Organizzarsi è prevenire

Organizzarsi è prevenire

OgranizzazioneSpesso il tempo impiegato per organizzare bene un’attività è visto come una perdita in questioni burocratiche. Fino a che non succede qualcosa…

Non neghiamolo: compliance, gestione del rischio e attività di controllo interne sono tutte cose che alla maggior parte degli imprenditori suonano come inutili perdite di tempo che producono scartoffie e burocrazia che non porta nessun vantaggio e nessun beneficio produttivo.

Questa credenza popolare spesso porta gli stessi soggetti a ritenere i consulenti come me e i miei colleghi soltanto degli artisti del documento, il cui unico compito è scrivere qualcosa che è dovuto per legge, solo perché così, con quel manufatto, si sentono al sicuro da eventuali sanzioni… Come se fosse un oggetto magico, insomma.

Quello che – ahimè – non capiscono, è che non è la carta ad avere il potere, ma il suo contenuto.

Un contenuto che è frutto di esperienza e lavoro, e che per essere efficace (e solo in secondo luogo efficiente) ha bisogno che si investa adeguatamente del tempo per fare in modo che abbia effetti sull’organizzazione aziendale.

Voglio offrirvi un esempio e mi limiterò a citare i fatti e a fare alcune considerazioni.

Un soggetto A, tempo fa mi contattò per richiedere assistenza in tema di protezione dei dati. La sua attività prevedeva (e prevede tutt’ora) tra le altre cose la raccolta e l’elaborazione di determinati dati personali.

In un’ottica di gestione del rischio e di prevenzione di eventuali reclami, suggerii di adottare una procedura per l’eventuale restituzione dei dati agli interessati, in modo che si potesse essere ragionevolmente sicuri di consegnarli soltanto a loro o a persone autorizzate.

All’epoca, il soggetto A mi disse che non era il caso, perché avrebbe portato via parecchio tempo e non sarebbe stato agevole per i suoi clienti.

Capita così che alcuni giorni fa un soggetto ignoto si presenti al soggetto A, identificandosi come un congiunto di un suo cliente, e facendosi consegnare le copie dei documenti di quest’ultimo. Il cliente, scoperto l’accaduto, si è – giustamente – arrabbiato parecchio.

Quanto è successo non è molto chiaro, però si possono fare due considerazioni:

  • C’è stata una sostituzione di persona, che ha indotto fraudolentemente il soggetto A ad agire come descritto.
  • C’è stata una violazione dei dati personali del cliente.

Sulla base di questo, si può certamente affermare che:

  • Se fosse stata adottata e applicata una procedura per la restituzione dei documenti, che prevedesse un’autorizzazione specifica e preventiva da parte dell’interessato o un altro sistema di delega da parte sua, questo tipo di violazione non si sarebbe verificato (o, almeno, non in questo modo).
  • La mancanza della procedura è stata, di fatto, una inadeguatezza delle misure organizzative di sicurezza. Fortunatamente si può escludere un risvolto penale (mi riferisco all’art. 167 del Codice, visto che si tratta di comunicazione o diffusione) perché la violazione non è stata commessa a vantaggio o nell’interesse del soggetto A, che dal suo punto di vista è stato raggirato.
  • Il soggetto A ha dovuto contattare il sottoscritto e altri specialisti per vedersi rassicurare e farsi consigliare al meglio su eventuali strategie difensive, preoccupato che potesse accadere qualcosa a livello legale.

Al di là di qualsiasi altra discussione, il messaggio che vorrei che passasse forte e chiaro è che i professionisti come me non servono a procurare alle imprese un prodotto cartaceo che serve (più o meno) in caso di emergenza. Il nostro scopo è consigliare la strategia migliore, considerato il contesto di riferimento, per applicare al meglio una disposizione di legge i cui effetti non sono discutibili, al contrario dei metodi per ottenerli.

Il metodo migliore è sempre lo stesso: organizzarsi.

Citando Machiavelli, il fine giustifica i mezzi. Ovviamente se non si investe sui mezzi (organizzazione adeguata), non ci si può aspettare di raggiungere il fine sperato (fare business in tranquillità).

Diritti dell’interessato o interessi del titolare?

Diritti dell’interessato o interessi del titolare?

Nell’era dell’economia digitale, dell’industria 4.0, dell’IoT, dei prodotti e dei servizi personalizzati e della società dell’informazione, possiamo ancora pensare che questi due concetti siano entità distinte?

La nuova norma europea sulla protezione dei dati personali (c.d. GDPR) rappresenta indubbiamente un passo in avanti verso la tutela dei diritti fondamentali e assoluti di tutti i cittadini. In una società civile e moderna, questo aspetto non dovrebbe essere sottovalutato e atti legislativi come questo dovrebbero essere visti e applicati da tutti, in un’ottica di rispetto reciproco, di correttezza, di trasparenza e di responsabilità verso gli altri.

