GDPR – Covid-19: la scelta degli strumenti per gestire la Fase 2
I protocolli per la riapertura Covid-19 ci consigliano dei comportamenti da adottare per garantire la sicurezza di chi entra in azienda – dipendenti, clienti, fornitori – ma anche per chi entra in palestra, al circolo, nei negozi e così via. Per adottare questi comportamenti, dobbiamo gestire dei trattamenti di dati personali ed eventualmente adottare degli strumenti.
Quando abbiamo parlato di GDPR, Coronavirus e fase 2 e di come gestire la riapertura (LEGGI QUI), infatti, abbiamo visto quali sono questi trattamenti e quali sono le norme da rispettare, che sono sempre quelle. Breve ripasso. Le norme da tenere sempre presenti sono: GDPR, Novellato 101, D.lgs 81 del 9 aprile 2008 e i vari DPCM e protocolli che servono per la gestione del Covid e della riapertura.
Bene. In questo articolo cerchiamo di capire come vanno scelti e verificati gli strumenti per la gestione della Fase 2. Perché bisogna essere sicuri e tranquilli di usare lo strumento corretto per garantire la sicurezza delle persone e gestire il trattamento dei dati in modo conforme al GDPR.
Uno dei busillis grossi è la verifica della temperatura.
Per entrare in azienda, i protocolli di sicurezza ci dicono che è possibile misurare la temperatura e vedere se è più alta o più bassa di 37.5: se è minore, la persona è idonea e può entrare; se è superiore a 37.5 non può entrare, deve tornare a casa e avvisare il medico.
Attenzione. Misurare la temperatura non è un obbligo. Puoi anche decidere di non farlo!
Poniamo che tu decida di misurare la febbre dei dipendenti. Come scegliere gli strumenti?
Come scegliere gli strumenti per misurare la temperatura all’ingresso
Prima di guardare gli strumenti per la misurazione della temperatura, c’è una cosa importante da avere ben chiara: la temperatura corpora non si può tenere registrata da nessuna parte, lo dice il Garante. E dice anche che, se proprio vuoi registrare qualcosa, allora puoi registrare l’idoneità all’accesso. Punto. Chiaro?
Bene. Detto questo, devi scegliere lo strumento. E in giro ci sono strumenti che promettono mari e monti, ma che potrebbero non essere compliant nella gestione del GDPR (LEGGI QUI). Quindi fai attenzione.
Fondamentalmente, ci sono 3 tipologie di strumenti e quindi 3 diversi impatti sul GDPR:
1 – Termometro a infrarossi
Il termometro a infrarossi non ha nessun impatto sul GDPR, a meno che non registri quel dato da qualche parte. Ma se non lo registri, il termometro a infrarossi, di per sé, come strumento non tocca il GDPR. Perché la temperatura resta nella testa di chi legge.
È chiaro che se Peppino, l’addetto che misura la temperatura, non segna nulla, poi torna in ufficio e scrive una mail la titolare per dirgli “Guarda che Antonio è venuto a lavorare anche se aveva la febbre a 38 e l’ho rimandato a casa”, allora è un problema. Perché c’è un trattamento di dati personali. Quindi chi misura la temperatura deve essere formato e deve sapere che non deve scriverla da nessuna parte, neanche su carta di formaggio, altrimenti passa dei guai!
2 – Misuri la temperatura e registri su carta l’idoneità
Puoi decidere di misurare la temperatura con il termometro a infrarossi, chiedere ai dipendenti se si sono provati la temperatura, prendere un infermiere che usa il termometro tradizionale. Decidi tu. Dopodiché, per dare evidenza che in azienda non siano entrate persone sintomatiche, puoi decidere di registrare l’idoneità – non la temperatura, mi raccomando! – sulla carta, su un foglio excel, sul database, sul gestionale.
Qui, invece, l’impatto sul GPDR c’è. E ti obbliga ad aggiornare il registro, a nominare gli addetti perché avrai un archivio in più ed un trattamento aggiuntivo. Ti obbliga a verificare che il trattamento sia a norma, a fare la DPIA (Data Privacy Impact Assessment) (LEGGI QUI)e ad aggiornare eventualmente le informative, perché potrebbe essere un trattamento aggiuntivo che non avevi previsto. E chiaramente devi anche scrivere un protocollo per dare evidenza che tutti quelli che sono entrati, sono stati sottoposti ad una procedura per capire se fossero idonei all’ingresso oppure no. Se decidi di registrare l’idoneità è una cosa che va fatta.
3 – Termoscanner o sensori
Sono dispositivi di varia natura e funzionano tutti in maniera molto simile. Sappi che il termoscanner ha un impatto sul GDPR. Ha un impatto nel momento in cui registra l’idoneità e quindi ti obbliga ad aggiornare il registro – perché hai uno strumento digitale che ti gestisce i dati sull’idoneità -, a fare la DPIA, a nominare gli addetti, a verificare la sicurezza dello strumento. Trattandosi di uno strumento digitale, dovrai anche verificare il fornitore. Devi controllare se fa quello che dice di fare e se lo fa nella maniera corretta. E se il fornitore fa la manutenzione, lo dovrai nominare anche responsabile esterno al trattamento e amministratore di sistema.
Idem per il fornitore del Cloud (perché ci sono dei termoscanner che addirittura salvano in Cloud i dati!). E poi dovrai creare un protocollo, per dare evidenza di aver gestito in maniera puntuale le misure di sicurezza per la riapertura.
Quindi hai fondamentalmente 3 modi per misurare la temperatura.
Di questi, il termoscanner è quello potenzialmente più problematico per il GDPR.
Termoscanner e GDPR: occhio allo strumento che scegli!
In queste ultime settimane è venuto fuori un disastro. Termoscanner come se piovesse.
Ti do una notizia: il 99,99% dei termoscanner è – chiaramente! – fabbricato in Cina.
Non c’è niente di male di per sé. Però, quando scegli i tuoi strumenti (LEGGI QUI), ci sono delle domande che ti dovresti fare, prima di adottarli e questo vale per qualsiasi strumento che può trattare dei dati!
Quindi, anche quando scegli un fornitore di termoscanner, devi chiederti:
- Quali dati gestisce il termoscanner?
- Dove risiedono fisicamente queste informazioni? Sono salvate nel termoscanner? Il termoscanner non salva niente? Se è fatto in Cina, salva i dati in Cina?
- Il termoscanner salva dei video e delle immagini, oltre alle idoneità?
- Il termonscanner spara l’idoneità in Cloud?.
- Chi vede queste informazioni? E come le vede?
Poi, chiaramente, devi nominare il fornitore del dispositivo come responsabile esterno al trattamento e verificare la sua adeguatezza (LEGGI QUI).
Bene. Adesso cerchiamo di capire quali dati vengono trattati. Perché mi sono accorto che molti produttori di termoscanner hanno i reparti marketing che hanno l’ansia da prestazione – il mio termoscanner tonifica, lubrifica, fa tutto: ti registra il viso, fa la face recognition, spara i dati in Cloud. Ha tutto! – e quindi eccedono in descrizioni e funzionalità che potrebbero non essere a norma GDPR.
Facciamo qualche esempio. Ecco alcune funzioni presenti nei termoscanner che ho analizzato.
1 – Face recognitionMolti dei termoscanner che ho studiato hanno la funzione di face recognition, il riconoscimento facciale. La funzione di face recognition ha un impatto sul GDPR? Acciderbola se ce l’ha! Ha un impatto fortissimo sul GDPR. Ha un impatto così grande, che ti obbliga a chiedere l’autorizzazione ai sindacati. Ma, soprattutto è un’attività biometrica, e con l’attività biometrica, è sempre meglio chiedere l’autorizzazione al Garante. E il Garante, interpellato su questa cosa, spesso dice: “Guarda, se non è necessaria, non farla!”
Io mi chiederei: a cosa serve la face recognition per la prevenzione del Covid?
Secondo me a poco. La vuoi usare?
Va bene. Ricordati però che, se la vuoi usare, devi attivare il protocollo con l’Ispettorato del lavoro, con le organizzazioni sindacali e devi chiedere il permesso al Garante.
E ricordati che poi bisogna anche chiedere il consenso agli interessati, cioè a tutte le persone che passi col temoscanner. Diventerebbe una follia! Come fai a chiedere il consenso ad ogni persona che si presenta all’ingresso dell’azienda, ogni giorno?
Quindi, la funzione di face recognition è una di quelle bellissime cose che, per poterle usare, devono essere disabilitabile.
2 – Salvataggio di immagini o video sul dispositivoMoltissimi termoscanner hanno il salvataggio delle immagini e dei micro-filmatini di quando passa la persona. Allora devi verificare quali immagini e quali video vengono salvati.
C’è la faccia e basta?
Mmmm…
C’è la faccia più la temperatura?
No! La temperatura non può essere salvata insieme al dato della persona e la faccia identifica la persona. Non può essere salvata da nessuna parte. Lo ha detto il Garante.
Ci vedi scritto: 36.5?
Non va bene!
Ci vedi scritto IDONEO oppure RESPINTO?
Va be’…
L’idoneità, come abbiamo visto, la puoi registrare.
