GDPR – Obiettivo: come fare (bene) il DPO
Il DPO è una figura centrale all’interno del nuovo impianto della privacy, inaugurato con l’entrata in vigore del GDPR.Per questo, la formazione per questo ruolo è particolarmente importante. Corsi e master non mancano, ma forse manca la qualità: la maggior parte dei corsi spesso non riesce a calare la teoria in modelli pratici da seguire nel lavoro giornaliero di un DPO.
La legge ci dice che il DPO deve:
- informare e fornire consulenza al Titolare del trattamento o al Responsabile del trattamento nonché ai dipendenti che trattano i dati personali;
- sorvegliare l’osservanza della normativa comunitaria e nazionale nonché delle politiche del Titolare del trattamento o del Responsabile del trattamento riguardanti anche “l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo”;
- fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento;
- cooperare con l’autorità Garante nazionale;
- fungere da punto di contatto per l’autorità Garante nazionale per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, nel caso, consultazioni relativamente a qualunque altra questione.
Si capisce bene che l’ambito di lavoro è veramente vastissimo ed il tutto è confermato dall’Autorità Garante: ”il DPO deve possedere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento. Deve poter offrire, con il grado di professionalità adeguato alla complessità del compito da svolgere, la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, coadiuvando il Titolare nell’adozione di un complesso di misure (anche di sicurezza) e garanzie adeguate al contesto in cui è chiamato a operare”. Garante dixit.
DPO: i requisiti (Ovvero cosa deve sapere)
Quindi quali SKILLS (oggi è di moda chiamarle così) devo avere? Quali corsi mi conviene frequentare?
Una prima considerazione da fare è sottolineare un aspetto che sembra sfuggire a molti, in relazione alla professionalità che il DPO deve possedere: a seguito della nomina ricevuta come DPO, infatti, molti ritengono di poter integrare le proprie competenze attraverso seminari, corsi, letture, ecc., ricercando patacchine e certificatucoli che poco hanno a che vedere con la capacità effettiva di riuscire a gestire ambiti complessi.
Se il vostro obiettivo è la PATACCA, ci sono decine di corsi di formazione e seminari per ottenerla.
Se il vostro percorso di formazione sta invece iniziando adesso, le prime conoscenze che vi servono partono dall’integrazione dei vocabolari.
Cosa intendo come Vocabolario? Intendo quell’insieme di definizioni, di metodi e di interpretazioni che sono alla base di questa professione in tutti e tre gli ambiti su cui il DPO opera (Legale, Tecnologico ed Organizzativo). Significa avere una solida padronanza almeno teorica di tutti gli argomenti ed aver quindi consolidato un metodo efficente per ricercare e valutare le fonti corrette ed efficaci.
ATTENZIONE: googolare “cosa significa accountability” oppure “l’antivirus è una misura obbligatoria per il GDPR?” NON è un metodo efficace.
Quindi a partire dalle competenze che avete, serve una formazione che integri le basi mancanti e vi dia la possibilità di capire cosa è giusto e cosa non lo è e vi permetta di valutare le fonti.
Conoscere i “vocabolari”, serve per poter disimpegnare i complessi compiti devoluti a questa figura, nella maggior parte dei casi occorre la presenza di diversi approfonditi saperi specialistici riferiti non solo al settore giuridico ma anche organizzativo, manageriale e tecnologico.
Verifica chi ti sta formando: è un DPO? Da quale ambito proviene?
La scelta di dove formarsi sui vocabolari deve basarsi sulla esperienza effettiva di chi sta erogando il corso.
Il docente è FONDAMENTALE. E’ un legale? Un informatico? Bene, ma non basta. E’ DPO? Dove? Fa formazione in Aula da quanto?
Queste domande sono fondamentali per definire se il Docente è in grado di trasferirci un vocabolario corretto, adeguato e non una rilettura a slide più o meno sistematica della legge o della tecnica.
Non serve a nessuno sapere tecnicamente come fare un HASH di un FILE, né che l’art 32 del GDPR ci dice questo e quell’altro (a leggere siamo capaci tutti, si spera!), ma serve avere approfondimenti operativi su come valutare l’aderenza di certe misure all’art 32 ad esempio.
Ci serve sapere quali sono i modi d’uso di una pec, cosa si intende per Accountability e come da DPO possiamo verificarla.
Una volta che padroneggiate i vocabolari nei tre ambiti, Legale, Tecnologico ed Organizzativo, è venuto il momento di cominciare a fare sul serio.
Come posso accrescere la mia competenza?
Ecco quindi che i corsi che ci possono servire debbono essere quelli con una fortissima impronta operativa, quelli che hanno workshop interattivi che ci mettono alla prova con casi pratici, quelli che ci portano esempi pratici di verifica, di ispezioni ricevute, di comportamenti da tenere, da attenzionare, di come sminare e gestire aspettative spesso non corrette dell’azienda che vede il DPO come il tuttofare della Compliance GDPR dell’azienda, quando è più un controllore di buone prassi.
In soldoni la formazione:
- deve farci crescere nell’operatività da DPO, ci deve fornire una serie di domande con le risposte incluse e una metodologia semplice, chiara e basata su una reale esperienza per riuscire a rispondere alle domande di cui ancora non abbiamo risposta.
- deve sempre avere una parte di workshop per permetterci il confronto con altri DPO con il docente. Ci deve essere la possibilità di simulare e di accedere ad un Know How che deve essere condiviso dal docente.
- ci deve aiutare a creare la nostra cheklist e ci deve aiutare a identificare gli strumenti che permettono di lavorare in efficienza.
Corsi per DPO: RAISE ACADEMY scopri la proposta formativa di PrivacyLab
RAISE ACADEMY è la nuova proposta formativa di PrivacyLab, un modello di formazione efficace che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.
Questi sono i macro-moduli che troverete all’interno della RAISE Academy:
1 – Video-guide e corsi in e-learning
Le video-guide sono sugli strumenti – testiamo Iubenda, testiamo OneTrust, testiamo Zoom e altri strumenti che gestiscono o che servono per la gestione del trattamento dei dati personali – e sono guide sulle tecnologie. Vanno dai 5 ai 25 minuti.
2 – Diretta settimanale
È il nuovo format di approfondimento in tavola rotonda che vede 2 esperti del settore, guidati da un moderatore, che discutono di un tema. 40 minuti live con question time.
3 – Esami di certificazione ed attestati
Esami per DPO, consulenti certificati e consulenti privacy.
Attestati di presenza e di superamento del corso.
4 – Pillole di GDPR
3 minuti di micro-approfondimenti sulle tematiche emerse in settimana su GDPR, cybersecurity e consulenza.
5 – 50 sfumature di GDPR
Sono delle interviste a personaggi ed esperti nazionali: professionisti che subiscono la privacy e professionisti che devono gestire la privacy
6 – 3 Bootcamp
Sono 2 eventi all’anno più 1 PRIVACYLAB DAY.
REGISTRATI E SCOPRI RAISE ACADEMY – https://www.raiseacademy.it/
FONTE: PrivacyLab BLOG – contributo di Andrea Chiozzi – socio fondatore e CEO di PRIVACYLAB SRL
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
GDPR – Phishing: cos’è, come riconoscerlo e come evitarlo
Hai ricevuto una mail dove ti chiedono i dati bancari, i dati della tua carta di credito o una password? Parliamo di mail apparentemente normali, che arrivano dalla banca, dall’Agenzia delle Entrate, dalle Poste o da un Social Network, per fare alcuni esempi. Oppure hai ricevuto un SMS con un link dal tuo istituto di credito con la richiesta di aggiornare i dati? Non fidarti! Potresti essere vittima di una truffa: un attacco di phishing. Vediamo cos’è il phishing, come riconoscerlo e come evitarlo.
Cos’è il phishing
Il phishing è un tipo di truffa online in cui un malintenzionato invia messaggi ingannevoli a delle vittime – noi, tu, chiunque – per convincerle a rivelare dati personali come il numero della carta di credito, le password di accesso all’home banking o al Cassetto Fiscale e così via, passandosi per un ente o un’azienda affidabile. Può fingersi l’Agenzia delle Entrate, l’istituto bancario in cui hai (o avevi) il conto corrente, le Poste, Facebook, Twitter, insomma un’organizzazione di cui ti fidi.
Perché lo fa? Per rubarti l’identità.
Si finge te e poi compra prodotti e servizi a nome tuo, sottoscrive contratti, agisce spacciandosi per te, a tua completa insaputa. Fino a che non ti trovi con il conto corrente a zero, con la carta di credito prosciugata, con l’account Facebook clonato e altre situazioni poco simpatiche.
Come fa? Di solito agisce in 3 modi:
1) Invio massiccio di mail fasulle
Prepara una mail fasulla, ma che sembra assolutamente autentica a quella dell’organizzazione o dell’azienda – ha lo stesso logo ed un testo simile a quello usato normalmente da quell’organizzazione – e poi la spedisce in maniera massiccia ad una serie di indirizzi mail.Nella mail chiede al destinatario di fornire i suoi dati personali per poter accedere ad un servizio.
Per esempio, chiede di aggiornare, convalidare o confermare le informazioni contenute nell’account del servizio perché c’è stato un problema di registrazione o di altro tipo.
La mail contiene un link e la vittima viene reindirizzata su un sito web fasullo molto simile a quello istituzionale del mittente, dove inserisce i suoi dati e consegna inconsapevolmente ad un malvivente la sua identità.
2) Invio di SMS con un link per accedere ad un sito web fasullo
Di solito la truffa avviene attraverso la posta elettronica, ma in alcuni casi il malintenzionato usa gli SMS. Anche questi sono molto simili a quelli ufficiali dell’ente o dell’organizzazione e invitano la persona a cliccare su un link per accedere ad un sito web (fasullo) in cui lasciare i propri dati.
3) Attraverso un virus informatico
È un sistema ancora più subdolo. Il malvivente invia un allegato nella mail, di solito una fattura falsa, una multa, un avviso di consegna pacchi – il formato è comunissimo: può essere un file Excel, un documento .doc o un PDF – ed è così che avviene l’infezione.
Il virus può andare dal Financial malware al Trojan banking, cioè virus che rubano i dati finanziari, fin al Virus keylogging che si attiva quando, sulla tastiera, vengono inseriti user e password, così il malvivente può accedere alla posta elettronica o all’account dell’e-commerce.
Come riconoscere un tentativo di phishing e come evitare di cadere nel raggiro?
Se ti arriva un messaggio o una mail in cui ti chiedono di confermare, inviare, modificare informazioni personali, non fidarti. Meglio approfondire. Meglio fermarsi un attimo e telefonare al servizio clienti dell’ente, prima di aprire l’allegato o cliccare sul link.
I tentativi di phishing fanno leva sulla paura. Fanno pressioni perché tu perda la testa per spingerti a rivelare i tuoi dati personali senza pensarci troppo.
Sono messaggi simili a questi:
“Se i dati personali non saranno comunicati entro la tal data, il suo account verrà bloccato”
“Se vuole proteggersi dal phishing, clicchi su questo link ed inserisca login e password”
Presi dall’ansia è facile cadere nella trappola.
E’ importante avere Security Awareness…. cercare di essere consapevoli e cercare di seguire alcune regole prima di agire.
Ecco alcuni consigli per cercare di capire se la mail o il messaggio che hai ricevuto è un tentativo di phishing:- Controlla l’URL del link (l’URL è la stringa di testo del link, per esempio: https://nome.sito.it/)
Gli attacchi di phishing usano link molto simili agli URL dei siti originali. Chi ha dimestichezza con il web di solito li riconosce facilmente, ma chi è meno esperto potrebbe scambiarli per i link ufficiali. Per esempio, possono includere il nome dell’azienda insieme ad altre parole: www.nomebancaexampel.it o www.nomebanca.it.personal.login o www.nomebanca.it-persona.login invece dell’ULR autentico www.nomebanca.it
In alcuni casi il link porta al sito web originale, ma poi l’URL della pagina è diverso. Quindi fai attenzione anche all’URL della pagina su cui atterri.
- Fai attenzione ai link che iniziano con l’indirizzo IP
L’indirizzo IP è un’etichetta numerica che identifica univocamente un dispositivo collegato a una rete informatica. Quindi se il link inizia con una successione di numeri, fai attenzione e ricorda che le banche e gli enti non usano mai link di questo tipo.
- Non compilare mai i campi all’interno di una mail
Se i campi da compilare sono nella mail fermati subito! Nessuna banca o istituzione ti chiederà mail di fare una cosa del genere.
- Non aprire gli allegati di mail che non hai richiesto o che non conosci
Meglio un giro di telefonate in più che subire il raggiro. Chiama il servizio clienti dell’ente o dell’organizzazione e chiedi se stanno inviando messaggi o mail come quelli che hai ricevuto oppure rivolgiti alla Polizia Postale.
- Non rivelare a nessuno le tue password e cambiale spesso
È una regola di buon senso, ma poco applicata. Invece è indispensabile per limitare i furti di identità. In azienda è una misura importante per ridurre il rischio di avere un Data Breach, cioè una violazione dei dati personali.
- Usa un antivirus e un software anti-phishing (e tienilo aggiornato)
Gli attacchi di phishing sono sempre più sofisticati, quindi è importante usare dei software che possono contrastare queste frodi e tenerli aggiornati.
Il modo migliore per tenere al sicuro i tuoi dati è essere consapevole di quello che stai facendo.Non solo le aziende, gli enti e le organizzazioni, anche i singoli cittadini devono essere consapevoli, responsabili e competenti.
Agire con accountability. Perché la protezione dei dati personali è una tutela che riguarda sia chi li raccoglie e li tratta, sia chi li affida ad altri.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
FONTE: Privacylab BLOG – Di Andrea Chiozzi – socio fondatore e CEO di PRIVACYLAB SRL
GDPR – Covid-19: la scelta degli strumenti per gestire la Fase 2
I protocolli per la riapertura Covid-19 ci consigliano dei comportamenti da adottare per garantire la sicurezza di chi entra in azienda – dipendenti, clienti, fornitori – ma anche per chi entra in palestra, al circolo, nei negozi e così via. Per adottare questi comportamenti, dobbiamo gestire dei trattamenti di dati personali ed eventualmente adottare degli strumenti.
Quando abbiamo parlato di GDPR, Coronavirus e fase 2 e di come gestire la riapertura (LEGGI QUI), infatti, abbiamo visto quali sono questi trattamenti e quali sono le norme da rispettare, che sono sempre quelle. Breve ripasso. Le norme da tenere sempre presenti sono: GDPR, Novellato 101, D.lgs 81 del 9 aprile 2008 e i vari DPCM e protocolli che servono per la gestione del Covid e della riapertura.
Bene. In questo articolo cerchiamo di capire come vanno scelti e verificati gli strumenti per la gestione della Fase 2. Perché bisogna essere sicuri e tranquilli di usare lo strumento corretto per garantire la sicurezza delle persone e gestire il trattamento dei dati in modo conforme al GDPR.
Uno dei busillis grossi è la verifica della temperatura.
Per entrare in azienda, i protocolli di sicurezza ci dicono che è possibile misurare la temperatura e vedere se è più alta o più bassa di 37.5: se è minore, la persona è idonea e può entrare; se è superiore a 37.5 non può entrare, deve tornare a casa e avvisare il medico.
Attenzione. Misurare la temperatura non è un obbligo. Puoi anche decidere di non farlo!
Poniamo che tu decida di misurare la febbre dei dipendenti. Come scegliere gli strumenti?
Come scegliere gli strumenti per misurare la temperatura all’ingresso
Prima di guardare gli strumenti per la misurazione della temperatura, c’è una cosa importante da avere ben chiara: la temperatura corpora non si può tenere registrata da nessuna parte, lo dice il Garante. E dice anche che, se proprio vuoi registrare qualcosa, allora puoi registrare l’idoneità all’accesso. Punto. Chiaro?
