EntiOnLine
Categorie
Tutorial > Glossario-Definizioni
Tutorial > Normativa
Normativa europea e internazionale
Normativa italiana
Tutorial > Autocontrollo di conformita' > chek list
Tutorial > Modulistica-Formulari-Procedure
Modulistica Garante
Procedure-Buone prassi
Formule
Massimario > Quesiti e Faq
Accesso Civico e documentale
Albo pretorio e Trasparenza
Attivita' di trattamento
Attori interni ed esterni
Canali Social e motori di ricerca> Youtube, Facebook, Twitter, Linkedin - Google, Safari, Firefox
Certificazione e accreditamento
Cookie
Coronavirus
Data Breach
Dati Sanitari
Diritti
DPIA
Foto e Video Online
Garante
RPD
GDPR
Green-pass
Informativa
Internet e Motori di ricerca
ISTAT
Minori
Password
Phishing
Piano triennale trattamento e protezione dati
Polizia Postale e delle Comunicazioni
Pubblica amministrazione e trasparenza
Registrazione delle attivita' di trattamento
Sanzioni Amministrative
Scuola
Sicurezza informatica
Spam
Spid
Trattamento dei dati
Videosorveglianza
News
Tutorial > Formazione - Slide
Tutorial > Formazione -Video
Soggetti > Titolare autonomo
Soggetti > Contitolare
Soggetti > Titolare - Dirigenti designati - Dipendenti incaricati
Accountability
Soggetti > Servizio protezione dati - DPO
Soggetti > Responsabile del trattamento
Soggetti > Responsabile servizio protezione dati-rpd
Vigilanza DPO-RPD
Soggetti > Interessati - diritti
Diritti degli interessati
Informativa in formato elettronico e icone sul sito web
Informativa: trasparenza del trattamento
Autorita' di regolazione > Garante europeo
Giornate europee della protezione dei dati
Autorita' di controllo > Garante
Attivita' ispettiva
Linee guida e Linee guida europee
Pareri
Pareri su istanze di accesso civico - art.5, co. 7 D.Lgs. 33/2013
Provvedimenti
Provvedimenti approvazione regole deontologiche e Codici di condotta
Provvedimenti di accertamento, ordinanze ingiunzione, correttivi e sanzionatori
Pubblicazioni e Comunicati
Autorita' di indagine > Guardia di finanza - Polizia postale
Sistema di gestione rischio> Valutazione di impatto - DPIA
Sistema di gestione rischio > Attivita' di trattamento - REGISTRI
Registro attivita' di trattamento
Registro Data breach
Sistema di gestione rischio > Data Breach > Illeciti penali
Sistema gestione rischio > Attivita' di trattamento dati particolari
Sistema gestione rischio - Analisi - DESCRIZIONE SISTEMATICA
Adesione a un meccanismo di certificazione
Ambito di applicazione del trattamento
Archivi/banche dati
Categorie di destinatari
Categorie di interessati
Categorie di trattamenti - forme ordinarie di elaborazione
Categorie di trattamenti - particolari forme di elaborazione- : interconnessione e raffronti di dati-elaborazioni automatizzate
Categorie di trattamenti - particolari forme di elaborazione: comunicazione
Categorie di trattamenti - particolari forme di elaborazione: diffusione
Categorie di trattamenti - particolari forme di elaborazione: trasferimento all'estero
Categorie-tipi di dati
Cessazione trattamento: modalita' di cessazione dei dati
Cessazione trattamento: Periodo di conservazione dei dati
Cessazione trattamento: termine ultimo per la cancellazione delle diverse categorie di dati
Codici di condotta e regole deontologiche
Contesto del trattamento
Finalita' del trattamento
Fonte normativa
Interesse legittimo
Luoghi di custodia dei dati
Natura del trattamento
Opinioni interessati o loro rappresentanti
Parere di esperti
Parere RPO/RTD
Registrazione dei dati personali, dei destinatari e del periodo di conservazione dei dati personali
Sintetica descrizione del trattamento e del flusso informativo
Tipo di archivio/banca dati
Valutazione impatto sulla protezione dei dati - DPIA
Sistema di gestione rischio - Valutazione - Determinazione preliminare
1.Valutazione o assegnazione di punteggio
2.Processo decisionale automatizzato
3.Monitoraggio sistematico
4.Dati sensibili o aventi carattere altamente personale
5.Trattamento di dati su larga scala
6.Creazione di corrispondenze o combinazione di insieme di dati