Però poi devi aggiornare il registro, l’informativa, fare la DPIA eccetera eccetera. Sta a te decidere.
Se vengono registrate immagini e video c’è un impatto sul GDPR?
Certo! Perché, oltre alla gestione del Covid, devi gestire la cosa anche come videosorveglianza.
È inutile che mi dici “Eh ma io non videosorveglio…”
Perché stai videosorvegliando. Più videosorveglianza di quella del termoscanner non c’è niente! Perché Peppino entra in azienda solo se gli hai fatto la foto e hai guardato se è idoneo.
Quindi devi attivarti per gestire il termoscanner come se avessi attivato la videosorveglianza, oltre a tutto quello che riguarda i trattamenti Covid.
3 – Salvataggio in CloudMolti di questi strumenti, non solo salvano i dati sul dispositivo, ma ti danno anche la possibilità di salvare in Cloud. Lo puoi fare? Sì, però, anche qui hai degli adempimenti imposti dal GDPR e cioè:
- Devi verificare che i dati che vengono salvati in Cloud siano esattamente quelli corretti. Quindi, non deve essere salvata la temperatura, deve essere salvata solo l’idoneità.
- Devi fare tutta la trafila per il Cloud per verificare il fornitore, nominarlo responsabile esterno, verificare che sia adeguato e devi gestirlo come un fornitore di videosorveglianza che salva i dati in Cloud. È una cosa che si può fare – basta che non ci sia registrata la temperatura, se c’è la temperatura: no, non si può fare! – ma io tenderei personalmente a non farlo. Se decidi di farlo, l’importante è che tutta la catena di responsabilità sia stata resa chiara, evidente, gestita, condivisa e sicura. Cioè devi avere una responsibility chain chiara.
4 – Salvataggio dell’idoneità Fare il salvataggio dell’idoneità ha un impatto sul GDPR?
Sì, e se la salvi in Cloud, ha un impatto maggiore perché devi nominare il responsabile esterno.
Se lo salvi sui tuoi sistemi aziendali, in teoria, l’idoneità al lavoro dei dipendenti è già un’informazione che gestisci. Magari c’è da lavorare sull’informativa dei visitatori, perché l’idoneità all’accesso non era stata gestita. Ma per i dipendenti, se hai lavorato bene prima, forse non devi aggiungere niente nell’informativa.
Forse devi aggiungere qualcosa anche nel registro dei trattamenti, indicando l’archivio in cui sono registrate le idoneità. Se poi l’archivio è in Cloud, dovrai nominare responsabile esterno chi gestisce il Cloud.
5 – Salvataggio della temperatura corporeaNon si può fare! Te l’ho detto 70 volte, te lo dico la 71esima. Non si può fare da nessuna parte, su nessun asset digitale o cartaceo che sia.
Da nessuna parte ci deve essere scritta la temperatura di Antonio, di Francesco, di Maria.
Anche se è pseudo-anonimizzata. È importante questo.
Perché ne stanno venendo fuori veramente tantissime di situazioni dove vengono registrate le temperature come se non ci fosse un domani!
6 – Mask recognitionMolti termoscanner hanno la mask recognition. Cos’è? È un algoritmo che vede se sulla tua faccia c’è una mascherina, un foulard, una sciarpa o qualcosa del genere e se ce l’hai ti permette di entrare. Quindi, oltre al misurare la temperatura, ti dà l’ok: idoneo/non idoneo.
Se non viene salvato nessun dato biometrico, ma viene solo rilevato che Peppino, Aziz e Giulia sono idonei all’ingresso, e il dispositivo non salva nulla, non hai impatti sul GDPR. Perché l’idoneità l’hai già salvata precedentemente: il fatto che Peppino abbia la mascherina o meno cambia poco, perché rendi idonei solo quelli che hanno la mascherina.
Le persone non idonee sono quelle che non hanno la mascherina e/o hanno una temperatura superiore a 37.5. Quindi, salvando l’idoneità, sei assolutamente a posto.
Attenzione – È chiaro che, se per fare la mask recognition, viene fatta una foto, che viene salvata sul device, a quel punto stai facendo videosorveglianza e quindi devi seguire la stessa trafila che abbiamo già visto più su.
Gestione dei dati e termoscanner che salvano le immagini: io ci starei lontano
Chiaramente, la gestione dei dati raccolti con il termoscanner – ovvero, chi vede queste informazioni, chi può accedere al device, chi può fare manutenzione – necessita obbligatoriamente di profili di visualizzazione e autorizzativi differenti. Quindi servono profili diversi, per ogni addetto nominato che può vedere questi dati. Ecco perché, personalmente io ti dico: “Stai lontano come la peste dai device che salvano le immagini!”
Non ne hai la necessità. È un dato in più che non ti serve.
Perché devi mettere in piedi una gestione complicata?
Vale sempre il principio della minimizzazione del trattamento: prima di prendere delle informazioni, chiediti se ti servono davvero o se puoi farne a meno.
Come vedi, la scelta dello strumento diventa veramente fondamentale, perché uno strumento che in automatico ti salva le immagini, ti fa la face recognition e ha un profilo di accesso unico – al termoscanner ci accedi con “admin – admin” – non va bene, perché hai dei trattamenti non necessari da gestire e non riesci a testimoniare in maniera chiara, che a quel device lì può accedere solo una persona.
Attenzione agli strumenti col bollino! Non è detto che siano conformi al GDPR
Un’altra cosa che ho visto in questo periodo: tutti questi dispositivi venduti su internet sono GDPR Ready, GDPR Compliant, GPDR Ok…Allora. Chiariamo una cosa: non è detto che il termoscanner che ha il bollino, sia GDPR compliant. Non vuol dire che lo sia! Ed è obbligo del titolare del trattamento verificare che lo strumento sia ok e che abbia le caratteristiche corrette per poter gestire e trattare le informazioni che il titolare ha scelto di trattare.
Io posso avere tutti i bollini del mondo, ma non hanno nessun valore. Devi verificare il fornitore.
E come si verifica il fornitore?
Come si verifica il fornitore del dispositivo che misura la temperatura?
Non devi verificare la qualità tecnica del fornitore. Devi verificare che l’azienda e il suo prodotto abbiano le caratteristiche adeguate a trattare i dati che tu, come titolare, hai scelto di trattare. Quindi:
1 – Deve autonominarsi responsabile esterno
Un fornitore che fa la manutenzione di sistemi un po’ complicati e che non si nomina responsabile esterno, mi fa drizzare le orecchie!
Nel contratto ci devono essere delle clausole, da te verificabili, in cui dice quali dei tuoi dati tratterà, in cui ti spiega non tanto le misure di sicurezza ma se i trattamenti che fa sono a rischio residuale basso e ti dovrà dare un suo documento di compliance al GDPR.
Perché tu devi sapere se i dati sono in Cloud, se sono trattati in Europa, in Italia o all’estero.
E se vanno all’estero, hai un altro problema. Visto che molti di questi che producono termoscanner sono cinesi, fanno anche il backup in Cina!
2 – Deve indicare come viene gestito il Data Breach
Nel contratto devono esserci le clausole del Data Breach (LEGGI QUI cosa fare) perché, se viene craccato il Cloud dove dentro ci sono tutte le temperature dei dipendenti, cosa succede? Se il fornitore è nominato responsabile esterno, non decide lui di fare la comunicazione al Garante, lo decidi tu, in quanto titolare del trattamento. E questo deve essere ben evidente nel contratto.
Per scegliere il fornitore, chiaramente non basta dire: “Fammi vedere la tua valutazione d’impatto. Fammi vedere la nomina da Data Processor e le clausole contrattuali. Fammi vedere dove tratti i dati. Li tratti fuori dall’Europa? Via, non ti voglio!”
Tutto questo non basta.
Ogni tot di tempo hai l’obbligo di verificare il fornitore. Verifichi se i trattamenti che sta facendo per te sono ancora compliant. E come fai a verificarlo? Ad esempio, chiedendo il documento di Compliance aziendale. Se poi è un fornitore che fa la manutenzione, serve anche la nomina da amministratore di sistema, che è tornata prepotentemente fuori, perché la Guardia di Finanza sta iniziando a chiederla in maniera puntuale e precisa.
Come scegliere gli strumenti digitali che registrano i questionari
Il protocollo per la riapertura ci dice che tu, azienda, devi assicurarti che i dipendenti abbiano capito quali sono i comportamenti da adottare per la gestione del Covid: non si entra con la febbre superiore a 37.5, bisogna tenere la distanza, bisogna sapere con chi parlare e cosa fare se si sta male, insomma, tutte le misure da prendere per la fase 2 e la gestione della riapertura (LEGGI QUI).
Uno dei metodi per dare evidenza di questa cosa è far compilare tutti i giorni un questionario prima di entrare in azienda.
Come si gestisce il questionario ai dipendenti?
In molti modi: a voce, su carta e anche in digitale.
E infatti, sono venuti fuori una serie di App, Software e Web App che gestiscono i questionari per il contenimento del Covid. Bene. Deve essere chiaro che, nel momento in cui fai un questionario e registri le risposte, le risposte sono un trattamento di dati personali.