Bene. Detto questo, devi scegliere lo strumento. E in giro ci sono strumenti che promettono mari e monti, ma che potrebbero non essere compliant nella gestione del GDPR (LEGGI QUI). Quindi fai attenzione.
Fondamentalmente, ci sono 3 tipologie di strumenti e quindi 3 diversi impatti sul GDPR:
1 – Termometro a infrarossi
Il termometro a infrarossi non ha nessun impatto sul GDPR, a meno che non registri quel dato da qualche parte. Ma se non lo registri, il termometro a infrarossi, di per sé, come strumento non tocca il GDPR. Perché la temperatura resta nella testa di chi legge.
È chiaro che se Peppino, l’addetto che misura la temperatura, non segna nulla, poi torna in ufficio e scrive una mail la titolare per dirgli “Guarda che Antonio è venuto a lavorare anche se aveva la febbre a 38 e l’ho rimandato a casa”, allora è un problema. Perché c’è un trattamento di dati personali. Quindi chi misura la temperatura deve essere formato e deve sapere che non deve scriverla da nessuna parte, neanche su carta di formaggio, altrimenti passa dei guai!
2 – Misuri la temperatura e registri su carta l’idoneità
Puoi decidere di misurare la temperatura con il termometro a infrarossi, chiedere ai dipendenti se si sono provati la temperatura, prendere un infermiere che usa il termometro tradizionale. Decidi tu. Dopodiché, per dare evidenza che in azienda non siano entrate persone sintomatiche, puoi decidere di registrare l’idoneità – non la temperatura, mi raccomando! – sulla carta, su un foglio excel, sul database, sul gestionale.
Qui, invece, l’impatto sul GPDR c’è. E ti obbliga ad aggiornare il registro, a nominare gli addetti perché avrai un archivio in più ed un trattamento aggiuntivo. Ti obbliga a verificare che il trattamento sia a norma, a fare la DPIA (Data Privacy Impact Assessment) (LEGGI QUI)e ad aggiornare eventualmente le informative, perché potrebbe essere un trattamento aggiuntivo che non avevi previsto. E chiaramente devi anche scrivere un protocollo per dare evidenza che tutti quelli che sono entrati, sono stati sottoposti ad una procedura per capire se fossero idonei all’ingresso oppure no. Se decidi di registrare l’idoneità è una cosa che va fatta.
3 – Termoscanner o sensori
Sono dispositivi di varia natura e funzionano tutti in maniera molto simile. Sappi che il termoscanner ha un impatto sul GDPR. Ha un impatto nel momento in cui registra l’idoneità e quindi ti obbliga ad aggiornare il registro – perché hai uno strumento digitale che ti gestisce i dati sull’idoneità -, a fare la DPIA, a nominare gli addetti, a verificare la sicurezza dello strumento. Trattandosi di uno strumento digitale, dovrai anche verificare il fornitore. Devi controllare se fa quello che dice di fare e se lo fa nella maniera corretta. E se il fornitore fa la manutenzione, lo dovrai nominare anche responsabile esterno al trattamento e amministratore di sistema.
Idem per il fornitore del Cloud (perché ci sono dei termoscanner che addirittura salvano in Cloud i dati!). E poi dovrai creare un protocollo, per dare evidenza di aver gestito in maniera puntuale le misure di sicurezza per la riapertura.
Quindi hai fondamentalmente 3 modi per misurare la temperatura.
Di questi, il termoscanner è quello potenzialmente più problematico per il GDPR.
Termoscanner e GDPR: occhio allo strumento che scegli!
In queste ultime settimane è venuto fuori un disastro. Termoscanner come se piovesse.
Ti do una notizia: il 99,99% dei termoscanner è – chiaramente! – fabbricato in Cina.
Non c’è niente di male di per sé. Però, quando scegli i tuoi strumenti (LEGGI QUI), ci sono delle domande che ti dovresti fare, prima di adottarli e questo vale per qualsiasi strumento che può trattare dei dati!
Quindi, anche quando scegli un fornitore di termoscanner, devi chiederti:
- Quali dati gestisce il termoscanner?
- Dove risiedono fisicamente queste informazioni? Sono salvate nel termoscanner? Il termoscanner non salva niente? Se è fatto in Cina, salva i dati in Cina?
- Il termoscanner salva dei video e delle immagini, oltre alle idoneità?
- Il termonscanner spara l’idoneità in Cloud?.
- Chi vede queste informazioni? E come le vede?
Poi, chiaramente, devi nominare il fornitore del dispositivo come responsabile esterno al trattamento e verificare la sua adeguatezza (LEGGI QUI).
Bene. Adesso cerchiamo di capire quali dati vengono trattati. Perché mi sono accorto che molti produttori di termoscanner hanno i reparti marketing che hanno l’ansia da prestazione – il mio termoscanner tonifica, lubrifica, fa tutto: ti registra il viso, fa la face recognition, spara i dati in Cloud. Ha tutto! – e quindi eccedono in descrizioni e funzionalità che potrebbero non essere a norma GDPR.
Facciamo qualche esempio. Ecco alcune funzioni presenti nei termoscanner che ho analizzato.
1 – Face recognitionMolti dei termoscanner che ho studiato hanno la funzione di face recognition, il riconoscimento facciale. La funzione di face recognition ha un impatto sul GDPR? Acciderbola se ce l’ha! Ha un impatto fortissimo sul GDPR. Ha un impatto così grande, che ti obbliga a chiedere l’autorizzazione ai sindacati. Ma, soprattutto è un’attività biometrica, e con l’attività biometrica, è sempre meglio chiedere l’autorizzazione al Garante. E il Garante, interpellato su questa cosa, spesso dice: “Guarda, se non è necessaria, non farla!”
Io mi chiederei: a cosa serve la face recognition per la prevenzione del Covid?
Secondo me a poco. La vuoi usare?
Va bene. Ricordati però che, se la vuoi usare, devi attivare il protocollo con l’Ispettorato del lavoro, con le organizzazioni sindacali e devi chiedere il permesso al Garante.
E ricordati che poi bisogna anche chiedere il consenso agli interessati, cioè a tutte le persone che passi col temoscanner. Diventerebbe una follia! Come fai a chiedere il consenso ad ogni persona che si presenta all’ingresso dell’azienda, ogni giorno?
Quindi, la funzione di face recognition è una di quelle bellissime cose che, per poterle usare, devono essere disabilitabile.
2 – Salvataggio di immagini o video sul dispositivoMoltissimi termoscanner hanno il salvataggio delle immagini e dei micro-filmatini di quando passa la persona. Allora devi verificare quali immagini e quali video vengono salvati.
C’è la faccia e basta?
Mmmm…
C’è la faccia più la temperatura?
No! La temperatura non può essere salvata insieme al dato della persona e la faccia identifica la persona. Non può essere salvata da nessuna parte. Lo ha detto il Garante.
Ci vedi scritto: 36.5?
Non va bene!
Ci vedi scritto IDONEO oppure RESPINTO?
Va be’…
L’idoneità, come abbiamo visto, la puoi registrare.
Però poi devi aggiornare il registro, l’informativa, fare la DPIA eccetera eccetera. Sta a te decidere.
Se vengono registrate immagini e video c’è un impatto sul GDPR?
Certo! Perché, oltre alla gestione del Covid, devi gestire la cosa anche come videosorveglianza.
È inutile che mi dici “Eh ma io non videosorveglio…”
Perché stai videosorvegliando. Più videosorveglianza di quella del termoscanner non c’è niente! Perché Peppino entra in azienda solo se gli hai fatto la foto e hai guardato se è idoneo.
Quindi devi attivarti per gestire il termoscanner come se avessi attivato la videosorveglianza, oltre a tutto quello che riguarda i trattamenti Covid.
3 – Salvataggio in CloudMolti di questi strumenti, non solo salvano i dati sul dispositivo, ma ti danno anche la possibilità di salvare in Cloud. Lo puoi fare? Sì, però, anche qui hai degli adempimenti imposti dal GDPR e cioè:
- Devi verificare che i dati che vengono salvati in Cloud siano esattamente quelli corretti. Quindi, non deve essere salvata la temperatura, deve essere salvata solo l’idoneità.
- Devi fare tutta la trafila per il Cloud per verificare il fornitore, nominarlo responsabile esterno, verificare che sia adeguato e devi gestirlo come un fornitore di videosorveglianza che salva i dati in Cloud. È una cosa che si può fare – basta che non ci sia registrata la temperatura, se c’è la temperatura: no, non si può fare! – ma io tenderei personalmente a non farlo. Se decidi di farlo, l’importante è che tutta la catena di responsabilità sia stata resa chiara, evidente, gestita, condivisa e sicura. Cioè devi avere una responsibility chain chiara.
4 – Salvataggio dell’idoneità Fare il salvataggio dell’idoneità ha un impatto sul GDPR?
Sì, e se la salvi in Cloud, ha un impatto maggiore perché devi nominare il responsabile esterno.
Se lo salvi sui tuoi sistemi aziendali, in teoria, l’idoneità al lavoro dei dipendenti è già un’informazione che gestisci. Magari c’è da lavorare sull’informativa dei visitatori, perché l’idoneità all’accesso non era stata gestita. Ma per i dipendenti, se hai lavorato bene prima, forse non devi aggiungere niente nell’informativa.
Forse devi aggiungere qualcosa anche nel registro dei trattamenti, indicando l’archivio in cui sono registrate le idoneità. Se poi l’archivio è in Cloud, dovrai nominare responsabile esterno chi gestisce il Cloud.
5 – Salvataggio della temperatura corporeaNon si può fare! Te l’ho detto 70 volte, te lo dico la 71esima. Non si può fare da nessuna parte, su nessun asset digitale o cartaceo che sia.
Da nessuna parte ci deve essere scritta la temperatura di Antonio, di Francesco, di Maria.
Anche se è pseudo-anonimizzata. È importante questo.
Perché ne stanno venendo fuori veramente tantissime di situazioni dove vengono registrate le temperature come se non ci fosse un domani!
6 – Mask recognitionMolti termoscanner hanno la mask recognition. Cos’è? È un algoritmo che vede se sulla tua faccia c’è una mascherina, un foulard, una sciarpa o qualcosa del genere e se ce l’hai ti permette di entrare. Quindi, oltre al misurare la temperatura, ti dà l’ok: idoneo/non idoneo.
Se non viene salvato nessun dato biometrico, ma viene solo rilevato che Peppino, Aziz e Giulia sono idonei all’ingresso, e il dispositivo non salva nulla, non hai impatti sul GDPR. Perché l’idoneità l’hai già salvata precedentemente: il fatto che Peppino abbia la mascherina o meno cambia poco, perché rendi idonei solo quelli che hanno la mascherina.
Le persone non idonee sono quelle che non hanno la mascherina e/o hanno una temperatura superiore a 37.5. Quindi, salvando l’idoneità, sei assolutamente a posto.
Attenzione – È chiaro che, se per fare la mask recognition, viene fatta una foto, che viene salvata sul device, a quel punto stai facendo videosorveglianza e quindi devi seguire la stessa trafila che abbiamo già visto più su.
Gestione dei dati e termoscanner che salvano le immagini: io ci starei lontano
Chiaramente, la gestione dei dati raccolti con il termoscanner – ovvero, chi vede queste informazioni, chi può accedere al device, chi può fare manutenzione – necessita obbligatoriamente di profili di visualizzazione e autorizzativi differenti. Quindi servono profili diversi, per ogni addetto nominato che può vedere questi dati. Ecco perché, personalmente io ti dico: “Stai lontano come la peste dai device che salvano le immagini!”
Non ne hai la necessità. È un dato in più che non ti serve.
Perché devi mettere in piedi una gestione complicata?
Vale sempre il principio della minimizzazione del trattamento: prima di prendere delle informazioni, chiediti se ti servono davvero o se puoi farne a meno.
Come vedi, la scelta dello strumento diventa veramente fondamentale, perché uno strumento che in automatico ti salva le immagini, ti fa la face recognition e ha un profilo di accesso unico – al termoscanner ci accedi con “admin – admin” – non va bene, perché hai dei trattamenti non necessari da gestire e non riesci a testimoniare in maniera chiara, che a quel device lì può accedere solo una persona.
Attenzione agli strumenti col bollino! Non è detto che siano conformi al GDPR
Un’altra cosa che ho visto in questo periodo: tutti questi dispositivi venduti su internet sono GDPR Ready, GDPR Compliant, GPDR Ok…Allora. Chiariamo una cosa: non è detto che il termoscanner che ha il bollino, sia GDPR compliant. Non vuol dire che lo sia! Ed è obbligo del titolare del trattamento verificare che lo strumento sia ok e che abbia le caratteristiche corrette per poter gestire e trattare le informazioni che il titolare ha scelto di trattare.
Io posso avere tutti i bollini del mondo, ma non hanno nessun valore. Devi verificare il fornitore.
E come si verifica il fornitore?
Come si verifica il fornitore del dispositivo che misura la temperatura?
Non devi verificare la qualità tecnica del fornitore. Devi verificare che l’azienda e il suo prodotto abbiano le caratteristiche adeguate a trattare i dati che tu, come titolare, hai scelto di trattare. Quindi:
1 – Deve autonominarsi responsabile esterno
Un fornitore che fa la manutenzione di sistemi un po’ complicati e che non si nomina responsabile esterno, mi fa drizzare le orecchie!
Nel contratto ci devono essere delle clausole, da te verificabili, in cui dice quali dei tuoi dati tratterà, in cui ti spiega non tanto le misure di sicurezza ma se i trattamenti che fa sono a rischio residuale basso e ti dovrà dare un suo documento di compliance al GDPR.
Perché tu devi sapere se i dati sono in Cloud, se sono trattati in Europa, in Italia o all’estero.
E se vanno all’estero, hai un altro problema. Visto che molti di questi che producono termoscanner sono cinesi, fanno anche il backup in Cina!
2 – Deve indicare come viene gestito il Data Breach
Nel contratto devono esserci le clausole del Data Breach (LEGGI QUI cosa fare) perché, se viene craccato il Cloud dove dentro ci sono tutte le temperature dei dipendenti, cosa succede? Se il fornitore è nominato responsabile esterno, non decide lui di fare la comunicazione al Garante, lo decidi tu, in quanto titolare del trattamento. E questo deve essere ben evidente nel contratto.
Per scegliere il fornitore, chiaramente non basta dire: “Fammi vedere la tua valutazione d’impatto. Fammi vedere la nomina da Data Processor e le clausole contrattuali. Fammi vedere dove tratti i dati. Li tratti fuori dall’Europa? Via, non ti voglio!”
Tutto questo non basta.
Ogni tot di tempo hai l’obbligo di verificare il fornitore. Verifichi se i trattamenti che sta facendo per te sono ancora compliant. E come fai a verificarlo? Ad esempio, chiedendo il documento di Compliance aziendale. Se poi è un fornitore che fa la manutenzione, serve anche la nomina da amministratore di sistema, che è tornata prepotentemente fuori, perché la Guardia di Finanza sta iniziando a chiederla in maniera puntuale e precisa.
Come scegliere gli strumenti digitali che registrano i questionari
Il protocollo per la riapertura ci dice che tu, azienda, devi assicurarti che i dipendenti abbiano capito quali sono i comportamenti da adottare per la gestione del Covid: non si entra con la febbre superiore a 37.5, bisogna tenere la distanza, bisogna sapere con chi parlare e cosa fare se si sta male, insomma, tutte le misure da prendere per la fase 2 e la gestione della riapertura (LEGGI QUI).
Uno dei metodi per dare evidenza di questa cosa è far compilare tutti i giorni un questionario prima di entrare in azienda.
Come si gestisce il questionario ai dipendenti?
