Scrivere un regolamento informatico per disciplinare l’impiego delle risorse informatiche aziendali rappresenta una buona misura organizzativa di sicurezza secondo le indicazioni del GDPR. L’importante, però, è che il documento non rimanga soltanto nel mondo delle idee e delle buone intenzioni. Sin dal momento della sua ideazione necessita infatti di una corretta “messa a terra”, altrimenti rischia di essere un pericoloso esempio di paper compliance.
Sì, pericoloso dal momento che il più delle volte ingenera l’erronea convinzione di aver reso sicura la propria organizzazione facendo firmare qualche documento “per ricevuta e presa visione”. Documento che è ricolmo di intimazioni rese con formule di stile e che trasuda un legalese fine a sé stesso, erede di un qualche copia-e-incolla palesemente scollegato dal contesto organizzativo.
E tutto questo, unito a molto altro che è per lo più già noto nelle worst practices, comporta l’effetto di confondere gli operatori. E quanto più ci si allontana dalla chiarezza, ecco che il livello di rischio collegato agli operatori si innalza. O peggio: diventa ignoto perché semplicemente non ci si cura più di svolgere un’analisi e valutazione.
Un esempio emblematico? Utilizzare una formula del tipo:
“Tutti gli operatori sono tenuti a rispettare la Legge nell’impiego della strumentazione aziendale”
non è di alcuna efficacia né utilità. Neanche per la gestione del rapporto di lavoro, dal momento che la violazione di una norma imperativa rende già possibile l’esercizio del potere disciplinare. Insomma: è più inutile e controproducente di quel disclaimer privacy che vediamo nelle firme email.
Bisogna ragionare in modo concreto. E mettersi in testa un concetto di base: nessun regolamento, per quanto ben scritto e conforme alle best practices, consente in alcun modo di prescindere dalle attività di monitoraggio e controllo. Soprattutto quando si gioca nel campo della sicurezza informatica. Beninteso, entro i limiti consentiti dall’art. 4 dello Statuto dei Lavoratori.
Perchè il GDPR non prevede l’obbligo di un Regolamento informatico
Chiariamo un punto: il GDPR non ha alcuna ragione di prevedere espressamente l’obbligo di adottare un regolamento informatico e infatti non lo fa. Insomma: sarebbe ridicolo se andasse a fare micronormazione di questo tipo. Soprattutto perché è fondato sul principio di accountability per cui è il titolare a dover decidere le misure tecniche e organizzative di cui dotarsi per rispettare gli adempimenti richiesti e un livello di sicurezza adeguato al rischio.
Vero è però che se non si va a disciplinare un utilizzo accettabile degli strumenti informatici quando si hanno degli operatori che si interfacciano con reti e dati della propria organizzazione, la gestione della sicurezza assume più i contorni di una scommessa.
Altrettanto vero è poi che gli operatori devono essere informati dei trattamenti di dati personali che si svolgono per il monitoraggio della loro attività lavorativa, fra cui rientrano anche i sistemi di log management o di data loss prevention. E quindi quale momento migliore per farlo se non quello in cui sono fornite le istruzioni operative? Non dimentichiamo infatti che anche un “semplice log” (come quello degli amministratori di sistema), un indirizzo email @azienda.ext o un’utenza sono dati personali.
Il GDPR prevede non soltanto l’adozione di misure organizzative di sicurezza (art. 32) ma anche di istruire gli operatori (art. 29) e adottare delle politiche di sensibilizzazione e formazione del personale (art. 39). Di conseguenza l’adozione di un documento che disciplini l’impiego della strumentazione informatica può provvedere a coprire queste esigenze. Certo, sempre se è ben strutturato e scritto.
Ragionare prima di “fare i disegnini”
Quando si parla di scrittura di regolamenti e istruzioni bisogna necessariamente parlare della capacità di comunicazione interna dell’organizzazione. Comunicazione che deve essere svolta secondo efficacia e non generare inutili resistenze.
Quanto spesso vediamo in giro quegli irritanti “Te lo spiego io” a cura dell’ennesimo guru del web? Ebbene, la stessa reazione di insofferenza è quella attende l’organizzazione nel momento in cui intende svolgere una comunicazione di questo tipo nei confronti del personale.
Ciò non significa ovviamente dover svilire dei concetti tecnico-legali, ma anzi saperli definire correttamente. Il legal design non chiede infatti una banalizzazione della comunicazione ma al contrario un miglioramento della stessa che sappia aver contezza dei destinatari e delle loro reazioni.
Per questi motivi l’approccio alla “ti faccio il disegnino” è destinato ad essere fallimentare perchè svilisce il destinatario o il messaggio stesso. Certo, un’emoji o un’icona possono essere utili per veicolare in modo più efficace una comunicazione, ma tutto dipende dal contesto. Ritenere di poterlo prescindere significa comunque cedere alla paper compliance. Magari più colorata e fancy, ma sempre paper compliance.