Purtroppo, però, sappiamo bene che, soprattutto nel mondo delle imprese, si lotta per sopravvivere e non sempre c’è molto spazio per gli scrupoli, prediligendo la politica della massimizzazione del profitto a discapito di altri aspetti che, ognuno a vario titolo, sono o potrebbero essere addirittura più rilevanti.

E così, tutti quei precetti normativi che trattano specificamente dei diritti degli interessati, rischiano di vedersi oscurare da atteggiamenti egoistici da parte delle aziende, che verosimilmente continueranno a vedere la privacy come un fastidioso adempimento burocratico inefficiente dal punto di vista economico (nel senso che genera più costi che ricavi).

L’errore di fondo delle imprese è proprio quello di non considerare l’argomento da diverse prospettive. Certo, anche il testo normativo non aiuta, visto che è farcito di obblighi e che, ammettiamolo, le cose obbligate ci infastidiscono parecchio. Se poi consideriamo anche che ancora troppo spesso si parla di “privacy” e non di “protezione dei dati (personali)”, capiamo bene perché il rischio di aver scritto l’ennesima norma che, pur scritta bene, è generalmente non applicata è decisamente concreto.

Ma se provassimo a osservare la questione da un altro punto di vista? Se ci soffermassimo a riflettere sul fatto che oggi, il più grande patrimonio di cui un’azienda possa disporre è composto da dati da strutturare in informazioni? Se si capisse e si diffondesse la linea di pensiero che, senza informazioni non si può determinare una strategia di mercato, né una di miglioramento delle risorse umane, né nessun altro tipo di attività che risulti efficace sul medio e lungo periodo?

Se si iniziasse a pensare non più ai diritti degli interessati, ma agli interessi del titolare, lo stesso testo normativo perderebbe il suo spirito coercitivo in luogo di uno persuasivo, ottenendo probabilmente risultati migliori e più diffusi. Siamo obiettivi, a chi non piacerebbe:

  • Avere il controllo totale delle informazioni con cui realizza la propria attività, conoscendone l’intero ciclo di vita e a chi sono affidate (alias “diritto di accesso”)?
  • Avere i dati sempre aggiornati (alias “diritto di rettifica”) sulla base dei quali modificare le proprie scelte e politiche?
  • Evitare di conservare dati inutili, inesatti, obsoleti o il cui trattamento espone al rischio di essere sanzionati (alias “diritto alla cancellazione”), con la diretta conseguenza di limitare i costi legati all’infrastruttura di conservazione (meno dati significa meno spazio di archiviazione)?
  • Poter trasmettere interi database con il minimo sforzo (alias “diritto alla portabilità”)?
  • Avere la ragionevole certezza di poter fare quello che si vuole, perché sicuri di essere nella piena legalità e nel pieno diritto di poterlo fare, senza che altri possano opporsi?

Oggi parlare di “privacy” è anacronistico. Oggi si deve parlare di “protezione dei dati personali”, per difendere diritti, libertà e dignità delle persone, per contribuire attivamente agli interessi della società in cui viviamo e per tutelare i legittimi interessi dei titolari (tra cui anche quelli economici), all’interno di un sistema che è sempre più interdipendente [1].

In questi termini, la norma acquista le sembianze di una “linea guida” e ne si apprezza appieno il valore aggiunto.


[1] In proposito, si veda anche il mio precedente articolo su argomento simile.

A chi serve il DPO?

chi serve il DPO?A chi serve il DPO?

Il DPO è una figura su cui si discute parecchio e da tempo. Tuttavia c’è ancora un velo di insicurezza circa gli ambiti merceologici in cui dovrebbe essere sicuramente nominato.

A chi serve il DPO? O meglio: in quali casi deve essere nominato?

La domanda sembra scontata, perché bastano pochi minuti di ricerca per imbattersi in uno dei tanti “interessanti articoli” sull’argomento che sono fioriti nell’ultimo biennio, ma che – diciamocelo – non hanno aggiunto nulla di più di quanto non fosse già stato chiaramente detto dal GDPR e successivamente descritto dalle linee guida di dicembre 2016.

Una critica forte che mi sento di fare è che in questo ultimo lustro, pochi si sono posti davvero il problema di determinare a chi serve il DPO, ma ricade in quelle categorie di soggetti titolari o responsabili del trattamento per i quali la nomina sarebbe obbligatoria, ma in modo non così immediatamente palese.

È pacifico e scontato che un ospedale debba nominarlo, così come deve farlo una pubblica amministrazione e, allo stesso modo, chi fornisce servizi di vigilanza da remoto. Ma gli altri? A chi serve il DPO?

Quanto segue è tratto da un episodio che mi è accaduto negli scorsi giorni.

Mi trovavo in cassa al supermercato e ho notato un cartello che, insieme ad altri avvisi, ricordava che il Codice Penale vieta la somministrazione di bevande alcooliche ai minori di sedici anni o agli infermi di mente. Per comodità, riporto integralmente il testo della norma:

Codice Penale – Art. 689.
Somministrazione di bevande alcooliche a minori o a infermi di mente.

