Se per il dipendente l’utilizzo della messaggistica istantanea ai fini lavorativi è sintomo di velocità, semplicità e praticità – ma anche pigrizia rispetto all’utilizzo dei canali convenzionali – per la società questo rappresenta un chiaro sintomo di vulnerabilità, o quantomeno esposizione dei dati sensibili e informazioni critiche dell’azienda, con possibili ricadute in termini di violazioni della privacy.
L’analisi effettuata da Federprivacy disegna un quadro raccapricciante. Su un campione di oltre mille professionisti, il 48% di essi ha dichiarato di ricevere messaggi confidenziali lavorativi inoltrati da colleghi, il 38% ha ammesso di utilizzare Whatsapp o altre piattaforme analoghe per inviare documenti di lavoro in formato fotografico, il 24% di essi ha perfino candidamente riconosciuto che gli capita di sbagliare destinatario. Il massiccio ricorso allo smart working, con conseguente distanza fisica dai colleghi che un tempo erano nella stessa stanza, ha accentuato il ricorso alle piattaforme virtuali non solo per le cosiddette chiacchiere da bar, ma anche e soprattutto per le comunicazioni “business-oriented”.
Anche oltreoceano, come testimonia uno studio condotto da Veritas Technologies, i numeri non sono dissimili, anzi in alcuni casi – il 71% del campione di oltre 12.500 dipendenti usa app di messaggistica o di videoconferenza online per inviare informazioni critiche dell’azienda per cui lavora – ancor più preoccupanti.
Dal momento che gran parte degli intervistati ha dichiarato che la propria azienda non possiede un sistema di comunicazione interno o ufficiale e i dipendenti continuano a sfruttare i social network, che a tutti gli effetti rappresentano una “scorciatoia” comunicativa, quel che è certo è che occorre andare a disciplinarne l’utilizzo.
Nicola Bernardi e Antonio Ciccia Messina, attraverso Federprivacy, hanno suggerito un decalogo di adempimenti per l’utilizzo della messaggistica in ambiente di lavoro che coniuga gli aspetti della compliance al GDPR, con profili di natura amministrativa e legale.
1) atto di documentazione delle scelte, previo coinvolgimento del DPO;
2) valutazione di impatto privacy;
3) garanzie contrattuali da eventuale venditore di servizi;
4) trattativa sindacale/procedura amministrativa;
5) sessioni di istruzione e formazione del dipendente;
6) revisione dell’atto di autorizzazione al trattamento;
7) revisione del manuale della sicurezza ad uso degli autorizzati;
8) revisione/integrazione del registro dei trattamenti;
9) aggiornamento del codice disciplinare;
10) verbale di consegna/utilizzo del dispositivo e impegno al rispetto delle condizioni di uso prescritte.
Un punto fondamentale è rappresentato dalla scelta della piattaforma con cui comunicare. In una società sempre più 2.0, se non addirittura 3.0, occorre adottare strumenti che, seppure meno conosciuti e di nicchia, rappresentano un investimento, nel rapporto costi-benefici, per l’azienda. Non sempre le piattaforme freemium, seppur professionali, oppure le app consumer sono sinonimo di privacy e sicurezza dei dati personali.
Esistono tuttavia alcune realtà, anche italiane, che hanno fatto proprio della sicurezza e della riservatezza delle comunicazioni il fulcro del loro prodotto. Tra di esse non si può non menzionare Messagenius, una scale-up di cybersecurity specializzata in messaggistica istantanea enterprise, nata dall’idea di Simone Giacco, sviluppatore nella “Top 3%” dei migliori a livello mondiale, e Luigi Fidelio, tra i 50 innovatori selezionati dal Dipartimento di Stato degli Stati Uniti come leader emergenti per la fellowship “Young Transatlantic Innovation Leaders Initiative”.
Il punto di forza della soluzione di messaggistica aziendale sviluppata da Messagenius è rappresentato dall’installazione on-premise o su private cloud dell’azienda che acquista il prodotto, garantendo in tal modo la piena, e soprattutto esclusiva, proprietà dei dati.
Oltre alla crittografia end-to-end, presente di default, è possibile richiedere standard di sicurezza più elevati con chiavi di criptazione nell’esclusivo possesso dell’organizzazione-cliente, impostare conversazioni “buco-nero”, che si auto-distruggono senza essere salvati né dall’interlocutore né sui server, oppure messaggi “scatola-nera”, ovverosia indelebili, immutabili e certificati.
Non manca infine la possibilità di effettuare un audit interno, così da ispezionare le conversazioni. Questo, tuttavia, a condizione che ci siano autorizzazioni, simultanee e interdipendenti, da parte di due o più soggetti all’uopo incaricati, ciascuno in possesso di una propria speciale “chiave” di accesso al server, come se ci si trovasse dinanzi ad una cassetta di sicurezza.
Non per nulla diverse grandi aziende pubbliche italiane e alcuni system integrator di primo piano hanno scelto Messagenius con cui collaborano per proteggere le comunicazioni interne ed efficientare i propri cicli operativi.
