Tag: GDPR

Pubblicato il

Trasparenza e comunicazione delle informazioni. Breve analisi critica.

Trasparenza e comunicazione delle informazioni. Breve analisi critica.

Siamo tutti convinti di saper comunicare davvero e ci ergiamo a difensori della trasparenza nelle comunicazioni e nelle informazioni, ma sappiamo davvero cosa significano queste cose?

Comunicazioni trasparenti
Tipico esempio di comunicazione trasparente, se conosci il codice.

Trasparenza.

Di sicuro questa parola ha assunto, nell’ultimo periodo storico, un forte significato sul piano sociale, politico ed economico. Si pretende trasparenza dalle istituzioni, si vuole trasparenza nelle gare d’appalto, si esige trasparenza nei rapporti commerciali…

Ma cos’è davvero la trasparenza? Aver scritto già così tante volte questa parola, in così poche righe l’ha già snaturata e resa banale. Rischia quasi di fare mucchio assieme alle altre sue colleghe come “responsabilità”, “correttezza”, “informazione”…

Durante il congresso annuale di AssoDPO, che si è tenuto a Milano gli scorsi 8 e 9 maggio, uno dei moderatori, a conclusione del suo intervento di riepilogo, faceva notare quanto molto del lavoro che bisognerà affrontare per raggiungere il completo adeguamento al GDPR vedrà le informative come oggetto principale. Solo pochi giorni dopo, il 12 maggio, l’AGCM emetteva un comunicato stampa sulla sanzione da 3 milioni di Euro comminata a WhatsApp, per aver indotto gli utenti a condividere i loro dati con Facebook (qualcuno ricorderà di sicuro un messaggino da parte di WhatsApp, che era arrivato più o meno a metà dello scorso anno, circa le variazioni dei termini di contratto del servizio… ebbene, io lo ricordo, così come ricordo chiaramente di aver accettato senza nemmeno aver letto, il che è di per se un grave errore).

Già il giorno successivo al termine del congresso stavo lavorando su una teoria che vede le norme sulla protezione dei dati strettamente legate con quelle sulla tutela dei consumatori (per quelli che vanno matti per le fonti normative, rispettivamente il Dlgs 196/2003, art. 7, co. 1, il GDPR, art. 12, par. 1 e il Dlgs 206/2005, art. 5, co. 3). Poi l’atto dell’Autorità Garante della Concorrenza e del Mercato mi ha dato una preziosa conferma che fossi sulla strada giusta. Ve la espongo.

Spesso ci si trova a scrivere l’informativa agli interessati, pensando che sia un mero adempimento burocratico di poco conto. Chi è convinto di questo, sottovaluta la questione e non si accorge che quell’informativa è uno dei più importanti biglietti da visita di un’organizzazione, perché non è “solo un’informativa”, ma “comunicazione”.

Oggi la comunicazione è sovente affidata a esperti, e si ritiene che lo scopo principale sia legato al marketing in senso lato e a migliorare la percezione dell’immagine dell’ente da parte degli altri. Ma siamo sicuri di sapere davvero comunicare? Non si sta, forse, sottovalutando uno degli aspetti basilari di questa pratica, ovvero che lo scopo della comunicazione sia trasferire dalla testa dell’emittente, l’esatto concetto che questo sta elaborando, alla testa del ricevente? Bisogna aver presente che se quest’ultimo non capisce cosa gli stiamo dicendo, non è necessariamente stupido lui: è possibile che siamo noi a non aver scelto il linguaggio giusto (sorvolo sugli altri elementi del processo comunicativo, perché non pertinenti in questa sede).

E dunque mi domando: cosa significa “rendere le informazioni all’interessato”? Quali aspetti sono maggiormente critici?

Ebbene, dopo attente riflessioni sono giunto alla conclusione che fornire informative che citano più o meno testualmente la norma o di natura standardizzata o decontestualizzata, sia inutile. Perché contengono dati che sono facilmente intuibili oppure già conosciuti o conoscibili dal ricevente.

Fornire un’informativa agli interessati significa dover pensare a cosa si vuole comunicare, a quali informazioni siano pertinenti nel contesto in cui viene resa, al contesto stesso, al rapporto con l’interlocutore, al mezzo di comunicazione scelto e, soprattutto, al destinatario.

A questo punto ritorno sulla trasparenza e qualcuno, prevedibilmente, si chiederà: cosa c’entra tutto questo con la trasparenza?

Il legame è stretto: trasparenza, in questo caso, significa facilità di accesso all’informazione, significa comprensibilità, significa non fare fatica nel capire cosa qualcuno ci stia comunicando, significa immediatezza.

