Outsourcing, rischi e compliance: come farli convivere ?

Le imprese di oggi si trovano spesso a dover operare in un mercato che, per effetto della spinta alla globalizzazione ed all'uso delle nuove tecnologie, travalica i confini geografici.

In questo contesto "allargato" il mantenimento di elevati livelli di competitività costituisce un presupposto fondamentale per la sopravvivenza della stessa impresa.

Nell'ambito delle strategie per garantire il sostegno della competitività aziendale si colloca l'outsourcing, termine con il quale si intende tradizionalmente la pratica di trasferire a soggetti esterni lo svolgimento di una o più funzioni aziendali.

Vantaggi

La tendenza diffusa all'outsourcing continua ad essere sostenuta dalla possibilità di realizzare, attraverso di essa, alcuni vantaggi:

• l'impresa può focalizzare l'attenzione sulle sole attività inerenti il core business, evitando quel dispendio di risorse, non solo economiche, che sarebbe necessario per supportare attività non direttamente riconducibili, pur se complementari, al suo interesse primario;
• l'impresa può sfruttare le capacità innovative, tecnologiche e specialistiche che i vari fornitori rendono disponibili sul mercato;
• l'impresa può ottimizzare i propri risultati economici quando il ricorso all'outsourcing si accompagna ad un efficace strategia per il controllo di gestione e la riduzione dei rischi;

In particolare, le funzioni ed i servizi connessi all'utilizzo ed alla gestione delle infrastrutture di tipo informativo (hardware, software, connettività, sicurezza informatica, consulenza, ecc...) sono quelli che maggiormente si prestano ad una esternalizzazione per una serie di motivi :

• elevato grado di idoneità a supportare le realizzazione di obiettivi di business (è impensabile oggi raggiungere livelli di eccellenza e competitività adeguati senza il ricorso alle tecnologie ICT);
• onerosità, specie per le realtà di piccole e medie dimensioni, sotto il profilo della formazione e del mantenimento, all'interno della organizzazione, di risorse in possesso di competenze e professionalità adeguate;
• vantaggi, diretti ed indiretti, riconducibili alla protezione del proprio patrimonio informativo ed al rispetto delle norme vigenti, degli standard di settore e degli impegni contrattuali;

Problematiche

L'outsourcing non è però privo di problematiche, a volte di una certa complessità, che non vanno sottovalutate. Vediamo quali sono.

Il coinvolgimento di soggetti esterni (fornitori, consulenti, ecc...) aumenta, in modo considerevole, la possibilità che questi ultimi vengano in contatto ed interagiscano con gli asset aziendali.

Questo si traduce in una condizione di vulnerabilità che interessa anche le organizzazioni che adottano livelli di controllo e di gestione piuttosto stringenti e finisce per incidere, anche solo potenzialmente, sugli sforzi necessari per garantire la sicurezza e la protezione degli asset.

Si può dunque dire che, ogni volta che una azienda esternalizza una parte, più o meno consistente, delle proprie funzioni, essa finisce per esternalizzare anche una parte dei rischi e delle relative responsabilità.

Strategie

Diventa allora imperativo compiere preventivamente alcune attività riguardanti:

• l'adozione di opportune metodologie di analisi e gestione dei rischi;
• la definizione dei criteri per la scelta del fornitore;
• l'individuazione degli strumenti e dei meccanismi più idonei per l'attribuzione di responsabilità ai soggetti terzi che vengono coinvolti nei processi aziendali;

Il richiamo alle metodologie di gestione del rischio vale a sottolineare il fatto che l'outsourcing costituisce una fattispecie caratterizzata da livelli di rischio, anche elevati, connessi con:

• la creazione di un rapporto di dipendenza da uno o più soggetti esterni per l'erogazione di servizi che, comunque, sono essenziali nel contesto di una determinata gestione aziendale;
• la protezione delle informazioni e degli altri asset;
• la responsabilità nel garantire i livelli di conformità richiesti da leggi, regolamenti, standard ed accordi di natura contrattuale;

Fortunatamente la maggior parte dei rischi si può bilanciare o trasferire attraverso una gestione contrattuale dei rapporti, pur senza dimenticare, però, l'importanza che riveste a tal fine la negoziazione di alcuni aspetti critici (durata, revisioni, risoluzione, misurazione delle performance e livelli di servizio, clausole penali, ecc...).