In molti modi: a voce, su carta e anche in digitale.
E infatti, sono venuti fuori una serie di App, Software e Web App che gestiscono i questionari per il contenimento del Covid. Bene. Deve essere chiaro che, nel momento in cui fai un questionario e registri le risposte, le risposte sono un trattamento di dati personali.
Quindi, oltre a scrivere un protocollo per riuscire a gestire la cosa, dovrai aggiornare il registro, dovrai fare la DPIA, dovrai nominare gli addetti a quei trattamenti, dovrai verificare le misure di sicurezza, dovrai aggiornare le informative – se necessario – perché molto probabilmente dovrai fare dei trattamenti aggiuntivi, che prima non facevi.
Se gestisci i questionari in digitale, va da sé che stai facendo dei trattamenti aggiuntivi.
Quindi, prima di scegliere l’App, il Software o la Web App che ti gestisce il questionario all’ingresso, dovrai:
- capire se salva i dati
- e se salava i dati, quali dati sono e dove li salva
- chi li vede e come
- nominare il fornitore responsabile esterno
- verificare l’adeguatezza del fornitore
Stessa trafila e stessa verifica che abbiamo visto per i termoscanner.
Verifica anche se puoi cambiare le domande che vengono fatte nel questionario.Perché ci sono dei sistemi in cui sono preimpostate delle domande fatte dal Marchese de Sade!
Il Marchese de Sade fa le domande e tu sei obbligato a tenertele e i dipendenti a dare risposte a della roba che non c’entra praticamente nulla col GDPR, il Covid ed i protocolli di sicurezza. E magari queste risposte vengono salvate dentro il database.
Non è detto che servano, non va bene e non è necessario!
Quindi, occhio agli strumenti che scegli per la riapertura.
Lo strumento ha il bollino? Dice di essere GDPR compliant?
Non fidarti!
Scava e verifica effettivamente quali informazioni salva, dove, come e chi accede.
È una cosa che va fatta sempre.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
FONTE: Privacylab BLOG – BY Andrea Chiozzi socio fondatore e CEO di PRIVACYLAB SRL,
GDPR – Come si è arrivati al GDPR: dalla privacy al Regolamento
Come siamo arrivati al GDPR? Non è che chi fa le norme europee un giorno ha deciso di regolamentare la questione del trattamento dei dati personali così, tanto per rendere la vita difficile a tutte le imprese, gli enti e i professionisti d’Europa. No, la storia della protezione delle informazioni personali inizia molto tempo prima dell’UE, molto tempo prima del Codice Privacy e soprattutto non inizia nel Vecchio Continente, ma negli Stati Uniti di fine ‘800 quando, per la prima volta, si è iniziato a parlare di privacy.In questo articolo, estratto da un intervento del Professor Pizzetti, ripercorriamo le tappe che hanno portato al GDPR.
Attenzione. Spoiler. Privacy e protezione dei dati personali non sono sinonimi.
Nell’opinione comune sono considerati sostanzialmente equivalenti ma, come vedremo, non è così.
Dicevo che tutto è iniziato negli Stati Uniti di fine ‘800, a Boston, quando due avvocati, Warren e Brandeis, pubblicano sulla rivista Harvard Law Review il primo articolo sul diritto alla privacy.
1890, “The Right to Privacy” e la differenza tra protezione del dato e diritto alla privacy
Adesso immaginati la Boston di fine ‘800. Ci sono ancora le carrozze. La radio praticamente non esiste (Marconi e gli altri ci stanno ancora lavorando). Niente TV. La tecnologia più avanzata in campo media è la fotografia. Il mezzo di comunicazione più diffuso è la stampa. Bene. Ad un certo punto i giornali iniziano a pubblicare le foto delle signore dell’alta società con i loro gonnelloni e i cappellini mentre partecipano agli eventi mondani. È un caso che si inizi a parlare di informazioni personali proprio in questa situazione? No, perché se guardiamo la cosa dal punto di vista della protezione dei dati, vediamo che ci sono un’infrastruttura tecnologica e dei dispositivi – cioè la stampa e le macchine fotografiche – che possono diffondere in maniera massiccia – attraverso i giornali – le immagini delle persone. Oggi lo chiameremmo trattamento e diffusione di dati su larga scala.
Intendiamoci, il dato personale non nasce con la tecnologia. È da quando è comparso sulla terra che l’uomo produce dati. Anche le pitture rupestri sono dei dati personali, che non possiamo ricondurre a chi le ha realizzate – non c’è la firma, almeno per quanto ne sappiano noi – ma sono comunque dati (anonimi). Quindi produciamo dati personali a prescindere e li proteggiamo da sempre.
Cosa è cambiato nella Boston di fine ‘800?
Lo sviluppo tecnologico. La diffusione del dato non è più limitata alla piazza cittadina, alle chiacchiere nelle sale da tè o al club per gentiluomini. Le foto delle signore belle ed eleganti finiscono sul giornale che tutti possono vedere. Non è la tecnologia di per sé, ma l’uso che se ne fa a creare un problema per i singoli individui.
Un problema che è cresciuto con le tecnologie informatiche, perché possono diffondere il dato in modo massiccio. Un conto è il pettegolezzo delle vecchiette che spiano dalla finestra, un altro è la foto del paparazzo che pubblica la tresca dell’attricetta sui giornali, un altro ancora è l’immagine postata sui Social, visibile a milioni di persone.
Ma torniamo a Warren e Brandeis.
Colpiti da questa intrusione nella vita delle persone, Warren e Brandeis scrivono un articolo “The Right to Privacy” dove dicono sostanzialmente questo: c’è un diritto della persona alla vita privata e al rispetto della vita privata. È uno spazio di autonomia, di sfera chiusa, che va tutelato dall’intrusione di altri, che siano terzi o lo Stato.
Quindi la privacy è un concetto legato alla riservatezza. C’è un limite oltre il quale non si può andare, dove l’accesso è consentito solo agli autorizzati. Vuoi entrare nel giardino di casa mia? Senza il mio consenso non lo puoi fare. È un concetto simile a quello della protezione del dato personale, ma non identico.
La differenza tra privacy e protezione del dato personale
Privacy e protezione del dato non sono la stessa cosa, perché:
- quando parliamo di privacy e di riservatezza intendiamo la tutela della sfera privata secondo la tradizione americana,
- mentre la protezione del dato riguarda tutte le informazioni su una persona.
Facciamo un esempio – Se Antonio a casa sua gira in mutande, con la cuffia da doccia rosa in testa e la giarrettiera, sono fatti suoi, è la sua privacy. Se per lavoro Antonio deve comprare un biglietto del treno per andare da Reggio Emilia a Milano, dove sopra c’è scritto come si chiama, a che ora parte e qual è il suo posto a sedere, è un trattamento di dati personali.
È una differenza sottile, ma importante. Perché nel testo del GDPR non si parla mai di privacy.
Bene. Ad un certo punto, questo concetto di privacy e di tutela della sfera privata delle persone arriva anche in Europa. Ma qui il contesto è molto diverso.
Se negli USA l’idea è difendersi dall’intrusione di privati – giornali, aziende, altre persone – in Europa l’idea è quella di difendersi dall’intrusione dello Stato.
Costituzione italiana (1947) e Convenzione CEDU (1950): tutela della sfera privata dallo Stato
Quando il concetto di privacy arriva in Europa, non si parla ancora di dato personale – siamo nell’Europa post-bellica e dovremo aspettare circa 30 anni per la prima legge sulla protezione dei dati – e gli Stati totalitari sono ancora una cosa fresca. Il regime fascista in Italia e quello nazista in Germania sono appena caduti, l’Unione Sovietica è più attiva che mai. È chiaro. La sfera privata va protetta dallo Stato.
Oggi non è più così, lo sappiamo.
Google, Facebook, Amazon e gli altri colossi del web sono soggetti privati che ormai hanno dimensioni gigantesche, quasi degli Stati di fatto. Sono poteri privati: società private che hanno un potere enorme sulla nostra identità digitale.
Ma torniamo alle tappe del GDPR e guardiamo agli anni tra il secondo dopo guerra e l’inizio della Guerra Fredda. Concentriamoci sull’Italia e sul resto d’Europa. Vengono emanate 2 norme fondamentali che riguardano la sfera privata: l’articolo 8 della CEDU e l’articolo 2 della nostra Costituzione.
1 – L’articolo 8 della Convenzione Europea dei Diritti dell’Uomo (CEDU) del 1950 sancisce il diritto al rispetto della vita privata.
Occhio a non confondere la CEDU con la CE, la CEE, l’UE eccetera eccetera. Sarò breve: la CEDU è una Convenzione internazionale redatta e adottata nell’ambito del Consiglio d’Europa, che non è né il Consiglio dell’Unione né il Consiglio Europeo – lo so è complicato… – quindi non c’entra con l’Unione Europea. È un’organizzazione internazionale che promuove la democrazia, i diritti umani, l’identità culturale europea e la ricerca di soluzioni ai problemi sociali in Europa, con sede a Strasburgo. Ne fanno parte alcuni Stati che rientrano nell’UE e altri che invece sono fuori dall’UE. Per essere chiari, hanno aderito alla CEDU sia la Turchia che la Russia, che se non fosse chiaro non sono Stati dell’Unione Europea.
2 – l’articolo 2 della Costituzione italiana del 1947 sancisce il rispetto dei diritti inviolabili dell’uomo. La persona è centrale rispetto allo Stato, possiede dei diritti inviolabili che la Repubblica deve riconoscere e garantire.
1978 e 1981. Le prime norme sulla protezione dei dati personali
Passano quasi 30 anni dalla CEDU e nel 1978, nella Germania Federale, il Land dell’Assia emana la prima legge nazionale per la protezione dei dati personali. È un caso? No. Non è un caso. A Berlino c’è ancora il muro, l’Unione Sovietica controlla i cittadini – hai presente il film Le vite degli altri? Ecco, hai capito di cosa stiamo parlando – e la norma nasce per reazione al pericolo della dittatura. Il pericolo è che lo Stato, trattando dati personali, possa rafforzare la dittatura.
Poi, nel 1981, il Consiglio d’Europa (quello della CEDU che abbiamo visto prima) adotta la Convenzione 108 – oggi Convenzione 108 Plus – che è il più grande documento a livello europeo per la protezione dei dati personali e che oggi si applica ai paesi terzi, cioè agli Stati che non fanno parte dell’Unione Europea.
Perché proprio nel 1981? Perché comincia a diffondersi l’informatica di massa: le persone iniziano ad avere un PC in casa. La Convenzione 108 dà anche una definizione di che cos’è un dato personale: è un dato relativo ad una persona fisica identificata o identificabile. Ed è un concetto legato al diritto alla libertà. Una libertà che va protetta da un controllo esterno (da parte di privati o da parte dello Stato). Poi la convenzione 108 parla anche di trattamenti con elaborazione automatizzata e del diritto delle persone di conoscere i trattamenti fatti sui loro dati e da quali soggetti. Parla pure di qualità del dato trattato.
Insomma, se mastichi un po’ di concetti del GDPR, capisci perché la Convenzione 108 è così importante.
1992. CE, Mercato unico, libera circolazione delle merci, delle persone e dei dati personali
Nel 1992 il processo di integrazione del mercato unico europeo arriva al culmine con il Trattato di Maastricht e la creazione della Comunità Europea. Vengono istituiti due nuovi ambiti di competenza: la Politica estera di sicurezza comune e la Cooperazione nella giustizia e negli affari comuni. Viene istituito anche il sistema di libera circolazione delle persone e delle merci: l’area Schengen.
Ma nasce un problema. Quello di avere una normativa quadro a livello europeo sulla protezione dei dati personali perché, se c’è un mercato unico, anche i dati devono poter circolare liberamente.
Come fare? Bisogna armonizzare le norme per la protezione dei dati anche a livello nazionale per evitare la polarizzazione: da una parte Stati con regole troppo lasche per attirare imprese e investitori – e quindi fare dumping –, dall’altra Stati con regole troppo rigide che impediscono ai dati di circolare. La CE adotta la Direttiva 46 del 1995, oggi sostituita dal GDPR.
Perché una direttiva?
Facciamo una brevissima digressione, altrimenti non è chiaro.
La differenza tra direttive e regolamenti
Le direttive e i regolamenti sono due dei più importanti atti giuridici della Comunità Europea. Ma sono due cose ben diverse fra loro e con importanti implicazioni sugli Stati:
- Le direttive sono vincolanti per gli Stati nei fini, ma non nei mezzi; quindi fissano l’obiettivo, ma lasciano ai singoli Paesi uno spazio di interpretazione molto ampio e la possibilità di adottare norme nazionali che recepiscono le indicazioni della direttiva.
- I regolamenti sono immediatamente vincolanti in tutto il territorio dell’UE, senza atti di recepimento, in modo uniforme (quindi è come se fossero delle leggi emanate dal Parlamento, solo che valgono per tutti i paesi dell’Unione).
Direttiva 46 del 1995, Codice Privacy e Trattato di Lisbona (2007)
La scelta di emanare una direttiva (Direttiva 46/1995) non è casuale. All’epoca la protezione dei dati era agli inizi. Se ne sapeva ancora poco. Non era possibile adottare una norma uniforme e vincolante per tutti gli Stati. Ecco perché si è preferito emanare una direttiva che indicasse gli obiettivi ma che lasciasse spazio ai legislatori nazionali. È il motivo per cui in Italia abbiamo adottato il Codice Privacy, che oggi è stato modificato come novellato e quindi c’è ancora, ma fa molte meno cose rispetto al passato, perché sostituito dal GDPR. Ma lo vedremo fra poco.
Nel frattempo, tra la Direttiva 46/1995 e il GDPR succede un’altra cosa. È il 2007 e gli Stati firmano il Trattato di Lisbona che, tra le altre cose, dà valore giuridico alla Carta di Nizza del 2001, che è la Carta dei diritti fondamentali dell’Unione Europea.
Anche qui è complicato, lo so.
Quello che è importante sapere per i temi che trattiamo è questo: all’articolo 8 la Carta di Nizza inserisce nuovi diritti e fra questi anche quello alla protezione dei dati personali. È su questo che il GDPR trova il suo ancoraggio giuridico.
2016. Regolamento generale sulla protezione dei dati (GDPR) e Codice novellato
Siamo arrivati alla fine di questo excursus su trattati, norme e leggi. Grazie per aver resistito fin qui! Ora l’evoluzione del GDPR dovrebbe esserti più chiara. Dovresti anche aver capito perché è sbagliato parlare di privacy e protezione dei dati personali come se fossero la stessa cosa.
Bene. Adesso riprendiamo le fila e passiamo al GDPR.
Nel 2016 esce il Regolamento generale sulla protezione dei dati che sostituisce la vecchia direttiva. Ormai di protezione dei dati se ne sa abbastanza: ha senso continuare a demandare agli Stati i mezzi per applicarla? I legislatori europei pensano di no e passano dalla direttiva al regolamento. Un regolamento che vale per tutti gli Stati dell’Unione europea, in modo uniforme e cogente – il GDPR riguarda tutti – e che diventa direttamente applicabile il 25 maggio del 2018. Ma c’è un però. Il Regolamento non interviene proprio su tutto. Alcune cose le lascia ai legislatori nazionali.
Infatti, il Codice Privacy, che in Italia abbiamo adottato per recepire la Direttiva 45/1996, non è sparito, ma è stato rivisto. Si dice novellato. In parole povere è stato modificato su singoli punti e con riforme parziali.
A cosa serve e come metterlo insieme alle disposizioni del GDPR?
Il Codice novellato interviene in quegli spazi che il legislatore europeo ha voluto rimandare ai singoli Stati. Quindi l’UE stabilisce la cornice, ma spetta poi al legislatore nazionale adottare le norme.