Non tutte le informative sono uguali perché non tutti i contesti, né tutti gli interlocutori lo sono. Già in alcuni ambiti territoriali (per esempio nelle Regioni a statuto speciale del nord Italia), alcuni operatori economici sono obbligati a informare i loro clienti in almeno due lingue (l’italiano e quella straniera maggiormente usata). Provate poi a immaginare quale potrebbe essere il livello di attenzione di un anziano appena immigrato, a cui comunicate informazioni circa il trattamento dei suoi dati personali in forma orale, ma parlando con lo stesso linguaggio forbito e formale che si potrebbe usare in una comunicazione scritta. Oppure pensate a quanto possa essere efficace una comunicazione in forma scritta fornita a un cieco, senza che questa utilizzi il codice Braille.

Chi mi conosce sa che non vado matto per le citazioni a memoria delle norme, ma stavolta mi sembra utile per sottolineare il concetto che sto esprimendo:

  • Le informazioni al consumatore, da chiunque provengano, devono essere adeguate alla tecnica di comunicazione impiegata ed espresse in modo chiaro e comprensibile, tenuto anche conto delle modalità di conclusione del contratto o delle caratteristiche del settore, tali da assicurare la consapevolezza del consumatore;
  • L’interessato ha diritto di ottenere la conferma dell’esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile;
  • Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato.

Che lo ammettiate o meno, questi tre disposti normativi ci impongono la stessa identica cosa: la trasparenza.

E la trasparenza è relativa e va vista dalla prospettiva del destinatario. Spero di essere riuscito a comunicarlo.

Pubblicato il

Software gestionali per la privacy: benefici e rischi

Software gestionali per la privacy: benefici e rischi

Prima di procedere con l’acquisto, così come durante il suo utilizzo, sarebbe bene ricordarsi che un programma gestionale è solamente uno strumento che per rendere al meglio deve essere maneggiato con l’adeguata preparazione.

Capiamoci fin da subito: non sono contro i gestionali per partito preso, anzi, direi piuttosto che mi schiero con chi ritiene che le macchine non possono fare tutto e non possono sostituirsi all’uomo. Se è vero che avere un software apporta alcuni benefici, lo è altrettanto che espone chi lo usa a nuovi rischi.

Tralasciamo il fatto che non tutti i gestionali sono uguali e che possono comportare spese differenti in termini di acquisto della licenza, o investimenti per lo sviluppo interno, o canoni per l’assistenza, e che ovviamente possono offrire una qualità di servizio differente, e concentriamoci su alcuni (tutti è difficile farlo in questa sede) dei benefici e dei rischi che interessano prevalentemente il lato operativo della faccenda.

Tra i benefici penso si possano elencare una miglioria nella gestione complessiva degli adempimenti, una migliore organizzazione delle scadenze e una facilità di accesso a determinate informazioni sul modello organizzativo adottato per proteggere i dati personali.

In alcune realtà, potrebbe essere un valido strumento per la conduzione di audit o, comunque, per espletare alcuni dei controlli necessari, tra cui la valutazione di impatto sulla protezione dei dati (c.d. DPIA), e migliora senza dubbio gli effetti del lavoro di squadra e della collaborazione attiva, sempre più rilevanti e importanti nelle organizzazioni moderne, soprattutto se il suo impego non è limitato a poche persone chiave.

D’altro canto, i rischi sono comunque dietro l’angolo.

Innanzi tutto si rischia di sostituire completamente l’elemento umano, trasformando potenzialmente alcuni dei trattamenti da “manuali” a “automatizzati”, con tutto quanto ne consegue anche sotto l’aspetto della tutela dei diritti degli interessati.

Secondariamente, affidarsi troppo al software potrebbe allontanare dalla realtà effettiva dei fatti chi è incaricato di controllare il sistema, come i responsabili o i DPO. Se il software non funzionasse correttamente (e non è un’ipotesi da escludere a priori, visto che è prassi consolidata emettere patch o aggiornamenti per correggere anomalie o bachi) potrebbe avere effetti negativi sulla realtà percepita e, di conseguenza, sull’efficacia del controllo e della gestione complessiva.

Infine, basare il proprio operato esclusivamente sul gestionale per la privacy, genera un errore di fondo gravissimo (a mio parere) soprattutto in sede di valutazione d’impatto: procedendo solo con il software, non potremmo più parlare di “valutazione”, bensì dovremmo parlare di “misurazione”.

Il perché è presto detto: ogni realtà è differente e ognuna include necessariamente operatori (responsabili del trattamento, DPO, incaricati, IT manager…) differenti che hanno ognuno ciascuno un bagaglio di conoscenze ed esperienze diversi e di cui è doveroso tenerne conto in sede di valutazione che, oltre tutto, è di per sé un prodotto di queste conoscenze ed esperienze. Una valutazione è necessariamente soggettiva e deve essere relativa al contesto osservato, perché è sulla base delle sue caratteristiche e dei risultati della valutazione stessa, che il titolare del trattamento può mettersi nella condizione di essere adempiente alle norme vigenti, su tutte il GDPR, con particolare riferimento agli artt. 24, 25, 32 e 35, che richiedono tutti di tenere conto dell’ stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche i rischi gravanti sui diritti e le libertà degli interessati.

