Come in tutti gli spazi condivisi, anche nei coworking i rischi per la sicurezza e la riservatezza dei dati personali è alto. Come prevenire i pericoli e risolvere i problemi?
Indubbiamente è opportuno sensibilizzare i tuoi utenti su tali rischi, al fine di renderli più consapevoli circa gli aspetti della gestione dei dati personali dei loro clienti che dovranno a propria volta prendere in esame. Questo potrebbe ad esempio essere un aspetto da disciplinare anche nel contratto di affitto dello spazio nel tuo coworking.
Come prevenire il pericolo?
Ogni coworking è a sé ed i pericoli sono diversi in ragione alle modalità di accesso (badge o libero), alle modalità di accesso (contratti duraturi o a giornata), ai tipi di accesso (libero per clienti o su registrazione), alle attività (eventi esterni o solo interni..), ai servizi (condivisione stampante, condivisione rete e backup..).
1) Verifica della documentazione e formazione ai coworkers
Premesso questo ecco da dove partire per prevenire le problematiche:
- Verificare la documentazione contrattuale ed eventualmente integrarla. É fondamentale informare gli utenti e i coworker. Lo puoi fare a partire dal contratto di affitto e farti un’idea già da qui.
- Educare e formare adeguatamente gli utenti. É fondamentale sensibilizzare e rendere maggiormente consapevoli gli utenti circa gli aspetti della gestione dei dati personali dei loro clienti che dovranno a propria volta prendere in esame. Mi occupo di formazione all’interno dei luoghi di lavoro e potrebbe essere interessante integrare l’offerta formativa anche con questi aspetti. Puoi farti un’idea qui o scrivermi direttamente.
- Fare un audit approfondito in merito a quali dati personali vengono trattati, chi tratta i dati, quali sono i documenti attualmente in uso. É fondamentale interrogarsi sullo stato dell’arte per partire in un progetto strutturato che ti accompagni, anche in modo continuativo, in tutti gli aspetti, da quelli più prioritari. Puoi iniziare con una serie di domande che ho fatto in questo articolo.
Svolte tutte queste attività, il rischio rimane, ovviamente. E quindi, passiamo ai punti 2 e 3.
2) Il registro dei trattamenti dei dati negli spazi di lavoro condivisi
Parti con il fare un registro dei trattamenti. Si tratta di uno strumento che il GDPR e il Codice Privacy considerano obbligatorio solo in certi casi (aziende con più di 250 utenti oppure che effettuano trattamenti di dati personali non occasionali o che includa dati particolari), ma che il Garante Privacy italiano ha invece ritenuto uno dei principali elementi di compliance dei titolari del trattamento, incentivandone l’adozione su larga scala.
Una volta individuati i trattamenti svolti, ne dovrai valutare anche i rischi per la sicurezza, riservatezza e resilienza. Così facendo ti sarà più facile capire quali misure di sicurezza fisiche e virtuali dovrai adottare.
Considera che esiste un registro di trattamenti dei dati del titolare del trattamento e un registro dei trattamenti del soggetto quale responsabile. É fondamentale, per ogni trattamento, interrogarsi sul ruolo del soggetto che lo compie. Se non sai di cosa sto parlando, puoi approfondire i ruoli privacy delle persone che trattano i dati nei coworking.
Ricorda che ciò che implementi nello spazio di coworking impatta anche sui tuoi coworkers, che potrebbero aver bisogno di dimostrare che lo spazio in cui operano è fornito delle necessarie misure di sicurezza per il trattamento dei dati personali dei loro clienti e fornitori.
3) La procedura data breach per coworking e community di lavoro
Fatto questo, sarà fondamentale individuare una procedura per il data breach ovvero per la violazione alla sicurezza dei dati personali.
- Il data breach consiste nella violazione di sicurezza dei dati personali che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati;
- É fondamentale l’adozione di alcune procedure che ti permettono di sapere cosa fare in caso di violazione, in un tempo limitato;
- É importante limitare il rischio del verificarsi delle violazioni ad esempio attraverso la gestione degli accessi alla rete wifi e alle stampanti ovvero il controllo degli accessi fisici (furto di device, storage, documenti..).
Come risolvere i danni?
La presenza di diversi utenti nella medesima rete o struttura può alzare il livello di rischio di data breach.
Se si dovesse verificare un data breach nel tuo coworking, devi essere pronto a gestirlo nel minor tempo possibile, è la stessa normativa a stabilirlo, prevedendo:
- Il coworking che subisce un data breach, entro 72 ore dalla scoperta deve notificare la violazione al Garante per la protezione dei dati personali.
- Se la violazione comporta un rischio elevato per i diritti dei coworkers, il coworking deve comunicare la violazione subita a tutti gli interessati;
- Non sempre è necessaria la notifica al Garante e la comunicazione agli interessati;
- In ogni caso lo spazio di lavoro condiviso deve documentare tutte le violazioni dei dati personali, ad esempio predisponendo un apposito registro delle violazioni.
Non è detto quindi che tu debba sempre procedere con la notifica del data breach al Garante, ma non dimentichiamo che nel tuo spazio di coworking ci sono diversi utenti, i quali a loro volta sono titolari dei dati personali dei loro clienti e tali dati potrebbero a propria volta essere stati in qualche modo impattati dall’incidente di sicurezza che è occorso nella tua struttura.
Cosa fare per la sicurezza dei dati nei coworking
Se hai svolto tutti gli “esercizi” sopra, sei già a buon punto. Se sei già dotato di procedure per prevenire e sai come muoverti in caso di problemi, ottimo. La partecipazione di tutti gli attori e la collaborazione tra titolare del coworking e utenti è quindi fondamentale.
Cosa possiamo fare quindi? Di sicuro, svolgere insieme tutta l’analisi, definire documenti e procedure, mantenere aggiornato tutto, così da permetterti di essere compliance alla normativa privacy e di offrire un servizio di alto livello ai tuoi coworkers.
Questo contenuto è stato scritto dal Team Privacy di Legal for Creativity che si occupa di tutti i profili che riguardano in trattamento dei dati personali. Se vuoi approfondire questi o altri temi legati al mondo della privacy, puoi contattarci:
Foto di Jason Dent su Unsplash