7.Dati relativi a interessati vulnerabili
8.Uso innovativo o applicazioni di nuove soluzioni tecnologiche o organizzative
9.Trattamento che impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o un contratto
Criteri pertinenti in base alle linee guida
Criteri pertinenti rilevati dall'Ente
Descrizione sistematica
Motivazione assenza rischio elevato
MY PERSONAL BD > Sistema gestione rischio - Valutazione - Necessita' proporzionalita' conformita' gdrp
Linee-guida Gruppo Articolo 29
Metodologia di valutazione dei rischi
Data breach
Misure che contribuiscono ai diritti degli interessati in relazione alle finalita'
Misure che contribuiscono alla proporzionalita' e necessita' del trattamento in relazione alle finalita'
Misure previste per dimostrare la conformita' al RGPD
Valutazione rischio: sintesi
Sistema di gestione rischio > Data Breach > Illeciti amministrativi e danno erariale
Sistema di gestione rischio > Prescrizioni - raccomandazioni Garante
Sistema di gestione rischio > Revisione - Monitoraggio - Riesame
Fasi attuazione misure
Indicatori attuazione misure
Responsabile attuazione misure
Riesame e motivazione riesame
Stato attuazione misure
Sistema di gestione rischio > Minacce
RISCHI Impatti potenziali in caso di eventi fra cui accesso illegittimo, modifiche indesiderate e indisponibilita' dei dati
RISCHI Minacce che potrebbero comportare accessi illegittimi, modifiche indesiderate e indisponibilita' dei dati
RISCHI Origine/fonte dei rischi: accessi illegittimi, modifiche indesiderate e indisponibilita' dei dati
Valutazione rischio - ponderazione
Sistema gestione rischio - Trattamento - Misure di sicurezza e sicurezza informatica
AgID e sicurezza informatica
Misure di sicurezza logistiche
Misure di sicurezza organizzative
Misure di sicurezza procedurali
Misure di sicurezza tecniche informatiche, comprese le misure di ripristino in caso di data breach
Sistema di gestione rischio > Attivita' di trattamento dati personali
Attivita' fiscale e tributaria
Attivita' giudiziaria
Big data e Open data
Dati biometrici
Biometria in ambito pubblico
Dati biometrici nel rapporto di lavoro
Dati personali nel rapporto di lavoro pubblico e privato
Dati personali dei dipendenti mediante dispositivi e posta elettronica
Dati personali nella gestione del rapporto di lavoro
Dati relativi ai dipendenti tramite sistemi di geolocalizzazione
Pubblicita' e trasparenza dei dati dei lavoratori
Dati sensibili e giudiziari presso le pubbliche amministrazioni
Documentazione anagrafica e la materia elettorale
Istruzione scolastica
Previdenza e l'assistenza sociale
Recupero crediti
Sanita' e dati genetici
Trattamenti effettuati presso regioni ed enti locali
Videosorveglianza
Videosorveglianza in ambito privato
Videosorveglianza in ambito pubblico
Sistema di gestione rischio > Attivita' di trattamento - principi e base giuridica
Liceita' del trattamento
Liceita'-Consenso
Principi generali
Trasparenza del trattamento
Sistema di gestione rischio > Trasparenza - privacy - accesso civico
Sorveglianza DPO
Sorveglianza DPO > Programmazione
Sorveglianza DPO > Prescrizioni - raccomandazioni
Raccomandazioni e Prescrizioni RPD
Focus > Transizione al digitale
Focus > Intelligenza artificiale
Focus > Elezioni
Trattamento dei dati personali da parte di movimenti politici e associazioni
Trattamento dei dati personali degli eletti e degli amministratori da parte delle P.A.
Focus > Coronavirus e smart working
Focus > Censimento
Focus > Casi riportati dalla stampa
Focus > Rapporto lavoro pubblico
Focus > Giurisprudenza
Focus > Albo pretorio e amministrazione trasparente
cerca
CONSULENZA
FAQ
Pareri del consulente
STRUMENTI
Modulistica
Schemi e tabelle
Procedure
Glossario
Rassegna stampa
NORMATIVA
Normativa
Linee guida ANAC
Linee guida Garante Privacy
Principi di diritto
Documentazione
GIURISPRUDENZA
Giurisprudenza
Decisioni amministrative
Provvedimenti delle autorita'
indietro
05/03/2020 Emergenza Coronavirus - misure organizzative urgenti: sicurezza informatica, protezione dati personali e smart working