Questi spazi sono:
- Il trattamento di dati sensibili (oggi particolari): dati genetici, dati sulla salute, l’orientamento sessuale, le convinzioni religiose, le opinioni politiche eccetera.
- La disciplina dell’Autorità: ogni Stato ha un’autorità – un organo nazionale – che garantisce la tutela dei dati personali, ma l’UE non può imporre un modello unico uguale per tutti i Paesi. Ogni Stato alle sue regole costituzionali. Per esempio, in Italia l’Autorità Garante viene nominata dal Parlamento. Quindi questo aspetto resta in capo ai singoli Stati.
- Parte della disciplina sulle sanzioni. L’UE non ha competenze penali, che spettano ai singoli Stati – è il principio di Sovranità dello Stato – quindi può comminare solo sanzioni amministrative. Una sorta di multa. Però, nei casi più gravi, ha dato la possibilità ai singoli Stati dell’UE di prevedere una sanzione penale che viene data dal giudice, non dall’Autorità Garante (che resta un organo amministrativo e che quindi non si occupa di reati penali).
- Il sistema della Soft Law, cioè di tutti gli atti che non provengono dal legislatore – nel caso italiano dal Parlamento – ma da altri soggetti. Questi atti sono strumenti che servono a rispettare gli obblighi di legge. Per esempio, in Italia sono i codici deontologici delle varie categorie professionali, le autorizzazioni generali del Garante, le normative di condotta e i sistemi di certificazione.
Ora dovresti avere un quadro più chiaro di come e perché siamo arrivati al GDPR. Non è stato un percorso breve, ma è servito per tutelare alcuni diritti fondamentali delle persone, non certo per danneggiare imprese ed enti, come alcuni continuano a credere.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
FONTE: Privacylab BLOG – by Redazione
GDPR – Cosa vuol dire “compliance”
Compliance ed essere compliant sono espressioni tipiche di chi lavora nell’ambito del Regolamento europeo per la protezione dei dati. Avvocati, consulenti, esperti di GDPR usano spesso questo termine, ma quanti professionisti ed imprenditori sanno veramente cosa significa? In questo articolo vediamo cosa vuol dire compliance e soprattutto cosa significa essere compliant al Regolamento per la protezione dei dati.
Il significato di compliance
Come accountability,(clicca per saperne di più) anche compliance è una parola anglosassone. Deriva da to comply cioè accondiscendere. A sua volta to comply deriva dal latino complere, che significa compiere (fonte Treccani.it). C’è compliance quando il paziente segue le prescrizioni del medico curante e quindi collabora attivamente seguendo le sue indicazioni. C’è compliance quando l’azienda, l’ente o il professionista aderisce e rispetta delle regole, delle leggi o il codice deontologico.
Adesione, conformità, rispetto delle regole.
Sono tutti sinonimi che possono chiarire il significato di questa espressione così usata in ambito GDPR.
La conformità in azienda: cosa vuol dire essere compliant
In azienda la compliance o conformità si esprime in molti modi:
- Conformità alla legge – L’azienda è compliant quando rispetta le norme per la tutela dei lavoratori e la sicurezza sul lavoro, paga le tasse, non usa personale in nero, versa i contributi. Cioè agisce nel rispetto della legge.
- Conformità ad uno standard – Tipico delle aziende produttive, anche il rispetto di determinate qualità e caratteristiche di un prodotto è un esempio di compliance.
- Conformità a delle best practice o ai codici deontologici – È compliant l’azienda che rispetta le buone pratiche, i codici deontologici e tutte le regole di soft law, cioè le norme che non sono emanate dal Parlamento e dagli organi dotati di potere legislativo, ma che indicano le regole di comportamento di una certa categoria o di un settore.
Dice Treccani:
Secondo una prospettiva economico-aziendale, il termine compliance è messo in relazione al sistema di controllo interno, inteso come «l’insieme delle regole, delle procedure e delle strutture organizzative volte a consentire, attraverso un adeguato processo di identificazione, misurazione, gestione dei principali rischi, una conduzione dell’impresa sana, corretta e coerente con gli obiettivi» Comitato per la corporate governance, Borsa Italiana S.p.a. (Codice di autodisciplina, 2006).
Quindi la compliance è legata alle regole e ai sistemi di controllo interni all’azienda, cioè alle procedure che adotta per garantire il rispetto delle leggi e delle regole interne ad essa: da come si comportano i dipendenti, i quadri e gli amministratori, fino alla scelta dei consulenti, dei fornitori e di tutti i soggetti che a vario titolo lavorano con l’azienda.
Cosa vuol dire essere compliant al GDPR
Essere GDPR compliant significa essere conformi al Regolamento europeo per la protezione dei dati, rispettarne i princìpi e adottare procedure organizzative e di sicurezza perché il rischio sui dati trattati sia basso, verificando che anche tutta la catena dei responsabili sia compliant, dai titolari ai responsabili esterni.
Essere conformi al GDPR significa anche che il titolare del trattamento, i suoi addetti ed i responsabili esterni (clicca per saperne di più) devono essere formati ed informati su cosa prevede il Regolamento, su cosa sono i dati personali, i dati sensibili, su cos’è e come si gestisce un Data Breach (clicca per saperne di più) (o violazione dei dati) e su come comportarsi per proteggere i dati personali.
Quindi, per essere compliant, bisogna agire con accountability.
Per essere conformi, bisogna agire con accountability
E per agire con accountability bisogna essere 3 cose: consapevoli, competenti e responsabili.
1 – Consapevoli
Il titolare del trattamento ed il responsabile esterno devono essere consapevoli di quello che stanno facendo e sapere:
- quali dati trattano
- dove si trovano i dati raccolti
- di chi sono
- come vengono utilizzati
- perché vengono utilizzati
Quindi, per essere consapevoli, la prima cosa da fare è formarsi e rivolgersi a dei consulenti esperti e aggiornati, che siano un aiuto concreto verso la compliance al GDPR.
2 – Competenti
I dati vanno trattati solo se il rischio residuale è basso. Quindi prima di trattare un dato, è importante valutare i rischi che corre. Essere competenti significa che va fatta un’analisi dei rischi e quindi che si adottano le contromisure necessarie per proteggere i dati.
Ma quali sono i rischi che corrono i dati personali? Sono solo 6:
1 – Distruzione. Per esempio, qualcuno cancella per sbaglio o volontariamente l’unico file che contiene certi dati personali – come l’Excel con le mail di tutti i clienti – e non è più possibile recuperarli
2 – Indisponibilità. Per esempio, i dati ci sono, ma non sono più disponibili. È il caso del Cryptolocker che blocca tutti i documenti e non consente più l’accesso ai dati.
3 – Perdita. Per esempio, quando qualcuno ruba il computer che conteneva i dati personali.
4 – Alterazione. Per esempio, qualcuno modifica per sbaglio dei dati personali.
5 – Divulgazione. Per esempio, qualcuno diffonde dati personali su Facebook o via mail.
6 – Accesso. Per esempio, qualcuno vede dei dati che non doveva vedere perché accede ad un file che avrebbe dovuto essere protetto.
Ma questo non basta. Bisogna anche dimostrare – con i fatti e con la documentazione, non a parole – di aver adottato tutte le contromisure necessarie per far sì che il rischio residuale sui dati sia basso. Contromisure che non sono solo informatiche, ma anche organizzative.
Quali scegliere? Nulla è obbligatorio, sta al titolare decidere che tipo di contromisure adottare. La formazione di addetti, responsabili esterni e del titolare stesso, per esempio, fa parte delle azioni da mettere in campo per mantenere basso il rischio sui dati trattati.
3 – Responsabili
Adottare tutti gli accorgimenti interni non basta. Il GDPR obbliga il titolare del trattamento a verificare che anche i responsabili esterni – cioè coloro che trattano alcuni dati personali per conto del titolare; per esempio lo studio paghe, la software house, l’avvocato e così via – siano conformi al Regolamento e se non lo sono può revocare l’incarico. Quindi, per essere conforme al GDPR, il titolare deve controllare i suoi responsabili esterni,(clicca per saperne di più) sapere se si comportino in maniera adeguata, abbiano adeguate contromisure e trattino i dati in modo che il rischio residuale sia basso. Deve anche sapere se i responsabili esterni affidano parte dei trattamenti ad altri.
È una catena che deve essere chiara fin dall’inizio e che va certificata.
Ricapitolando
Compliance significa conformità. Essere compliant quindi significa essere conformi.
In ambito GPDR, essere compliant significa rispettare princìpi e regole previsti dal Regolamento europeo con un atteggiamento proattivo, non passivo di fronte alla legge, e quindi agire sempre e prima di tutto con accountability. (clicca per saperne di più)
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
FONTE: PRIVACYLAB BLOG – Redazione
Compliance GDPR: la governance esterna dei dati
Nel percorso verso la compliance al GDPR, cioè verso la conformità al Regolamento europeo per la protezione dei dati, il titolare del trattamento è obbligato ad avere il controllo delle informazioni personali che tratta: i dati personali dei clienti, dei dipendenti, dei fornitori e così via. Quindi deve sapere quali dati tratta, come li tratta, perché, per quanto tempo e dove sono.
Deve avere il controllo di tutte le informazioni, anche di quelle che affida all’esterno e di conseguenza anche della governance esterna dei dati.
Ma cos’è la governance e quindi cos’è la governance esterna dei dati?
La governance dei dati personali e la metafora della flotta di navi
Governance significa saper guidare un’organizzazione, dirigerla e controllarla in ogni condizione. Significa governare come il capitano di una nave, che conosce ogni anfratto del suo natante, ogni pecca, le migliorie fatte negli anni e che sa anche come manovrarla, sia quando il mare è calmo sia quando le onde e il vento sono contrari. Il capitano sa a chi affidare i compiti più delicati, perché fa una selezione basata sull’esperienza, la competenza e l’affidabilità.
E se il capitano è al comando di una flotta, la sua governance si estende anche alle altre navi, dove i vari capitani sono autonomi nella gestione della loro imbarcazione, ma devono sempre rispondere al comandante, rispettare i suoi ordini, collaborare. Così, se il capitano della flotta chiede loro di vedere il diario di bordo – dove dimostrano che hanno navigato seguendo le sue indicazioni – non possono astenersi dal mostrarglielo, se chiede di dimostrare la loro affidabilità e competenza, non possono esimersi dal farlo.
Lo stesso deve avvenire in ambito GDPR, quando il titolare del trattamento affida ad un responsabile esterno parte dei dati personali che tratta.
Da un lato, come il comandante della flotta, il titolare esercita la governance perché deve avere il controllo dei dati trattati sia all’interno dell’organizzazione – la sua nave – sia all’esterno – le navi sotto il suo comando – cioè deve sapere come i fornitori a cui ha deciso di delegare alcune attività (i responsabili esterni) trattano i dati che ha affidato loro. Quindi verifica che i responsabili esterni siano conformi al Regolamento per mantenere sempre il controllo completo del flusso dei dati, definendo chiaramente anche quali sono i ruoli e le responsabilità.
Dall’altro lato, come i singoli capitani della flotta, i responsabili esterni hanno il diritto di verificare il perimetro di applicazione dei vincoli – cioè il titolare non può nominarli senza il loro consenso e per il trattamento di dati che non li riguardano – ma devono essere proattivi, collaborare e garantire la tutela delle informazioni personali anche per la loro parte di trattamento.
Su questa base, sia il titolare del trattamento che i responsabili esterni possono agire con accountability, così come richiesto dal GDPR.
Verifica dei responsabili esterni e le presunte ingerenze del titolare del trattamento
Quindi il processo per la costruzione della compliance al GDPR è di tipo top-down: parte dall’alto – dal titolare del trattamento – e si estende verso il basso, comprendendo anche i responsabili esterni. Perché si compia, però, è necessario che tutti i soggetti che gestiscono i dati siano coinvolti e collaborino tra loro. E qui a volte sorge un problema.
Può succedere che il responsabile esterno si metta di traverso.
L’art. 28 del GDPR dice che il responsabile del trattamento deve contribuire all’attività di revisione, comprese le ispezioni. Quindi gli chiede di essere proattivo, cioè di dimostrare che è conforme al Regolamento e di fare la sua parte anche in caso di visita ispettiva, producendo documenti – le prove – della sua compliance al GDPR. È legittimo che il titolare del trattamento, all’interno del contratto o della nomina del responsabile esterno, preveda delle clausole che definiscono questo coinvolgimento e il fatto di dimostrare la sua conformità.
Non si spiega allora perché, a volte, il responsabile esterno interpreti queste clausole come un’ingerenza non giustificata nelle sue modalità operative. Non è così. Il GDPR impone sia al titolare che al responsabile esterno l’obbligo di essere conformi e di collaborare insieme perché la compliance sia reale, perché non bastano i documenti.
La compliance è un percorso e richiede azioni continue. Quindi conservare la copia firmata del contratto o della nomina a responsabile esterno non è sufficiente, occorre predisporre l’evidenza di una verifica della loro efficacia. Cioè bisogna che il responsabile esterno dia delle prove, dimostri la sua conformità.
E poi non è neanche una novità quando si tratta di rapporti tra aziende: la qualificazione del fornitore, per esempio, è un’attività nota e già presente nelle imprese che hanno adottato un sistema di qualità (SGQ). In ambito privacy si traduce in una verifica della compliance del responsabile alla normativa.
Come si verifica la conformità del responsabile esterno?
La modalità di verifica del responsabile esterno non deve essere necessariamente quella dell’audit classico, ma può adeguarsi al contesto di applicazione, tenendo ben presenti la tipologia di dati personali trattati, le finalità del loro affidamento all’esterno e gli archivi eventualmente coinvolti.
Ecco alcune indicazioni:- Questionari a risposta secca: SI/NO/NA
Vanno usati cum grano salis, tenendo conto della specificità di ciascun trattamento. Per evitare che non risulti un’autocertificazione, deve prevedere la possibilità di fornire evidenze concrete, per esempio allegando parte della documentazione del responsabile per dimostrare quanto dichiarato.
- Cosa valutare?
Non solo gli aspetti tecnici. Gli aspetti tecnici sono importanti però costituiscono nel loro complesso un elemento di prova che il titolare può usare per capire se il responsabile agisce in modo adeguato al GDPR. Ma lo sono altrettanto anche gli aspetti procedurali come, per esempio, la capacità di gestire un Data Breach in tutte le sue fasi, a partire dalla sua rilevazione.
Non finirò mai di ripeterlo: non basta dichiarare, bisogna dimostrare.
Ma paradossalmente, tutte le check-list si concentrano sulla dotazione del registro delle violazioni e ben poche esplorano la presenza di procedure per rilevarle e valutarle.
Come migliorare? Come essere più concreti?
Bisogna fare un passo in più. Bisogna definire, adottare e diffondere una policy specifica per l’uso e la protezione dei dati personali (Data Protection Policy), che comprenda, tra le altre, anche una procedura per la valutazione dei partner – cioè dei responsabili esterni – e che impegni il titolare a svolgere attività di monitoraggio interno ed esterno.
La Data Protection Policy è un documento che, se redatto adeguatamente, potrebbe integrare e sostituire il regolamento informatico e dimostrare la presenza nell’organizzazione di tutte le procedure organizzative per la protezione dei dati, così come richiesto dal GDPR.
FONTE: Privacylab BLOG – by Andrea Chiozzi socio fondatore e CEO di PRIVACYLAB SRL
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
GDPR – Coronavirus fase 2: come gestire la riapertura a norma GDPR
È partita la fase 2. Ma come si gestisce la riapertura a norma con il GDPR e con le disposizioni previste per il contenimento del Coronavirus? Bisogna stare attenti all’ansia da prestazione, che potrebbe farci eccedere nelle modalità e nei trattamenti! Quindi, per agire cum grano salis, bisogna prima guardare le norme, capire come le misure di contenimento impattano sui dati personali e poi decidere come muoversi.
