Nel 2010 l'utilizzo della posta elettronica tramite smartphone è salito al 15 % sul totale delle mail scambiate fra gli utenti. L'email mobile piace nonostante i costi siano ritenuti eccessivi dal 48 % degli utenti, ma il 53 % dichiara in compenso che non potrebbe ormai più fare a meno della connessione mobile.

I dati emergono da una indagine pubblicata su “La Repubblica”” del 01.11.2010, condotta su un campione di 4800 utenti di Italia, Francia, Gran Bretagna, Germania e Spagna.

Ma, alla luce del boom in atto dell’uso dei palmari per internet e posta elettronica, in special modo quando si usano dispositivi aziendali, quali sono le implicazioni in relazione alla normativa sulla privacy?

Un interessante articolo tratto dalle rubrica "news" della nostra Federazione Consulenti Privacy.

Interessante lo sviluppo.

CFR: http://www.federprivacy.it/le-attivita-della-federazione/misure-di-sicurezza-anche-per-i-palmari-aziendali

Dalla ricerca emerge che un utente internet riceve mediamente 25 email e 7 newsletter al giorno attraverso le quali può iniziare procedure di e-commerce, sa gestire con dimestichezza numerose caselle di posta elettronica, accedendovi da diverse postazioni fisse o mobili, ed è in grado di riconoscere e neutralizzare la posta indesiderata, ma anche di condividere con amici sui social network le segnalazioni interessanti provenienti dalle numerose newsletter a cui è iscritto.
D’altra parte c'è un opinione divisa nei confronti del mobile: il 41 % infatti riconosce l'importanza dello strumento, che dà la possibilità di accedere in qualsiasi momento, ovunque ci si trovi, alla posta elettronica, mentre una percentuale quasi identica (40 %) ritiene che invece utilizzare lo smartphone per connettersi all'email sia scomodo. Tra i favorevoli, comunque, il 23 % farebbe anche un'operazione bancaria operando con il mobile, e il 21 % shopping on line.
A differenza di quello che si potrebbe pensare, la fascia d'età che ne riceve di più non è quella dei giovani, ma quella compresa tra i 45 e i 54 anni. Il 50 % del campione utilizza la casella di posta elettronica aziendale anche per ricevere messaggi privati di amici, parenti e conoscenti, ma al contrario il 35 % utilizza due caselle, un po' per differenziarne l'uso, ma, soprattutto per tutelare la propria privacy.
Una parte considerevole del traffico di posta elettronica è costituito dalle newsletter spedite da aziende, associazioni, enti pubblici, fornitori di servizi Internet, siti web, considerato che ogni utente in Italia in media è iscritto a 7,5 di queste fonti di informazione.
Tra gli argomenti delle newsletter prevalgono i viaggi (41%), le community on line (36%), le offerte di lavoro (34%, ma in Italia e Spagna, dove più si soffre per le difficoltà del mercato del lavoro, tale percentuale sale rispettivamente al 42 e al 53); attualità (33%), associazioni (26%); servizi di telefonia (25%) e servizi Internet (21%). Fatte salve però gli interessi e le caratteristiche specifiche dei singoli Paesi: la ricerca conferma infatti la passione dei francesi per il meteo, per esempio. Infatti riceve newsletter che parlano delle previsioni del tempo il 35% dei francesi, a fronte di una media del 17%.
Le newsletter vengono utilizzate in Italia anche come fonte di informazioni per eventuali acquisti per posta elettronica dal 40 % degli utenti, e il 59 % approfitta in particolare di offerte e promozioni apprese dalle mail. Si acquistano in prevalenza libri, cd, dvd, quotidiani, abbigliamento, prodotti tecnologici, elettronici ed elettrodomestici, biglietti di trasporto e pacchetti vacanze. Inoltre il 54 % degli utenti dichiara di aver percepito un aumento dello spam negli ultimi anni. Infine, i sistemi di istant messaging sono utilizzati dal 48 % degli utenti in Italia, mentre il 43 % utilizza invece i sistemi di messaggeria interni ai social network.

Ma, alla luce del boom in atto dell’uso dei palmari per internet e posta elettronica, in special modo quando si usano dispositivi aziendali, quali sono le implicazioni in relazione alla normativa sulla privacy?