Tutto questo, senza scomodare la più recente giurisprudenza che è arrivata ad affermare che il concetto di dato personale, fortemente legato all’identificabilità anche indiretta della persona fisica a cui si riferiscono, è correlato anche alla “facilità” e all’impegno necessario per identificarla. Tradotto: se io scrivo Mario Rossi o John Smith, in questo testo e per coloro che lo leggono, sono quattro parole che di dato personale hanno ben poco.

Pensare di essere a posto con la privacy solo perché si è comprato un software per la sua gestione, è come salire su un’auto da F1 e pensare di poter vincere il GP di Montecarlo senza aver mai guidato quel mezzo, né mezzi simili, né essere mai stato in pista, né aver mai visto le strade di Montecarlo aperte al traffico.

Chi lo fa, è un pericolo per sé e per gli altri. Con l’aggravante di non essere pienamente consapevole di cosa significhi effettivamente occuparsi della protezione dei dati personali.

Pubblicato il

Controllo a distanza con videosorveglianza, GPS o altri sistemi

Privacy e videosorveglianza con i nuovi modelli INL

L’Ispettorato Nazionale del Lavoro ha rilasciato la versione aggiornata dei modelli da utilizzare per presentare le istanze di autorizzazione al telecontrollo dei lavoratori. Da marzo 2017 diventano tre, ognuno specifico per una determinata modalità, in luogo di uno unico

Dal 10 marzo 2017 sul sito dell’INL sono disponibili tre modelli – scaricabili in formato PDF – per presentare le istanze di autorizzazione all’installazione e utilizzo di apparecchiature che consentono il telecontrollo dei lavoratori. Uno specifico per la videosorveglianza, uno specifico per gli impianti GPS a bordo delle auto aziendali e uno specifico per tutti gli altri dispositivi di controllo.

Concentriamoci, in questa sede, sul modello predisposto per la videosorveglianza (qui il link), ossia il primo file dell’elenco (per intenderci, è quello che, una volta aperto, reca l’intestazione “Modulo istanza di autorizzazione all’installazione di impianti audiovisivi”). Più specificamente, andiamo a fare alcune considerazioni sulla sezione delle “dichiarazioni”. Va sottolineato, anzitutto, che apporre la propria firma sul documento, senza che la situazione di riferimento sia conforme a quanto scritto in questa sezione, corrisponde a dichiarare il falso, con tutto quello che ne consegue.

Tutta la sezione è costellata di richiami più o meno indiretti alla normativa sulla privacy, a partire dalla limitazione temporale della conservazione, fissata a 24 ore (salve speciali esigenze), passando per l’informativa da rendere agli interessati (lavoratori e non), fino alla generica indicazione di “rispettare la disciplina, in particolare il provvedimento in materia di videosorveglianza”.

Proprio quest’ultimo punto potrebbe rappresentare un ostacolo non da poco, soprattutto ora che è arrivato il GDPR (Regolamento UE 2016/679), che richiede l’adozione di un approccio orientato alla gestione del rischio e focalizzato sulla responsabilizzazione e la dimostrabilità di ogni decisione assunta.

Cosa significa, dunque, essere conformi alla normativa?

Innanzi tutto, ogni titolare del trattamento (cioè chi vuole installare l’impianto) dovrebbe porsi le domande fondamentali “è proprio necessario fare videosorveglianza?” e “non posso organizzarmi in un altro modo?”. Se la risposta è affermativa, allora non c’ nemmeno bisogno di investine nell’acquisto del sistema.

Se, invece, la risposta è negativa, allora questa risposta e le motivazioni che hanno permesso di darla, cioè tutte le considerazioni e le valutazioni in merito, devono essere adeguatamente riportate in una relazione.

Una volta che abbiamo deciso e capito che ci serve davvero la videosorveglianza, bisognerà procedere con l’organizzarsi adeguatamente e prima che sia installato l’impianto. Tra le varie persone a nostra disposizione, dovremo individuare almeno due responsabili del trattamento, e spiegare loro dettagliatamente cosa significa essere il “responsabile della videosorveglianza” (si va dalla semplice custodia delle chiavi di accesso al sistema, fino alla completa gestione e manutenzione dell’infrastruttura hardware e software e al controllo in diretta dei monitor). Queste istruzioni, oltre a risultare da un atto scritto e ufficiale, dovranno poi essere coerenti con una politica o, almeno, una procedura interna che disciplini specificamente l’argomento.

Tutte queste informazioni saranno la base su cui elaborare la relazione tecnico-descrittiva richiesta al punto 2 della lista degli allegati da presentare con l’istanza.