Photo credit: lusi

Ti è piaciuto questo post ? Allora puoi segnalarlo e lasciare un commento oppure, se vuoi rimanere aggiornato, puoi anche iscriverti al feed.

Marketing: il consenso all'uso dei dati personali deve essere libero

Ancora una pronuncia del garante della privacy sulle caratteristiche del consenso all'utilizzo dei dati personali per finalità promozionali o di marketing e sulle modalità con le quali dovrebbero (il condizionale è d'obbligo, vista la situazione di inadeguatezza diffusa) essere realizzate le form su web per consentire una corretta manifestazione di volontà da parte degli interessati.

Nel caso specifico, che ha riguardato una società specializzata nella vendita online di biglietti per eventi di vario genere, l'autorità ha ribadito che:

gli interessati devono essere messi in grado di esprimere consapevolmente e liberamente le proprie scelte in ordine al trattamento dei dati che li riguardano, manifestando il proprio consenso per ciascuna distinta finalità perseguita dal titolare; tale capacità di autodeterminazione non è assicurata quando si assoggetta la fruizione di beni e servizi alla preventiva autorizzazione a trattare i dati conferiti anche per finalità diverse, quali sono quelle di profilazione e promozionale;

Quindi, in poche parole, non si può negare un servizio a chi non vuole fornire i propri dati personali per scopi diversi da quelli strettamente inerenti la prestazione del servizio stesso. Ogni altro trattamento per differenti finalità deve essere, invece, preceduto da un consenso libero e specifico (cioè riferito alla singola finalità).

Nel caso in cui il consenso venga acquisito attraverso Internet, occorre anche che le relative pagine web facciano uso di elementi in grado di consentire agli interessati la libera manifestazione, positiva o negativa, della propria volontà (es. mediante caselle di spunta differenti per ogni finalità, non preselezionate).

Corso online (gratuito) su direct marketing e privacy

Ti è piaciuto questo post ? Allora puoi segnalarlo e lasciare un commento oppure, se vuoi rimanere aggiornato, puoi anche iscriverti al feed.

Data retention: ulteriore proroga per l'applicazione delle misure di sicurezza

Il garante della privacy ha accordato un parziale slittamento dei termini per l'adozione degli accorgimenti e delle misure di sicurezza a garanzia dei dati del traffico telefonico e telematico, conservati sia per finalità di accertamento e repressione di reati, sia per finalità ordinarie.

La scadenza, già prorogata una volta rispetto a quella inizialmente prevista, era stata fissata al 30 aprile 2009 (30 giugno per le sole misure concernenti la strong authentication).

La proroga è stata concessa, su richiesta delle associazioni di categoria, tenuto conto della situazione di sostanziale, ma non ancora integrale, adempimento, delle maggiori difficoltà tecniche nell'adozione di alcune misure e della quantità degli interventi strutturali ed economici complessivamente richiesti per garantire una completa conformità alle prescrizioni.

