Quali strumenti scegliere per fare Smart Working? Zoom, Google Meet, XYZ? Stop!
La prima cosa da sapere, a monte della scelta dello strumento, è questa: l’azienda decide come vuol trattare i dati e di conseguenza viene scelto strumento.
Non è il responsabile IT a scegliere cosa fare. È l’azienda che decide come vuole operare, che cosa possono fare le persone dello Human Resources, gli amministrativi, gli impiegati delle vendite e così via quando lavorano in Smart Working (ma anche dentro l’azienda). Il come farlo – cioè quali strumenti usare per lavorare a distanza – lo decide l’IT.
Dopo che si è fatta questa disamina su cosa fare e su come fare lo Smart Working, il titolare o il DPO fanno l’analisi dei rischi per i trattamenti (decisi dall’azienda) con lo strumento (deciso dall’IT).
Il rischio risulta basso?
Bene! Fantastico!
Si va avanti e si guarda chi fornisce lo strumento, perché è un responsabile esterno.
Quindi bisogna capire se è conforme al GDPR.

Chi fornisce il servizio è responsabile esterno: occhio a come lo scegli

Se gli strumenti, come accade sempre più spesso, sono in Cloud o sono in streaming, chi eroga il servizio deve essere responsabile esterno al trattamento: Data Processor.
Quindi il titolare e il DPO, insieme all’IT, valutano il fornitore.
Su questo punto io mi sono immaginato il dialogo fra i due (titolare e DPO):
Titolare: “Ma perché devo valutare il fornitore?”
DPO: “Uno, perché è obbligatorio. Il GDPR ti obbliga a verificare che il responsabile esterno sia conforme. Due, perché, se per esempio, usi uno strumento di meeting online con la possibilità di registrare le persone, corri un rischio. Metti che succede una cosa del genere: Peppino, Antonio e Francesco stanno lavorando da casa. Ad un certo punto la moglie di Antonio passa per sbaglio dietro di lui in mutande mentre è in riunione virtuale e Peppino entra in registrazione, copia un pezzettino e lo manda in giro. Antonio può cazziare Peppino per dirgli: “Oh! Guarda che quello che hai fatto non lo potevi fare!” Ma, per contro, viene a cazziare anche te che sei l’azienda dicendo: “Perché hai messo le registrazioni accessibili a tutti?” Ecco perché è bene che il fornitore lo nomini responsabile esterno.”
Titolare: “Oddio… non ci avevo pensato!”
DPO: “Oppure metti che c’è un bombing e qualcuno dall’esterno riesce ad entrare nell’area di meeting e registra quello che viene detto. Diventa pericoloso… Il fornitore deve essere responsabile esterno e la scelta è obbligatoria! Se tu affidi dei dati di cui sei titolare, carissimo, devi valutare il responsabile esterno. E il responsabile esterno non può essere valutato in maniera superficiale.”
E qui, però, sulla scelta dello strumento da utilizzare – e quindi del responsabile esterno – ne ho sentite di tutti i colori!

Scelta del responsabile esterno e pornografia tecnologica

Io ho visto che, sempre di più, esiste una pornografia tecnologica, cioè la tecnologia eccita in una maniera non troppo corretta chi di tecnologia sa o si spaccia di sapere. Io li chiamo i pornografi della tecnologia. I pornografi della tecnologia sono quelli che, quando devono scegliere uno strumento, lo scelgono per dimensione. Se è grosso, allora sicuramente va bene, anzi è meglio!
Son quelli che dicono:
  • “L’azienda è enorme, capirai è Google, è Microsoft, è IBM… lo strumento va bene…”
No! Non è detto che tutti i servizi erogati siano GDPR compliant.
E per legge si possono scegliere solo quelli GDPR compliant! Non puoi sceglierne altri.
Te lo dico. È inutile fare i fenomeni, perché, a fronte di una scelta errata, qualcuno può contestarla – e le hanno già contestate queste scelte, il Garante le ha già contestate nel 2019 e tante… – ma soprattutto, è una scelta che va fatta bene perché può essere potenzialmente un motivo di causa civile, attenzione!
Grosso è meglio, non è detto! Va verificato. 
  • “Tanto lo usano tutti… e se lo usano tutti va bene anche a me.”
No! Non è detto che vada bene anche a te.
  • “È giovane, è una startup e usa le nuove tecnologie… le nuove tecnologie vanno benissimo.” Non è detto! Oppure: “È una tecnologia consolidata. C’è da 20 anni, questi hanno un’esperienza enorme…” Non è detto cha sia compliant GDPR.
  • E poi ci sono quelli del si può fare solo così: “Guarda, è l’unico strumento che c’è per fare questa cosa..“ Io non ci credo! Se è l’unico strumento possibile e non è a norma, verifica se quel trattamento puoi farlo in un’altra maniera.

Come valutare un responsabile esterno?

Devi rispondere a 3 domande:
1) DOVE: dove stanno i dati? 
Non dov’è il fornitore, attenzione!
Guarda il contratto di servizio: il fornitore indica dove sono fisicamente i dati?
Se non è indicato, non va bene, lo devi scartare.
Se è indicato e dice che sono in America, quindi fuori dall’UE, devi andare a verificare se l’azienda è in Privacy Shield o se rispetta i Security Standard Closing.
Perché i dati devono essere trattati all’interno dell’Europa, se non sono trattati all’interno dell’Europa o non è indicato dove sono trattati, ti devi fermare e guardare se sono in Privacy Shield o in Security Standard Closing.
2) COME: si auto nomina responsabile esterno?
Nel contratto di fornitura del servizio deve essere indicato che il fornitore è un Data Processor: si autonomina Data Processor. Quindi nel contratto deve esserci scritto “Io azienda XYZ, sono Data Processor.”
Se non c’è scritto: no buono! Perché dovresti nominarlo tu… e buona notte al secchio e ai suonatori! E poi verifica se esiste in Europa una sede legale dell’azienda perché, se succede un impippo, qualcuno che gli tira le orecchie e che gli bussa i denari lo trovi.

Se la sede è in America: buona notte!

3) COSA: perché fa il trattamento?

Nel contratto devono essere indicate le finalità per cui il fornitore fa il trattamento. Erogazione del servizio di streaming, erogazione dello spazio sul web, erogazione del servizio intranet…
E nel contratto, deve essere indicata la DPA: Data Policy Agreement. Se non c’è, occhio!
Queste sono le 3 condizioni di base, minime, per valutare il responsabile esterno per fare lo Smart Working.
Se il fornitore non rientra in queste condizioni: non lo puoi usare.
Se lo usi, lo usi a tuo rischio e pericolo!
FONTE: Privacylab BLOG by Andrea Chiozzi socio fondatore e CEO di PRIVACYLAB SRL
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.