L’esercente un’osteria o un altro pubblico spaccio di cibi o di bevande, il quale somministra, in un luogo pubblico o aperto al pubblico, bevande alcooliche a un minore degli anni sedici, o a persona che appaia affetta da malattia di mente, o che si trovi in manifeste condizioni di deficienza psichica a causa di un’altra infermità, è punito con l’arresto fino a un anno.

La stessa pena di cui al primo comma si applica a chi pone in essere una delle condotte di cui al medesimo comma, attraverso distributori automatici che non consentano la rilevazione dei dati anagrafici dell’utilizzatore mediante sistemi di lettura ottica dei documenti. La pena di cui al periodo precedente non si applica qualora sia presente sul posto personale incaricato di effettuare il controllo dei dati anagrafici.

Se il fatto di cui al primo comma è commesso più di una volta si applica anche la sanzione amministrativa pecuniaria da 1.000 euro a 25.000 euro con la sospensione dell’attività per tre mesi.

Se dal fatto deriva l’ubriachezza, la pena è aumentata.

La condanna importa la sospensione dall’esercizio.

Fermi tutti! Abbiamo letto bene?

In pratica il Codice Penale ci sta dicendo che chi somministra (vende) alcoolici deve controllare un documento d’identità valido per accertarsi dell’età dell’acquirente/consumatore e deve accertarsi del suo stato di salute psichica, perché se dal controllo risultano determinate informazioni, allora non può vendere nemmeno una birra leggera. Tra l’altro, è anche contemplata la possibilità di avvalersi di incaricati per espletare il controllo e ci sono precise indicazioni anche per i distributori automatici.

Incredulo, ho approfondito la ricerca e mi sono imbattuto in più d’una sentenza della Cassazione, che sostanzialmente confermavano quanto scritto nel Codice; una in particolare (Sentenza n° 46334 del 2013, emessa dalla V Sezione Penale), citando anche la Legge 125/2001, arriva a dire che:

La natura di reato di pericolo della somministrazione di bevande alcooliche a minori di anni sedici impone una effettiva e necessaria diligenza nell’accertamento dell’età del consumatore, atteggiamento che, nel caso in cui la somministrazione sia stata preceduta dalla richiesta, da parte del cameriere addetto alle consumazioni, dell’età dell’avventore, non può essere soddisfatto né dalla presenza nel locale di cartelli indicanti il divieto di erogazione di bevande alcooliche ai minori, né limitandosi a prendere atto della risposta del cliente sul superamento dell’età richiesta, ove ciò non corrisponda al vero.

Si tratta di un obbligo che grava innanzitutto sul soggetto che gestisce l’esercizio commerciale in cui si pratica la vendita al pubblico di bevande alcoliche, assicurandone la somministrazione, su richiesta dei clienti, personalmente o attraverso forme di organizzazione del lavoro incentrate sull’impiego di uno o più dipendenti retribuiti.

Per completezza, riporto anche l’articolo della citata legge:

Legge 125/2001 – Art. 14-ter: Introduzione del divieto di vendita di bevande alcoliche a minori.

1. Chiunque vende bevande alcoliche ha l’obbligo di chiedere all’acquirente, all’atto dell’acquisto, l’esibizione di un documento di identità, tranne che nei casi in cui la maggiore età dell’acquirente sia manifesta.

2. Salvo che il fatto non costituisca reato, si applica la sanzione amministrativa pecuniaria da 250 a 1.000 euro a chiunque vende o somministra bevande alcoliche ai minori di anni diciotto. Se il fatto è commesso più di una volta si applica la sanzione amministrativa pecuniaria da 500 a 2.000 euro con la sospensione dell’attività da quindici giorni a tre mesi.

Vediamo come le norme italiane e la giurisprudenza della Cassazione confermano quanto scritto poco sopra: l’esercente deve controllare.

Ora aggiungiamo quanto scritto nel GDPR e nelle linee guida, in particolare l’art. 37 del primo e i concetti di “attività principale”, “larga scala” e “monitoraggio regolare e sistematico”.

Anche se sembra strano, considerate tutte le norme, le linee guida e le sentenze, appare chiaro che:

  1. Chi vende o somministra alcoolici deve controllare i documenti e lo stato di salute psichica del cliente.
  2. Quest’obbligo – che a mio modo di vedere persegue finalità di pubblica sicurezza e interesse, oltre che di tutela della salute del cliente stesso – rende l’attività di controllo un’attività principale, perché condizione essenziale per la vendita o la somministrazione (salvo voler andare contro disposizioni di legge).
  3. Conseguentemente, il trattamento dei dati è effettuato su larga scala (perché coinvolge praticamente tutti i soggetti che intendono acquistare la bevanda alcoolica) ed è svolto in modo regolare e sistematico (poiché deve essere fatto almeno la prima volta che si presenta un nuovo cliente e deve essere fatto per adempiere a norme cogenti).
  4. I dati raccolti possono riguardare minorenni e possono essere sensibili o particolari.

