03 Mar Decalogo best practice: Microsoft coinvolge partners e clienti nella privacy compliance
Se la privacy è un asset, le policy interne di un’azienda tecnologica costituiscono il business plan più interessante esistente sul mercato ICT. Microsoft ha virato in direzione data protection da diversi mesi e continua a sviluppare una politica aziendale attenta alla normativa privacy e rispettosa del diritto alla riservatezza di utenti e dipendenti. L’ultima iniziativa in tema ha il respiro di una best practice, per questo la segnaliamo con piacere, e consiste in un decalogo della privacy compliance messo a disposizione di clienti e partners.
La società di Redmond dà l’esempio e invita a seguire pratiche articolate in due momenti fondamentali: controlli di processo e controlli tecnologici.
Al primo tipo di controllo fanno capo la redazione di un disciplinare interno che regolamenti l’utilizzo delle risorse informatiche e la gestione dei dati, nonché la formazione dei lavoratori sul loro ruolo per la protezione delle informazioni.
I controlli tecnologici mirano invece a garantire l’aderenza delle soluzioni tecniche alla normativa privacy.
In generale, risalta chiaramente l’osmosi tra le fonti primarie in materia privacy, quali il d.lgs.196/2003 e correlati allegati, i provvedimenti del Garante e le privacy policies interne, alle quali l’azienda affida il ruolo di integrazione della disciplina di materia praeter legem.
Sia i controlli di processo sia i controlli tecnici hanno il comune obiettivo di proteggere dati e informazioni da un duplice punto di vista: uno interno, relativo all’esercizio dei poteri di direzione e controllo che il datore può esercitare nei confronti dei propri dipendenti; l’altro esterno, orientato verso la protezione delle informazioni da accessi esterni non autorizzati.
Dal primo punto di vista le sfide si annidano nell’utilizzo degli strumenti informatici da parte dei singoli prestatori di lavoro, che deve essere funzionale all’esercizio dell’attività di impresa, responsabile e non lesivo del profilo aziendale. Ne consegue che l’attenzione si sposta sull’utilizzo dei social network durante l’orario di lavoro, la possibilità di accesso, tramite l’IP aziendale, a determinati siti internet, la regolamentazione dell’uso della posta elettronica e la definizione di gerarchie e incarichi all’interno della compagine aziendale. Le soluzioni tecniche adottabili al riguardo spaziano dalle blacklist di siti non accessibili, alla delimitazione di siti e download correlati alla specifica attività lavorativa, fino all’implementazione delle misure previste dall’allegato B al Codice Privacy: definizione della complessità di password, individuazione del metodo di sua conservazione, previsione di accesso in caso di assenza dell’incaricato, aggiornamento e disattivazione entro i limiti di tempo prescritti dalla legge. Per ciascuna di queste esigenze, e qui sta la novità innovatrice, Microsoft individua i software e le soluzioni che metterà a disposizione di Clienti e Partners gratuitamente. Per fare solo una rapida panoramica: Microsoft ISA 2006 consente di gestire la navigazione verso Internet utilizzando delle Policy che permettono o impediscono la navigazione a seconda di criteri liberamente impostabili dall’amministratore di sistema, quali il sito di destinazione, l’utente che ha effettuato la ricerca o l’ora di connessione; Microsoft Exchange Server 2007 consente invece la gestione ottimale dei programmi di messaggistica, nel rispetto sempre delle policy interne oltre che delle prescrizioni normative.
Riguardo alla protezione delle informazioni da accessi esterni non autorizzati, l’obiettivo verrebbe raggiunto mediante procedure di segmentazione della rete, back-up centralizzato e cifratura dei dati, conseguibili, rispettivamente, attraverso: IPSec, che garantisce un equilibrio tra la disponibilità delle informazioni al maggior numero di utenti possibile e la protezione delle informazioni riservate dall’accesso non autorizzato; NTBackup presente in tutte le versioni da Windows 2000 in poi; cifratura di singole cartelle(con Windows XP) o dell’intero hard disk (con Windows Vista).
Per trarre una conclusione, Microsoft sta adottando un atteggiamento che pone il rispetto del diritto alla privacy come fine e l’utilizzo della tecnica informatica come mezzo, invertendo i termini di una relazione finora intesa al contrario da gran parte dei players ICT mondiali. Internet è e deve restare veicolo di libertà e partecipazione. La mission del colosso americano sembra essere divenuta quella di limitare al minimo i rischi derivanti dal suo esercizio. La strada è quella giusta, staremo a vedere se Microsoft saprà percorrerla fino in fondo.