Dunque, per effetto di questo intervento, è stato prorogato al 15 dicembre 2009 il termine per l'adeguamento alle misure del provvedimento del 24 luglio 2008, di cui alla:

lettera a):

n. 3: adottare, per la conservazione dei dati di traffico per esclusive finalità di accertamento e repressione di reati, sistemi informatici distinti fisicamente da quelli utilizzati per gestire dati di traffico anche per altre finalità, sia nelle componenti di elaborazione, sia di immagazzinamento dei dati (storage). I dati di traffico conservati per un periodo non superiore ai sei mesi dalla loro generazione possono, invece, essere trattati per le finalità di giustizia sia prevedendone il trattamento con i medesimi sistemi di elaborazione e di immagazzinamento utilizzati per la generalità dei trattamenti, sia provvedendo alla loro duplicazione, con conservazione separata rispetto ai dati di traffico trattati per le ordinarie finalità. Le attrezzature informatiche utilizzate per i trattamenti di dati di traffico per le esclusive finalità di giustizia di cui sopra devono essere collocate all'interno di aree ad accesso selezionato (ovvero riservato ai soli soggetti legittimati ad accedervi per l'espletamento di specifiche mansioni) e munite di dispositivi elettronici di controllo o di procedure di vigilanza che comportino la registrazione dei dati identificativi delle persone ammesse, con indicazione dei relativi riferimenti temporali. Nel caso di trattamenti di dati di traffico telefonico per esclusive finalità di giustizia, il controllo degli accessi deve comprendere una procedura di riconoscimento biometrico. Infine, il fornitore deve adottare misure idonee a garantire il ripristino dell'accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici in tempi compatibili con i diritti degli interessati e comunque non superiori a sette giorni;

n. 6: adottare soluzioni informatiche idonee ad assicurare il controllo delle attività svolte sui dati di traffico da ciascun incaricato del trattamento, quali che siano la sua qualifica, le sue competenze e gli ambiti di operatività e le finalità del trattamento. Il controllo deve essere efficace e dettagliato anche per i trattamenti condotti sui singoli elementi di informazione presenti sui diversi database utilizzati. Tali soluzioni comprendono la registrazione, in un apposito audit log, delle operazioni compiute, direttamente o indirettamente, sui dati di traffico e sugli altri dati personali a essi connessi, sia quando consistono o derivano dall'uso interattivo dei sistemi, sia quando sono svolte tramite l'azione automatica di programmi informatici. I sistemi di audit log devono garantire la completezza, l'immodificabilità, l'autenticità delle registrazioni in essi contenute, con riferimento a tutte le operazioni di trattamento e a tutti gli eventi relativi alla sicurezza informatica sottoposti ad auditing. A tali scopi il fornitore deve adottare, per la registrazione dei dati di auditing, anche in forma centralizzata per ogni impianto di elaborazione o per datacenter, sistemi di memorizzazione su dispositivi non alterabili. Prima della scrittura, i dati o i raggruppamenti di dati devono essere sottoposti a procedure informatiche per attestare la loro integrità, basate sull'utilizzo di tecnologie crittografiche;

n. 9: proteggere i dati di traffico trattati per esclusive finalità di giustizia con tecniche crittografiche, in particolare contro rischi di acquisizione fortuita o di alterazione accidentale derivanti da operazioni di manutenzione sugli apparati informatici o da ordinarie operazioni di amministrazione di sistema. Il fornitore deve adottare soluzioni che rendano le informazioni residenti nelle basi di dati a servizio delle applicazioni informatiche utilizzate per i trattamenti, non intelligibili a chi non disponga di diritti di accesso e profili di autorizzazione idonei, ricorrendo a forme di cifratura od offuscamento di porzioni dei data base o degli indici o ad altri accorgimenti tecnici basati su tecnologie crittografiche. Tale misura deve essere efficace per ridurre al minimo il rischio che incaricati di mansioni tecniche accessorie ai trattamenti (amministratori di sistema, database administrator e manutentori hardware e software) possano accedere indebitamente alle informazioni registrate, anche fortuitamente, acquisendone conoscenza nel corso di operazioni di accesso ai sistemi o di manutenzione di altro genere, oppure che possano intenzionalmente o fortuitamente alterare le informazioni registrate. Eventuali flussi di trasmissione dei dati di traffico tra sistemi informatici del fornitore devono aver luogo tramite protocolli di comunicazione sicuri, basati su tecniche crittografiche, o comunque evitando il ricorso alla trasmissione in chiaro dei dati. Protocolli di comunicazione sicuri devono essere adottati anche per garantire più in generale la sicurezza dei sistemi evitando di esporli a vulnerabilità e a rischio di intrusione;