Le norme di riferimento sono sempre le stesse. Le abbiamo già viste quando abbiamo parlato di cosa NON devono fare i datori di lavoro nell’emergenza Coronavirus.
Queste norme sono:
- GDPR
- Novellato 101 (l’ex Codice Privacy che è stato novellato)
- D.lgs 9 aprile 2008 n.81 – Testo Unico sulla Salute e Sicurezza sul lavoro
- Decreti del Presidente del Consiglio dei Ministri
- Protocollo condiviso di regolamentazione per il contenimento della diffusione del Covid-19 negli ambienti di lavoro del 24 di aprile 2020, concordato con le parti sociali
Quindi, sostanzialmente, da una parte c’è il Regolamento europeo e dall’altra ci sono le leggi sulla sicurezza sul lavoro, i DPCM ed il Protocollo condiviso. Per capire come e dove vengono toccati i dati personali, basta metterli insieme.
Per capire meglio come muoverci, possiamo partire andando a vedere cosa dice il Protocollo condiviso del 24 di aprile.
Cosa dice il Protocollo condiviso del 24 di aprile: 13 punti da rispettare
Nel Protocollo sono fondamentalmente 13 i punti che le aziende devono rispettare per poter riaprire in sicurezza e garantire la salute dei lavoratori.
Ma il GDPR li tocca tutti? No.
Vediamo quindi quali sono i 13 punti e quando impattano sul Regolamento europeo per la protezione dei dati personali:
1) Informazione: non tocca il GDPR, ma è molto importante perché il Protocollo ci dice che, alla riapertura, l’azienda deve informare i dipendenti sulle regole fissate per gestire il Coronavirus
2) Modalità di ingresso in azienda: tocca il GDPR
3) Modalità di accesso dei fornitori esterni: tocca il GDPR
4) Pulizia e sanificazione in azienda
5) Precauzioni igieniche personali
6) Dispositivi di protezione individuale
7) Gestione degli spazi comuni
8) Organizzazione aziendale: tocca il GDPR
9) Gestione di entrata ed uscita dei dipendenti: tocca il GDPR
10) Spostamenti interni e riunioni: tocca il GDPR
11) Gestione sintomatici in azienda: tocca il GDPR
12) Sorveglianza sanitaria, medico competente e Responsabile sulla Sicurezza dei Lavoratori: tocca il GDPR
13) Aggiornamento del protocollo
Non tutti i punti chiaramente si uniscono con il Regolamento europeo, ma solo alcuni. Per questi, dobbiamo capire se ci serve:
- aggiungere dei trattamenti,
- aggiungere delle misure di sicurezza,
- aggiungere delle informazioni.
Prima di agire però bisogna fermarsi e guardare all’accountability.
Accountability: prima di riaprire l’azienda, chiediti “So che cosa sto facendo?”
Prima di riprendere l’attività (parzialmente o a pieno regime) dobbiamo essere consapevole di quello che stiamo facendo e di quello che stiamo per fare. Il GDPR e il Protocollo ci danno delle indicazioni per lavorare in sicurezza, ma tu puoi scegliere come farlo.Non c’è un modo solo. Ci sono scelte differenti, che però porteranno a verifiche e modalità di trattamento dei dati personali differenti.
Per esempio, puoi decidere di gestire tutto e più di tutto con la carta, puoi decidere di raccogliere informazioni aggiuntive, puoi fare scelte che, a fronte anche degli strumenti che andrai ad utilizzare, ti porteranno a fare un certo tipo di percorso col GDPR, oppure no.
Su questo fondamentalmente ci sono 3 grandi aree da considerare:
1) La gestione degli strumenti
Quali strumenti utilizzerai per gestire la riapertura e la sicurezza dei lavoratori?
Questo implicherà una serie di attività in più o no?
Ci saranno nuovi trattamenti di dati da fare?
2) La scelta di come organizzare l’azienda
Quali informazioni recupererai?
Come le recupererai e come le gestirai definirà un percorso di adeguamento al GDPR oppure un altro.
3) Gestirai la situazione con la carta o senza carta?
Segni gli ingressi con una App?
Misuri la febbre con un termoscanner?
Fai segnare l’idoneità su un taccuino?
A seconda del supporto che scegli, devi valutare l’impatto sui trattamenti.
Bene. Adesso che abbiamo visto che non c’è un unico modo, guardiamo come gestire la riapertura in sicurezza e a norma GDPR, toccando uno per uno i punti del Protocollo che impattano sul trattamento dei dati personali.
PUNTO 1 – Informazione ai dipendenti
Questo punto non tocca il trattamento di dati personali – e quindi non ha impatto sul GDPR – ma è molto importante, perché il Protocollo ci dice che, alla riapertura, noi aziende dobbiamo informare i dipendenti. Dobbiamo informarli ed essere sicuri che sappiano quali sono le regole che abbiamo deciso di applicare nella nostra organizzazione.
È semplice e lineare. Prima di venire a lavorare, ognuno di loro deve essere informato e sapere che:
- se hai la febbre stai a casa e chiama il medico curante
- quando arriverai in azienda devi mantenere le distanze
- durante la prestazione lavorativa, se per caso stai male, ricordati che la procedura da seguire è questa e quest’altra (la vediamo a breve)
Ogni azienda sceglierà i modi e le tipologie da comunicare nell’informativa che, attenzione, non è un’informativa privacy! Ma è un’informativa sui protocolli e sulle modalità di lavoro e di gestione del Covid-19.
Bene. Adesso che i dipendenti sono informati, devono entrare in azienda.
E come si gestisce l’ingresso in sicurezza e a norma GDPR?
Vediamolo subito.
PUNTO 2 – Gestione dell’ingresso dei dipendenti
Il Protocollo dice che tu (azienda):
1) Puoi misurare la febbre ai dipendenti prima di farli entrare
Puoi farlo, non hai l’obbligo. Se poi è superiore a 37.5 il dipendente non può entrare.
Per i cantieri invece la misurazione della febbre è obbligatoria.
2) Devi rendere evidenti le regole che servono per entrare in azienda
Quindi devi avere una procedura: i dipendenti devono sapere quali sono le regole, magari compilando un questionario, che è una delle modalità per accertare questa cosa. Inoltre, deve essere ben chiaro che è il medico competente a gestire gli ingressi delle persone che hanno avuto il Covid-19. Non spetta all’azienda decidere. È il medico che dice “Sì puoi entrare, no non puoi entrare in azienda.”
Misurazione della febbre e GDPR: hai 3 possibilità
Hai la possibilità di scegliere. Le opzioni sono 3. Tutte e 3 sono valide sia per la legge che per il Protocollo e ciascuna ha un diverso impatto sul GDPR:
Opzione 1 – Non misurare la febbre
Puoi decidere di non misurare la febbre (salvo i cantieri, in cui c’è l’obbligo), ma poi ricordati che il dipendente si deve misurare la temperatura tutti i giorni e ogni giorno – per dare evidenza di aver rispettato il Protocollo – devi dargli un questionario che dice: “Ti sei misurato la febbre stamattina? Guarda che se hai 37.5 non puoi entrare e devi chiamare il medico curante.”
Se non misuri la febbre non hai nessun impatto sul GDPR.
Opzione 2 – Misurare la febbre e registrare da qualche parte l’idoneità all’accesso
Misuri e poi registri su carta, digitale, dove vuoi che Peppino, Antonio, Giulia, Francesco, Aziz hanno una temperatura sotto il 37.5 e che quindi sono idonei, possono entrare.
Attenzione! L’unica cosa che puoi registrare è l’idoneità.
Se Tizio e Caio hanno una temperatura sopra o sotto il 37.5 puoi segnare che sono idonei, ma non puoi registrare la temperatura. L’ha detto il Garante!
Quindi puoi registrare questo:
Antonio Rossi, idoneo
Peppino Bianchi, non idoneo
Ma non puoi registrare questo:
Antonio Rossi, 36.5
Peppino Bianchi, 38
Occhio anche allo strumento che usi per misurare la febbre!
Un conto è il termometro vecchio stile, che metti sotto l’ascella e via, o il termometro a infrarossi. Un altro conto è usare uno strumento come il termoscanner. Il termoscanner salva la foto col valore della temperatura. Ma è vietato dal Garante! Quindi attenzione!
Poi, sappi che se decidi di misurare la febbre e registrare l’idoneità, stai facendo un trattamento di dati personali ed è una scelta che ha un impatto sul GDPR. Quindi devi:
- Aggiornare il registro dei trattamenti
- Fare la DPIA (Data Privacy Impact Assessment) che è fondamentale
- Verificare eventuali responsabili esterni: medico del lavoro, azienda che fornisce il termoscanner e che salva l’idoneità in Cloud, eccetera
- Dare l’informativa ai dipendenti
Opzione 3 – Misurare la febbre e non registrare l’idoneità, ma renderla evidente in un altro modo: con una procedura. Questa è la mia scelta preferita ed è quella che io chiamo “passa e avanti!”
Il Garante ha detto che c’è trattamento di dati personali solo se da una parte c’è l’idoneità e dall’altra un Nome e Cognome: Antonio Rossi – idoneo, per esempio.
Ma io posso anche fare in un altro modo: misuro la febbre e vedo se è superiore a 37.5 o no e quindi se la persona è idonea o non idonea, senza associare Nome e Cognome con l’idoneità.
Se faccio così, non sto facendo nessun trattamento di dati personali.
Quindi, prima di timbrare il cartellino, io ti misuro la febbre – puoi essere un mio dipendente, una scimmia o il fattorino, non mi interessa chi sei – se so che hai meno di 37.5 bene, passi allo step successivo: la timbratura del cartellino. Altrimenti via, torna a casa e chiama il medico.
Ma come faccio a dimostrare che così tutelo i lavoratori?
Lo dimostro con un piccolo protocollo che dà evidenza del fatto che, per accedere alle porte dell’azienda, si deve passare dalle Forche Caudine della verifica anonima dell’idoneità del dipendente. Questa cosa non impatta dal punto di vista privacy, perché non sto associando il nome della persona con l’idoneità.
Come dimostrare che il dipendente ha capito quali sono le regole? Per esempio, puoi prevedere un questionario all’ingresso
Il questionario non è l’unico metodo. È uno dei metodi per dare evidenza che i dipendenti sanno cosa devono fare. Va compilato tutti giorni, ogni volta che entrano in azienda, perché tu devi avere la certezza che ogni dipendente sappia come deve comportarsi.
E come gestire il fatto che il dipendente, quando entra in azienda, a prescindere dalla temperatura, sappia come deve comportarsi? Anche qui le possibilità sono 3:
Opzione 1 – Non fare nessun questionario
Ma se non fai nessun questionario, rischi. Non impatta niente sul GDPR, però non sei sicuro di riuscire a tutelare i tuoi lavoratori.
Opzione 2 – Fai il questionario e registri
Quindi fai un questionario con delle domande che servono per rendere evidente ai tuoi dipendenti, prima di entrare in azienda, quali comportamenti devono avere, e lo registri su App, carta, web, vedi tu. Sappi però che, se registri il questionario da qualche parte, dovrai anche:
- aggiornare il registro dei trattamenti
- nominare gli addetti che vedranno quelle informazioni
- verificare i responsabili esterni del trattamento, se ci sono
- fare la DPIA ed eventualmente aggiornare l’informativa
Oppure, c’è la terza via, che è quella che mi piace di più.
Opzione 3 – La terza via, quella che mi piace di più, è quella che io chiamo il registro di idoneità
In PrivacyLab abbiamo lanciato una App che i dipendenti possono compilare – senza raccogliere alcun dato! – e che ci permette di rendere evidente che il dipendente è idoneo, perché riusciamo a rendere evidente il percorso cognitivo, il percorso di consapevolezza, prima che entri in azienda.
Quali domande porre nel questionario?
Le domande giuste da fare non sono “Autocertifichi che non sei entrato in contatto col Covid-19?” No, non si può chiedere l’autocertificazione!
Il questionario deve rendere evidente una cosa fondamentale: quali sono le situazioni di pericolo. E il Covid è una situazione di pericolo.
Hai la febbre superiore a 37.5?
Sei entrato in contatto con qualcuno che ha il Covid-19?
Sei in quarantena?
Queste sono situazioni di pericolo. E la legge 81, all’articolo 20, dice che il dipendente è obbligato a segnalare al datore di lavoro qualsiasi situazione di pericolo per la salute e la sicurezza sui luoghi di lavoro.
È importante. Perché il dipendente non deve autocertificare nulla e tu in quanto azienda devi dare evidenza che abbia chiaro che se ha la febbre, deve stare a casa. Che se è in quarantena non può andare a lavorare. Se ha dei familiari col Covid-19 o che sono entrati in contatto con qualcuno che ha il Coronavirus non doveva andare a lavorare. Deve sapere che, quando entra in azienda, deve mantenere la distanza sociale, non può baciare né abbracciare nessuno.
Ci sono delle domande obbligatorie de inserire nel questionario?
Sì e non sono tantissime. Le cose obbligatorie da chiedere nel questionario sono:
- Che tu sappia, negli ultimi 14 giorni, hai avuto contatti con soggetti risultati positivi al Covid?
- Provieni da una zona rossa?
- Sai che ci sono delle procedure interne da seguire se stai male? Le hai guardate bene?
Ricapitoliamo: se registri l’idoneità o il questionario o entrambi, hai degli obblighi rispetto al GDPR
Nel momento in cui decidi di registrare i questionari e l’idoneità (dopo aver misurato la temperatura), hai degli adempimenti. Li ricapitolo qui:
1) Aggiornare l’informativa al dipendente
Le finalità e la base giuridica da inserire nell’informativa al dipendente sono queste:
- finalità: prevenzione dal contagio da COVID-19
- base giuridica: implementazione dei protocolli di sicurezza anti-contagio
2) Aggiornare il registro
3) Fare la DPIA
4) Nominare gli addetti ai trattamenti
5) Verificare i responsabili esterni
PUNTO 3 – Gestione degli ingressi di clienti e fornitori
Clienti e fornitori possono entrare in azienda? Sì, seguendo le stesse regole applicate ai dipendenti:
1) misurazione della febbre, anche qui sta a te decidere se farla o no
2) rispetto delle regole per poter entrare in azienda
Quindi, anche ai visitatori puoi proporre un questionario, dove chiedi: lo sai che non puoi entrare se sei stato in contatto con persone che hanno avuto il Covid-19? Lo sai che se vieni da una zona a rischio non puoi entrare? Sai che sei obbligato a dirmelo?
Anche in questo caso, se registri queste informazioni dovrai: aggiornare il registro del trattamento, aggiornare l’informativa dei visitatori, dei clienti, dei fornitori; dovrai aggiornare e fare la DPIA, nominare gli addetti per gestire questa cosa. Dovrai eventualmente verificare se i responsabili esterni sono adeguati.
Come con i dipendenti.
La scelta che fai, anche in questo caso, determina l’impatto che hai sul GDPR.
PUNTI 8, 9 e 10 del Protocollo: organizzazione interna, entrate e uscite, riunioni e spostamenti
Adesso andiamo a vedere gli altri punti del Protocollo toccati dal GPDR e che tendiamo a scordare a volte. Sono principalmente questi:
PUNTO 8 – Gestione dell’organizzazione interna
PUNTO 9 – Gestione di entrate ed uscite
PUNTO 10 – Gestione degli spostamenti interni e delle riunioni, che si applica sia ai dipendenti che ai visitatori
Il Protocollo ci dice che bisogna riorganizzare i turni, le presenze, le sale mense, gli spostamenti eccetera eccetera, in modo da non fare assembramenti all’interno dell’azienda e di avere una gestione fluida delle persone durante l’orario di lavoro.
