito – utilizzando soluzioni di security dedicate – solo nel caso in cui questo abbia comportato l’intervento di Autorità quali Polizia Postale, Guardia di Finanza o Magistratura, nel pieno rispetto della Privacy.
Il punto di vista degli utenti
In questo modo, per quanto riguarda gli utenti, l’utilizzo di Internet sarà autoregolamentato dalla consapevolezza da parte dei lavoratori, opportunamente informati, che a fronte di gravi irregolarità potranno essere individualmente identificati dalle Autorità competenti. Nel contempo, sapranno di lavorare in un ambiente che tutela i propri dati sensibili, che non saranno più a disposizione di chiunque.
Il punto di vista dell’azienda
Per quanto concerne l’azienda, si potrà disporre di informazioni che emergeranno esclusivamente nel caso in cui sia a repentaglio la sicurezza, ovvero qualora l’impresa venisse chiamata a rispondere penalmente di illeciti riconducibili ai propri sistemi informatici, che possono avvenire ad esempio tramite un semplice download da parte di un dipendente.
*Country Manager GFI Software
- Privacy ed e-mail aziendale, una guida per capire
- Privacy dei dati, regole più stringenti dalla UE
- Pirateria software, l’amministratore delegato risponde penalmente
- Direttiva sulla privacy, le aziende italiane sono pronte
- Privacy e marketing, istruzioni per l’uso
- L’amministratore di sistema secondo il Garante della Privacy