lettera c):

n. 1: adottare specifici sistemi di autenticazione informatica basati su tecniche di strong authentication, consistenti nell'uso contestuale di almeno due differenti tecnologie di autenticazione, che si applichino agli accessi ai sistemi di elaborazione da parte di tutti gli incaricati di trattamento nonché di tutti gli addetti tecnici (amministratori di sistema, di rete, di data base) che abbiano la possibilità concreta di accedere ai dati di traffico custoditi nelle banche dati del fornitore, qualunque sia la modalità, locale o remota, con cui si realizzi l'accesso al sistema di elaborazione utilizzato per il trattamento, evitando che questo possa aver luogo senza che l'incaricato abbia comunque superato una fase di autenticazione informatica nei termini anzidetti. Qualora circostanze eccezionali, legate a indifferibili interventi per malfunzionamenti, guasti, installazione hardware e software, aggiornamento e riconfigurazione dei sistemi, determinino la necessità di accesso a sistemi di elaborazione che trattano dati di traffico da parte di addetti tecnici in assenza di strong authentication, fermo restando l'obbligo di assicurare le misure minime in tema di credenziali di autenticazione previste dall'Allegato B) al Codice in materia di protezione dei dati personali, deve essere tenuta traccia in un apposito "registro degli accessi" dell'eventuale accesso fisico ai locali in cui sono installati i sistemi di elaborazione oggetto di intervento e dell'accesso logico ai sistemi, nonché delle motivazioni che li hanno determinati, con una descrizione sintetica delle operazioni svolte, anche mediante l'utilizzo di sistemi elettronici. Tale registro deve essere custodito dal fornitore presso le sedi di elaborazione e messo a disposizione del Garante nel caso di ispezioni o controlli, unitamente a un elenco nominativo dei soggetti abilitati all'accesso ai diversi sistemi di elaborazione con funzioni di amministratore di sistema, che deve essere formato e aggiornato costantemente dal fornitore;

n. 2: adottare procedure in grado di garantire la separazione rigida delle funzioni tecniche di assegnazione di credenziali di autenticazione e di individuazione dei profili di autorizzazione rispetto a quelle di gestione tecnica dei sistemi e delle basi di dati;

n. 3: rendere i dati di traffico immediatamente non disponibili per le elaborazioni dei sistemi informativi allo scadere dei termini previsti dalle disposizioni vigenti, provvedendo alla loro cancellazione o trasformazione in forma anonima, in tempi tecnicamente compatibili con l'esercizio delle relative procedure informatiche, nei data base e nei sistemi di elaborazione utilizzati per i trattamenti nonché nei sistemi e nei supporti per la realizzazione di copie di sicurezza (backup e disaster recovery) effettuate dal titolare anche in applicazione di misure previste dalla normativa vigente e, al più tardi, documentando tale operazione entro i trenta giorni successivi alla scadenza dei termini di conservazione (art. 123 del Codice);

n. 4: adottare soluzioni informatiche idonee ad assicurare il controllo delle attività svolte sui dati di traffico da ciascun incaricato del trattamento, quali che siano la sua qualifica, le sue competenze e gli ambiti di operatività e le finalità del trattamento. Il controllo deve essere efficace e dettagliato anche per i trattamenti condotti sui singoli elementi di informazione presenti sui diversi database utilizzati. Tali soluzioni comprendono la registrazione, in un apposito audit log, delle operazioni compiute, direttamente o indirettamente, sui dati di traffico e sugli altri dati personali a essi connessi, sia quando consistono o derivano dall'uso interattivo dei sistemi, sia quando sono svolte tramite l'azione automatica di programmi informatici. I sistemi di audit log devono garantire la completezza, l'immodificabilità, l'autenticità delle registrazioni in essi contenute, con riferimento a tutte le operazioni di trattamento e a tutti gli eventi relativi alla sicurezza informatica sottoposti ad auditing. A tali scopi il fornitore deve adottare, per la registrazione dei dati di auditing, anche in forma centralizzata per ogni impianto di elaborazione o per datacenter, sistemi di memorizzazione su dispositivi non alterabili. Prima della scrittura, i dati o i raggruppamenti di dati devono essere sottoposti a procedure informatiche per attestare la loro integrità, basate sull'utilizzo di tecnologie crittografiche;