Quindi, oltre a scrivere un protocollo per riuscire a gestire la cosa, dovrai aggiornare il registro, dovrai fare la DPIA, dovrai nominare gli addetti a quei trattamenti, dovrai verificare le misure di sicurezza, dovrai aggiornare le informative – se necessario – perché molto probabilmente dovrai fare dei trattamenti aggiuntivi, che prima non facevi.
Se gestisci i questionari in digitale, va da sé che stai facendo dei trattamenti aggiuntivi.
Quindi, prima di scegliere l’App, il Software o la Web App che ti gestisce il questionario all’ingresso, dovrai:
- capire se salva i dati
- e se salava i dati, quali dati sono e dove li salva
- chi li vede e come
- nominare il fornitore responsabile esterno
- verificare l’adeguatezza del fornitore
Stessa trafila e stessa verifica che abbiamo visto per i termoscanner.
Verifica anche se puoi cambiare le domande che vengono fatte nel questionario.Perché ci sono dei sistemi in cui sono preimpostate delle domande fatte dal Marchese de Sade!
Il Marchese de Sade fa le domande e tu sei obbligato a tenertele e i dipendenti a dare risposte a della roba che non c’entra praticamente nulla col GDPR, il Covid ed i protocolli di sicurezza. E magari queste risposte vengono salvate dentro il database.
Non è detto che servano, non va bene e non è necessario!
Quindi, occhio agli strumenti che scegli per la riapertura.
Lo strumento ha il bollino? Dice di essere GDPR compliant?
Non fidarti!
Scava e verifica effettivamente quali informazioni salva, dove, come e chi accede.
È una cosa che va fatta sempre.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
FONTE: Privacylab BLOG – BY Andrea Chiozzi socio fondatore e CEO di PRIVACYLAB SRL,
GDPR – Come si è arrivati al GDPR: dalla privacy al Regolamento
Come siamo arrivati al GDPR? Non è che chi fa le norme europee un giorno ha deciso di regolamentare la questione del trattamento dei dati personali così, tanto per rendere la vita difficile a tutte le imprese, gli enti e i professionisti d’Europa. No, la storia della protezione delle informazioni personali inizia molto tempo prima dell’UE, molto tempo prima del Codice Privacy e soprattutto non inizia nel Vecchio Continente, ma negli Stati Uniti di fine ‘800 quando, per la prima volta, si è iniziato a parlare di privacy.In questo articolo, estratto da un intervento del Professor Pizzetti, ripercorriamo le tappe che hanno portato al GDPR.
Attenzione. Spoiler. Privacy e protezione dei dati personali non sono sinonimi.
Nell’opinione comune sono considerati sostanzialmente equivalenti ma, come vedremo, non è così.
Dicevo che tutto è iniziato negli Stati Uniti di fine ‘800, a Boston, quando due avvocati, Warren e Brandeis, pubblicano sulla rivista Harvard Law Review il primo articolo sul diritto alla privacy.
1890, “The Right to Privacy” e la differenza tra protezione del dato e diritto alla privacy
Adesso immaginati la Boston di fine ‘800. Ci sono ancora le carrozze. La radio praticamente non esiste (Marconi e gli altri ci stanno ancora lavorando). Niente TV. La tecnologia più avanzata in campo media è la fotografia. Il mezzo di comunicazione più diffuso è la stampa. Bene. Ad un certo punto i giornali iniziano a pubblicare le foto delle signore dell’alta società con i loro gonnelloni e i cappellini mentre partecipano agli eventi mondani. È un caso che si inizi a parlare di informazioni personali proprio in questa situazione? No, perché se guardiamo la cosa dal punto di vista della protezione dei dati, vediamo che ci sono un’infrastruttura tecnologica e dei dispositivi – cioè la stampa e le macchine fotografiche – che possono diffondere in maniera massiccia – attraverso i giornali – le immagini delle persone. Oggi lo chiameremmo trattamento e diffusione di dati su larga scala.
Intendiamoci, il dato personale non nasce con la tecnologia. È da quando è comparso sulla terra che l’uomo produce dati. Anche le pitture rupestri sono dei dati personali, che non possiamo ricondurre a chi le ha realizzate – non c’è la firma, almeno per quanto ne sappiano noi – ma sono comunque dati (anonimi). Quindi produciamo dati personali a prescindere e li proteggiamo da sempre.
Cosa è cambiato nella Boston di fine ‘800?
Lo sviluppo tecnologico. La diffusione del dato non è più limitata alla piazza cittadina, alle chiacchiere nelle sale da tè o al club per gentiluomini. Le foto delle signore belle ed eleganti finiscono sul giornale che tutti possono vedere. Non è la tecnologia di per sé, ma l’uso che se ne fa a creare un problema per i singoli individui.
Un problema che è cresciuto con le tecnologie informatiche, perché possono diffondere il dato in modo massiccio. Un conto è il pettegolezzo delle vecchiette che spiano dalla finestra, un altro è la foto del paparazzo che pubblica la tresca dell’attricetta sui giornali, un altro ancora è l’immagine postata sui Social, visibile a milioni di persone.
Ma torniamo a Warren e Brandeis.
Colpiti da questa intrusione nella vita delle persone, Warren e Brandeis scrivono un articolo “The Right to Privacy” dove dicono sostanzialmente questo: c’è un diritto della persona alla vita privata e al rispetto della vita privata. È uno spazio di autonomia, di sfera chiusa, che va tutelato dall’intrusione di altri, che siano terzi o lo Stato.
Quindi la privacy è un concetto legato alla riservatezza. C’è un limite oltre il quale non si può andare, dove l’accesso è consentito solo agli autorizzati. Vuoi entrare nel giardino di casa mia? Senza il mio consenso non lo puoi fare. È un concetto simile a quello della protezione del dato personale, ma non identico.
La differenza tra privacy e protezione del dato personale
Privacy e protezione del dato non sono la stessa cosa, perché:
- quando parliamo di privacy e di riservatezza intendiamo la tutela della sfera privata secondo la tradizione americana,
- mentre la protezione del dato riguarda tutte le informazioni su una persona.
Facciamo un esempio – Se Antonio a casa sua gira in mutande, con la cuffia da doccia rosa in testa e la giarrettiera, sono fatti suoi, è la sua privacy. Se per lavoro Antonio deve comprare un biglietto del treno per andare da Reggio Emilia a Milano, dove sopra c’è scritto come si chiama, a che ora parte e qual è il suo posto a sedere, è un trattamento di dati personali.
È una differenza sottile, ma importante. Perché nel testo del GDPR non si parla mai di privacy.
Bene. Ad un certo punto, questo concetto di privacy e di tutela della sfera privata delle persone arriva anche in Europa. Ma qui il contesto è molto diverso.
Se negli USA l’idea è difendersi dall’intrusione di privati – giornali, aziende, altre persone – in Europa l’idea è quella di difendersi dall’intrusione dello Stato.
Costituzione italiana (1947) e Convenzione CEDU (1950): tutela della sfera privata dallo Stato
Quando il concetto di privacy arriva in Europa, non si parla ancora di dato personale – siamo nell’Europa post-bellica e dovremo aspettare circa 30 anni per la prima legge sulla protezione dei dati – e gli Stati totalitari sono ancora una cosa fresca. Il regime fascista in Italia e quello nazista in Germania sono appena caduti, l’Unione Sovietica è più attiva che mai. È chiaro. La sfera privata va protetta dallo Stato.
Oggi non è più così, lo sappiamo.
Google, Facebook, Amazon e gli altri colossi del web sono soggetti privati che ormai hanno dimensioni gigantesche, quasi degli Stati di fatto. Sono poteri privati: società private che hanno un potere enorme sulla nostra identità digitale.
Ma torniamo alle tappe del GDPR e guardiamo agli anni tra il secondo dopo guerra e l’inizio della Guerra Fredda. Concentriamoci sull’Italia e sul resto d’Europa. Vengono emanate 2 norme fondamentali che riguardano la sfera privata: l’articolo 8 della CEDU e l’articolo 2 della nostra Costituzione.
1 – L’articolo 8 della Convenzione Europea dei Diritti dell’Uomo (CEDU) del 1950 sancisce il diritto al rispetto della vita privata.
Occhio a non confondere la CEDU con la CE, la CEE, l’UE eccetera eccetera. Sarò breve: la CEDU è una Convenzione internazionale redatta e adottata nell’ambito del Consiglio d’Europa, che non è né il Consiglio dell’Unione né il Consiglio Europeo – lo so è complicato… – quindi non c’entra con l’Unione Europea. È un’organizzazione internazionale che promuove la democrazia, i diritti umani, l’identità culturale europea e la ricerca di soluzioni ai problemi sociali in Europa, con sede a Strasburgo. Ne fanno parte alcuni Stati che rientrano nell’UE e altri che invece sono fuori dall’UE. Per essere chiari, hanno aderito alla CEDU sia la Turchia che la Russia, che se non fosse chiaro non sono Stati dell’Unione Europea.
2 – l’articolo 2 della Costituzione italiana del 1947 sancisce il rispetto dei diritti inviolabili dell’uomo. La persona è centrale rispetto allo Stato, possiede dei diritti inviolabili che la Repubblica deve riconoscere e garantire.