Se poi consideriamo che, in presenza di un distributore automatico, il trattamento dei dati implica anche un processo decisionale automatizzato che produce effetti giuridici sull’interessato (cioè l’acquisto della proprietà, o meno, della bevanda alcoolica), è chiaro che l’intero processo di vendita si basa su un trattamento dei dati personali che è tutt’altro che poco rischioso (in termini di responsabilità e gestione dei rischi sui diritti degli interessati).

E se al distributore automatico si può ragionevolmente immaginare di essere in un contesto “riservato”, altrettanto non si può dire di un locale aperto al pubblico. Possiamo ragionevolmente affermare che c’è il rischio di mettere in forte imbarazzo l’acquirente nel caso non si volesse vendere il prodotto alcoolico perché lo riteniamo in “stato di deficienza psichica” (magari perché malato, oppure perché ebbro); ho usato il termine “forte imbarazzo” per evitare di scrivere “ledere la sua personalità” in presenza di altre persone.

A questo punto la domanda è:

A chi serve il DPO? Se ho un bar, un ristorante o un distributore automatico e vendo alcoolici, devo nominarlo?

Ebbene, se non siete giocatori d’azzardo e non vi piace rischiare di incorrere in sanzioni, la mia risposta potrebbe non piacervi.

Perché è .

Personalmente, ritengo che questo sia uno dei casi in cui è chiaro che quando si scrivono le regole, talvolta ci si dimentica che poi qualcuno dovrebbe anche applicarle. Uscendo dal ruolo di consulente privacy, non nascondo la mia perplessità di fronte a quanto è così chiaramente scritto nei testi normativi.

Forse, in questo caso, l’errore più grosso lo hanno commesso i legislatori.

 

 

Trasparenza e comunicazione delle informazioni. Breve analisi critica.

Trasparenza e comunicazione delle informazioni. Breve analisi critica.

Siamo tutti convinti di saper comunicare davvero e ci ergiamo a difensori della trasparenza nelle comunicazioni e nelle informazioni, ma sappiamo davvero cosa significano queste cose?

Comunicazioni trasparenti
Tipico esempio di comunicazione trasparente, se conosci il codice.

Trasparenza.

Di sicuro questa parola ha assunto, nell’ultimo periodo storico, un forte significato sul piano sociale, politico ed economico. Si pretende trasparenza dalle istituzioni, si vuole trasparenza nelle gare d’appalto, si esige trasparenza nei rapporti commerciali…

Ma cos’è davvero la trasparenza? Aver scritto già così tante volte questa parola, in così poche righe l’ha già snaturata e resa banale. Rischia quasi di fare mucchio assieme alle altre sue colleghe come “responsabilità”, “correttezza”, “informazione”…

Durante il congresso annuale di AssoDPO, che si è tenuto a Milano gli scorsi 8 e 9 maggio, uno dei moderatori, a conclusione del suo intervento di riepilogo, faceva notare quanto molto del lavoro che bisognerà affrontare per raggiungere il completo adeguamento al GDPR vedrà le informative come oggetto principale. Solo pochi giorni dopo, il 12 maggio, l’AGCM emetteva un comunicato stampa sulla sanzione da 3 milioni di Euro comminata a WhatsApp, per aver indotto gli utenti a condividere i loro dati con Facebook (qualcuno ricorderà di sicuro un messaggino da parte di WhatsApp, che era arrivato più o meno a metà dello scorso anno, circa le variazioni dei termini di contratto del servizio… ebbene, io lo ricordo, così come ricordo chiaramente di aver accettato senza nemmeno aver letto, il che è di per se un grave errore).

Già il giorno successivo al termine del congresso stavo lavorando su una teoria che vede le norme sulla protezione dei dati strettamente legate con quelle sulla tutela dei consumatori (per quelli che vanno matti per le fonti normative, rispettivamente il Dlgs 196/2003, art. 7, co. 1, il GDPR, art. 12, par. 1 e il Dlgs 206/2005, art. 5, co. 3). Poi l’atto dell’Autorità Garante della Concorrenza e del Mercato mi ha dato una preziosa conferma che fossi sulla strada giusta. Ve la espongo.

Spesso ci si trova a scrivere l’informativa agli interessati, pensando che sia un mero adempimento burocratico di poco conto. Chi è convinto di questo, sottovaluta la questione e non si accorge che quell’informativa è uno dei più importanti biglietti da visita di un’organizzazione, perché non è “solo un’informativa”, ma “comunicazione”.

Oggi la comunicazione è sovente affidata a esperti, e si ritiene che lo scopo principale sia legato al marketing in senso lato e a migliorare la percezione dell’immagine dell’ente da parte degli altri. Ma siamo sicuri di sapere davvero comunicare? Non si sta, forse, sottovalutando uno degli aspetti basilari di questa pratica, ovvero che lo scopo della comunicazione sia trasferire dalla testa dell’emittente, l’esatto concetto che questo sta elaborando, alla testa del ricevente? Bisogna aver presente che se quest’ultimo non capisce cosa gli stiamo dicendo, non è necessariamente stupido lui: è possibile che siamo noi a non aver scelto il linguaggio giusto (sorvolo sugli altri elementi del processo comunicativo, perché non pertinenti in questa sede).