Per fare queste cose, i modi sono duecentocinquantamilaecento e potrebbero essere erogati tramite degli strumenti nuovi e delle modalità nuove in azienda. Strumenti nuovi e modalità nuove che, chiaramente, vanno a impattare sui trattamenti di dati personali e sul registro dei trattamenti.
Quindi nel momento in cui userai nuovi strumenti per la gestione degli ingressi, delle prenotazioni, della sala mensa, dei turni e così via, dovrai ricordarti di aggiornare anche il registro.
PUNTO 11 – Gestione della persona sintomatica in azienda
Un dipendente viene a lavorare, gli hai provato la febbre e stava bene ma, durante il turno di lavoro, inizia a sentirsi male – si chiama sfortuna – cosa bisogna fare? Questa persona – ogni persona che lavora in azienda – deve avere già chiara la procedura da seguire.
Prima della riapertura, insieme al medico del lavoro e al Responsabile per la sicurezza dei lavoratori devi definire chi bisogna chiamare e come bisogna comportarsi quando si sta male. Fermo restando che devi già avere un Locale in cui “infilare” dentro la persona sintomatica perché sia isolata.
E se ha la febbre che cosa succede?
Primo, non devi scrivere niente da nessuna parte – e quindi non hai impatti sul GDPR – poi chiami la ASL di competenza e dici: “Guarda, in azienda ho una persona che sta tossendo, ha la febbre a più di 37.5. In questo momento è isolata nella stanzetta. Diteci voi che cosa dobbiamo fare.”
Basta la procedura.
Non devi registrare che alla persona è stata provata la febbre eccetera.
Basta attenersi alle istruzioni che danno i sanitari.
PUNTO 12 – Sorveglianza sanitaria / medico competente / responsabile sulla sicurezza dei lavoratori
Anche qua vediamo quali sono sul GDPR e in particolare sul ruolo del medico competente e del Responsabile sulla sicurezza dei lavoratori.
1) Medico competente
Secondo il Protocollo, il medico competente segnala l’idoneità o la non idoneità al lavoro del dipendente. Bene. È quello che fa già! Non c’è nessun addendum. Come medico competente aveva già il compito di decidere l’idoneità al lavoro. Quindi dal punto di vista del GDPR, per le idoneità, non bisogna nominarlo responsabile esterno, perché è titolare autonomo ed è già inserito nel registro dei trattamenti.
È il medico competente che gestisce il reintegro del dipendente, non l’azienda, e dice solo chi è idoneo e chi no, punto. Non può andare a dire chi è malato di Covid, come non può andare a dire chi si droga, chi si ubriaca, chi ha la gotta e chi le emorroidi.
Per il reintegro di una persona che è negativa – e se è negativa vuol dire che era positiva e se era positiva vuol dire che era in malattia – il medico verifica le carte della certificazione di negativizzazione e l’azienda non deve vedere questi dati. Non li vede perché non li può gestire ai sensi del GDPR e il medico competente in questo processo, deve essere proattivo. Interviene su richiesta per verificare l’idoneità e per certo sul reintegro, dopo la malattia.
Nel mio piccolo, io ritengo che tutti i rientri da malattie, in questa fase, debbano essere valutati dal medico competente. Perché non posso sapere chi ha il Covid-19 e chi no, lo ha detto il Garante. È il medico competente che lo sa, non io che sono l’azienda.
Quindi, se Antonio e Peppino rientrano dalla malattia, prima di tornare devono sapere che bisogna andare dal medico competente o mandare una mail e chiedere: “Oh, posso rientrare a lavorare?”
E il medico: “Ma cosa avevi avuto?”
E Antonio: “La gotta e le emorroidi”
Il medico: “Va be’ puoi rientrare, quelle non sono contagiose”
E Peppino:“Ho avuto il Covid”
E il medico: “Allora mandami quello che serve per la pseudo negativizzazione e poi al datore di lavoro comunicherò se puoi rientrare oppure no.”
Questo è compito del medico competente. Era compito anche prima, ma diciamo che adesso è certo.
2) Responsabile sulla sicurezza dei lavoratoriNon deve sapere nulla. Ha la bocca tappata. Interviene solo sulle procedure. Per esempio, oltre alla febbre, può chiedere al dipendente malato se ha avuto la tosse o la perdita dell’olfatto. Oppure, all’interno della stanzetta dove isolare i soggetti sospetti di avere il Covid, può prevedere che ci sia una bella locandina con l’indicazione dei comportamenti da tenere e che dice: “Sei qui dentro, non perché sei brutto e cattivo, ma perché c’è potenzialmente un problema di sicurezza e tu sei obbligato a dirmelo ai sensi dell’articolo 20 della legge 81.”
Punto. Questo è quanto.
Semplice, chiaro e preciso.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
FONTE: Privacylab BLOG BY Andrea Chiozzi socio fondatore e CEO di PRIVACYLAB SRL,
GDPR – Autorità Garante: datori di lavoro e Coronavirus cosa NON fare
Coronavirus? No alle iniziative fai da te! Il 2 marzo 2020 l’Autorità Garante ha pubblicato un comunicato in cui chiarisce cosa NON devono fare i datori di lavoro pubblici e privati e quali obblighi ha il lavoratore che sospetta di essere malato. Bene. A distanza di un paio di mesi circa il Governo ha lanciato la fase 2. Sono stati adottati dei protocolli per la riapertura di alcuna attività e quindi sempre di più, oggi, si pone il problema di come gestire dipendenti, fornitori e visitatori tutelando i loro dati personali e rispettando il GDPR.
In PrivacyLab abbiamo organizzato un webinar proprio su questo tema. Abbiamo visto cosa si può fare e cosa non si può fare. Abbiamo anche dato consigli pratici per gestire la situazione e in questo approfondimento riprendiamo un po’ tutto quello che abbiamo detto e scritto, per ricostruire un percorso chiaro, completo e conforme di gestione dell’emergenza a norma GDPR.
Le richieste al Garante e le sue risposte del 2 marzo
Fin dall’inizio dell’emergenza Covid-19, l’Autorità Garante ha ricevuto molte richieste da parte di soggetti pubblici e privati, che chiedevano se fosse possibile raccogliere informazioni su sintomi e spostamenti recenti, per prevenire il contagio da Coronavirus. Anche molti datori di lavoro pubblici e privati, preoccupati dal virus, hanno chiesto all’Autorità se fosse possibile avere una “autodichiarazione” da parte dei dipendenti in cui attestare di di non avere sintomi influenzali e lasciando altre informazioni di carattere privato.
Le risposte del Garante: no al fai da te
- I datori di lavoro devono astenersi dal raccogliere, a priori e in modo sistematico e generalizzato, anche attraverso specifiche richieste al singolo lavoratore o indagini non consentite, informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera extra lavorativa.
Non sono attività di loro competenza.
L’accertamento e la raccolta di informazioni relative ai sintomi tipici del Coronavirus e alle informazioni sui recenti spostamenti di ogni individuo spettano agli operatori sanitari e al sistema attivato dalla protezione civile, che sono gli organi deputati a garantire il rispetto delle regole di sanità pubblica recentemente adottate.
Però, il lavoratore ha l’obbligo di segnalare al datore di lavoro qualsiasi situazione di pericolo per la salute e la sicurezza sui luoghi di lavoro. Al riguardo, il Ministro per la pubblica amministrazione ha dato indicazioni operative ai dipendenti pubblici e per chi opera a vario titolo presso la P.A. di segnalare all’amministrazione di provenire da un’area a rischio. In tale quadro il datore di lavoro può invitare i propri dipendenti a fare tali comunicazioni agevolando le modalità di inoltro delle stesse, anche predisponendo canali dedicati.
- I datori di lavoro hanno il compito di comunicare agli organi preposti l’eventuale variazione del rischio “biologico” derivante dal Coronavirus per la salute sul posto di lavoro e gli altri adempimenti connessi alla sorveglianza sanitaria sui lavoratori per il tramite del medico competente, come, ad esempio, la possibilità di sottoporre a una visita straordinaria i lavoratori più esposti.
Leggi il testo completo del comunicato dell’Autorità Garante qui
Nel frattempo, i chiarimenti e le indicazioni normative su come gestire il Covid-19 in azienda si sono moltiplicati e oggi abbiamo una serie di riferimenti da cui partire per avere un quadro chiaro, per agire cum grano salis e senza ansia da prestazione di fare le cose pur di raggiungere l’obiettivo. Che se ci facciamo prendere dall’asia da prestazione, se facciamo i fenomeni, poi ci ritroviamo con delle violazioni dei dati che avremmo dovuto prevedere, magari mettendo pure a rischio diritti e libertà fondamentali, perché non ci abbiamo pensato prima.
Come gestire l’emergenza Covid-19 nei luoghi di lavoro: cosa dice la legge
Come dobbiamo comportarci durante il lavoro quotidiano, in questo periodo di Coronavirus, per gestire le cose nel rispetto del GDPR? Per prima cosa non andando a casaccio, ma guardiamo le norme.
È fondamentale sempre e comunque avere il riferimento normativo e quindi andare a guardare quello che ci dice la legge. Non dobbiamo cercare chissà dove, perché nel Regolamento europeo per la protezione dei dati troviamo già tutto quello che serve, tutto quello e che è necessario per riuscire a gestire le informazioni personali ed eventualmente gestire quelle aggiuntive – perché la situazione ci ha imposto dei cambiamenti organizzativi – che dovremo poi trattare.
I riferimenti normativi che devi avere sotto sono – macroscopicamente – solo 5:
- 1 – Il GDPR
- 2 – Il Novellato 101 – cioè la modifica del decreto legislativo 196 italiano (Codice Privacy) – che ha aggiunto alcuni aspetti sul trattamento dei dati particolari legati al Coronavirus
- 3 – Il Testo Unico sulla sicurezza dei lavoratori (D.lgs. 9 aprile 2008 n.81)
- 4 – I decreti emanati dal Presidente del Consiglio dei Ministri
- 5 – Il Protocollo di Intesa firmato da sindacati ed associazioni di categoria, che è uscito il 14 marzo 2020 e che dà delle indicazioni precise – è un Protocollo d’Intesa, non una legge – su come ci dobbiamo comportare
Questo è il quadro normativo da tenere come riferimento. Fossi in te io mi stamperei le varie norme.
È un consiglio. Da sempre tengo la norma stampata lì vicino, la sottolineo, vado a guardare le varie situazioni, me la tengo come riferimento. Nel dubbio me la vado a rivedere.
Questo è molto importante, secondo me.
Bene, adesso che hai stampato tutto e che hai il quadro normativo sotto gli occhi, riprendiamo il discorso e cerchiamo di capire una cosa importante: la situazione che stiamo vivendo ha alzato l’asticella nella gestione trattamento dei dati dei dipendenti? Dobbiamo fare più lavoro per essere GDPR compliant?
La norma ci impone di fare di più? No. Nel GDPR c’è già tutto.
Il GDPR ha già previsto tutto
In una logica di accountability, di responsabilità, la norma già prevede tutto quello che serve per gestire l’attività, sia prima che dopo il Coronavirus.
Il concetto è essere consapevoli. Essere responsabili. Perché la norma al suo interno ci dà indicazioni precise che abbiamo sempre dovuto seguire e che dobbiamo seguire anche adesso:
- Se fai qualcosa con i dati personali, devi indicarlo nell’informativa
L’articolo 9 del Regolamento europeo al punto B ci dice una cosa chiara. Ci dice: guarda titolare del trattamento, tu puoi trattare i dati particolari dei tuoi dipendenti (i dati ex sensibili), però, devi indicarlo nell’informativa e non devi chiedere nessun consenso.
E poi, oltre a questo articolo, bisogna tenere presenti anche gli articoli 13 e 14 del GDPR che ci dicono come si gestiscono le informative.
- Prima di fare qualcosa, pensaci!
Gli articoli 25 e 32 del GDPR invece parlano di privacy by design e by default. Cosa vuol dire? Vuol dire che, prima di fare qualsiasi cosa, devi pensare bene se i dati che stai trattando sono quelli giusti, se hai messo tutto a posto, se tutto funziona e se le misure di sicurezza sono giuste, in modo che i dati trattati non rischino nulla.
- È il caso di fare una DPIA?
L’articolo 35 sulla DPIA (Data Privacy Impact Assessment), cioè la valutazione del rischio residuale, ci dice: caro titolare, se gestisce dei dati personali particolari legati al Coronavirus, devi fare una DPIA.
- Documenta tutto nel registro dei trattamenti
Sempre in tema di rischi, gli altri riferimenti da tenere sotto mano sono l’articolo 30 sul registro dei trattamenti e l’articolo 33 sulla gestione delle eventuali violazioni, perché, qualsiasi modifica o cambiamento che andrai a fare, impatterà sul tuo registro dei trattamenti, dovrai aggiornarlo e aggiornando il registro, dovrai mettere in piedi anche delle eventuali misure aggiuntive, per verificare possibili e potenziali violazioni che possono verificarsi durante il trattamento di questi dati aggiuntivi.
Dal punto di vista del GDPR, il fatto che noi possiamo trattare dei dati personali, quindi non solo nome e cognome del dipendente, del fornitore, del cliente che viene in azienda, ma anche dati relativi alla situazione sanitaria della persona, era già previsto dal Regolamento, che già dava indicazioni su cosa si poteva fare e su cosa non si poteva fare.
Indicazione generale: prima di fare un trattamento, pensaci
Come sempre, come ripeto ogni volta a stufo, la cosa più importante nel trattamento dei dati personali è avere consapevolezza di dove stai andando. Perché, se non sai dove stai andando, è un problema. Non sei mica Bear Grylls, che viene buttato in una foresta amazzonica, ma riesce a trovare il modo di mangiare e di tornare a casa. Non puoi andare allo sbaraglio. Quindi, prima di fare qualsiasi cosa – Coronavirus o no – devi sapere:
1 – Dove sei e quali dati tratti
2 – Dove vuoi andare
3 – Perché vuoi trattare quei dati
4 – Come trattare i dati e con quali strumenti, per avere un trattamento filante in ottica di accountability
Analizzi i provvedimenti e in base ai comportamenti da tenere, decidi cosa può essere applicato nella tua struttura e cosa no. Valuti se la misura che vuoi adottare – per esempio, misurare la temperatura ai dipendenti – è un trattamento di dati personali, oppure no, come farlo, come gestirlo e dove vuoi arrivare. È la logica dell’accountability. Logica già presente nel GDPR e che devi applicare esattamente nella stessa maniera, anche in questa situazione di pandemia, per i trattamenti che fai già e per quelli aggiuntivi, nel caso in cui dovessi farli. Bene.
Occhio agli strumenti!
Sapere cosa fare è fondamentale, così come scegliere gli strumenti per arrivare all’obiettivo. Devi avere il controllo degli strumenti. E qui, in queste settimane di pazzia, mi sono accorto che, prese dall’emergenza, prese dall’ansia da prestazione di raggiungere l’obiettivo di portare avanti l’attività, in condizioni di emergenza e in piena pandemia, molte aziende hanno scelto di usare strumenti inadeguati al GDPR.
Uno fra tutti? Zoom!
Zoom è uno strumento potenzialmente inadeguato ma lo hanno usato tutti, dall’aziendina alla scuola.
E questo, bada bene, è un discorso indipendente dal tipo di dati trattati. Sensibili o non sensibili, poco importa. Il problema sta proprio nella scelta degli strumenti, che non andava bene perché erano strumenti non adeguati o perché gratis o perché gliel’ha detto il cugino o perché non avevano nient’altro o perché il loro fornitore ha detto “No, no, tranquilli! Questo strumento va benissimo…”
Non c’è consapevolezza nella scelta dello strumento. Ma la scelta dello strumento è all’interno del contesto del GDPR, quindi vuol dire che anche prima del Coronavirus dovevi scegliere strumenti a norma con il Regolamento!