n. 5: documentare i sistemi informativi utilizzati per il trattamento dei dati di traffico in modo idoneo secondo i princìpi dell'ingegneria del software, evitando soluzioni documentali non corrispondenti a metodi descrittivi standard o di ampia accettazione. La descrizione deve comprendere, per ciascun sistema applicativo, l'architettura logico-funzionale, l'architettura complessiva e la struttura dei sistemi utilizzati per il trattamento, i flussi di input/output dei dati di traffico da e verso altri sistemi, l'architettura della rete di comunicazione, l'indicazione dei soggetti o classi di soggetti aventi legittimo accesso al sistema. La documentazione va corredata con diagrammi di dislocazione delle applicazioni e dei sistemi, da cui deve risultare anche l'esatta ubicazione dei sistemi nei quali vengono trattati i dati per le finalità di accertamento e repressione di reati. La documentazione tecnica deve essere aggiornata e messa a disposizione dell'Autorità su sua eventuale richiesta, unitamente a informazioni di dettaglio sui soggetti aventi legittimo accesso ai sistemi per il trattamento dei dati di traffico;

Ti è piaciuto questo post ? Allora puoi segnalarlo e lasciare un commento oppure, se vuoi rimanere aggiornato, puoi anche iscriverti al feed.

Questionario di sensibilizzazione sulla sicurezza informatica

L'agenzia Europea per la sicurezza delle reti e delle informazioni ha recentemente pubblicato un questionario in varie lingue, tra cui l'italiano, con lo scopo di fornire materiale, sotto forma di modelli di quiz, per una maggiore sensibilizzazione nel settore della sicurezza delle informazioni.

Pur non trattandosi di modelli di autovalutazione completi, l'iniziativa è interessante sotto diversi punti di vista.

Innanzitutto, la scelta della preparazione di un questionario, invece del solito documento che nessuno legge, tranne (forse) gli addetti ai lavori, può rivelarsi maggiormente efficace per catturare l'attenzione del pubblico di riferimento.

Attraverso una serie di domande e risposte su questioni ed aspetti inerenti l'utilizzo e la gestione quotidiana degli strumenti e dei sistemi informatici, si riesce a stimolare un interesse critico da parte del lettore.

Inoltre il target preso in considerazione è pertinente: si tratta infatti di quella fetta di utenza che abbraccia, non soltanto le piccole e medie imprese, ma anche gli utenti non professionali e, soprattutto, i genitori.

Alcuni esempi di domande, nel caso di piccole e medie imprese:

Sapete quali informazioni di valore vengono gestite nei vostri sistemi IT e dove?

oppure nel caso di genitori:

Quali sono le attività online che svolgono i vostri figli ?

I genitori, in particolare, sono tra i più esposti ai rischi ed alle responsabilità derivanti dall'utilizzo degli strumenti informatici da parte dei loro figli spesso minorenni (la cd. "generazione digitale"), anche a causa dell'esistenza di un divario generazionale di conoscenza che sta diventando significativo.

Publish at Scribd or explore others: Internet & Technolog Research privacy quiz

Ti è piaciuto questo post ? Allora puoi segnalarlo e lasciare un commento oppure, se vuoi rimanere aggiornato, puoi anche iscriverti al feed.