E dunque mi domando: cosa significa “rendere le informazioni all’interessato”? Quali aspetti sono maggiormente critici?

Ebbene, dopo attente riflessioni sono giunto alla conclusione che fornire informative che citano più o meno testualmente la norma o di natura standardizzata o decontestualizzata, sia inutile. Perché contengono dati che sono facilmente intuibili oppure già conosciuti o conoscibili dal ricevente.

Fornire un’informativa agli interessati significa dover pensare a cosa si vuole comunicare, a quali informazioni siano pertinenti nel contesto in cui viene resa, al contesto stesso, al rapporto con l’interlocutore, al mezzo di comunicazione scelto e, soprattutto, al destinatario.

A questo punto ritorno sulla trasparenza e qualcuno, prevedibilmente, si chiederà: cosa c’entra tutto questo con la trasparenza?

Il legame è stretto: trasparenza, in questo caso, significa facilità di accesso all’informazione, significa comprensibilità, significa non fare fatica nel capire cosa qualcuno ci stia comunicando, significa immediatezza.

Non tutte le informative sono uguali perché non tutti i contesti, né tutti gli interlocutori lo sono. Già in alcuni ambiti territoriali (per esempio nelle Regioni a statuto speciale del nord Italia), alcuni operatori economici sono obbligati a informare i loro clienti in almeno due lingue (l’italiano e quella straniera maggiormente usata). Provate poi a immaginare quale potrebbe essere il livello di attenzione di un anziano appena immigrato, a cui comunicate informazioni circa il trattamento dei suoi dati personali in forma orale, ma parlando con lo stesso linguaggio forbito e formale che si potrebbe usare in una comunicazione scritta. Oppure pensate a quanto possa essere efficace una comunicazione in forma scritta fornita a un cieco, senza che questa utilizzi il codice Braille.

Chi mi conosce sa che non vado matto per le citazioni a memoria delle norme, ma stavolta mi sembra utile per sottolineare il concetto che sto esprimendo:

  • Le informazioni al consumatore, da chiunque provengano, devono essere adeguate alla tecnica di comunicazione impiegata ed espresse in modo chiaro e comprensibile, tenuto anche conto delle modalità di conclusione del contratto o delle caratteristiche del settore, tali da assicurare la consapevolezza del consumatore;
  • L’interessato ha diritto di ottenere la conferma dell’esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile;
  • Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato.

Che lo ammettiate o meno, questi tre disposti normativi ci impongono la stessa identica cosa: la trasparenza.

E la trasparenza è relativa e va vista dalla prospettiva del destinatario. Spero di essere riuscito a comunicarlo.

Software gestionali per la privacy: benefici e rischi

Software gestionali per la privacy: benefici e rischi

Prima di procedere con l’acquisto, così come durante il suo utilizzo, sarebbe bene ricordarsi che un programma gestionale è solamente uno strumento che per rendere al meglio deve essere maneggiato con l’adeguata preparazione.

Capiamoci fin da subito: non sono contro i gestionali per partito preso, anzi, direi piuttosto che mi schiero con chi ritiene che le macchine non possono fare tutto e non possono sostituirsi all’uomo. Se è vero che avere un software apporta alcuni benefici, lo è altrettanto che espone chi lo usa a nuovi rischi.

Tralasciamo il fatto che non tutti i gestionali sono uguali e che possono comportare spese differenti in termini di acquisto della licenza, o investimenti per lo sviluppo interno, o canoni per l’assistenza, e che ovviamente possono offrire una qualità di servizio differente, e concentriamoci su alcuni (tutti è difficile farlo in questa sede) dei benefici e dei rischi che interessano prevalentemente il lato operativo della faccenda.

Tra i benefici penso si possano elencare una miglioria nella gestione complessiva degli adempimenti, una migliore organizzazione delle scadenze e una facilità di accesso a determinate informazioni sul modello organizzativo adottato per proteggere i dati personali.

In alcune realtà, potrebbe essere un valido strumento per la conduzione di audit o, comunque, per espletare alcuni dei controlli necessari, tra cui la valutazione di impatto sulla protezione dei dati (c.d. DPIA), e migliora senza dubbio gli effetti del lavoro di squadra e della collaborazione attiva, sempre più rilevanti e importanti nelle organizzazioni moderne, soprattutto se il suo impego non è limitato a poche persone chiave.

D’altro canto, i rischi sono comunque dietro l’angolo.

Innanzi tutto si rischia di sostituire completamente l’elemento umano, trasformando potenzialmente alcuni dei trattamenti da “manuali” a “automatizzati”, con tutto quanto ne consegue anche sotto l’aspetto della tutela dei diritti degli interessati.

Secondariamente, affidarsi troppo al software potrebbe allontanare dalla realtà effettiva dei fatti chi è incaricato di controllare il sistema, come i responsabili o i DPO. Se il software non funzionasse correttamente (e non è un’ipotesi da escludere a priori, visto che è prassi consolidata emettere patch o aggiornamenti per correggere anomalie o bachi) potrebbe avere effetti negativi sulla realtà percepita e, di conseguenza, sull’efficacia del controllo e della gestione complessiva.