1978 e 1981. Le prime norme sulla protezione dei dati personali
Passano quasi 30 anni dalla CEDU e nel 1978, nella Germania Federale, il Land dell’Assia emana la prima legge nazionale per la protezione dei dati personali. È un caso? No. Non è un caso. A Berlino c’è ancora il muro, l’Unione Sovietica controlla i cittadini – hai presente il film Le vite degli altri? Ecco, hai capito di cosa stiamo parlando – e la norma nasce per reazione al pericolo della dittatura. Il pericolo è che lo Stato, trattando dati personali, possa rafforzare la dittatura.
Poi, nel 1981, il Consiglio d’Europa (quello della CEDU che abbiamo visto prima) adotta la Convenzione 108 – oggi Convenzione 108 Plus – che è il più grande documento a livello europeo per la protezione dei dati personali e che oggi si applica ai paesi terzi, cioè agli Stati che non fanno parte dell’Unione Europea.
Perché proprio nel 1981? Perché comincia a diffondersi l’informatica di massa: le persone iniziano ad avere un PC in casa. La Convenzione 108 dà anche una definizione di che cos’è un dato personale: è un dato relativo ad una persona fisica identificata o identificabile. Ed è un concetto legato al diritto alla libertà. Una libertà che va protetta da un controllo esterno (da parte di privati o da parte dello Stato). Poi la convenzione 108 parla anche di trattamenti con elaborazione automatizzata e del diritto delle persone di conoscere i trattamenti fatti sui loro dati e da quali soggetti. Parla pure di qualità del dato trattato.
Insomma, se mastichi un po’ di concetti del GDPR, capisci perché la Convenzione 108 è così importante.
1992. CE, Mercato unico, libera circolazione delle merci, delle persone e dei dati personali
Nel 1992 il processo di integrazione del mercato unico europeo arriva al culmine con il Trattato di Maastricht e la creazione della Comunità Europea. Vengono istituiti due nuovi ambiti di competenza: la Politica estera di sicurezza comune e la Cooperazione nella giustizia e negli affari comuni. Viene istituito anche il sistema di libera circolazione delle persone e delle merci: l’area Schengen.
Ma nasce un problema. Quello di avere una normativa quadro a livello europeo sulla protezione dei dati personali perché, se c’è un mercato unico, anche i dati devono poter circolare liberamente.
Come fare? Bisogna armonizzare le norme per la protezione dei dati anche a livello nazionale per evitare la polarizzazione: da una parte Stati con regole troppo lasche per attirare imprese e investitori – e quindi fare dumping –, dall’altra Stati con regole troppo rigide che impediscono ai dati di circolare. La CE adotta la Direttiva 46 del 1995, oggi sostituita dal GDPR.
Perché una direttiva?
Facciamo una brevissima digressione, altrimenti non è chiaro.
La differenza tra direttive e regolamenti
Le direttive e i regolamenti sono due dei più importanti atti giuridici della Comunità Europea. Ma sono due cose ben diverse fra loro e con importanti implicazioni sugli Stati:
- Le direttive sono vincolanti per gli Stati nei fini, ma non nei mezzi; quindi fissano l’obiettivo, ma lasciano ai singoli Paesi uno spazio di interpretazione molto ampio e la possibilità di adottare norme nazionali che recepiscono le indicazioni della direttiva.
- I regolamenti sono immediatamente vincolanti in tutto il territorio dell’UE, senza atti di recepimento, in modo uniforme (quindi è come se fossero delle leggi emanate dal Parlamento, solo che valgono per tutti i paesi dell’Unione).
Direttiva 46 del 1995, Codice Privacy e Trattato di Lisbona (2007)
La scelta di emanare una direttiva (Direttiva 46/1995) non è casuale. All’epoca la protezione dei dati era agli inizi. Se ne sapeva ancora poco. Non era possibile adottare una norma uniforme e vincolante per tutti gli Stati. Ecco perché si è preferito emanare una direttiva che indicasse gli obiettivi ma che lasciasse spazio ai legislatori nazionali. È il motivo per cui in Italia abbiamo adottato il Codice Privacy, che oggi è stato modificato come novellato e quindi c’è ancora, ma fa molte meno cose rispetto al passato, perché sostituito dal GDPR. Ma lo vedremo fra poco.
Nel frattempo, tra la Direttiva 46/1995 e il GDPR succede un’altra cosa. È il 2007 e gli Stati firmano il Trattato di Lisbona che, tra le altre cose, dà valore giuridico alla Carta di Nizza del 2001, che è la Carta dei diritti fondamentali dell’Unione Europea.
Anche qui è complicato, lo so.
Quello che è importante sapere per i temi che trattiamo è questo: all’articolo 8 la Carta di Nizza inserisce nuovi diritti e fra questi anche quello alla protezione dei dati personali. È su questo che il GDPR trova il suo ancoraggio giuridico.
2016. Regolamento generale sulla protezione dei dati (GDPR) e Codice novellato
Siamo arrivati alla fine di questo excursus su trattati, norme e leggi. Grazie per aver resistito fin qui! Ora l’evoluzione del GDPR dovrebbe esserti più chiara. Dovresti anche aver capito perché è sbagliato parlare di privacy e protezione dei dati personali come se fossero la stessa cosa.
Bene. Adesso riprendiamo le fila e passiamo al GDPR.
Nel 2016 esce il Regolamento generale sulla protezione dei dati che sostituisce la vecchia direttiva. Ormai di protezione dei dati se ne sa abbastanza: ha senso continuare a demandare agli Stati i mezzi per applicarla? I legislatori europei pensano di no e passano dalla direttiva al regolamento. Un regolamento che vale per tutti gli Stati dell’Unione europea, in modo uniforme e cogente – il GDPR riguarda tutti – e che diventa direttamente applicabile il 25 maggio del 2018. Ma c’è un però. Il Regolamento non interviene proprio su tutto. Alcune cose le lascia ai legislatori nazionali.
Infatti, il Codice Privacy, che in Italia abbiamo adottato per recepire la Direttiva 45/1996, non è sparito, ma è stato rivisto. Si dice novellato. In parole povere è stato modificato su singoli punti e con riforme parziali.
A cosa serve e come metterlo insieme alle disposizioni del GDPR?
Il Codice novellato interviene in quegli spazi che il legislatore europeo ha voluto rimandare ai singoli Stati. Quindi l’UE stabilisce la cornice, ma spetta poi al legislatore nazionale adottare le norme.
Questi spazi sono:
- Il trattamento di dati sensibili (oggi particolari): dati genetici, dati sulla salute, l’orientamento sessuale, le convinzioni religiose, le opinioni politiche eccetera.
- La disciplina dell’Autorità: ogni Stato ha un’autorità – un organo nazionale – che garantisce la tutela dei dati personali, ma l’UE non può imporre un modello unico uguale per tutti i Paesi. Ogni Stato alle sue regole costituzionali. Per esempio, in Italia l’Autorità Garante viene nominata dal Parlamento. Quindi questo aspetto resta in capo ai singoli Stati.
- Parte della disciplina sulle sanzioni. L’UE non ha competenze penali, che spettano ai singoli Stati – è il principio di Sovranità dello Stato – quindi può comminare solo sanzioni amministrative. Una sorta di multa. Però, nei casi più gravi, ha dato la possibilità ai singoli Stati dell’UE di prevedere una sanzione penale che viene data dal giudice, non dall’Autorità Garante (che resta un organo amministrativo e che quindi non si occupa di reati penali).
- Il sistema della Soft Law, cioè di tutti gli atti che non provengono dal legislatore – nel caso italiano dal Parlamento – ma da altri soggetti. Questi atti sono strumenti che servono a rispettare gli obblighi di legge. Per esempio, in Italia sono i codici deontologici delle varie categorie professionali, le autorizzazioni generali del Garante, le normative di condotta e i sistemi di certificazione.
Ora dovresti avere un quadro più chiaro di come e perché siamo arrivati al GDPR. Non è stato un percorso breve, ma è servito per tutelare alcuni diritti fondamentali delle persone, non certo per danneggiare imprese ed enti, come alcuni continuano a credere.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
FONTE: Privacylab BLOG – by Redazione
GDPR – Cosa vuol dire “compliance”
Compliance ed essere compliant sono espressioni tipiche di chi lavora nell’ambito del Regolamento europeo per la protezione dei dati. Avvocati, consulenti, esperti di GDPR usano spesso questo termine, ma quanti professionisti ed imprenditori sanno veramente cosa significa? In questo articolo vediamo cosa vuol dire compliance e soprattutto cosa significa essere compliant al Regolamento per la protezione dei dati.
Il significato di compliance
Come accountability,(clicca per saperne di più) anche compliance è una parola anglosassone. Deriva da to comply cioè accondiscendere. A sua volta to comply deriva dal latino complere, che significa compiere (fonte Treccani.it). C’è compliance quando il paziente segue le prescrizioni del medico curante e quindi collabora attivamente seguendo le sue indicazioni. C’è compliance quando l’azienda, l’ente o il professionista aderisce e rispetta delle regole, delle leggi o il codice deontologico.