Emergenza Coronavirus: misure organizzative urgenti - misure incentivanti per il ricorso a modalità flessibili di svolgimento della prestazione lavorativa

Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

La situazione emergenziale correlata al Coronavirus rende attuale il tema dell'obbligo di tutte le amministrazioni pubbliche (art. 1, comma 2, del d. lgs. 165/2001) di attuare il ricorso a modalità flessibili di svolgimento della prestazione lavorativa (il cosiddetto lavoro agile o smart working) per prevenire il rischio di diffusione del contagio. Sul punto, il DPCM del 1 marzo 2020 (Art. 4) dispone che:

  • sull'intero territorio nazionale può essere applicata la misura della modalita' di lavoro agile, disciplinata dagli articoli da 18 a 23 della legge 22 maggio 2017, n. 81, per la durata dello stato di emergenza di cui alla deliberazione del Consiglio dei ministri 31 gennaio 2020. La misura può essere applicata dai datori di lavoro a ogni rapporto di lavoro subordinato, nel rispetto dei principi dettati dalle menzionate disposizioni, anche in assenza degli accordi individuali ivi previsti. Gli obblighi di informativa sulla sicurezza sul lavoro di cui all'art. 22 della legge 22 maggio 2017, n. 81, sono assolti in via telematica anche ricorrendo alla documentazione resa disponibile sul sito dell'Istituto nazionale assicurazione infortuni sul lavoro.

La disciplina emergenziale del DPCM del 1 marzo 2020 (Art. 4) supera la regolamentazione "ordinaria" in materia di lavoro agile o smart working di cui alle Linee guida in materia di promozione della conciliazione dei tempi di vita e di lavoro allegate alla Direttiva n. 3/2017 della funzione pubblica. Secondo la Direttiva e le Linee guida, le PA adottano avviare una fase sperimentale consentendo, entro il 2020, ad almeno il 10 per cento dei dipendenti, ove lo richiedano, di avvalersi delle nuove modalità spazio-temporali di svolgimento della prestazione lavorativa. L’adozione delle misure organizzative e il raggiungimento dell’obiettivo minimo del coinvolgimento del 10 per cento dei dipendenti di ciascuna amministrazione, costituiscono oggetto di valutazione nell'ambito dei percorsi di misurazione della performance organizzativa e individuale. La sperimentazione di nuove modalità spazio-temporali di svolgimento della prestazione lavorativa presuppone, in via generale:

1) la definizione delle caratteristiche del progetto generale di lavoro agile attraverso un Piano o atto interno (che contenga a titolo esemplificativo indicazioni in merito alla durata, rientri settimanali, fasce di contattabilità, utilizzo degli strumenti tecnologici, criteri di scelta in caso di richieste superiori al numero disponibile; sicurezza sul lavoro ecc.)

2) la definizione degli obiettivi che si intendono raggiungere nel rispetto di quelli prefissati ex art. 14 L.124/2015

3) la verifica degli spazi e della dotazione tecnologica: valorizzazione e razionalizzazione.

Sul tema si inserisce ora la recentissima Circolare n.1 del 26 febbraio 2020 della funzione pubblica, la quale ribadisce che la progressiva digitalizzazione della società contemporanea, le sfide che sorgono a seguito dei cambiamenti sociali e demografici o, come di recente, da situazioni emergenziali, rendono necessario un ripensamento generale delle modalità di svolgimento della prestazione lavorativa anche in termini di elasticità e flessibilità, allo scopo di:

  • renderla più adeguata alla accresciuta complessità del contesto generale in cui essa si inserisce,
  • aumentarne l’efficacia, promuovere e conseguire effetti positivi sul fronte della conciliazione dei tempi di vita e di lavoro dei dipendenti,
  • favorire il benessere organizzativo e assicurare l’esercizio dei diritti delle lavoratrici e dei lavoratori, contribuendo, così, al miglioramento della qualità dei servizi pubblici.

Precisa la funzione pubblica, con la Circolare n.1 del 2020, che l’attuale quadro normativo già interviene sulla materia. In particolare, la Direttiva 2017 precisa che, per le nuove modalità di organizzazione del lavoro pubblico, assumono rilievo le politiche di ciascuna amministrazione in merito a:

  • valorizzazione delle risorse umane e razionalizzazione delle risorse strumentali disponibili nell’ottica di una maggiore produttività ed efficienza;
  • responsabilizzazione del personale dirigente e non;
  • riprogettazione dello spazio di lavoro;
  • promozione e più ampia diffusione dell’utilizzo delle tecnologie digitali;
  • rafforzamento dei sistemi di misurazione e valutazione delle performance;
  • agevolazione della conciliazione dei tempi di vita e di lavoro.

