Per la scadenza del regolamento generale sulla protezione dei dati dell'UE (GDPR), non solo i dati dei clienti devono essere gestiti di conseguenza, ma anche la comunicazione interna deve essere allineata alle nuove linee guida.
Il 25 maggio, il GDPR diventa vincolante per ogni azienda europea. "Tuttavia, non è sufficiente assicurare solo la comunicazione con i clienti o il sito web. Anche la comunicazione aziendale interna deve essere progettata per rispettare il GDPR", avverte Christian Heutger, esperto di sicurezza informatica e amministratore delegato di PSW Goup.
La comunicazione interna dell'azienda in particolare comporta la raccolta di dati personali in vari modi, per esempio tramite intranet, social media, app e servizi cloud. Numerosi strumenti e sistemi informatici si imbattono in indirizzi IP, l'accesso ai documenti è concesso, i luoghi e gli orari di utilizzo dei dipendenti sono visibili. "Questo diventa problematico con il GDPR dell'UE. Per la sicurezza e la protezione dei dati, sono proprio le interfacce di queste applicazioni e dispositivi che sono uno dei punti deboli più frequenti", continua Heutger. "Pertanto, ogni dipendente che si occupa di comunicazione interna deve affrontare il tema della protezione e della sicurezza dei dati. Come minimo, bisogna creare una comprensione di base per rendere i cambiamenti nella comunicazione interna comprensibili e quindi applicabili ad ogni dipendente."
Caso problematico il lavoro mobile
Nel mondo del lavoro digitale, i dipendenti sono spesso mobili. Alcuni non hanno nemmeno una postazione PC fissa - ma hanno bisogno di essere inclusi nella comunicazione interna. A questo scopo, servizi come Google Drive, Dropbox o altri provider statunitensi sono spesso utilizzati per modificare congiuntamente documenti riservati. I clienti hanno anche accesso ad alcuni documenti. E non sono poche le aziende che si affidano alle app per i dipendenti: le applicazioni aziendali sono accessibili come app ovunque e in qualsiasi momento.
Queste app sono dotate di una serie di funzioni per raggruppare tutta la comunicazione interna dell'azienda. "Nella maggior parte dei casi, la comunicazione dai vari canali dei social media può essere visualizzata. Inoltre, i sistemi esterni sono spesso integrati. Le chat di gruppo e i messaggi privati permettono alle persone di interagire tra loro. Per dirla in poche parole: Le app di questo tipo raccolgono molte informazioni personali e sensibili. Pertanto, è essenziale controllare eventuali app interne dei dipendenti per la loro conformità EU-DSGVO", avverte il CEO.
I servizi di messaggeria sono anche sempre più utilizzati non solo per la comunicazione privata ma anche per il business. Tuttavia, servizi come WhatsApp non sono particolarmente rispettosi della privacy: solo recentemente si è saputo che Facebook può leggere i messaggi di WhatsApp nonostante la crittografia end-to-end. "Il problema di queste soluzioni è il trasferimento dei dati tra il rispettivo fornitore e il dispositivo finale. Alcuni messenger, tra cui WhatsApp, confrontano automaticamente la rubrica con i dati sul server. Tuttavia, i numeri di telefono e gli indirizzi IP sono dati personali", spiega Heutger e consiglia l'uso di servizi alternativi: "Threema Work, per esempio, è una delle poche soluzioni commerciali che rendono possibile un uso conforme alla protezione dei dati nelle aziende. Con Threema, per esempio, i singoli contatti possono essere esclusi dalla corrispondenza dei dati. Tutte le comunicazioni sono criptate end-to-end e anche le chat e i media memorizzati sullo smartphone sono criptati."
Le aziende dovrebbero anche controllare quali tecnologie sono attualmente utilizzate per la comunicazione interna. Quelli che hanno inviato e-mail internamente senza crittografia dovrebbero cambiarla, per esempio con una soluzione gateway. "Per fare il primo passo verso una cultura della sicurezza olistica, si raccomanda una crittografia end-to-end coerente. Solo i rispettivi partner di comunicazione possono quindi decifrare il messaggio e le e-mail e gli allegati sono al sicuro da lettori non invitati e manipolazioni", consiglia l'esperto.
Impiegati dal punto debole
Inoltre, gli impiegati commettono ripetutamente vari errori riguardo alla protezione dei dati, come lo shadow IT, password facilmente decifrabili o informazioni sensibili nella loro casella postale privata. "Una comunicazione interna conforme al DSGVO non può essere impostata senza una formazione, dei seminari e l'accertamento della conformità. Tuttavia, le persone non cambiano le loro abitudini da un giorno all'altro. È quindi indispensabile sostenere intensamente i dipendenti nel passaggio alla nuova era della protezione dei dati. Il mio consiglio è di prendere per mano i dipendenti, formarli intensamente e dar loro la possibilità di adattarsi alle nuove condizioni che il GDPR UE imporrà a tutti", è il consiglio finale di Heutger.