Poiché l’art.3 del Codice della Privacy include tra gli strumenti elettronici, ”qualunque dispositivo elettronico o comunque automatizzato con cui si effettua il trattamento”, non vi sono dubbi che anche un palmare o un i-phone aziendale che tratta dati personali deve essere considerato alla stregua di un comune elaboratore ubicato fisicamente in ufficio.

Questo significa in primo luogo che, tutti quegli addetti che utilizzano per lavoro palmari con accesso alle banche dati aziendali, devono essere appositamente nominati come incaricati del trattamento di dati personali ai sensi dell’art.30 del Dlgs 196/2003, attenendosi alle istruzioni impartite dal titolare, il quale ultimo è tenuto ad adottare tutte le misure di sicurezza specificate nel Disciplinare Tecnico (All.B al Dlgs 196/2003), pena ingenti sanzioni civili e penali a suo carico.

Anche se per i potenziali rischi che incombono su un apparecchio elettronico che sta sul palmo di una mano, e che facilmente potrebbe essere utilizzato (anche inavvertitamente) da soggetti inautorizzati, occorre necessariamente individuare specifiche misure di sicurezza ulteriori, invece le misure minime di sicurezza alle quali non ci si può sottrarre neanche per un palmare aziendale sono principalmente :

-     “Accesso mediante credenziali di autenticazione personali assegnate all’incaricato, che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti.” (Regola 1 Disciplinare Tecnico) Quindi l’incaricato che dall’esterno accede alle banche dati aziendali con un palmare deve poterlo fare previo inserimento delle proprie credenziali, generalmente con la digitazione dei propri username e password;

-     “Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell'incaricato.” (Regola 4 Disciplinare Tecnico) Il titolare deve pertanto fornire un regolamento aziendale contenente precise istruzioni anche per il diligente uso e custodia dei palmari aziendali, nonché tutte le cautele da adottare;

-     “La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno otto caratteri … ..non contiene riferimenti agevolmente riconducibili all'incaricato ed è modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi.” (Regola 4 Disciplinare Tecnico) Come nel caso degli elaboratori fissi, anche le password di accesso usate dai palmari, devono essere composte da almeno 8 caratteri, non contenere riferimenti personali dell’incaricato, ed essere cambiate almeno ogni 6 mesi, oppure ogni 3 mesi, se la banca dati alla quale si accede contiene informazioni sensibili;

-     “Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento”. (Regola 9 Disciplinare Tecnico) Dato che il palmare è in genere sottratto al controllo fisico della direzione aziendale, in modo particolare al di fuori degli orari di lavoro, nei giorni festivi, e negli orari notturni, è particolarmente importante che il titolare impartisca con il regolamento anche le istruzioni per la custodia dell’apparecchio portatile fornito in dotazione;

-     “I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui all'art. 615-quinquies del codice penale, mediante l'attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale.” (Regola 16 Disciplinare Tecnico) Anche sul palmare aziendale devono essere installati software antivirus e firewall, generalmente forniti o comunque indicati dalla stessa casa produttrice;

-     “Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l'aggiornamento è almeno semestrale.” (Regola 17 Disciplinare Tecnico) Come i comuni pc da ufficio, anche i palmari devono essere quindi impostati per effettuare gli aggiornamenti periodici forniti dal produttore;

-     “Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale.” (Regola 18 Disciplinare Tecnico) Se il palmare accede a banche dati residenti esclusivamente su server aziendali, in genere non sarà necessario prevedere il salvataggio dei dati sul dispositivo portatile, come invece sarà d’obbligo, se i dati sono salvati anche nella memoria dello stesso palmare.

-     “La previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonchè in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali” (Regola 19.6 Disciplinare Tecnico) Anche gli incaricati che utilizzino esclusivamente palmari aziendali, devono necessariamente essere inclusi nel programma degli interventi formativi;

Senza dubbio, l’utilizzo dei palmari permette di ottimizzare le attività quotidiane, e contribuisce a rimanere competitivi sul mercato; ciononostante, quando la propria organizzazione sta al passo con il progresso tecnologico, è necessario non perdere il controllo sulla sicurezza dei dati aziendali, che spesso costituiscono il patrimonio aziendale, ed è dovere del titolare non trascurare gli adempimenti di legge implicati nel processo di modernizzazione aziendale, compresi quelli relativi alla privacy.