Internet e sistemi di filtraggio del traffico tra prassi e legalità

Il traffic shaping è un metodo di gestione di una rete attuato per forzarne ("modellare", da cui deriva il termine) l'operatività secondo determinati parametri o regole.

Si tratta di tutte quelle misure tecniche che hanno come effetto quello di:

• limitare l'occupazione di banda (byte trasmessi/ricevuti)
• impedire un certo tipo di traffico
• interrompere artificiosamente un flusso di comunicazione (es. quando l'occupazione di banda supera una certa soglia o perdura oltre un certo periodo di tempo)

Metodi e ragioni del controllo

In molti casi il controllo del traffico presuppone una attività di analisi e di filtraggio basata sui protocolli di rete (es. bittorrent) o sul tipo di risorsa richiesta (es. url di un video/audio in streaming), ma non c'è ancora completa chiarezza al riguardo.

In generale le ragioni per cui questa pratica viene attuata, spesso in modo occulto e poco trasparente, sono riconducibili alla esigenza di evitare problemi di:

• operatività: il gestore di una rete può offrire una ampiezza di banda limitata, rispetto al numero degli utilizzatori, e, quindi, ricorre a forme di limitazione del traffico per non dover procedere all'acquisto di capacità di banda supplementare
• legalità: si vuole evitare qualsiasi rischio di incorrere in forme di corresponsabilità, bloccando o limitando l'accesso a protocolli e risorse che possono costituire veicolo di scambio e diffusione di materiale protetto (es. diritti d'autore)

Considerazioni legali

Il traffic shaping può ritenersi legale se adottato in una rete privata (es. una lan aziendale), mentre non sempre può dirsi altrettanto nell'ambito della fornitura al pubblico di un servizio di comunicazione elettronica.

In questo caso, infatti, gli utenti pagano un corrispettivo per ottenere un accesso ad Internet che, in mancanza di una esplicita indicazione contraria, dovrebbe intendersi illimitato dal punto di vista dei protocolli utilizzabili e delle risorse accessibili.

C'è quindi, innanzitutto, un problema di chiarezza delle condizioni generali di contratto, tra le quali vanno ricomprese anche le notizie sulle caratteristiche e le prestazioni tecniche del servizio che rappresentano informazioni essenziali dell'offerta.

Queste informazioni dovrebbero non soltanto ammettere l'eventuale utilizzo di filtri, ma contenere una specifica indicazione dei limiti che ne derivano, in termini di protocolli bloccati, fasce orarie in cui le limitazioni sono attive, ampiezza di banda massima, numero massimo delle connessioni consentite, ecc...

Eventuali carenze od omissioni informative possono, dunque, essere viste come fonte di una responsabilità contrattuale del fornitore, proprio perchè l'utente ha il diritto di godere, per contratto, di un accesso incondizionato.

Inoltre, in un caso verificatosi, l'autorità garante della concorrenza e del mercato ha ritenuto che l'informazione omessa o non veritiera sull'esistenza di sistemi di filtraggio sia qualificabile come pratica commerciale scorretta, in quanto contraria alla diligenza professionale ed idonea a limitare od escludere la libertà di scelta e di comportamento del consumatore medio.

Purtroppo dimostrare l'esistenza di meccanismi di filtraggio del traffico è ancora molto difficile, anche se, per far fronte a questa esigenza, sono in fase di sviluppo alcuni progetti (vedi approfondimenti).

Per questo motivo può essere molto utile valutare attentamente tutte le condizioni contrattuali e le caratteristiche tecniche del servizio offerto, prima della stipula del relativo contratto, chiedendo ed ottenendo eventualmente, meglio se in forma scritta, rassicurazioni da parte del fornitore.

Approfondimenti

• Progetto Gemini
• Internet marketing: aspetti giuridici della pubblicità e delle pratiche commerciali online
• I contratti di fornitura dei servizi di comunicazione telefonica ed elettronica: profili giuridici, tutela dei consumatori e risoluzione delle controversie

Photo credit: karmarat

Ti è piaciuto questo post ? Allora puoi segnalarlo e lasciare un commento oppure, se vuoi rimanere aggiornato, puoi anche iscriverti al feed.