Riassumendo, questo è ciò che occorre avere (almeno):

  • La valutazione preliminare sulla necessità di dotarsi di un impianto di videosorveglianza;
  • La valutazione dell’impatto sulla privacy che consegue all’installazione dell’impianto;
  • Eventualmente, la motivazione del perché servono tempi di conservazione più lunghi (e qui potrebbe entrare in gioco il Garante);
  • Un adeguato modello organizzativo, con policy e procedure specifiche;
  • Nominare i responsabili per iscritto e istruirli sul loro compito;
  • Informare tutti gli interessati con modalità “estese” e con i cartelli.

In conclusione, vi ricordo che l’istanza è da presentare solo se non è presente alcuna rappresentanza sindacale in azienda, o se con quella presente non si è raggiunto un accordo (cosa che potrebbe richiedere un modus operandi molto simile) e vi rammento che per l’installazione dell’impianto, bisogna seguire anche le eventuali indicazioni che arrivano dalla normativa sulla sicurezza sul lavoro riguardo gli obblighi dei progettisti, degli installatori e, se pertinente, dei committenti e degli appaltatori.

Pubblicato il

DPO: attenzione alla selezione

DPO: attenzione alla selezione

La caccia alla nuova figura deve essere organizzata bene, altrimenti si rischia di commettere errori gravi quanto la mancata nomina

Il GDPR è in vigore da quasi un anno, ma le prime bozze risalgono al 2012. Le linee guida sul DPO, invece, sono state pubblicate sul finire del 2016, mentre in questo periodo è in discussione una bozza di norma UNI. In ogni caso, è già parecchio tempo che si sente parlare della figura del Responsabile della protezione dei dati, un ruolo chiave nel futuro di molte organizzazioni e, certamente, una delle più rilevanti novità introdotte dal Regolamento UE 2016/679.

Il suo profilo, a prescindere da tutto, è già abbastanza chiaro leggendo il testo normativo: deve essere competente in materia e deve essere indipendente.

Proprio sull’aspetto dell’indipendenza, si sono focalizzate le linee guida, che escludono esplicitamente che il DPO, che pure può svolgere altre attività e ricoprire altre mansioni, possa essere coinvolto in qualsivoglia conflitto d’interessi. Questo perché, citando il le linee guida del 13 dicembre 2016, “l’assenza di conflitti di interessi è strettamente connessa agli obblighi di indipendenza. Anche se un RPD [Responsabile della Protezione dei Dati, ndr] può svolgere altre funzioni, l’affidamento di tali ulteriori compiti e funzioni è possibile solo a condizione che essi non diano adito a conflitti di interessi. Ciò significa, in modo particolare, che un RPD non può rivestire, all’interno dell’organizzazione del titolare o del responsabile, un ruolo che comporti la definizione delle finalità o modalità del trattamento di dati personali. Si tratta di un elemento da tenere in considerazione caso per caso guardando alla specifica struttura organizzativa del singolo titolare o responsabile”.

Le linee guida offrono anche un approfondimento con una nota in calce, affermando che “a grandi linee, possono sussistere situazioni di conflitto con riguardo a ruoli manageriali di vertice (amministratore delegato, responsabile operativo, responsabile finanziario, responsabile sanitario, direzione marketing, direzione risorse umane, responsabile IT), ma anche rispetto a posizioni gerarchicamente inferiori se queste ultime comportano la determinazione di finalità o mezzi del trattamento”.

A questo punto, e tenendo conto degli aspetti legati alle conoscenze e alle capacità richieste al DPO, è possibile che le aziende che non hanno una persona interna a cui assegnare il ruolo, o che non abbiano un consulente esterno per lo stesso scopo, si affidino a chi seleziona personale per conto terzi in maniera professionale.

Tralasciando il fatto che questi soggetti dovrebbero aver fatto la dovuta notificazione al Garante per la natura della loro attività, e che quindi l’assunzione di un candidato selezionato illecitamente potrebbe – almeno in linea teorica – comportare alcuni problemi per l’azienda che vuole il DPO, sarebbe opportuno che almeno chi seleziona, sappia chi, cosa e come cercare.

E qui si entra in un aspetto legato più alla qualità dei servizi offerti, che alla privacy in senso stretto: se si deve selezionare un qualcuno (in questo caso il DPO), sarebbe opportuno sapere esattamente quali requisiti deve rispettare o, almeno, avere l’intelligenza di affidarsi a qualcuno che li conosca ed eventualmente corregga le indicazioni errate. L’art. 38 e il considerando 97 del GDPR parlano chiaro.

L’immagine è tratta da un annuncio di lavoro trovato online. Non cito la fonte per decenza, ma non è la prima volta che mi trovo a criticarla per aspetti simili.

Pubblicato il

Slide sulla videosorveglianza

Slide sulla videosorveglianza

Un’utile pubblicazione per conoscere gli adempimenti previsti dalle norme che regolano la videosorveglianza, la privacy, il lavoro

Sul sito iCLHUB sono ora a disposizione le slide tecnico normative per i formatori sulla normativa e sulle procedure da attuare per la corretta videosorveglianza dei luoghi di lavoro. In allegato anche il vademecum per utenti e installatori.