Adesione, conformità, rispetto delle regole.
Sono tutti sinonimi che possono chiarire il significato di questa espressione così usata in ambito GDPR.
La conformità in azienda: cosa vuol dire essere compliant
In azienda la compliance o conformità si esprime in molti modi:
- Conformità alla legge – L’azienda è compliant quando rispetta le norme per la tutela dei lavoratori e la sicurezza sul lavoro, paga le tasse, non usa personale in nero, versa i contributi. Cioè agisce nel rispetto della legge.
- Conformità ad uno standard – Tipico delle aziende produttive, anche il rispetto di determinate qualità e caratteristiche di un prodotto è un esempio di compliance.
- Conformità a delle best practice o ai codici deontologici – È compliant l’azienda che rispetta le buone pratiche, i codici deontologici e tutte le regole di soft law, cioè le norme che non sono emanate dal Parlamento e dagli organi dotati di potere legislativo, ma che indicano le regole di comportamento di una certa categoria o di un settore.
Dice Treccani:
Secondo una prospettiva economico-aziendale, il termine compliance è messo in relazione al sistema di controllo interno, inteso come «l’insieme delle regole, delle procedure e delle strutture organizzative volte a consentire, attraverso un adeguato processo di identificazione, misurazione, gestione dei principali rischi, una conduzione dell’impresa sana, corretta e coerente con gli obiettivi» Comitato per la corporate governance, Borsa Italiana S.p.a. (Codice di autodisciplina, 2006).
Quindi la compliance è legata alle regole e ai sistemi di controllo interni all’azienda, cioè alle procedure che adotta per garantire il rispetto delle leggi e delle regole interne ad essa: da come si comportano i dipendenti, i quadri e gli amministratori, fino alla scelta dei consulenti, dei fornitori e di tutti i soggetti che a vario titolo lavorano con l’azienda.
Cosa vuol dire essere compliant al GDPR
Essere GDPR compliant significa essere conformi al Regolamento europeo per la protezione dei dati, rispettarne i princìpi e adottare procedure organizzative e di sicurezza perché il rischio sui dati trattati sia basso, verificando che anche tutta la catena dei responsabili sia compliant, dai titolari ai responsabili esterni.
Essere conformi al GDPR significa anche che il titolare del trattamento, i suoi addetti ed i responsabili esterni (clicca per saperne di più) devono essere formati ed informati su cosa prevede il Regolamento, su cosa sono i dati personali, i dati sensibili, su cos’è e come si gestisce un Data Breach (clicca per saperne di più) (o violazione dei dati) e su come comportarsi per proteggere i dati personali.
Quindi, per essere compliant, bisogna agire con accountability.
Per essere conformi, bisogna agire con accountability
E per agire con accountability bisogna essere 3 cose: consapevoli, competenti e responsabili.
1 – Consapevoli
Il titolare del trattamento ed il responsabile esterno devono essere consapevoli di quello che stanno facendo e sapere:
- quali dati trattano
- dove si trovano i dati raccolti
- di chi sono
- come vengono utilizzati
- perché vengono utilizzati
Quindi, per essere consapevoli, la prima cosa da fare è formarsi e rivolgersi a dei consulenti esperti e aggiornati, che siano un aiuto concreto verso la compliance al GDPR.
2 – Competenti
I dati vanno trattati solo se il rischio residuale è basso. Quindi prima di trattare un dato, è importante valutare i rischi che corre. Essere competenti significa che va fatta un’analisi dei rischi e quindi che si adottano le contromisure necessarie per proteggere i dati.
Ma quali sono i rischi che corrono i dati personali? Sono solo 6:
1 – Distruzione. Per esempio, qualcuno cancella per sbaglio o volontariamente l’unico file che contiene certi dati personali – come l’Excel con le mail di tutti i clienti – e non è più possibile recuperarli
2 – Indisponibilità. Per esempio, i dati ci sono, ma non sono più disponibili. È il caso del Cryptolocker che blocca tutti i documenti e non consente più l’accesso ai dati.
3 – Perdita. Per esempio, quando qualcuno ruba il computer che conteneva i dati personali.
4 – Alterazione. Per esempio, qualcuno modifica per sbaglio dei dati personali.
5 – Divulgazione. Per esempio, qualcuno diffonde dati personali su Facebook o via mail.
6 – Accesso. Per esempio, qualcuno vede dei dati che non doveva vedere perché accede ad un file che avrebbe dovuto essere protetto.
Ma questo non basta. Bisogna anche dimostrare – con i fatti e con la documentazione, non a parole – di aver adottato tutte le contromisure necessarie per far sì che il rischio residuale sui dati sia basso. Contromisure che non sono solo informatiche, ma anche organizzative.
Quali scegliere? Nulla è obbligatorio, sta al titolare decidere che tipo di contromisure adottare. La formazione di addetti, responsabili esterni e del titolare stesso, per esempio, fa parte delle azioni da mettere in campo per mantenere basso il rischio sui dati trattati.
3 – Responsabili
Adottare tutti gli accorgimenti interni non basta. Il GDPR obbliga il titolare del trattamento a verificare che anche i responsabili esterni – cioè coloro che trattano alcuni dati personali per conto del titolare; per esempio lo studio paghe, la software house, l’avvocato e così via – siano conformi al Regolamento e se non lo sono può revocare l’incarico. Quindi, per essere conforme al GDPR, il titolare deve controllare i suoi responsabili esterni,(clicca per saperne di più) sapere se si comportino in maniera adeguata, abbiano adeguate contromisure e trattino i dati in modo che il rischio residuale sia basso. Deve anche sapere se i responsabili esterni affidano parte dei trattamenti ad altri.
È una catena che deve essere chiara fin dall’inizio e che va certificata.
Ricapitolando
Compliance significa conformità. Essere compliant quindi significa essere conformi.
In ambito GPDR, essere compliant significa rispettare princìpi e regole previsti dal Regolamento europeo con un atteggiamento proattivo, non passivo di fronte alla legge, e quindi agire sempre e prima di tutto con accountability. (clicca per saperne di più)
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
FONTE: PRIVACYLAB BLOG – Redazione
Compliance GDPR: la governance esterna dei dati
Nel percorso verso la compliance al GDPR, cioè verso la conformità al Regolamento europeo per la protezione dei dati, il titolare del trattamento è obbligato ad avere il controllo delle informazioni personali che tratta: i dati personali dei clienti, dei dipendenti, dei fornitori e così via. Quindi deve sapere quali dati tratta, come li tratta, perché, per quanto tempo e dove sono.
Deve avere il controllo di tutte le informazioni, anche di quelle che affida all’esterno e di conseguenza anche della governance esterna dei dati.
Ma cos’è la governance e quindi cos’è la governance esterna dei dati?
La governance dei dati personali e la metafora della flotta di navi
Governance significa saper guidare un’organizzazione, dirigerla e controllarla in ogni condizione. Significa governare come il capitano di una nave, che conosce ogni anfratto del suo natante, ogni pecca, le migliorie fatte negli anni e che sa anche come manovrarla, sia quando il mare è calmo sia quando le onde e il vento sono contrari. Il capitano sa a chi affidare i compiti più delicati, perché fa una selezione basata sull’esperienza, la competenza e l’affidabilità.
E se il capitano è al comando di una flotta, la sua governance si estende anche alle altre navi, dove i vari capitani sono autonomi nella gestione della loro imbarcazione, ma devono sempre rispondere al comandante, rispettare i suoi ordini, collaborare. Così, se il capitano della flotta chiede loro di vedere il diario di bordo – dove dimostrano che hanno navigato seguendo le sue indicazioni – non possono astenersi dal mostrarglielo, se chiede di dimostrare la loro affidabilità e competenza, non possono esimersi dal farlo.
Lo stesso deve avvenire in ambito GDPR, quando il titolare del trattamento affida ad un responsabile esterno parte dei dati personali che tratta.
Da un lato, come il comandante della flotta, il titolare esercita la governance perché deve avere il controllo dei dati trattati sia all’interno dell’organizzazione – la sua nave – sia all’esterno – le navi sotto il suo comando – cioè deve sapere come i fornitori a cui ha deciso di delegare alcune attività (i responsabili esterni) trattano i dati che ha affidato loro. Quindi verifica che i responsabili esterni siano conformi al Regolamento per mantenere sempre il controllo completo del flusso dei dati, definendo chiaramente anche quali sono i ruoli e le responsabilità.
Dall’altro lato, come i singoli capitani della flotta, i responsabili esterni hanno il diritto di verificare il perimetro di applicazione dei vincoli – cioè il titolare non può nominarli senza il loro consenso e per il trattamento di dati che non li riguardano – ma devono essere proattivi, collaborare e garantire la tutela delle informazioni personali anche per la loro parte di trattamento.
Su questa base, sia il titolare del trattamento che i responsabili esterni possono agire con accountability, così come richiesto dal GDPR.
Verifica dei responsabili esterni e le presunte ingerenze del titolare del trattamento
Quindi il processo per la costruzione della compliance al GDPR è di tipo top-down: parte dall’alto – dal titolare del trattamento – e si estende verso il basso, comprendendo anche i responsabili esterni. Perché si compia, però, è necessario che tutti i soggetti che gestiscono i dati siano coinvolti e collaborino tra loro. E qui a volte sorge un problema.