Infine, basare il proprio operato esclusivamente sul gestionale per la privacy, genera un errore di fondo gravissimo (a mio parere) soprattutto in sede di valutazione d’impatto: procedendo solo con il software, non potremmo più parlare di “valutazione”, bensì dovremmo parlare di “misurazione”.

Il perché è presto detto: ogni realtà è differente e ognuna include necessariamente operatori (responsabili del trattamento, DPO, incaricati, IT manager…) differenti che hanno ognuno ciascuno un bagaglio di conoscenze ed esperienze diversi e di cui è doveroso tenerne conto in sede di valutazione che, oltre tutto, è di per sé un prodotto di queste conoscenze ed esperienze. Una valutazione è necessariamente soggettiva e deve essere relativa al contesto osservato, perché è sulla base delle sue caratteristiche e dei risultati della valutazione stessa, che il titolare del trattamento può mettersi nella condizione di essere adempiente alle norme vigenti, su tutte il GDPR, con particolare riferimento agli artt. 24, 25, 32 e 35, che richiedono tutti di tenere conto dell’ stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche i rischi gravanti sui diritti e le libertà degli interessati.

Tutto questo, senza scomodare la più recente giurisprudenza che è arrivata ad affermare che il concetto di dato personale, fortemente legato all’identificabilità anche indiretta della persona fisica a cui si riferiscono, è correlato anche alla “facilità” e all’impegno necessario per identificarla. Tradotto: se io scrivo Mario Rossi o John Smith, in questo testo e per coloro che lo leggono, sono quattro parole che di dato personale hanno ben poco.

Pensare di essere a posto con la privacy solo perché si è comprato un software per la sua gestione, è come salire su un’auto da F1 e pensare di poter vincere il GP di Montecarlo senza aver mai guidato quel mezzo, né mezzi simili, né essere mai stato in pista, né aver mai visto le strade di Montecarlo aperte al traffico.

Chi lo fa, è un pericolo per sé e per gli altri. Con l’aggravante di non essere pienamente consapevole di cosa significhi effettivamente occuparsi della protezione dei dati personali.

Controllo a distanza con videosorveglianza, GPS o altri sistemi

Privacy e videosorveglianza con i nuovi modelli INL

L’Ispettorato Nazionale del Lavoro ha rilasciato la versione aggiornata dei modelli da utilizzare per presentare le istanze di autorizzazione al telecontrollo dei lavoratori. Da marzo 2017 diventano tre, ognuno specifico per una determinata modalità, in luogo di uno unico

Dal 10 marzo 2017 sul sito dell’INL sono disponibili tre modelli – scaricabili in formato PDF – per presentare le istanze di autorizzazione all’installazione e utilizzo di apparecchiature che consentono il telecontrollo dei lavoratori. Uno specifico per la videosorveglianza, uno specifico per gli impianti GPS a bordo delle auto aziendali e uno specifico per tutti gli altri dispositivi di controllo.

Concentriamoci, in questa sede, sul modello predisposto per la videosorveglianza (qui il link), ossia il primo file dell’elenco (per intenderci, è quello che, una volta aperto, reca l’intestazione “Modulo istanza di autorizzazione all’installazione di impianti audiovisivi”). Più specificamente, andiamo a fare alcune considerazioni sulla sezione delle “dichiarazioni”. Va sottolineato, anzitutto, che apporre la propria firma sul documento, senza che la situazione di riferimento sia conforme a quanto scritto in questa sezione, corrisponde a dichiarare il falso, con tutto quello che ne consegue.

Tutta la sezione è costellata di richiami più o meno indiretti alla normativa sulla privacy, a partire dalla limitazione temporale della conservazione, fissata a 24 ore (salve speciali esigenze), passando per l’informativa da rendere agli interessati (lavoratori e non), fino alla generica indicazione di “rispettare la disciplina, in particolare il provvedimento in materia di videosorveglianza”.

Proprio quest’ultimo punto potrebbe rappresentare un ostacolo non da poco, soprattutto ora che è arrivato il GDPR (Regolamento UE 2016/679), che richiede l’adozione di un approccio orientato alla gestione del rischio e focalizzato sulla responsabilizzazione e la dimostrabilità di ogni decisione assunta.

Cosa significa, dunque, essere conformi alla normativa?

Innanzi tutto, ogni titolare del trattamento (cioè chi vuole installare l’impianto) dovrebbe porsi le domande fondamentali “è proprio necessario fare videosorveglianza?” e “non posso organizzarmi in un altro modo?”. Se la risposta è affermativa, allora non c’ nemmeno bisogno di investine nell’acquisto del sistema.

Se, invece, la risposta è negativa, allora questa risposta e le motivazioni che hanno permesso di darla, cioè tutte le considerazioni e le valutazioni in merito, devono essere adeguatamente riportate in una relazione.