Come esperto in materia di protezione dei dati personali, ho scelto di pubblicare sulla Libreria Digitale Pubblica dell’Associazione un pacchetto di slides tecniche in formato PDF, da utilizzare nei corsi sull’utilizzo in sicurezza della videosorveglianza (dei lavoratori, dei beni aziendali, dei processi produttivi…).

Nelle slide sono presenti tutti i riferimenti tecnico normativi (e relative istruzioni) al Nuovo Statuto dei Lavoratori, al Codice Privacy, alle sanzioni derivanti dal Codice Civile e Penale per un uso scorretto (nelle forme e nei modi) della videosorveglianza, con un focus particolare sul provvedimento sulla videosorveglianza del Garante.

A complemento, un secondo file (sempre in formato PDF) con un vademecum sui punti fondamentali della videosorveglianza dei diversi ambiti d’applicazione (lavoro, domestico, condominiale, sanitario…).

Pubblicato il

Linee guida sul DPO in italiano

Linee guida sul DPO: arriva la traduzione in italiano

Il Garante pubblica la traduzione ufficiale delle linee guida del WP29

Sul sito internet dell’Autorità Garante per la Protezione dei Dati Personali sono disponibili dal 3 febbraio 2017 le traduzioni ufficiali, a cura del Garante stesso, dei documenti rilasciati il 13 dicembre 2016 dal Working Party 29, l’istituzione europea che raccoglie i rappresentanti delle varie autorità di controllo nazionali in materia di privacy.

Sono infatti disponibili, ora, i testi delle linee guida sui responsabili per la protezione dei dati (in inglese data protection officer), che ora acquistano l’acronimo italiano RPD in luogo dell’inglese DP, e le relative FAQ.

La pubblica consultazione si è chiusa il 15 febbraio e a breve si attendono le versioni definitive.

Magari la traduzione non è stata tempestiva, ma comunque è utile per continuare a parlare sempre di più di questo ruolo fondamentale sotto il profilo strategico e organizzativo delle imprese e delle pubbliche amministrazioni e che diventerà obbligatorio in molte realtà con l’applicazione del GDPR, a partire dal 25 maggio 2018. Mancano solo 475 giorni.

Pubblicato il

Il GDPR, questo sconosciuto

Il GDPR, questo sconosciuto

A nove mesi dalla pubblicazione sulla Gazzetta Ufficiale dell’UE, sono ancora troppi a non sapere nemmeno che esiste.

Sono decisamente sconfortanti e allarmanti i dati che emergono dalle varie indagini condotte per capire quanti siano a conoscenza della nuova norma europea sulla protezione dei dati personali. Sconfortanti almeno quanto quelli che riguardano il numero di coloro che già si stanno preoccupando di arrivare pronti alla scadenza fissata per il 24 maggio 2018, data in cui il Regolamento europeo 2016/679 (per gli amici “GDPR”) sarà direttamente applicabile in tutti gli Stati membri.

Sembra quasi che nella società contemporanea, che si fonda sull’informazione e sulla condivisione di dati, nessuno si renda conto che è proprio con i dati personali che si fa politica, business e una vasta varietà di altre attività, dalle più semplici alle più complesse.

Recenti studi mostrano che in Italia, meno del 10% delle aziende abbiano già intrapreso un percorso di adeguamento, e la percentuale è addirittura minore, se riferita alle pubbliche amministrazioni.

Ormai manca meno di un anno e mezzo al termine ultimo fissato per allinearsi alla nuova norma, e il processo, secondo i vari contesti, potrebbe essere tutt’altro che semplice: ormai si è arrivati al punto che parlare di privacy come mero adempimento burocratico è non solo anacronistico, ma addirittura da incoscienti, perché oggi, la protezione dei dati personali è fondamentale per raggiungere obiettivi strategici.

Il GDPR deve essere visto come strumento per migliorare l’intera gestione delle organizzazioni, responsabilizzando tutta la struttura e tutta la filiera che concorre nel trattamento dei dati, seguendo gli ormai già collaudati princìpi che caratterizzano la gestione della qualità nei processi, la responsabilità sociale e la gestione dei rischi.

Nuovi scenari si delineano all’orizzonte. Non facciamoci trovare impreparati.

Pubblicato il

Il webmaster e la privacy

Il webmaster e la privacy.

Cose scomode che gli artigiani del web devono sapere.

Voglio raccontarvi un fatto realmente accaduto. Un fatto che, come a me, potrebbe essere capitato a molti miei colleghi che si occupano di privacy e che mi vede protagonista assieme a un mio amico webmaster (che per ovvie ragioni chiamerò Mario).