Può succedere che il responsabile esterno si metta di traverso.
L’art. 28 del GDPR dice che il responsabile del trattamento deve contribuire all’attività di revisione, comprese le ispezioni. Quindi gli chiede di essere proattivo, cioè di dimostrare che è conforme al Regolamento e di fare la sua parte anche in caso di visita ispettiva, producendo documenti – le prove – della sua compliance al GDPR. È legittimo che il titolare del trattamento, all’interno del contratto o della nomina del responsabile esterno, preveda delle clausole che definiscono questo coinvolgimento e il fatto di dimostrare la sua conformità.
Non si spiega allora perché, a volte, il responsabile esterno interpreti queste clausole come un’ingerenza non giustificata nelle sue modalità operative. Non è così. Il GDPR impone sia al titolare che al responsabile esterno l’obbligo di essere conformi e di collaborare insieme perché la compliance sia reale, perché non bastano i documenti.
La compliance è un percorso e richiede azioni continue. Quindi conservare la copia firmata del contratto o della nomina a responsabile esterno non è sufficiente, occorre predisporre l’evidenza di una verifica della loro efficacia. Cioè bisogna che il responsabile esterno dia delle prove, dimostri la sua conformità.
E poi non è neanche una novità quando si tratta di rapporti tra aziende: la qualificazione del fornitore, per esempio, è un’attività nota e già presente nelle imprese che hanno adottato un sistema di qualità (SGQ). In ambito privacy si traduce in una verifica della compliance del responsabile alla normativa.
Come si verifica la conformità del responsabile esterno?
La modalità di verifica del responsabile esterno non deve essere necessariamente quella dell’audit classico, ma può adeguarsi al contesto di applicazione, tenendo ben presenti la tipologia di dati personali trattati, le finalità del loro affidamento all’esterno e gli archivi eventualmente coinvolti.
Ecco alcune indicazioni:- Questionari a risposta secca: SI/NO/NA
Vanno usati cum grano salis, tenendo conto della specificità di ciascun trattamento. Per evitare che non risulti un’autocertificazione, deve prevedere la possibilità di fornire evidenze concrete, per esempio allegando parte della documentazione del responsabile per dimostrare quanto dichiarato.
- Cosa valutare?
Non solo gli aspetti tecnici. Gli aspetti tecnici sono importanti però costituiscono nel loro complesso un elemento di prova che il titolare può usare per capire se il responsabile agisce in modo adeguato al GDPR. Ma lo sono altrettanto anche gli aspetti procedurali come, per esempio, la capacità di gestire un Data Breach in tutte le sue fasi, a partire dalla sua rilevazione.
Non finirò mai di ripeterlo: non basta dichiarare, bisogna dimostrare.
Ma paradossalmente, tutte le check-list si concentrano sulla dotazione del registro delle violazioni e ben poche esplorano la presenza di procedure per rilevarle e valutarle.
Come migliorare? Come essere più concreti?
Bisogna fare un passo in più. Bisogna definire, adottare e diffondere una policy specifica per l’uso e la protezione dei dati personali (Data Protection Policy), che comprenda, tra le altre, anche una procedura per la valutazione dei partner – cioè dei responsabili esterni – e che impegni il titolare a svolgere attività di monitoraggio interno ed esterno.
La Data Protection Policy è un documento che, se redatto adeguatamente, potrebbe integrare e sostituire il regolamento informatico e dimostrare la presenza nell’organizzazione di tutte le procedure organizzative per la protezione dei dati, così come richiesto dal GDPR.
FONTE: Privacylab BLOG – by Andrea Chiozzi socio fondatore e CEO di PRIVACYLAB SRL
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
GDPR – Coronavirus fase 2: come gestire la riapertura a norma GDPR
È partita la fase 2. Ma come si gestisce la riapertura a norma con il GDPR e con le disposizioni previste per il contenimento del Coronavirus? Bisogna stare attenti all’ansia da prestazione, che potrebbe farci eccedere nelle modalità e nei trattamenti! Quindi, per agire cum grano salis, bisogna prima guardare le norme, capire come le misure di contenimento impattano sui dati personali e poi decidere come muoversi.
Le norme di riferimento sono sempre le stesse. Le abbiamo già viste quando abbiamo parlato di cosa NON devono fare i datori di lavoro nell’emergenza Coronavirus.
Queste norme sono:
- GDPR
- Novellato 101 (l’ex Codice Privacy che è stato novellato)
- D.lgs 9 aprile 2008 n.81 – Testo Unico sulla Salute e Sicurezza sul lavoro
- Decreti del Presidente del Consiglio dei Ministri
- Protocollo condiviso di regolamentazione per il contenimento della diffusione del Covid-19 negli ambienti di lavoro del 24 di aprile 2020, concordato con le parti sociali
Quindi, sostanzialmente, da una parte c’è il Regolamento europeo e dall’altra ci sono le leggi sulla sicurezza sul lavoro, i DPCM ed il Protocollo condiviso. Per capire come e dove vengono toccati i dati personali, basta metterli insieme.
Per capire meglio come muoverci, possiamo partire andando a vedere cosa dice il Protocollo condiviso del 24 di aprile.
Cosa dice il Protocollo condiviso del 24 di aprile: 13 punti da rispettare
Nel Protocollo sono fondamentalmente 13 i punti che le aziende devono rispettare per poter riaprire in sicurezza e garantire la salute dei lavoratori.
Ma il GDPR li tocca tutti? No.
Vediamo quindi quali sono i 13 punti e quando impattano sul Regolamento europeo per la protezione dei dati personali:
1) Informazione: non tocca il GDPR, ma è molto importante perché il Protocollo ci dice che, alla riapertura, l’azienda deve informare i dipendenti sulle regole fissate per gestire il Coronavirus
2) Modalità di ingresso in azienda: tocca il GDPR
3) Modalità di accesso dei fornitori esterni: tocca il GDPR
4) Pulizia e sanificazione in azienda
5) Precauzioni igieniche personali
6) Dispositivi di protezione individuale
7) Gestione degli spazi comuni
8) Organizzazione aziendale: tocca il GDPR
9) Gestione di entrata ed uscita dei dipendenti: tocca il GDPR
10) Spostamenti interni e riunioni: tocca il GDPR
11) Gestione sintomatici in azienda: tocca il GDPR
12) Sorveglianza sanitaria, medico competente e Responsabile sulla Sicurezza dei Lavoratori: tocca il GDPR
13) Aggiornamento del protocollo
Non tutti i punti chiaramente si uniscono con il Regolamento europeo, ma solo alcuni. Per questi, dobbiamo capire se ci serve:
- aggiungere dei trattamenti,
- aggiungere delle misure di sicurezza,
- aggiungere delle informazioni.
Prima di agire però bisogna fermarsi e guardare all’accountability.
Accountability: prima di riaprire l’azienda, chiediti “So che cosa sto facendo?”
Prima di riprendere l’attività (parzialmente o a pieno regime) dobbiamo essere consapevole di quello che stiamo facendo e di quello che stiamo per fare. Il GDPR e il Protocollo ci danno delle indicazioni per lavorare in sicurezza, ma tu puoi scegliere come farlo.Non c’è un modo solo. Ci sono scelte differenti, che però porteranno a verifiche e modalità di trattamento dei dati personali differenti.
Per esempio, puoi decidere di gestire tutto e più di tutto con la carta, puoi decidere di raccogliere informazioni aggiuntive, puoi fare scelte che, a fronte anche degli strumenti che andrai ad utilizzare, ti porteranno a fare un certo tipo di percorso col GDPR, oppure no.
Su questo fondamentalmente ci sono 3 grandi aree da considerare:
1) La gestione degli strumenti
Quali strumenti utilizzerai per gestire la riapertura e la sicurezza dei lavoratori?
Questo implicherà una serie di attività in più o no?
Ci saranno nuovi trattamenti di dati da fare?
2) La scelta di come organizzare l’azienda
Quali informazioni recupererai?
Come le recupererai e come le gestirai definirà un percorso di adeguamento al GDPR oppure un altro.
3) Gestirai la situazione con la carta o senza carta?
Segni gli ingressi con una App?
Misuri la febbre con un termoscanner?
Fai segnare l’idoneità su un taccuino?
A seconda del supporto che scegli, devi valutare l’impatto sui trattamenti.
Bene. Adesso che abbiamo visto che non c’è un unico modo, guardiamo come gestire la riapertura in sicurezza e a norma GDPR, toccando uno per uno i punti del Protocollo che impattano sul trattamento dei dati personali.
PUNTO 1 – Informazione ai dipendenti
Questo punto non tocca il trattamento di dati personali – e quindi non ha impatto sul GDPR – ma è molto importante, perché il Protocollo ci dice che, alla riapertura, noi aziende dobbiamo informare i dipendenti. Dobbiamo informarli ed essere sicuri che sappiano quali sono le regole che abbiamo deciso di applicare nella nostra organizzazione.
