Questa politica spiega come il consenso e l’autorizzazione degli utenti devono essere ottenuti, documentati e applicati per garantire un accesso legale e responsabile all’interno degli ambienti organizzativi.
Lo scopo di questa politica è definire i principi che regolano il consenso degli utenti e l’autorizzazione all’accesso a sistemi, dati e risorse digitali. Si applica a dipendenti, amministratori, collaboratori e a tutti gli altri utenti autorizzati.
Consenso e autorizzazione sono concetti distinti. Entrambi devono essere presenti quando richiesto dalla legge o dalle regole interne di governance.
Il consenso indica l’accordo informato, volontario ed esplicito di un utente o di un soggetto interessato a consentire l’accesso o attività di trattamento.
L’autorizzazione indica i controlli tecnici e amministrativi che determinano quali azioni un utente autenticato è autorizzato a eseguire.
Il consenso non concede automaticamente un accesso illimitato. Le autorizzazioni devono essere sempre limitate a ruoli definiti e a finalità legittime.
I privilegi amministrativi, le funzionalità di monitoraggio e l’accesso a sistemi sensibili richiedono una giustificazione aggiuntiva, una documentazione adeguata e un controllo rafforzato.
Le organizzazioni sono responsabili dell’ottenimento del consenso degli utenti prima di abilitare accessi, attività di monitoraggio o trattamenti dei dati, quando richiesto dalla legge.
Il consenso deve essere chiaro, documentato e comunicato in modo comprensibile per gli utenti. I meccanismi di consenso implicito o nascosto non devono essere utilizzati quando è richiesto un consenso esplicito.
Gli accessi devono essere concessi sulla base di ruoli definiti, responsabilità e necessità operative. Il principio del privilegio minimo deve essere applicato in ogni momento.
Le autorizzazioni devono essere riesaminate periodicamente e aggiornate tempestivamente quando i ruoli cambiano o l’accesso non è più necessario.
Le decisioni relative al consenso e all’autorizzazione devono essere documentate in modo da supportare revisioni interne, audit e richieste regolamentari.
Le registrazioni devono indicare quando il consenso è stato ottenuto, quale accesso è stato autorizzato e chi ha approvato tale accesso.
La responsabilità dell’ottenimento del consenso, della definizione delle regole di autorizzazione e dell’applicazione dei controlli di accesso ricade interamente sull’organizzazione. Le violazioni di questa politica possono comportare la sospensione degli accessi o misure disciplinari interne.