Una volta che abbiamo deciso e capito che ci serve davvero la videosorveglianza, bisognerà procedere con l’organizzarsi adeguatamente e prima che sia installato l’impianto. Tra le varie persone a nostra disposizione, dovremo individuare almeno due responsabili del trattamento, e spiegare loro dettagliatamente cosa significa essere il “responsabile della videosorveglianza” (si va dalla semplice custodia delle chiavi di accesso al sistema, fino alla completa gestione e manutenzione dell’infrastruttura hardware e software e al controllo in diretta dei monitor). Queste istruzioni, oltre a risultare da un atto scritto e ufficiale, dovranno poi essere coerenti con una politica o, almeno, una procedura interna che disciplini specificamente l’argomento.

Tutte queste informazioni saranno la base su cui elaborare la relazione tecnico-descrittiva richiesta al punto 2 della lista degli allegati da presentare con l’istanza.

Riassumendo, questo è ciò che occorre avere (almeno):

  • La valutazione preliminare sulla necessità di dotarsi di un impianto di videosorveglianza;
  • La valutazione dell’impatto sulla privacy che consegue all’installazione dell’impianto;
  • Eventualmente, la motivazione del perché servono tempi di conservazione più lunghi (e qui potrebbe entrare in gioco il Garante);
  • Un adeguato modello organizzativo, con policy e procedure specifiche;
  • Nominare i responsabili per iscritto e istruirli sul loro compito;
  • Informare tutti gli interessati con modalità “estese” e con i cartelli.

In conclusione, vi ricordo che l’istanza è da presentare solo se non è presente alcuna rappresentanza sindacale in azienda, o se con quella presente non si è raggiunto un accordo (cosa che potrebbe richiedere un modus operandi molto simile) e vi rammento che per l’installazione dell’impianto, bisogna seguire anche le eventuali indicazioni che arrivano dalla normativa sulla sicurezza sul lavoro riguardo gli obblighi dei progettisti, degli installatori e, se pertinente, dei committenti e degli appaltatori.

DPO: attenzione alla selezione

DPO: attenzione alla selezione

La caccia alla nuova figura deve essere organizzata bene, altrimenti si rischia di commettere errori gravi quanto la mancata nomina

Il GDPR è in vigore da quasi un anno, ma le prime bozze risalgono al 2012. Le linee guida sul DPO, invece, sono state pubblicate sul finire del 2016, mentre in questo periodo è in discussione una bozza di norma UNI. In ogni caso, è già parecchio tempo che si sente parlare della figura del Responsabile della protezione dei dati, un ruolo chiave nel futuro di molte organizzazioni e, certamente, una delle più rilevanti novità introdotte dal Regolamento UE 2016/679.

Il suo profilo, a prescindere da tutto, è già abbastanza chiaro leggendo il testo normativo: deve essere competente in materia e deve essere indipendente.

Proprio sull’aspetto dell’indipendenza, si sono focalizzate le linee guida, che escludono esplicitamente che il DPO, che pure può svolgere altre attività e ricoprire altre mansioni, possa essere coinvolto in qualsivoglia conflitto d’interessi. Questo perché, citando il le linee guida del 13 dicembre 2016, “l’assenza di conflitti di interessi è strettamente connessa agli obblighi di indipendenza. Anche se un RPD [Responsabile della Protezione dei Dati, ndr] può svolgere altre funzioni, l’affidamento di tali ulteriori compiti e funzioni è possibile solo a condizione che essi non diano adito a conflitti di interessi. Ciò significa, in modo particolare, che un RPD non può rivestire, all’interno dell’organizzazione del titolare o del responsabile, un ruolo che comporti la definizione delle finalità o modalità del trattamento di dati personali. Si tratta di un elemento da tenere in considerazione caso per caso guardando alla specifica struttura organizzativa del singolo titolare o responsabile”.

Le linee guida offrono anche un approfondimento con una nota in calce, affermando che “a grandi linee, possono sussistere situazioni di conflitto con riguardo a ruoli manageriali di vertice (amministratore delegato, responsabile operativo, responsabile finanziario, responsabile sanitario, direzione marketing, direzione risorse umane, responsabile IT), ma anche rispetto a posizioni gerarchicamente inferiori se queste ultime comportano la determinazione di finalità o mezzi del trattamento”.

A questo punto, e tenendo conto degli aspetti legati alle conoscenze e alle capacità richieste al DPO, è possibile che le aziende che non hanno una persona interna a cui assegnare il ruolo, o che non abbiano un consulente esterno per lo stesso scopo, si affidino a chi seleziona personale per conto terzi in maniera professionale.

Tralasciando il fatto che questi soggetti dovrebbero aver fatto la dovuta notificazione al Garante per la natura della loro attività, e che quindi l’assunzione di un candidato selezionato illecitamente potrebbe – almeno in linea teorica – comportare alcuni problemi per l’azienda che vuole il DPO, sarebbe opportuno che almeno chi seleziona, sappia chi, cosa e come cercare.