La Circolare n.1 del 2020 fornisce alcuni chiarimenti sulle modalità di implementazione delle misure normative e sugli strumenti, anche informatici, a cui le pubbliche amministrazioni possono ricorrere per incentivare il ricorso a modalità più adeguate e flessibili di svolgimento della prestazione lavorativa.

Tra le misure e gli strumenti, anche informatici, a cui le pubbliche amministrazioni, nell’esercizio dei poteri datoriali e della propria autonomia organizzativa, possono ricorrere per incentivare l’utilizzo di modalità flessibili di svolgimento a distanza della prestazione lavorativa, la Circolare evidenzia l’importanza:

  • del ricorso, in via prioritaria, al lavoro agile o smart working come forma più evoluta anche di flessibilità di svolgimento della prestazione lavorativa, in un’ottica di progressivo superamento del telelavoro;
  • dell’utilizzo di soluzioni “cloud per agevolare l’accesso condiviso a dati, informazioni e documenti;
  • del ricorso a strumenti per la partecipazione da remoto a riunioni e incontri di lavoro (sistemi di videoconferenza e call conference);
  • del ricorso alle modalità flessibili di svolgimento della prestazione lavorativa anche nei casi in cui il dipendente si renda disponibile ad utilizzare propri dispositivi, a fronte dell’indisponibilità o insufficienza di dotazione informatica da parte dell’amministrazione, garantendo adeguati livelli di sicurezza e protezione della rete secondo le esigenze e le modalità definite dalle singole pubbliche amministrazioni;
  • dell’attivazione di un sistema bilanciato di reportistica interna ai fini dell’ottimizzazione della produttività anche in un’ottica di progressiva integrazione con il sistema di misurazione e valutazione della performance.

Al delineato quadro di strumenti giuridici, va ulteriormente aggiunta lo strumento della transizione alla modalità digitale di gestione dell'attività amministrativa conformemente alle disposizioni del CAD e del Piano Triennale per l'informatica nella P.A., con:

  • ricorso alle piattaforme telematiche, in cloud, per lo svolgimento dell'attività amministrativa

PRESCRIZIONI DEL SERVIZIO DPO-RPD

L'insieme dei descritti processi di ricorso al lavoro agile o smart working e di trasizione al digitale, richiedono preliminarmente di definire le misure da adottare ai fini del trattamento e della protezione dei dati personali dei soggetti interessati dalle citate misure.

Ciò premesso, al fine di supportare l'amministrazione nell'affrontare tali innovative questioni, il Servizio di Protezione dei dati DPO, nella persona del Responsabile del Servizio, fornisce le seguenti INIZIALI PRESCRIZIONI di massima per la salvaguardia dei dati e le misure di sicurezza informatica, con rinvio a successive integrazioni, tenuto conto dell'attuale situazione emergenziale.

L'esecuzione del rapporto di lavoro subordinato basata su forme di organizzazione per fasi, cicli e obiettivi e senza precisi vincoli di orario o di luogo di lavoro, con l'utilizzo di strumenti tecnologici per lo svolgimento dell'attivita' lavorativa, implica che Il datore di lavoro pubblico ricorra all'adozione e utilizzazione di soluzioni “cloud” per agevolare l’accesso condiviso a dati, informazioni e documenti, anche in attuazione del principio "cloud first", e ricorra a strumenti per la partecipazione da remoto a riunioni e incontri di lavoro (sistemi di videoconferenza e call conference). In tale contesto "agile" e "smart", il medesimo datore di lavoro:

  • e' responsabile della sicurezza e del buon funzionamento degli strumenti tecnologici assegnati al lavoratore per lo svolgimento dell'attivita' lavorativa a distanza;
  • garantisce adeguati livelli di sicurezza e protezione della rete nei casi in cui il dipendente si renda disponibile ad utilizzare propri dispositivi, a fronte dell’indisponibilità o insufficienza di dotazione informatica da parte dell’amministrazione;
  • garantisce che il potere di controllo del sulla prestazione resa dal lavoratore all'esterno dei locali aziendali venga esercitato nel rispetto di quanto disposto dall'articolo 4 della legge 20 maggio 1970, n. 300.

