Comportamenti degli operatori (parte 2)

 

Quali sono i rischi che coinvolgono gli operatori?

Tradizionalmente, i rischi relativi alla sicurezza delle informazioni che trovano la propria fonte nel comportamento degli operatori sono il furto di credenziali, la carenza di consapevolezza, l'incuria, i comportamenti sleali, gli errori materiali.

Attenzione però: tale catalogo non è esaustivo, né completo, e pertanto può a seconda dei casi rivelarsi o insufficiente o sovrabbondante.

La struttura comune ai sistemi di gestione sviluppata (nel 2015) da ISO prevede la c.d. HLS - High Level Structure (struttura di alto livello), in cui è presente il c.d. risk-based thinking: i rischi devono essere identificati, analizzati, valutati e trattati nel contesto aziendale di riferimento.

Ciò significa che, adottando lo stesso modus operandi, possiamo ben pensare di identificare (specificando o generalizzando) i rischi che possono coinvolgere i comportamenti degli operatori nel contesto di riferimento al fine di valutare la predisposizione di misure di sicurezza ed istruzioni ai sensi del combinato degli artt. 29 e 32.4 GDPR.

Sul piano operativo, però, abbiamo compiuto una mera ricognizione generale delle istruzioni per gli operatori, per cui occorre definire una serie di comportamenti (o operazioni) da inserire in black list o in white list, che siano adeguatamente pubblicizzate, ad esempio:

• ai sensi dell'art. 7 Statuto dei lavoratori se nei confronti dei dipendenti;
• come allegato ad un contratto di servizi;
• all'interno di un Regolamento Aziendale.

Applicare unicamente una regola (comportamentale) di white list può essere particolarmente complesso, soprattutto per l'individuazione delle singole operazioni consentite e la produzione di autorizzazioni per tutto ciò che costituisce eccezione. Qualora la white list sia troppo ampia ("ogni operazione è consentita") la regola è inefficace, qualora sia troppo stringente la regola è inefficiente (dal momento che comporta il coinvolgimento di una funzione aziendale di volta in volta per rilasciare l'autorizzazione).

Applicare unicamente una regola (comportamentale) di black list, invece, produce il problema di dover considerare ogni comportamento che si intende vietare senza impiegare formule generiche o ridondanti (del tipo: è vietato trattare i dati in violazione di Legge), anche qui ponendo dei regimi di autorizzazione con simili effetti di inefficacia o inefficienza.

Un approccio misto consente quanto meno di circoscrivere i comportamenti consentiti e vietati, andando a definire il generale obbligo di correttezza e buona fede che incombe tanto sui dipendenti quanto sui prestatori di servizi.


Essere GDPReady è...saper definire i comportamenti degli operatori.