Prima, adesso, domani, il GDPR ti dice che devi valutare gli strumenti, verificare i responsabili esterni e capire se sono adeguati o meno a trattare i dati che gli dai. Roba vecchia, nessuna novità.
Sei un titolare del trattamento? Devi fare 3 cose
Quindi non va bene dire: “Ditemi quali documenti devo usare, che li stampo, li lascio ai miei dipendenti e poi buonanotte al secchio!” Non è così. Il concetto parte da prima. In quanto titolari del trattamento – mi ci metto dentro anche io è chiaro – dobbiamo:
1 – Decidere quali dati trattare
2 – Decidere quali strumenti utilizzare (verificando che siano conformi al GDPR)
3 – Verificare preventivamente se la strada che abbiamo intrapreso è una strada corretta o se stiamo guidando un po’ alla cieca, che vuol dire che non abbiamo definito perché vogliamo usare certi dati e per quali finalità.
E adesso andiamo nel pratico, con un vademecum semplice e chiaro.
Come gestire l’emergenza Covid-19 nei luoghi di lavoro: cosa devi fare?
Riepiloghiamo. Abbiamo detto che c’è una base normativa – il GDPR – che ci dà delle indicazioni importanti su cosa dobbiamo fare quando trattiamo dei dati personali. Ma non è l’unica, ci sono anche il Testo Unico sulla sicurezza nei luoghi di lavoro, i decreti del Presidente del Consiglio e il protocollo condiviso uscito il 14 marzo 2020 per il contrasto e per il contenimento del Covid-19. Il protocollo lo teniamo come indicazione, perché ci dice come dobbiamo comportarci nel momento in cui dobbiamo aprire e lavoriamo. Bene.
Punto per punto, andiamo vedere cosa devi fare.
1 – Stabilisci il protocollo da seguire: poche regole, ma chiare
Il Protocollo di Intesa ci dice come dobbiamo comportarci. Quindi in azienda, devi avere bene chiaro qual è il protocollo da seguire, che è semplice e che tocca tutti i dipendenti:
1) Se hai la febbre, stai a casa e chiama il tuo medico curante
2) Devi usare sempre la mascherina
3) Devi rispettare la distanza di sicurezza di almeno 1 metro dalle altre persone
4) Se sei entrato o entrata in contatto con persone in quarantena devi comunicarlo al tuo medico, perché è il tuo medico che ti dice se puoi andare a lavorare oppure no
5) Se durante la prestazione lavorativa stai male, hai la tosse e ti viene la febbre, dillo alla persona preposta, che dovrebbe essere il medico competente, se l’azienda ce l’ha, o un’altra figura incaricata di gestire la cosa
2 – Dai informazioni semplici e comprensibili
Stabilite le regole, devi prima di tutto informare i dipendenti e le persone che entrano in azienda su quali sono queste regole e devi avere la sicurezza che le informazioni che dai siano semplici, chiare e comprensibili.
Devi avere la certezza che l’altra parte abbia recepito come si deve comportare: fai dei cartelli con scritte e disegnini – la figurina dell’omino con la mascherina, quella della pistoletta che misura la temperatura, la freccina con la distanza di sicurezza eccetera – così le persone quando arrivano al primo turno li vedono, poi dai anche la mascherina e insieme alle mascherine dai un foglio in cui c’è scritto in modo chiaro quali regole bisogna seguire.
È fondamentale la chiarezza. È fondamentale perché viene richiesta anche dal Regolamento europeo. Poi verifichi che le persone abbiano capito. Non va bene dare 50 fogli ad Abdul che lavora nella catena di montaggio dell’acciaieria e dirgli: firma questi. Perché li firma, se glielo dici. Ma poi ha capito? Abdul, Antonio, Giulia, per la loro sicurezza e per quella degli altri, devono capire chiaramente come si devono comportare e a chi rivolgersi.
Attenzione: le regole che ho elencato finora non toccano il trattamento dei dati personali! Perché, dare le informazioni con i cartelli e un foglio all’ingresso, significa informare e basta. Punto. Dici solo quali sono le regole. Non devi chiedere nient’altro: l’obbligo di erogare l’informazione a tutti non implica alcun trattamento di dati personali.
3 – Gestisci le persone
Bene. Adesso che le persone sanno come devono comportarsi, ogni giorno da qui a quando l’emergenza non sarà finita, vanno gestite.
Come? Adesso lo vediamo.
Misurare la febbre sì, registrare le temperature no, a meno che…
Prima cosa: quando le persone arrivano, devi misurare la febbre a ognuno.
Cosa succede se uno ha più di 37.5? Stop!
Gli dici “No, non puoi entrare. Vai dal tuo medico curante per farti dare la malattia, deciderà lui se e quando potrai rientrare al lavoro”
E dove va scritta la temperatura?
Secondo me, come mia indicazione personale, non va scritta da nessuna parte. Me se proprio la vuoi scrivere, allora sappi che stai iniziando a trattare dei dati personali. Il trattamento temporaneo nella testa della persona che prende la temperatura e poi non la riporta da nessuna parte – resta lì nella sua testolina – non c’entra nulla col GDPR. L’ha chiarito anche il Garante.
Se però inizia a scrivere i dati e li riporta da qualche parte, allora sì che è un trattamento dei dati personali e quindi rientra nel GDPR e va gestito secondo il Regolamento.
Ma poi perché dico io, uno dovrebbe scrivere la temperatura delle persone. Perché?
Ti serve davvero sapere questa cosa?
L’articolo 5 del GPDR sulla minimizzazione del trattamento ci dice: prima di prendere delle informazioni, chiediti se ti serve davvero questa informazione o puoi farne a meno.
A cosa ti serve avere un elenco con la temperatura dei tuoi dipendenti?
Nel momento in cui uno ha la febbre non può entrare. Punto. È un po’ come una persona che ha la gamba rotta e che quindi non può andare sopra il muletto. Secondo te ha senso che un’azienda registri chi ha la gamba rotta e chi no? Per me non ha nessun senso.
“Ah ma sapere se Peppino ha la febbre, mi serve per capire se è idoneo al lavoro oppure no…”
“Eh no! Mica è di tua competenza!”
È il medico che decide se il dipendente è idoneo o non è idoneo, non tu
La competenza di dire che Peppino è idoneo o non è idoneo al lavoro è del medico curante e del medico del lavoro. Non è del datore di lavoro.
“Eh, ma se poi Peppino mi arriva in azienda e vedo che ha la febbre a 38?”
“Benissimo. Se ha la febbre sopra il 37.5 gli dici: Peppino, vai dal medico competente che così ti visita e stabilisce se puoi tornare al lavoro oppure no. Perché è il medico competente che dà l’idoneità e che valuta se è il caso di attivare i protocolli sanitari per il trattamento del Covid-19 oppure no. Lui avvisa l’ASL e gli enti preposti.”
Quindi direi che non c’è nessuna necessità di registrare le temperature. Anche perché, mica è detto che Peppino abbia il Coronavirus, potrebbe avere un’altra cosa, ma tu, titolare dell’azienda non devi saperlo, deve saperlo il medico curante. Potrebbe avere un ascesso, aver preso un colpo di calore, aver bevuto troppo e ha la cirrosi epatica. Non ti deve interessare!
Lo dice anche il Garante: sulla idoneità al lavoro non è competente l’azienda, è competente il medico, che verifica in autonomia il dipendente malato perché è un titolare del trattamento – per i trattamenti che fa sul dipendente – mentre l’azienda, in quanto responsabile esterno, sa solo se Peppino è idoneo o non idoneo. Basta.
Se la differenza tra titolare e responsabile esterno del trattamento non ti è chiara, dai un’occhiata all’approfondimento GDPR: Titolare, Responsabile, Addetto
Fatto? Bene. Andiamo avanti.
No alle autodichiarazioni: non servono e poi sono trattamenti di dati da gestire. Sicuri di volerle gestire?
Tutte le autodichiarazioni in cui il dipendente dice che non è in quarantena e che non ha il Coronavirus non hanno nessun senso. Anche il Garante dice: “Non prendete autodichiarazioni.” Perché?
Perché è il medico che avrebbe dovuto spiegare al dipendente che se ha dei sintomi da Coronavirus deve telefonargli per dirglielo. Poi, tu, azienda, glielo spieghi e glielo ricordi. Punto.
Non solo. Se tu come azienda chiedi l’autodichiarazione, allora stai gestendo anche dei dati personali!
Ricapitolo. Se prendi la temperatura e basta senza registrarla, se la valutazione dell’idoneità al lavoro la fa il medico, se non prendi autodichiarazioni del dipendente, allora significa che non stai trattando dati personali! Quindi viaggi via tranquillo come hai viaggiato fino adesso, per quanto riguarda il GDPR.
Smart Working: senza DPIA non lo puoi fare, lo sapevi?
Purtroppo o per fortuna, vista la situazione, c’è la possibilità di lavorare in Smart Working, che è un’opportunità, ma che tocca il trattamento dei dati personali. Quindi se alcuni dei tuoi dipendenti lavorano in Smart Working già da adesso, sappi che è quasi certo che tu debba aggiungere alcune cose sia sul registro dei trattamenti sia sulle informative che dai dipendenti.
Anzi, dovresti fare la DPIA!
Io l’ho sempre detto per me la DPIA dovrebbero farla tutti, a prescindere. Ma sei fai Smart Working e se trattati dati legati al Coronavirus, hai la certezza: devi fare la valutazione di impatto su quel trattamento.
È obbligatorio, altrimenti non puoi fare lo Smart Working!
“Eh, ma non sono mica trattamenti di dati su larga scala…”
“Chissenefrega! Il trattamento che fai può portare ad una grave discriminazione. Se Antonio che lavora in Smart Working è collegato con la VPN, tu azienda riesci a vedere tutto, perché vengono registrate le navigazioni: quando si collega, quando si scollega, che siti guarda. Riesci a vedere tutto.”
Se un giorno Antonio scopre che c’è l’abbonamento gratuito a Porn Hub e usa la VPN per collegarsi e guardare le donnine nude, è un rischio per lui, perché potrebbe essere discriminato e anche in maniera grave! Può ledere i suoi diritti e le sue le libertà.
Se Antonio perde il lavoro perché l’azienda ha visto che usa Porn Hub è una discriminazione.
“E quindi cosa facciamo? Non registriamo?”
“Meglio! Se vuoi registrare, registra, ma nel momento in cui decidi di farlo, se tratti quei dati, devi fare la DPIA. Che comunque è necessaria in caso di Smart Working, perché l’azienda riesce a vedere quando i dipendenti si collegano, per quante ore, se si connettono dopo e si disconnettono prima dell’orario di lavoro, quante ore fanno… E possono dire: ho visto che hai lavorato solo 6 ore e mezza invece di 8. Adesso ti do meno soldi, oppure ti faccio una nota di demerito.”
Perché quel trattamento che stai facendo sulla persona che lavora in Smart Working può essere discriminatorio, a prescindere dal fatto che sia su larga scala oppure no.
Gestione della filiera dei contatti
Ci sono alcune aziende che, per la gestione della sicurezza antincendio e altre esigenze, prendono nota di chi entra in azienda e di dove va, perché, se succede qualcosa, bisogna poter dire chi era presente: se viene giù tutto – per esempio c’è un terremoto – bisogna sapere dove sono queste persone per andarle a cercare.
Questa cosa è già presente in diverse aziende ed è una prassi, quindi non è obbligatoria.
Però, se vuoi, in questa fase di Coronavirus, puoi adottarla, segnando chi arriva in azienda, quanto rimane e dove lavora, perché tu possa dirlo se ti viene chiesto. Quindi solo se ti viene richiesto da chi è preposto, cioè i medici della ASL, i medici competenti, la Protezione Civile nelle persone indicate, per verificare i contatti di una persona infetta.
La gestione della filiera dei contatti è una cosa semplicissima, non è che devi infilare un chip con la geolocalizzazione nel sedere dei dipendenti, per vedere se non rispettano la distanza di sicurezza di 1 metro. Basta prendere le presenze e avere il buon senso di poter dire che Antonio lavora in amministrazione, ha lavorato dalle 8 alle 18 in amministrazione in questi giorni. Dalle 8 alle 18 in amministrazione negli stessi giorni c’erano anche Francesco e Giulia. Semplice.
Molte aziende ce l’hanno già e dovrebbero già avere questa informazione nel loro registro dei trattamenti, aver fatto le cose corrette e averlo anche scritto nell’informativa. Dovrebbero. Quelle che invece non hanno questo tipo di gestione, nel momento in cui decidono di mettere su questo tipo di controllo, devono inserirlo nel registro dei trattamenti, indicare questo trattamento nell’informativa dei dipendenti e consegnare loro l’informativa.
Il controllo della filiera non prevede la DPIA però devi verificare le misure prima di fare il trattamento e rendere evidente di averle fatte.
E come si fa a rendere evidente questa cosa?
La rendi evidente perché hai messo nell’informativa che fai il trattamento, hai dato istruzioni a chi poteva vedere quei dati su come si doveva comportare, hai nominato gli addetti e adottato le misure di sicurezza. E perché su quel trattamento hai fatto l’analisi dei rischi, verificando che il rischio residuale è basso.
E quando ci sono dei visitatori esterni?
Quando in azienda arrivano dei visitatori esterni, il protocollo d’intesa ci dà alcune indicazioni banali: i visitatori devono avere dei bagni apposta per loro, dove non c’è nessuno, se sono dei padroncini devono scaricare e ricaricare in un certo modo eccetera.
Ma non toccano il trattamento dei dati personali
Cosa succede se un dipendente sta male durante l’orario di lavoro?
Peppino alle 8 ha il primo turno di lavoro. Giulia, l’addetta, gli misura la temperatura: 36,8. Niente tosse. Peppino entra nel capannone e inizia a lavorare. Alle 14.30, dopo pranzo, Peppino inizia a stare poco bene. Tossisce. E adesso?
Scatta il protocollo e quindi:
1) Peppino deve avvisare la persona incaricata per seguire queste situazioni
Bisogna aver dato la regola chiara che dice: se il dipendente si sente male, deve andare a chiamare una certa persona definita dall’organizzazione. Se in azienda c’è il medico, va dal medico. Se è il responsabile sulla sicurezza, allora va dal responsabile sulla sicurezza. Se è una persona dello Human Resources, allora va dal nominato dello Human Resources.
2) Peppino si misura la febbre, se ha la tosse va in isolamento, l’incaricato chiama l’ASL
Misuri la febbre. Se la febbre è più alta di 37.5 e se Peppino ha la tosse, bisogna che vada in una stanza isolata. L’incaricato chiama l’ASL. Fine. Stop.
Non scrivi niente da nessuna parte. Ti arriverà eventualmente il certificato di malattia, quando i medici avranno fatto le loro verifiche.
Io per eccesso di paraculismo chiamo anche il medico competente e gli dico: “Sai, forse abbiamo un caso di Covid in azienda e l’abbiamo gestito così. Va tutto bene?”
La procedura è questa. Anche perché Peppino potrebbe non averlo il Covid: viene gestito come qualsiasi persona che non sta bene, con l’accortezza in più di tenerlo in isolamento e di chiamare l’ASL competente. Facendo così, non fai nessun trattamento in più rispetto alla normale gestione di un dipendente che sta male.
Minimizza i dati, perché se c’è un Data Breach legato al Coronavirus rischi una causa civile
Meno informazioni tratti, soprattutto se si tratta di dati sensibili, cioè quelli che adesso si chiamano dati particolari, è meglio perché se poi da qualche parte scappa qualcosa – se c’è una violazione – sono problemi grossi.