Salvo le disposizioni derogatorie del DPCM 1 marzo 2020 (Art. 4), va garantita:

- la scrupolosa osservanza delle Linee guida in materia di promozione della conciliazione dei tempi di vita e di lavoro a cui si rinvia, approvate con la direttiva n. 3/2017 (http://www.funzionepubblica.gov.it/lavoro-agile-linee-guida);

- utilizzo servizi IaaS, PaaS e SaaS qualificati da AgID e pubblicati nel Cloud Marketplace per condivisione documenti ed e-mail in cloud. L'elenco dei principali servizi, fruibili gratuitamento per le c.d. zone rosse, è disponibile al link https://solidarietadigitale.agid.gov.it/#/;

- la scrupolosa osservanza delle misure minime definite da Agid, con un livello di attuazione adeguato (possibilmente standard o avanzato) e la presenza dei seguenti requisiti di sicurezza informatica:

  • la gestione dei profili di accesso utenti e privilegi. Occorre prevedere differenti profili di utenza con adeguati privilegi (a. amministratore della sicurezza; b. amministratore di sistema; c. operatore di sistema (utente unità organizzativa); d. auditor di sistema). Tali sistemi devono essere in grado di associare e assegnare i profili definiti agli utenti che vi devono accedere
  • l'autenticazione per l’utilizzo dei servizi.

In ogni caso, le diverse modalità di autenticazione sopra elencate devono essere modulate in relazione alle funzioni o ai dati che devono essere resi accessibili.

  • Sicurezza dei dispositivi e applicazioni. i dispositivi e le applicazioni, incluse le applicazioni per dispositivi mobili e le applicazioni web, devono rispettare principi e regole di sicurezza stabilite e documentate dall'amministrazione. In particolare, le applicazioni devono essere adeguatamente protette contro le vulnerabilità e gli attacchi, impedendo: a. Code injection, tramite le domande di SQL (Structured Query Language), LDAP (Lightweight Directory Access Protocol) o XPath (XML Path Language), comandi del sistema operativo (OS) e gli argomenti di program change; b. XSS (Cross-site scripting) Inoltre i sistemi devono avere un’autenticazione forte e gestione delle sessioni, garantendo almeno che: c. le credenziali siano sempre protette e conservate utilizzando sia tecniche di controllo dell'integrità dei dati (hashing) sia la crittografia dei dati; d. le credenziali non possano essere individuate o modificate da soggetti diversi dal titolare attraverso le funzioni di gestione account, in particolare attraverso la creazione di un account, la modifica della password, il recupero della password o di identificativi di sessione fragili; e. identificativi di sessione ed i dati di sessione non siano esposti nel Uniform resource Locator (URL); f. gli identificativi di sessione non siano vulnerabili ad attacchi di sessione; g. gli identificativi di sessione abbiano un limite di tempo di funzionamento, assicurando il rilascio della sessione dell’utente sul sistema; h. le password, gli identificativi di accesso e altre credenziali vengano inviate solo tramite TLS (Transport layer Security), che dovrà essere usato nell’ultima versione disponibile. Inoltre: i. tutti gli elementi software devono poter essere aggiornabili, nella misura necessaria a limitare eventuali vulnerabilità, tra cui Sistemi Operativi, server web e il server di applicazioni, il sistema di gestione di database (DBMS), le applicazioni e tutte le librerie di codice; j. i servizi e processi non necessari al funzionamento di OS, server web e Application server, devono essere disattivati, rimossi o non installati; k. le password degli account di default devono esser modificate o disabilitate;

- formazione sulla sicurezza informatica nel trattamento a distanza dei dati

è necessario rendere consapevoli i lavoratori in ordine ai rischi derivanti sulla sicurezza dal trattamento con i dispositivi mobili o via Web.È fondamentale una formazione di primo livello da garantire a tutti lavoratori.

- divieto di controllo del sulla prestazione resa dal lavoratore all'esterno dei locali aziendali (art. 4 della legge 20 maggio 1970, n. 300) salvo utilizzo all'esame dei log di accesso e utilizzo di un sistema bilanciato di reportistica (report, chek list, etc.).

Categorie
Raccomandazioni e Prescrizioni RPD
Focus > Coronavirus e smart working
Parole chiave
Sicurezza informatica
Coronavirus
Smart working
Banca dati

Copyright © Entionline by Maggioli Spa - P.IVA 02066400405. Tutti i diritti riservati. Disclaimer - informativa privacy - Cookies policy

credits