L’AEROPORTO DI LONDRA TRADITO DA UNA PENNA USB

L'AEROPORTO TRADITO DA UNA PENNA USB
Come proteggere i dispositivi mobili aziendali, anche in ottica privacy.

Uno degli ultimi casi di violazione dei dati personali sanzionato dal Garante Privacy inglese (ICO) offre notevoli spunti di riflessione in materia di data protection.

Prima i fatti: il 16 Ottobre 2017, Tizio rinveniva casualmente una chiavetta USB che era stata smarrita da un dipendente dell’Aeroporto Heathrow di Londra.

Il dispositivo conteneva 76 cartelle e oltre 1000 file, ma non era cifrato o protetto da password di autenticazione.

Tizio riusciva così ad accedere liberamente a tutte le informazioni confidenziali contenute nella chiavetta, compreso un video didattico che mostrava i dati di contatto di alcune persone (nomi, date di nascita, numeri di passaporto), oltre ad un elenco di contatti riconducibili al personale di sicurezza aerea. La chiavetta in questione veniva inviata anche alla redazione di un quotidiano nazionale, prima di essere restituita al titolare.

1. COSA E’ STATO ACCERTATO IN SEDE DI INDAGINI.

L’indagine condotta dall’ICO ha rilevato che solo il 2% della forza lavoro impiegata all’interno del sistema aeroportuale, su un totale di 6.500 lavoratori, aveva ricevuto un’adeguata formazione in materia di protezione dei dati personali.
E’ stato inoltre accertato che l’Aeroporto non effettuava controlli efficaci sull’utilizzo dei supporti di memoria rimovibili, spesso impiegati in attività di download di dati personali su device non autorizzati o non cifrati, in palese violazione delle linee guida emanate dallo stesso Aeroporto.

All’esito delle indagini, l’Aeroporto è stato condannato dall’ICO al pagamento di £120.000 (136.511,82 EUR), per non aver garantito la tutela dei dati personali, precisando che il caso in questione non è stato deciso secondo le nuove disposizioni del regolamento, perché verificatosi in epoca antecedente la sua entrata in vigore.
Si è quindi lasciato intendere che l’applicazione delle sanzioni massime del GDPR avrebbe comportato l’irrogazione di una multa dall’importo ben più elevato.

2. COSA INSEGNA LA VICENDA.

Da questa vicenda, possiamo trarre alcuni insegnamenti e raccomandazioni utili ad assicurare la protezione dei dati personali rispetto all’utilizzo di device mobili (smartphone, tablet, penna USB, laptop ecc…).

  • la sicurezza dei dati non si limita al perimetro aziendale. Anche le grandi organizzazioni o imprese talvolta sottovalutano i rischi connessi ad un uso incontrollato di dispositivi mobili o supporti di memoria da parte dei propri dipendenti e collaboratori, per il cui tramite trasferiscono o inviano dati personali aziendali;
  • sotto il profilo giuridico, il titolare del trattamento dei dati (nel nostro caso, l’Aeroporto) deve mantenere il controllo su tutti i dispositivi mobili che contengono dati personali latu sensu aziendali, anche se tali dispositivi sono di proprietà di un collaboratore o dipendente.
    Nello specifico, il titolare risponde della violazione nei seguenti casi:
  1. se il dispositivo non è dotato dei sistemi di sicurezza adeguati al tipo di trattamento e alla natura dei dati in esso custoditi,
  2. se il titolare non ha predisposto dei codici di condotta (o anche dette policy), che illustrano a dipendenti e collaboratori come utilizzare tali dispositivi in conformità a detti codici.

N.B.: Diversa, ovviamente, l’ipotesi del dipendente, che utilizza il dispositivo in violazione della policy aziendale, nonostante sia stato adeguatamente informato sulle norme di condotta vigenti.

  • La formazione è un elemento decisivo per aumentare la cultura e la sensibilità del personale aziendale verso il tema della protezione dei dati. Vicende come quella descritta, spesso si spiegano con la condotta di dipendenti poco inclini a rispettare le norme in materia, perchè non adeguamente formati dal titolare.

3. ALCUNE RACCOMANDAZIONI

.

Quali sono le misure tecniche e organizzative che si dovrebbero attuare, anche alla luce delle ultime previsioni legislative?

  • Innanzitutto il titolare del trattamento dovrebbe censire tutti i dispositivi mobili (tablet, smartphone, Pc portatili, penne USB ecc…), compresi quelli di proprietà dei dipendenti (se contengono dati personali “aziendali”, intesi come dati del titolare-società). 
Questo adempimento costituisce il presupposto necessario per sapere, con riguardo ad ogni dispositivo:

  1. la natura dei dati personali conservati;

  2. il livello di sicurezza garantito.

  • Una volta compiuta la suddetta ricognizione è consigliabile:
  1. elevare, ove necessario, gli standard di protezione dei dati all’interno dei dispositivi mobili aziendali (ad esempio, vietando di conservare al loro interno dati sensibili o limitando tale prassi solo su dispositivi criptati);
  2. elevare, ove necessario, gli standard di sicurezza dei dispositivi mobili aziendali (ad esempio, prevedendo password complesse, utilizzando tecniche di crittografia, bloccando l’accesso al dispositivo dopo alcuni tentativi con immissione di password errate);
  3. stabilire se e quali dati personali possono essere conservati e trattati su dispositivi di proprietà di dipendenti e collaboratori e, nel caso, predisporre le adeguate cautele (ad esempio, invitando all’utilizzo di app differenti a seconda che i dati siano trattati per finalità aziendali o personali);
  4. valutare l’impatto sulla protezione dei dati personali in caso di perdita, furto o mal funzionamento dei dispositivi mobili;

  5. definire una procedura standard per la cancellazione dei dati aziendali conservati in un device di proprietà del lavoratore, in caso di sue dimissioni o di licenziamento.

    Infine, la migliore prassi richiederebbe:
  6. la configurazione di una rete Wi-Fi separata da quella aziendale, a cui connettersi con il dispositivo personale. La connessione ad una rete dedicata permette di controllare un flusso di dati notoriamente più esposto, separandolo da quello prettamente aziendale;
  7. prevedere che il trasferimento dei dati (es. da Pc a Smartphone), avvenga su canali di comunicazione sicuri e crittografati (es. connessione VPN) all’interno della rete informatica aziendale;
  8. l’implementazione di una c.d. Social Media Policy, per evitare l’abuso dei social media, in genere dipeso dall’utilizzo di smartphone e tablet.;
  9. registrare i dispositivi con procedure di cancellazione dei dati in caso di perdita o furto.

4. CONCLUSIONI.

L’impiego di dispositivi mobili offre una serie di vantaggi per i lavoratori e l’azienda titolare (in particolare, una maggiore efficienza e flessibilità del lavoro), ma possono rappresentare il canale di accesso elettivo per attacchi informatici oppure, come nella vicenda narrata, la causa di perdite accidentali di dati, essendo strumenti di cui il datore ha, per ovvi motivi, meno possibilità di controllo.

Per limitare tali vulnerabilità è quantomai necessario un utilizzo attento e consapevole di questi dispositivi da parte del personale, attraverso un percorso di formazione ad hoc promosso dal titolare, il quale dovrà anche dotarsi di policy aziendali, al fine di regolamentare un loro utilizzo conforme agli standard richiesti dalle normative privacy.