È semplice e lineare. Prima di venire a lavorare, ognuno di loro deve essere informato e sapere che:
- se hai la febbre stai a casa e chiama il medico curante
- quando arriverai in azienda devi mantenere le distanze
- durante la prestazione lavorativa, se per caso stai male, ricordati che la procedura da seguire è questa e quest’altra (la vediamo a breve)
Ogni azienda sceglierà i modi e le tipologie da comunicare nell’informativa che, attenzione, non è un’informativa privacy! Ma è un’informativa sui protocolli e sulle modalità di lavoro e di gestione del Covid-19.
Bene. Adesso che i dipendenti sono informati, devono entrare in azienda.
E come si gestisce l’ingresso in sicurezza e a norma GDPR?
Vediamolo subito.
PUNTO 2 – Gestione dell’ingresso dei dipendenti
Il Protocollo dice che tu (azienda):
1) Puoi misurare la febbre ai dipendenti prima di farli entrare
Puoi farlo, non hai l’obbligo. Se poi è superiore a 37.5 il dipendente non può entrare.
Per i cantieri invece la misurazione della febbre è obbligatoria.
2) Devi rendere evidenti le regole che servono per entrare in azienda
Quindi devi avere una procedura: i dipendenti devono sapere quali sono le regole, magari compilando un questionario, che è una delle modalità per accertare questa cosa. Inoltre, deve essere ben chiaro che è il medico competente a gestire gli ingressi delle persone che hanno avuto il Covid-19. Non spetta all’azienda decidere. È il medico che dice “Sì puoi entrare, no non puoi entrare in azienda.”
Misurazione della febbre e GDPR: hai 3 possibilità
Hai la possibilità di scegliere. Le opzioni sono 3. Tutte e 3 sono valide sia per la legge che per il Protocollo e ciascuna ha un diverso impatto sul GDPR:
Opzione 1 – Non misurare la febbre
Puoi decidere di non misurare la febbre (salvo i cantieri, in cui c’è l’obbligo), ma poi ricordati che il dipendente si deve misurare la temperatura tutti i giorni e ogni giorno – per dare evidenza di aver rispettato il Protocollo – devi dargli un questionario che dice: “Ti sei misurato la febbre stamattina? Guarda che se hai 37.5 non puoi entrare e devi chiamare il medico curante.”
Se non misuri la febbre non hai nessun impatto sul GDPR.
Opzione 2 – Misurare la febbre e registrare da qualche parte l’idoneità all’accesso
Misuri e poi registri su carta, digitale, dove vuoi che Peppino, Antonio, Giulia, Francesco, Aziz hanno una temperatura sotto il 37.5 e che quindi sono idonei, possono entrare.
Attenzione! L’unica cosa che puoi registrare è l’idoneità.
Se Tizio e Caio hanno una temperatura sopra o sotto il 37.5 puoi segnare che sono idonei, ma non puoi registrare la temperatura. L’ha detto il Garante!
Quindi puoi registrare questo:
Antonio Rossi, idoneo
Peppino Bianchi, non idoneo
Ma non puoi registrare questo:
Antonio Rossi, 36.5
Peppino Bianchi, 38
Occhio anche allo strumento che usi per misurare la febbre!
Un conto è il termometro vecchio stile, che metti sotto l’ascella e via, o il termometro a infrarossi. Un altro conto è usare uno strumento come il termoscanner. Il termoscanner salva la foto col valore della temperatura. Ma è vietato dal Garante! Quindi attenzione!
Poi, sappi che se decidi di misurare la febbre e registrare l’idoneità, stai facendo un trattamento di dati personali ed è una scelta che ha un impatto sul GDPR. Quindi devi:
- Aggiornare il registro dei trattamenti
- Fare la DPIA (Data Privacy Impact Assessment) che è fondamentale
- Verificare eventuali responsabili esterni: medico del lavoro, azienda che fornisce il termoscanner e che salva l’idoneità in Cloud, eccetera
- Dare l’informativa ai dipendenti
Opzione 3 – Misurare la febbre e non registrare l’idoneità, ma renderla evidente in un altro modo: con una procedura. Questa è la mia scelta preferita ed è quella che io chiamo “passa e avanti!”
Il Garante ha detto che c’è trattamento di dati personali solo se da una parte c’è l’idoneità e dall’altra un Nome e Cognome: Antonio Rossi – idoneo, per esempio.
Ma io posso anche fare in un altro modo: misuro la febbre e vedo se è superiore a 37.5 o no e quindi se la persona è idonea o non idonea, senza associare Nome e Cognome con l’idoneità.
Se faccio così, non sto facendo nessun trattamento di dati personali.
Quindi, prima di timbrare il cartellino, io ti misuro la febbre – puoi essere un mio dipendente, una scimmia o il fattorino, non mi interessa chi sei – se so che hai meno di 37.5 bene, passi allo step successivo: la timbratura del cartellino. Altrimenti via, torna a casa e chiama il medico.
Ma come faccio a dimostrare che così tutelo i lavoratori?
Lo dimostro con un piccolo protocollo che dà evidenza del fatto che, per accedere alle porte dell’azienda, si deve passare dalle Forche Caudine della verifica anonima dell’idoneità del dipendente. Questa cosa non impatta dal punto di vista privacy, perché non sto associando il nome della persona con l’idoneità.
Come dimostrare che il dipendente ha capito quali sono le regole? Per esempio, puoi prevedere un questionario all’ingresso
Il questionario non è l’unico metodo. È uno dei metodi per dare evidenza che i dipendenti sanno cosa devono fare. Va compilato tutti giorni, ogni volta che entrano in azienda, perché tu devi avere la certezza che ogni dipendente sappia come deve comportarsi.
E come gestire il fatto che il dipendente, quando entra in azienda, a prescindere dalla temperatura, sappia come deve comportarsi? Anche qui le possibilità sono 3:
Opzione 1 – Non fare nessun questionario
Ma se non fai nessun questionario, rischi. Non impatta niente sul GDPR, però non sei sicuro di riuscire a tutelare i tuoi lavoratori.
Opzione 2 – Fai il questionario e registri
Quindi fai un questionario con delle domande che servono per rendere evidente ai tuoi dipendenti, prima di entrare in azienda, quali comportamenti devono avere, e lo registri su App, carta, web, vedi tu. Sappi però che, se registri il questionario da qualche parte, dovrai anche:
- aggiornare il registro dei trattamenti
- nominare gli addetti che vedranno quelle informazioni
- verificare i responsabili esterni del trattamento, se ci sono
- fare la DPIA ed eventualmente aggiornare l’informativa
Oppure, c’è la terza via, che è quella che mi piace di più.
Opzione 3 – La terza via, quella che mi piace di più, è quella che io chiamo il registro di idoneità
In PrivacyLab abbiamo lanciato una App che i dipendenti possono compilare – senza raccogliere alcun dato! – e che ci permette di rendere evidente che il dipendente è idoneo, perché riusciamo a rendere evidente il percorso cognitivo, il percorso di consapevolezza, prima che entri in azienda.
Quali domande porre nel questionario?
Le domande giuste da fare non sono “Autocertifichi che non sei entrato in contatto col Covid-19?” No, non si può chiedere l’autocertificazione!
Il questionario deve rendere evidente una cosa fondamentale: quali sono le situazioni di pericolo. E il Covid è una situazione di pericolo.
Hai la febbre superiore a 37.5?
Sei entrato in contatto con qualcuno che ha il Covid-19?
Sei in quarantena?
Queste sono situazioni di pericolo. E la legge 81, all’articolo 20, dice che il dipendente è obbligato a segnalare al datore di lavoro qualsiasi situazione di pericolo per la salute e la sicurezza sui luoghi di lavoro.
È importante. Perché il dipendente non deve autocertificare nulla e tu in quanto azienda devi dare evidenza che abbia chiaro che se ha la febbre, deve stare a casa. Che se è in quarantena non può andare a lavorare. Se ha dei familiari col Covid-19 o che sono entrati in contatto con qualcuno che ha il Coronavirus non doveva andare a lavorare. Deve sapere che, quando entra in azienda, deve mantenere la distanza sociale, non può baciare né abbracciare nessuno.
Ci sono delle domande obbligatorie de inserire nel questionario?
Sì e non sono tantissime. Le cose obbligatorie da chiedere nel questionario sono:
- Che tu sappia, negli ultimi 14 giorni, hai avuto contatti con soggetti risultati positivi al Covid?
- Provieni da una zona rossa?
- Sai che ci sono delle procedure interne da seguire se stai male? Le hai guardate bene?
Ricapitoliamo: se registri l’idoneità o il questionario o entrambi, hai degli obblighi rispetto al GDPR
Nel momento in cui decidi di registrare i questionari e l’idoneità (dopo aver misurato la temperatura), hai degli adempimenti. Li ricapitolo qui:
1) Aggiornare l’informativa al dipendente
Le finalità e la base giuridica da inserire nell’informativa al dipendente sono queste:
- finalità: prevenzione dal contagio da COVID-19
- base giuridica: implementazione dei protocolli di sicurezza anti-contagio
2) Aggiornare il registro
3) Fare la DPIA
4) Nominare gli addetti ai trattamenti
5) Verificare i responsabili esterni
PUNTO 3 – Gestione degli ingressi di clienti e fornitori
Clienti e fornitori possono entrare in azienda? Sì, seguendo le stesse regole applicate ai dipendenti:
1) misurazione della febbre, anche qui sta a te decidere se farla o no
2) rispetto delle regole per poter entrare in azienda
Quindi, anche ai visitatori puoi proporre un questionario, dove chiedi: lo sai che non puoi entrare se sei stato in contatto con persone che hanno avuto il Covid-19? Lo sai che se vieni da una zona a rischio non puoi entrare? Sai che sei obbligato a dirmelo?
