App per desk booking: requisiti per privacy e sicurezza

Tra i fattori che indirizzano la scelta della corretta app per desk booking non ci sono unicamente quelli relativi a funzionalità, integrazioni e user experience, ma anche tematiche più specifiche – ma non meno importanti – come la privacy e la sicurezza. I motivi sono palesi: il software enterprise può trasformare un’organizzazione rendendola migliore e più produttiva, ma affinché ciò accada è fondamentale che sia sempre accessibile, che i dati che custodisce non cadano nelle mani sbagliate e che sia anche conforme alla normativa in essere in tema di protezione dei dati personali.

App per desk booking e il mare magnum della sicurezza del cloud

Il tema della sicurezza è di per sé molto complesso, ma si possono fornire alcune indicazioni di alto livello. Inoltre, si tratta di un argomento di forte attualità poiché la maggior parte delle app per desk booking e, in generale, i tool di gestione del workplace sono forniti come servizi cloud (SaaS), un modello estremamente diffuso che porta grandi benefici di efficienza per l’azienda ma anche meno possibilità di controllo su strumenti, processi e tecnologie adottate dall’applicazione (e dal provider) a salvaguardia dei dati raccolti mediante il suo utilizzo.

In sede di software selection, è utile informarsi circa le misure di sicurezza adottate dall’app, che possono andare dalla crittografia dei dati alla Multi-Factor Authentication, così come avere visibilità sulle misure impiegate dal SaaS provider per garantire la continuità del servizio e la protezione dei dati contro potenziali (e prevedibili) attacchi dall’esterno. Molte app enterprise sono ospitate nelle infrastrutture cloud di grandi provider (Microsoft, Google, Amazon, IBM), e questo rappresenta senza dubbio un punto a favore poiché possono usufruire di standard di sicurezza – intesi come tecnologie, processi e competenze – allo stato dell’arte. Meglio ancora il caso in cui il provider fornisca indicazioni (sempre limitate alla sicurezza) relative alle policy di backup e di replica dei dati (tema molto utile anche in termini di compliance normativa), ma anche informazioni sull’aggiornamento del software, sui sistemi di threat detection adottati, sull’utilizzo di sistemi di live monitoring ecc, il tutto finalizzato a siglare degli accordi sui livelli di servizio (SLA) che siano effettivamente puntuali e attendibili.

Il tema della privacy, ovvero la GDPR Compliance

Oggi si può affermare che il termine privacy sia diventato sinonimo di GDPR, il Regolamento Generale sulla Protezione dei Dati divenuto operativo in tutta l’Unione Europea lo scorso 25 maggio 2018 e finalizzato a rafforzare la protezione dei dati dei cittadini UE e a restituire loro il controllo delle proprie informazioni. Ogni qual volta l’azienda introduce un software di terze parti che prevede la circolazione di dati al di fuori del perimetro aziendale (cosa quanto mai comune, vedi il discorso dei servizi SaaS), deve sincerarsi non solo di agire essa stessa in modo conforme ai dettami della normativa, ma che lo facciano anche le terze parti coinvolte nel processo, SaaS provider in primis. Quando quest’ultimo dichiara la propria App GDPR Compliant significa che l’azienda ha posto in essere una serie di policy e di procedure di Data Protection conformi con il recente Regolamento UE.

Per quanto riguarda nello specifico un’app per desk booking, quali informazioni possono essere memorizzate? Certamente i dati identificativi degli utenti, come nome, cognome, e-mail, funzione e sede di riferimento, ma soprattutto quelli relativi alla sua posizione, alle attività svolte e da svolgere, come i desk prenotati, i check-in effettuati, le stanze in cui è stato, i meeting cui ha partecipato, la loro durata e via dicendo. Pur non transitando (salvo eccezioni) informazioni finanziarie o dati coperti da vincoli di confidenzialità, resta fondamentale che la conservazione e il trattamento vengano effettuati in modo conforme alla normativa in essere. Questo significa, tra i potenziali comportamenti virtuosi, che i dati vengano raccolti solo per scopi specifici e legittimi, che vengano acquisiti solo quelli strettamente necessari allo scopo, che vengano mantenuti non più a lungo di quanto necessario, che siano memorizzati in modo tale da garantirne l’integrità e la confidenzialità e tante altre misure che confluiscono nel principio generico di Privacy by Default, posto a tutela dei diritti dei propri utenti e di conformità di fronte ad audit ed eventuali ispezioni.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.