E qui si entra in un aspetto legato più alla qualità dei servizi offerti, che alla privacy in senso stretto: se si deve selezionare un qualcuno (in questo caso il DPO), sarebbe opportuno sapere esattamente quali requisiti deve rispettare o, almeno, avere l’intelligenza di affidarsi a qualcuno che li conosca ed eventualmente corregga le indicazioni errate. L’art. 38 e il considerando 97 del GDPR parlano chiaro.

L’immagine è tratta da un annuncio di lavoro trovato online. Non cito la fonte per decenza, ma non è la prima volta che mi trovo a criticarla per aspetti simili.

Slide sulla videosorveglianza

Slide sulla videosorveglianza

Un’utile pubblicazione per conoscere gli adempimenti previsti dalle norme che regolano la videosorveglianza, la privacy, il lavoro

Sul sito iCLHUB sono ora a disposizione le slide tecnico normative per i formatori sulla normativa e sulle procedure da attuare per la corretta videosorveglianza dei luoghi di lavoro. In allegato anche il vademecum per utenti e installatori.

Come esperto in materia di protezione dei dati personali, ho scelto di pubblicare sulla Libreria Digitale Pubblica dell’Associazione un pacchetto di slides tecniche in formato PDF, da utilizzare nei corsi sull’utilizzo in sicurezza della videosorveglianza (dei lavoratori, dei beni aziendali, dei processi produttivi…).

Nelle slide sono presenti tutti i riferimenti tecnico normativi (e relative istruzioni) al Nuovo Statuto dei Lavoratori, al Codice Privacy, alle sanzioni derivanti dal Codice Civile e Penale per un uso scorretto (nelle forme e nei modi) della videosorveglianza, con un focus particolare sul provvedimento sulla videosorveglianza del Garante.

A complemento, un secondo file (sempre in formato PDF) con un vademecum sui punti fondamentali della videosorveglianza dei diversi ambiti d’applicazione (lavoro, domestico, condominiale, sanitario…).

Linee guida sul DPO in italiano

Linee guida sul DPO: arriva la traduzione in italiano

Il Garante pubblica la traduzione ufficiale delle linee guida del WP29

Sul sito internet dell’Autorità Garante per la Protezione dei Dati Personali sono disponibili dal 3 febbraio 2017 le traduzioni ufficiali, a cura del Garante stesso, dei documenti rilasciati il 13 dicembre 2016 dal Working Party 29, l’istituzione europea che raccoglie i rappresentanti delle varie autorità di controllo nazionali in materia di privacy.

Sono infatti disponibili, ora, i testi delle linee guida sui responsabili per la protezione dei dati (in inglese data protection officer), che ora acquistano l’acronimo italiano RPD in luogo dell’inglese DP, e le relative FAQ.

La pubblica consultazione si è chiusa il 15 febbraio e a breve si attendono le versioni definitive.

Magari la traduzione non è stata tempestiva, ma comunque è utile per continuare a parlare sempre di più di questo ruolo fondamentale sotto il profilo strategico e organizzativo delle imprese e delle pubbliche amministrazioni e che diventerà obbligatorio in molte realtà con l’applicazione del GDPR, a partire dal 25 maggio 2018. Mancano solo 475 giorni.

Il GDPR, questo sconosciuto

Il GDPR, questo sconosciuto

A nove mesi dalla pubblicazione sulla Gazzetta Ufficiale dell’UE, sono ancora troppi a non sapere nemmeno che esiste.

Sono decisamente sconfortanti e allarmanti i dati che emergono dalle varie indagini condotte per capire quanti siano a conoscenza della nuova norma europea sulla protezione dei dati personali. Sconfortanti almeno quanto quelli che riguardano il numero di coloro che già si stanno preoccupando di arrivare pronti alla scadenza fissata per il 24 maggio 2018, data in cui il Regolamento europeo 2016/679 (per gli amici “GDPR”) sarà direttamente applicabile in tutti gli Stati membri.

Sembra quasi che nella società contemporanea, che si fonda sull’informazione e sulla condivisione di dati, nessuno si renda conto che è proprio con i dati personali che si fa politica, business e una vasta varietà di altre attività, dalle più semplici alle più complesse.

Recenti studi mostrano che in Italia, meno del 10% delle aziende abbiano già intrapreso un percorso di adeguamento, e la percentuale è addirittura minore, se riferita alle pubbliche amministrazioni.

Ormai manca meno di un anno e mezzo al termine ultimo fissato per allinearsi alla nuova norma, e il processo, secondo i vari contesti, potrebbe essere tutt’altro che semplice: ormai si è arrivati al punto che parlare di privacy come mero adempimento burocratico è non solo anacronistico, ma addirittura da incoscienti, perché oggi, la protezione dei dati personali è fondamentale per raggiungere obiettivi strategici.

Il GDPR deve essere visto come strumento per migliorare l’intera gestione delle organizzazioni, responsabilizzando tutta la struttura e tutta la filiera che concorre nel trattamento dei dati, seguendo gli ormai già collaudati princìpi che caratterizzano la gestione della qualità nei processi, la responsabilità sociale e la gestione dei rischi.

Nuovi scenari si delineano all’orizzonte. Non facciamoci trovare impreparati.