Eravamo seduti comodamente a prenderci un caffè e, tra una chiacchiera e l’altra, mentre gli raccontavo che è sempre preferibile scrivere un accordo con i propri clienti prima di iniziare qualsiasi progetto, lui fa una battuta dicendo:

<<Perché dovrei scrivere un contratto ogni volta che faccio un sito? Tanto non ho mica responsabilità, io>>.

In quel momento ho realizzato quanto fosse in pericolo. Sì, avete capito bene: in pericolo. Un pericolo che genera un rischio di conformità nei confronti della normativa sulla tutela dei dati personali e che espone quelli come Mario a pesanti sanzioni amministrative, civili e penali, oltre che all’ormai onnipresente danno d’immagine facilissimo da procurare con gli attuali media (tra cui proprio il web, ironia della sorte!).

Il webmaster (che spesso è chiamato anche a occuparsi delle campagne di marketing attraverso i siti che programma), per sua natura, è un lavoro che è caratterizzato da una grande libertà d’azione, proprio per via dell’ambiente in cui opera, Internet. Molto dell’efficacia delle loro opere è dovuta proprio alla facilità d’uso, alla libertà degli utenti di caricare, condividere, commentare, acquistare con un click. Tutto deve essere, come direbbero gli anglofoni, user friendly.

Per gli utenti, appunto.

Ma chi possiede un sito, e chi lo programma, per raggiungere il risultato che si sono prefissati devono attenersi a precise regole di comportamento, alcune richieste dal buonsenso (come la scelta di un provider che garantisca tempi di disaster recovery brevi), altre imposte da precise norme che vogliono soprattutto tutelare l’utilizzatore del sito, che per chi mastica un po’ di privacy si chiamano interessati.

Su tutti il Codice privacy, che impone l’adozione di misure di sicurezza sia a livello tecnico (per esempio le procedure di autenticazione informatica composte da userID e password univoci), richiamate anche dall’Allegato B, che a livello organizzativo (individuando i responsabili e gli incaricati del trattamento e i rispettivi ambiti operativi, obblighi e responsabilità). Un webmaster è, a tutti gli effetti, il responsabile dell’infrastruttura web dell’azienda e per questo motivo deve essere individuato in modo formale come amministratore di sistema (c.d. ADS o sistemista), che è una particolare forma di responsabile/incaricato.

Se io fossi il DPO dell’azienda cliente del mio amico Mario, gli farei sottoscrivere un preciso documento in cui dichiariamo i suoi obblighi e le sue libertà operative, individuando a priori quali siano gli interventi da fare sul sito (per esempio l’aggiornamento, la manutenzione, la programmazione dei cookie tecnici, analitici o di profilazione, di prima o di terza parte) e gli chiederei l’attestazione che quanto fatto sia conforme ai requisiti i legge richiesti, soprattutto se il suo progetto si conclude con la consegna del sito al committente.

Mario, alla fine del mio spiegone pieno di termini dal minaccioso suono legalese, mi ha domandato cosa dovrebbe fare per essere tutelato. In fondo, la parte che ha capito meglio e che ha attirato la sua attenzione, è stata quella relativa alle sanzioni (per il suo cliente e per lui) che potrebbero tradursi in richiesta di risarcimento per aver consegnato un lavoro non a regola d’arte: si andrebbe dai 36.000 € dell’informativa non idonea ai 120.000 € per le misure di sicurezza non adeguate, dai 120.000 € per un’omessa o inidonea notificazione al Garante in caso di cookie di profilazione ai 180.000 € per il mancato rispetto dei provvedimenti del Garante. E questo solo a livello amministrativo. Spostandoci nell’ambito delle sanzioni penali, Mario rischia molto probabilmente di essere punito con la reclusione fino a due anni per non aver implementato le dovute misure di sicurezza; sempre che non si sia preso il compito di effettuare la notificazione al Garante, e che l’Autorità non abbia poi constatato che questa fosse falsa: in tal caso, gli anni di reclusione sarebbero tre.

La mia risposta è stata semplice: <<Metti tutto per iscritto. Organizzati prima. Previeni.>>

Dopo queste mie parole mi è sembrato preoccupato. Di sicuro non ha voglia di rischiare così tanto.

Cosa gli serve? Facile. Un amico come me. Un consulente privacy.

Pubblicato il

La protezione dei dati

I dati: il patrimonio aziendale più sottovalutato.

Partiamo dal principio. Domani mattina, ti svegli e vuoi aprire un’azienda di successo. La prima cosa che ti viene in mente è che devi cercarti un buon commercialista; forse anche un notaio. Poi, probabilmente, pensi che faresti meglio a chiedere un finanziamento, per coprire le spese iniziali. A questo punto, di solito, ti chiedono di presentare un business plan. E allora ti affretti a scrivere pagine e pagine di descrizioni sulla tua azienda, sul tuo progetto, inserendo dati oggettivi e previsionali, dati che spieghino la tua impresa e le cifre che intendi raggiungere. Se tutto va bene, nel giro di poco potrai tirare su le serrande.