Se tratti dati personali legati al Coronavirus e c’è un Data Brach (una violazione) – le informazioni vengono perse, qualcuno che non doveva vederle le ha viste o uno degli altri casi violazione dei dati – il dipendente malato di Codiv-19, grazie al Novellato 101, può fare una causa civile contro l’azienda per responsabilità diretta sulla gestione del trattamento dei dati personali.
Ecco perché la minimizzazione dei dati è fondamentale.
Quindi dal mio punto di vista bisogna:
1) Minimizzare il più possibile i trattamenti, cioè ragionare se è davvero necessario fare quel trattamento dei dati e se decidi di trattare quei dati, devi anche aggiornare il registro, l’informativa, usare l’adeguata base giuridica
2) Nominare gli addetti e gli incaricati nella gestione di chi presenta sintomi da Covid-19
3) Fare la DPIA, cioè fare la verifica e l’analisi dei rischi perché il rischio residuale sia basso
4) Fare le verifiche sulle misure di sicurezza fisiche, logiche e organizzative
Punto. Questo è quello che devi fare, per gestire la riapertura e le attività in questa emergenza.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
GDPR: rispetto del periodo di notifica della violazione di 72 ore
Oltre al sistema Terra-Luna, sono noti migliaia di asteroidi noti come Near-Earth Objects (NEO). Queste rocce attraversano periodicamente l’orbita terrestre e formano un vicino sorvolo della Terra. Nel corso di milioni di anni, alcuni addirittura si sono scontrati con la Terra, causando estinzioni di massa. Non c’è da stupirsi quindi perché il Center for Near Earth Object Studies (CNEOS) della NASA sia dedicato al monitoraggio degli oggetti più grandi che occasionalmente si avvicinano al nostro pianeta.
Se studi l’astronomia, probabilmente hai familiarità con il concetto di NEO, che sono oggetti che potrebbero colpire la terra e potenzialmente causare un evento di estinzione. Per gli MSP, le violazioni dei dati possono avere lo stesso effetto sulle loro attività come i NEO possono avere sulla Terra. L’ obbligo del regolamento generale sulla protezione dei dati (GDPR) di indagare e segnalare violazioni dei dati entro una finestra di 72 ore può far sentire le violazioni dei dati altrettanto minacciose in termini di potenziali danni.
Il testo del GDPR può sembrare vago quando si tratta della parte di notifica della violazione dei dati. Tuttavia, ciò che possiamo dire con certezza è che, ad un certo punto, probabilmente avrai un cliente che ti chiede di aiutarlo a soddisfare i requisiti di risposta alla violazione dei dati del GDPR. Potrebbero anche non avvicinarti: potresti essere tu a scoprire la potenziale violazione. Di conseguenza, è importante conoscere le procedure sulle violazioni dei dati da seguire.
Statistiche e fatti chiave sulla segnalazione di violazioni dei dati
Ai sensi dell’articolo 33 del GDPR, le informazioni richieste ai sensi del GDPR per la segnalazione di una violazione dei dati includono:
- La natura della violazione
- Il nome / i dettagli di contatto del responsabile della protezione dei dati dell’organizzazione
- Le probabili conseguenze della violazione
- Le misure adottate o proposte dal titolare del trattamento per far fronte alla violazione e mitigarne gli effetti negativi
Ciò significa che dovrai determinarli nel miglior modo possibile dopo aver scoperto una violazione e, se necessario, riferire alle autorità entro la finestra di 72 ore.
Preoccupato per la scadenza di 72 ore? Bene, qui ci sono due statistiche che sono ancora più preoccupanti:
- Sono necessari in media 191 giorni per identificare una violazione dei dati
- Meno del 19% delle violazioni dei dati viene rilevato automaticamente
Fortunatamente, la finestra dei rapporti di 72 ore inizia dal momento in cui l’organizzazione viene a conoscenza della violazione. Tuttavia, è piuttosto difficile indagare su una violazione dei dati verificatasi settimane o mesi prima; ricorda che 191 giorni è il tempo medio impiegato per identificare una violazione. Quindi, dal punto di vista della risposta agli incidenti, prima viene rilevata la potenziale violazione, meglio è.
Queste statistiche dipingono un quadro piuttosto cupo dello stato attuale del rilevamento, dell’indagine e della risposta della violazione dei dati. Il GDPR richiederà agli MSP di indagare e rispondere a tutte le violazioni dei dati, e ciò potrebbe essere reso più difficile se non spostano l’ago di rilevamento da 191 giorni a tre più vicini. Per avere una possibilità di combattere per affrontare questa sfida, sono necessari preparazione, strumenti e “un piano”.
In termini di preparazione, consulta le serie di post sul blog della Guida rapida alle strategie GDPR:
Blog 1 – Fornire formazione sulla sicurezza ai dipendenti dei clienti
Blog 2 – Protezione della posta e whitelisting delle applicazioni
Blog 3 – Gestione delle patch, le regole dei privilegi di amministratore e la crittografia dell’hard disk…
Blog 4 – le tecnologie di difesa dell’endpoint
Queste strategie potrebbero forse aiutarti a prevenire del tutto le violazioni dei dati dei clienti, ma la strategia principale per gli MSP dovrebbe in primo luogo ridurre sostanzialmente il rischio potenziale di una violazione dei dati dei clienti.
Comprensione delle minacce
Nonostante i tuoi migliori sforzi, un incidente di sicurezza può accadere a un cliente in un istante attraverso un semplice attacco di social engineering, errata configurazione o malware non rilevato. Anche un attacco ransomware potrebbe rientrare nella categoria di una violazione dei dati, il GDPR lo definisce come “una violazione della sicurezza che porta alla distruzione accidentale o illegale, perdita, alterazione, divulgazione non autorizzata o accesso a dati personali, trasmessi, memorizzato o altrimenti elaborato. ” Il ransomware potrebbe rientrare nella categoria “perdita di dati”.
Fortunatamente, gli attacchi di ransomware sono piuttosto evidenti e stanno diventando più facili da correggere, poiché gli strumenti di backup, le migliori pratiche e la tecnologia di sicurezza si sono sempre più concentrati su questa minaccia. Per la stragrande maggioranza degli MSP, gli attacchi ransomware sono probabilmente l’unico incidente di sicurezza che dovranno affrontare. Gli ultimi numeri suggeriscono che il 91% degli attacchi informatici e le risultanti violazioni dei dati iniziano con un attacco di posta elettronica di phishing e, di questi attacchi, il 93% è costituito da payload di ransomware. ,
Per quasi tutti gli altri incidenti di sicurezza, sarà probabilmente necessario esaminare il tipo di violazione dei dati e il tipo di contatti che potrebbero esserci stati tra i criminali informatici. Ciò può includere la determinazione della natura della violazione dei dati o l’identificazione di quali dati sono stati rubati, manomessi o distrutti permanentemente. Potrebbe anche essere necessario determinare se i criminali informatici hanno contattato il cliente o i suoi clienti. In tal caso, potresti avere a che fare con una questione di applicazione della legge, in quanto è possibile che venga fatto un tentativo di estorsione o di ricatto contro il tuo cliente.
Tipi di incidenti di sicurezza
Un errore di sicurezza che porta a una violazione dei dati (diverso dal ransomware, che è ovviamente un problema di disponibilità dei dati) può essere generalmente assegnato in una delle tre seguenti categorie:
- Divulgazione non autorizzata delle informazioni personali dell’interessato
- Manomissione o alterazione dei dati personali dell’interessato da parte di una parte non autorizzata
- Negazione dell’accesso ai dati personali dell’interessato
Pertanto, se i criminali informatici “Bothan” rubano i piani alla “Morte Nera” della tua azienda e i registri del personale imperiale o i registri dei clienti imperiali non fossero inclusi o influenzati in alcun modo, la buona notizia è che il GDPR potrebbe non essere pertinente, anche se i piani della “Morte Nera” erano il lavoro della tua azienda.
Se ritieni che i dati personali degli interessati siano stati potenzialmente influenzati dalla violazione dei dati, dovrai determinare il livello di danno e le conseguenze della violazione. La guida GDPR di SolarWinds MSP può aiutarti a orientarti nella giusta direzione per comprendere la gravità della situazione e il potenziale impatto dei dati rubati.
Successivamente, è tempo di aiutare il cliente a determinare quale linea di condotta intraprendere. Potrebbe essere necessario apportare modifiche a processi, procedure e tecnologia e potrebbe essere necessario contattare i clienti che sono stati interessati, se necessario. Una volta noto che sono stati coinvolti dati personali, è meglio essere estremamente meticolosi nella documentazione e nell’azione. Potrebbe essere necessario che l’Autorità di vigilanza della propria area venga informata della violazione, pertanto è consigliabile disporre della documentazione di tutti i propri sforzi in buona fede.
Cosa aspettarsi durante un incidente con violazione dei dati
In qualità di MSP – e possibilmente primo soccorritore di una situazione di violazione dei dati – tutto il lavoro svolto verrà esaminato attentamente. Ma se stai al fianco del tuo cliente documentando ed eseguendo la dovuta diligenza, è improbabile che la notifica di violazione di 72 ore provochi un evento di estinzione per il tuo cliente.
E’ molto importante poter controllare il processo di gestione di un Data Breach per qualsiasi MSP, piuttosto che subirlo con tutte le conseguenze negative del caso.
N4B SRL ti invita a conoscere il tool di gestione Data Breach di Privacylab per poter offrire un servizio adeguato ed efficiente ai propri clienti. Contattaci per saperne di più.
FONTE: Solarwinds MSP BLOG
Bibliografia:
1. “Gli astronomi si esercitano in risposta a un asteroide assassino”, Universo oggi. https://www.universetoday.com/137789/astronomers-practice-responding-killer-asteroid/ (consultato a novembre 2017).
2. “Notifica di violazione dei dati ai sensi del GDPR: problemi da considerare”, Browne Jacobson LLP. https://www.brownejacobson.com/training-and-resources/resources/legal-updates/2016/03/data-breach-notification-under-the-gdpr-issues-to-consider (accesso novembre 2017).
3. “Art. 33 GDPR: Notifica di una violazione dei dati personali all’autorità di controllo ”, Intersoft Consulting. https://gdpr-info.eu/art-33-gdpr/ (consultato a novembre 2017).
4. “Studio del costo della violazione dei dati del Ponemon Institute 2016”, IBM e Ponemon Institute. https://www.ibm.com/security/data-breach/index.html (consultato a novembre 2017).
5. “Il divario nella detenzione della violazione dei dati e le strategie per colmarlo”, Infocyte. https://www.infocyte.com/breach-detection-gap-conf (consultato a novembre 2017).
6. “Articolo 4: Definizioni GDPR dell’UE”, SecureDataService. https://www.privacy-regulation.eu/en/4.htm (consultato a novembre 2017).
7. “Rapporto sulla suscettibilità e sulla resilienza del phishing aziendale”, PhishMe. https://phishme.com/enterprise-phishing-susceptibility-report (consultato a novembre 2017).
8. “Rapporto sui malware Q1 2016”, PhishMe. https://phishme.com/project/phishme-q1-2016-malware-review/ (consultato a novembre 2017).
Questo documento è fornito a solo scopo informativo e non deve essere considerato come una consulenza legale o per determinare come il Regolamento generale sulla protezione dei dati (GDPR) dell’UE può essere applicato a te e alla tua organizzazione. Ti invitiamo a lavorare con un professionista legalmente qualificato per discutere del GDPR, di come si applica alla tua organizzazione e del modo migliore per garantire la conformità. SolarWinds MSP non rilascia alcuna garanzia, espressa o implicita, né si assume alcuna responsabilità legale per le informazioni contenute nel presente documento, inclusa l’accuratezza, la completezza o l’utilità di tali informazioni.
GDPR: Smart Working, Business Continuity e GDPR
La situazione pandemica ha portato moltissime aziende a lavorare in Smart Working. Di queste, quante lo hanno fatto in modo conforme al GDPR? Da quello che vedo non molte, ma per le aziende che hanno sposato il concetto di Business Continuity e che hanno attuato lo Smart Working in questi mesi di Coronavirus, ho la speranza che non sia cambiato assolutamente nulla nel loro impianto di gestione del GDPR.
Non è cambiato nulla – o almeno spero che sia così – perché avevano giustamente e correttamente ragionato sul discorso di Business Continuity.
Cosa vuol dire Business Continuity?
È la capacità dell’azienda, a prescindere da quello che succede, di continuare il proprio business.
È chiaro che se sono un’azienda che produce cuscinetti a sfera e piastrelle, hai voglia a fare cuscinetti a sfera e piastrelle in Smart Working – la Business Continuity nella produzione viene strutturata con la delocalizzazione – ma tutta la parte di vendita di servizi, di amministrazione, di Human Resources, di Marketing può essere tranquillamente gestita da remoto rispettando la Business Continuity.
Altrimenti come fai a garantire il servizio? Come fai a fatturare?
Che se non fatturi, chiudi!
Se un addetto ha un problema col computer, gli mandi un computer di ricambio, non puoi fermarti per una cosa del genere: questo è Business Continuity, ma non solo.
Perché, occhio che la continuità del business deve impattare non solo sulla parte tecnologica – cioè dare strumenti (device) agli addetti e stop! – ma anche sulla parte organizzativa e sulla parte di formazione. Perché se è solo tecnologica e le persone in Smart Working non hanno le istruzioni e gli strumenti per operare, questa cosa non funziona.
Estote parati! Sempre pronti!
Il concetto di Business Continuity è il concetto che gli Scout chiamano estote parati, che significa sempre pronti.
È il mantra che deve entrare nelle aziende e che non riguarda solo l’IT e gli aspetti tecnologici, ma è trasversale a tutta l’impresa.
È inutile che il responsabile IT deputato a scegliere gli strumenti a norma con il GDPR (clicca qui per approfondire)– non quelli gratis, ma a quelli a pagamento e conformi alla normativa – si giustifichi dicendo: “Noi siamo piccoli, siamo piccolini, siamo come Calimero. Abbiamo pochi soldi. Mi dicono sempre di no quando vado in amministrazione a chiedere delle cose.”
Perché la Business Continuity non deve partire dall’IT.
Deve partire dall’alto!
È un po’ una battaglia da Don Chisciotte, mi rendo conto, ma è l’azienda che applica la Business Continuity e che adotta misure tecniche, organizzative e di formazione per lavorare a norma anche quando arriva la pandemia di Coronavirus.
La Business Continuity e la realtà dei fatti
La realtà dei fatti è che c’è stata l’emergenza da Coronavirus e le aziende hanno fatto lo Smart Working alla cieca. Valutazione sul rischio per i dati? Zero.
La valutazione è stata: fare Smart Working con quello strumento costa poco o costa tanto?
Funziona o non funziona?
Se costa poco e funziona, bene, usiamolo che dobbiamo lavorare!
E allora, vedi quelli che attivano, agganciano, pubblicano on-line le riunioni, le mega riunioni, con l’accesso, senza accesso, viene registrato tutto…
Addirittura le farmacie usano WhatsApp per gli ordini dei clienti. Ma com’è possibile che mi fai l’ordine via WhatsApp? L’ordine con la medicina per il cuore, quello con il Viagra perché finalmente sono a casa con mia moglie e ne approfitto… tutto passa su WhatsApp!
Ma perché?
Perché non avevano pensato alla Business Continuity!
Non avevano lo strumento per la gestione degli ordini valutato e registrato.
Poi c’è stata l’emergenza e allora chiedono di mandare l’SMS o il WhatsApp…
Non si può! Non si può!
Adesso che però è passata l’emergenza, bisogna iniziare a ragionare su cosa c’è da fare e come mettersi a norma. Hai adottato lo Smart Working in emergenza? Bene. Adesso fermati e guarda cosa stai facendo, come lo stai facendo e mettiti a posto.
Come si fa?
FONTE: Privacylab BLOG – By Redazione
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.