Accesso ai dati personali e rapporto di lavoro

Non c'è dubbio che, nell'ambito del rapporto con il proprio datore di lavoro, i lavoratori dipendenti figurano come soggetti interessati dal trattamento dei dati personali e possono, quindi, esercitare i diritti previsti dagli art. 7 e ss del testo unico sulla privacy.

Una questione che si pone, semmai, è quella di delimitare i dati che possono essere oggetto di accesso, vista la grande quantità ed eterogeneità delle informazioni inerenti la gestione del rapporto lavorativo.

Di recente l'autorità garante, nel decidere un ricorso, ha chiarito che le informazioni relative alla ordinaria gestione del rapporto di lavoro (nel caso specifico si trattava di dati sui turni di servizio degli ultimi anni) costituiscono dati personali i quali possono essere oggetto di una legittima richiesta di accesso da parte del lavoratore.

Le regole generali

Al di là del singolo caso specifico, può essere comunque utile ricordare che il provvedimento contenente "Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati" fissa alcuni principi generali in materia, stabilendo che:

• le richieste di accesso possono anche essere prive di riferimenti ad un trattamento o a dati particolari ed, in questo caso, riguardano implicitamente tutti i dati trattati, comprese le informazioni di tipo valutativo, ma con l'esclusione delle notizie di carattere contrattuale o professionale
• il datore di lavoro deve fornire al richiedente un riscontro completo che consiste in una comunicazione, chiara e comprensibile, di tutte le informazioni in suo possesso, mentre non è ammessa la sola elencazione delle tipologie di dati gestiti
• il riscontro deve essere normalmente fornito entro il termine di 15 giorni dalla richiesta
• nel caso in cui le operazioni necessarie al riscontro siano di particolare complessità, oppure ricorra un altro giustificato motivo, il datore di lavoro può rispettare il termine più lungo di 30 giorni, dandone preventiva comunicazione all'interessato
• nelle realtà organizzative, articolate e complesse, in cui può essere più difficoltoso l'esercizio dei diritti da parte degli interessati, il datore di lavoro deve provvedere a nominare un responsabile, appositamente designato per la trattazione di tali questioni, fornendone indicazione nella relativa informativa resa ai sensi dell'art. 13
• i dati estratti possono essere comunicati oralmente o visualizzati attraverso strumenti elettronici, a meno che non ci sia una specifica richiesta di trasposizione su supporto cartaceo o informatico o di trasmissione per via telematica (es. posta elettronica)
• l'esercizio del diritto di accesso può essere soddisfatto mettendo a disposizione dell'interessato il proprio fascicolo personale, da cui estrarre i dati, soprattutto quando la quantità di questi ultimi è elevata
• analogamente, quando l'estrazione dei dati risulta particolarmente difficoltosa, il titolare può decidere di esibire o consegnare copia di atti o documenti, contenenti i dati richiesti, eliminando o oscurando gli eventuali dati personali di terzi
• il diritto di accesso non implica, comunque, la facoltà di richiedere al titolare la ricerca e la raccolta di dati che non siano in suo possesso ed oggetto di trattamento, l'accesso diretto ed illimitato a documenti ed intere tipologie di atti, l'aggregazione di documenti secondo modalità specificate dall'interessato, la creazione di documenti inesistenti ed, infine, il rispetto di particolari modalità di riscontro diverse da quelle già previste dal codice

Insomma, a ben vedere, si tratta di misure per garantire un accesso trasparente ai propri dati, da parte dei lavoratori, senza per questo appensantire l'ordinaria gestione aziendale.

Ti è piaciuto questo post ? Allora puoi segnalarlo e lasciare un commento oppure, se vuoi rimanere aggiornato, puoi anche iscriverti al feed.