Poi, un bel giorno, intuisci che certi mercati, certi prodotti o servizi sono più redditizi di altri. E allora attivi una campagna di marketing per raccogliere dati sul territorio, sui gusti e le abitudini delle persone, per supportare la tua intuizione. Alla fine, i dati non ti danno pienamente ragione, ma, fortunatamente, guardandoli e studiandoli capisci quale strada percorrere.

Passano gli anni e, tra alti e bassi, la tua azienda cresce, cambiano le persone che ci lavorano, cambia modello di governance, cambiano le strategie e cresce la complessità dell’organizzazione. Però il capo del magazzino non è in buoni rapporti con la responsabile amministrativa, e non sempre le passa per tempo i dati di cui lei ha bisogno per emettere le fatture e pagare i fornitori. Di più: ogni tanto si avventura in qualche “vendita sottobanco”, facendo uscire dal magazzino prodotti senza lasciarne traccia.

Per fortuna te ne accorgi per tempo e fai installare da un tuo carissimo amico un impianto di videosorveglianza all’avanguardia, con telecamere a colori che permettono di zoomare e di registrare le conversazioni. Grazie a questo sistema, riesci a raccogliere i dati necessari a smascherarlo e lo licenzi.

Peccato, però, che lui ti trascini davanti a un giudice, che deciderà che la tua prova (la videoregistrazione) non solo è inammissibile, ma è anche illecita.

È illecita perché non hai tutelato i dati personali del tuo capo magazziniere, che taroccava i dati del magazzino per i suoi interessi personali e influenzava negativamente i dati gestionali e amministrativi, esponendoti anche al rischio di falso in bilancio.

Come vedi, i dati sono importantissimi per un’azienda. Sono più importanti dei soldi, perché è con i dati, che si hanno le informazioni necessarie per fare i soldi. Sono, lo strumento più potente e versatile che un’azienda possa avere. Sono un patrimonio imprescindibile a livello strategico e operativo, in sede di pianificazione e in ogni singola attività. Proprio per questo meritano di essere adeguatamente protetti e gestiti.

In Italia, oggi, uno spunto utile per la protezione dei dati ci arriva dal Codice in materia di protezione dei dati personali. Sì, è il Codice privacy. Sì, la privacy è quella cosa che tanto in Italia non esiste perché bla bla bla. Ma un dato personale resta pur sempre un dato. E tutti i dati si proteggono allo stesso modo.

Non pensi anche tu che valga la pena assicurarsi di aver protetto bene i tuoi dati?

Pubblicato il

Jobs Act & privacy

Controllo dei lavoratori: cosa cambia con il Job Act.

Il 24 settembre 2015 entra in vigore l’ormai famoso Job Act, il testo normativo con cui il Governo sta disciplinando nuovamente il mondo del lavoro, è ormai imminente. Pochi giorni fa, infatti, è stato pubblicato il testo definitivo del decreto (Dlgs 151/2015) con cui, tra gli altri argomenti, saranno introdotte importanti modifiche allo Statuto dei lavoratori (L 300/1970). In particolare, trova rilevanza l’aggiornamento dell’art. 4 della legge, rubricato “Impianti audiovisivi e altri strumenti di controllo”.

Di seguito sono riportati il testo vigente e quello futuro, che precedono una serie di miei commenti in merito.

Testo attuale Testo modificato
Art. 4. Impianti audiovisivi Art. 4. Impianti audiovisivi e altri strumenti di controllo
1. È vietato l’uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori. 1. Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali. In alternativa, nel caso di imprese con unità produttive ubicate in diverse province della stessa regione ovvero in più regioni, tale accordo può essere stipulato dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale. In mancanza di accordo gli impianti e gli strumenti di cui al periodo precedente possono essere installati previa autorizzazione della Direzione territoriale del lavoro o, in alternativa, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più Direzioni territoriali del lavoro, del Ministero del lavoro e delle politiche sociali.
2. Gli impianti e le apparecchiature di controllo che siano richiesti da esigenze organizzative e produttive ovvero dalla sicurezza del lavoro, ma dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere installati soltanto previo accordo con le rappresentanze sindacali aziendali, oppure, in mancanza di queste, con la commissione interna. In difetto di accordo, su istanza del datore di lavoro, provvede l’Ispettorato del lavoro, dettando, ove occorra, le modalità per l’uso di tali impianti. 2. La disposizione di cui al comma 1 non si applica agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze.
3. Per gli impianti e le apparecchiature esistenti, che rispondano alle caratteristiche di cui al secondo comma del presente articolo, in mancanza di accordo con le rappresentanze sindacali aziendali o con la commissione interna, l’Ispettorato del lavoro provvede entro un anno dall’entrata in vigore della presente legge, dettando all’occorrenza le prescrizioni per l’adeguamento e le modalità di uso degli impianti suddetti. 3. Le informazioni raccolte ai sensi dei commi 1 e 2 sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196.
4. Contro i provvedimenti dell’Ispettorato del lavoro, di cui ai precedenti secondo e terzo comma, il datore di lavoro, le rappresentanze sindacali aziendali o, in mancanza di queste, la commissione interna, oppure i sindacati dei lavoratori di cui al successivo art. 19 possono ricorrere, entro 30 giorni dalla comunicazione del provvedimento, al Ministro per il lavoro e la previdenza sociale.

È doveroso notare fin da subito che l’approccio dei due testi è fondamentalmente differente, poiché mentre il primo impone un divieto a cui applica alcune eccezioni, il secondo concede una libertà fortemente limitata. Detto questo, nella sostanza dei fatti e nella sua applicazione non cambia poi molto, e i sistemi audiovisivi e gli strumenti, potranno essere impiegati solo per tre finalità e solo previo accordo sindacale o permesso dell’autorità territorialmente competente.

Un’altra premessa importante è individuare il più chiaramente possibile quali siano gli impianti audiovisivi e gli altri strumenti dai quali può derivare la possibilità di controllo a distanza del lavoratore. Qui, la tecnologia e il suo incessante incedere non ci viene in aiuto, perché molti di questi sono prodotti di ultima generazione, a cui pochi conferiscono tale potere. Se parlare di impianti di videosorveglianza è scontato, lo è molto meno parlare di black box sui veicoli (spesso installati per finalità legate prevalentemente al premio assicurativo), degli smartphone e dei mobile device, dei rilevatori GPS e degli strumenti hardware e software ormai largamente diffusi nel campo dell’ICT.

Si noti anche che, per quanto riguarda le autorizzazioni, non si fa più menzione della “commissione interna”. Questo, sebbene da un lato sembrerebbe aumentare il livello di burocrazia nella gestione della conformità, dall’altro è sinonimo di garanzia della tutela dei diritti del lavoratore, poiché è necessario ricorrere almeno a una convocazione delle rappresentanze sindacali aziendali, se non rivolgersi alla DTL competente o al Ministero.

Il secondo comma della norma aggiornata prevede che per l’utilizzo di strumenti per la registrazione degli accessi e delle presenze (per esempio i badge o gli impianti biometrici) e di tutti quegli strumenti necessari al lavoratore per rendere la prestazione lavorativa (per esempio il PC, lo smartphone o la posta elettronica) non sia necessario ricorrere all’accordo sindacale o al permesso ministeriale. Questo implica che per tutti gli altri strumenti che non siano necessari al lavoratore per compiere la propria attività, bisognerà convocare le rappresentanze sindacali o inoltrare la domanda alla DTL o l Ministero.

Infine, il terzo e ultimo comma, dispone che le informazioni raccolte ai sensi dei due commi siano utilizzabili per tutti i fini connessi al rapporto di lavoro, purché sia data al lavoratore un’adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal Codice privacy. In altre parole, si stabilisce che fornendo un’idonea informativa al lavoratore ex art. 13 e seguendo i dettami del Dlgs 196/2003 (compresi Provvedimenti e Linee guida specifici), le informazioni raccolte dall’azienda potranno essere utilizzabili per tutti i fini connessi al rapporto di lavoro, inclusi quelli disciplinari, finora esclusi dall’orientamento generale che ha tenuto la giurisprudenza in materia, che non ha permesso di utilizzare tali dati, ottenuti tramite i cosiddetti “controlli difensivi”, per provare l’inadempimento contrattuale del lavoratore. Questo non significa affatto che è permesso un controllo indiscriminato da parte del datore di lavoro, perché restano fermi i principi fondamentali della tutela dei dati personali (pertinenza, correttezza, non eccedenza del trattamento, divieto di profilazione).

Alla luce di quanto esposto, quindi, come si deve comportare un’azienda per ritenersi conforme ed evitare di incorrere nelle sanzioni previste (ammenda e/o arresto)? Sarà necessario che segua un percorso ben definito, che si può agevolmente riassumere così:

  1. Fare una mappatura degli impianti e degli strumenti richiamati dalla normativa;
  2. Procedere con una valutazione d’impatto privacy, ossia determinare quali siano i processi e le attività in cui si trattano dati personali (in questo caso con riguardo dei lavoratori), quali strumenti si utilizzano e per quali scopi;
  3. Determinare, un modello organizzativo e un sistema di controllo ritagliati ad hoc sull’argomento, con l’eventuale nomina di un responsabile del trattamento;
  4. Ottenere l’accordo con le parti sindacali o il nulla osta da parte dell’autorità competente, se le condizioni lo impongono;
  5. Informare tutti riguardo i contenuti della policy e il trattamento dei dati che consegue all’impiego di sistemi audiovisivi o altri strumenti.