Anche in questo caso, se registri queste informazioni dovrai: aggiornare il registro del trattamento, aggiornare l’informativa dei visitatori, dei clienti, dei fornitori; dovrai aggiornare e fare la DPIA, nominare gli addetti per gestire questa cosa. Dovrai eventualmente verificare se i responsabili esterni sono adeguati.
Come con i dipendenti.
La scelta che fai, anche in questo caso, determina l’impatto che hai sul GDPR.
PUNTI 8, 9 e 10 del Protocollo: organizzazione interna, entrate e uscite, riunioni e spostamenti
Adesso andiamo a vedere gli altri punti del Protocollo toccati dal GPDR e che tendiamo a scordare a volte. Sono principalmente questi:
PUNTO 8 – Gestione dell’organizzazione interna
PUNTO 9 – Gestione di entrate ed uscite
PUNTO 10 – Gestione degli spostamenti interni e delle riunioni, che si applica sia ai dipendenti che ai visitatori
Il Protocollo ci dice che bisogna riorganizzare i turni, le presenze, le sale mense, gli spostamenti eccetera eccetera, in modo da non fare assembramenti all’interno dell’azienda e di avere una gestione fluida delle persone durante l’orario di lavoro.
Per fare queste cose, i modi sono duecentocinquantamilaecento e potrebbero essere erogati tramite degli strumenti nuovi e delle modalità nuove in azienda. Strumenti nuovi e modalità nuove che, chiaramente, vanno a impattare sui trattamenti di dati personali e sul registro dei trattamenti.
Quindi nel momento in cui userai nuovi strumenti per la gestione degli ingressi, delle prenotazioni, della sala mensa, dei turni e così via, dovrai ricordarti di aggiornare anche il registro.
PUNTO 11 – Gestione della persona sintomatica in azienda
Un dipendente viene a lavorare, gli hai provato la febbre e stava bene ma, durante il turno di lavoro, inizia a sentirsi male – si chiama sfortuna – cosa bisogna fare? Questa persona – ogni persona che lavora in azienda – deve avere già chiara la procedura da seguire.
Prima della riapertura, insieme al medico del lavoro e al Responsabile per la sicurezza dei lavoratori devi definire chi bisogna chiamare e come bisogna comportarsi quando si sta male. Fermo restando che devi già avere un Locale in cui “infilare” dentro la persona sintomatica perché sia isolata.
E se ha la febbre che cosa succede?
Primo, non devi scrivere niente da nessuna parte – e quindi non hai impatti sul GDPR – poi chiami la ASL di competenza e dici: “Guarda, in azienda ho una persona che sta tossendo, ha la febbre a più di 37.5. In questo momento è isolata nella stanzetta. Diteci voi che cosa dobbiamo fare.”
Basta la procedura.
Non devi registrare che alla persona è stata provata la febbre eccetera.
Basta attenersi alle istruzioni che danno i sanitari.
PUNTO 12 – Sorveglianza sanitaria / medico competente / responsabile sulla sicurezza dei lavoratori
Anche qua vediamo quali sono sul GDPR e in particolare sul ruolo del medico competente e del Responsabile sulla sicurezza dei lavoratori.
1) Medico competente
Secondo il Protocollo, il medico competente segnala l’idoneità o la non idoneità al lavoro del dipendente. Bene. È quello che fa già! Non c’è nessun addendum. Come medico competente aveva già il compito di decidere l’idoneità al lavoro. Quindi dal punto di vista del GDPR, per le idoneità, non bisogna nominarlo responsabile esterno, perché è titolare autonomo ed è già inserito nel registro dei trattamenti.
È il medico competente che gestisce il reintegro del dipendente, non l’azienda, e dice solo chi è idoneo e chi no, punto. Non può andare a dire chi è malato di Covid, come non può andare a dire chi si droga, chi si ubriaca, chi ha la gotta e chi le emorroidi.
Per il reintegro di una persona che è negativa – e se è negativa vuol dire che era positiva e se era positiva vuol dire che era in malattia – il medico verifica le carte della certificazione di negativizzazione e l’azienda non deve vedere questi dati. Non li vede perché non li può gestire ai sensi del GDPR e il medico competente in questo processo, deve essere proattivo. Interviene su richiesta per verificare l’idoneità e per certo sul reintegro, dopo la malattia.
Nel mio piccolo, io ritengo che tutti i rientri da malattie, in questa fase, debbano essere valutati dal medico competente. Perché non posso sapere chi ha il Covid-19 e chi no, lo ha detto il Garante. È il medico competente che lo sa, non io che sono l’azienda.
Quindi, se Antonio e Peppino rientrano dalla malattia, prima di tornare devono sapere che bisogna andare dal medico competente o mandare una mail e chiedere: “Oh, posso rientrare a lavorare?”
E il medico: “Ma cosa avevi avuto?”
E Antonio: “La gotta e le emorroidi”
Il medico: “Va be’ puoi rientrare, quelle non sono contagiose”
E Peppino:“Ho avuto il Covid”
E il medico: “Allora mandami quello che serve per la pseudo negativizzazione e poi al datore di lavoro comunicherò se puoi rientrare oppure no.”
Questo è compito del medico competente. Era compito anche prima, ma diciamo che adesso è certo.
2) Responsabile sulla sicurezza dei lavoratoriNon deve sapere nulla. Ha la bocca tappata. Interviene solo sulle procedure. Per esempio, oltre alla febbre, può chiedere al dipendente malato se ha avuto la tosse o la perdita dell’olfatto. Oppure, all’interno della stanzetta dove isolare i soggetti sospetti di avere il Covid, può prevedere che ci sia una bella locandina con l’indicazione dei comportamenti da tenere e che dice: “Sei qui dentro, non perché sei brutto e cattivo, ma perché c’è potenzialmente un problema di sicurezza e tu sei obbligato a dirmelo ai sensi dell’articolo 20 della legge 81.”
Punto. Questo è quanto.
Semplice, chiaro e preciso.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
FONTE: Privacylab BLOG BY Andrea Chiozzi socio fondatore e CEO di PRIVACYLAB SRL,
GDPR – Autorità Garante: datori di lavoro e Coronavirus cosa NON fare
Coronavirus? No alle iniziative fai da te! Il 2 marzo 2020 l’Autorità Garante ha pubblicato un comunicato in cui chiarisce cosa NON devono fare i datori di lavoro pubblici e privati e quali obblighi ha il lavoratore che sospetta di essere malato. Bene. A distanza di un paio di mesi circa il Governo ha lanciato la fase 2. Sono stati adottati dei protocolli per la riapertura di alcuna attività e quindi sempre di più, oggi, si pone il problema di come gestire dipendenti, fornitori e visitatori tutelando i loro dati personali e rispettando il GDPR.
In PrivacyLab abbiamo organizzato un webinar proprio su questo tema. Abbiamo visto cosa si può fare e cosa non si può fare. Abbiamo anche dato consigli pratici per gestire la situazione e in questo approfondimento riprendiamo un po’ tutto quello che abbiamo detto e scritto, per ricostruire un percorso chiaro, completo e conforme di gestione dell’emergenza a norma GDPR.
Le richieste al Garante e le sue risposte del 2 marzo
Fin dall’inizio dell’emergenza Covid-19, l’Autorità Garante ha ricevuto molte richieste da parte di soggetti pubblici e privati, che chiedevano se fosse possibile raccogliere informazioni su sintomi e spostamenti recenti, per prevenire il contagio da Coronavirus. Anche molti datori di lavoro pubblici e privati, preoccupati dal virus, hanno chiesto all’Autorità se fosse possibile avere una “autodichiarazione” da parte dei dipendenti in cui attestare di di non avere sintomi influenzali e lasciando altre informazioni di carattere privato.
Le risposte del Garante: no al fai da te
- I datori di lavoro devono astenersi dal raccogliere, a priori e in modo sistematico e generalizzato, anche attraverso specifiche richieste al singolo lavoratore o indagini non consentite, informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera extra lavorativa.
Non sono attività di loro competenza.
L’accertamento e la raccolta di informazioni relative ai sintomi tipici del Coronavirus e alle informazioni sui recenti spostamenti di ogni individuo spettano agli operatori sanitari e al sistema attivato dalla protezione civile, che sono gli organi deputati a garantire il rispetto delle regole di sanità pubblica recentemente adottate.
Però, il lavoratore ha l’obbligo di segnalare al datore di lavoro qualsiasi situazione di pericolo per la salute e la sicurezza sui luoghi di lavoro. Al riguardo, il Ministro per la pubblica amministrazione ha dato indicazioni operative ai dipendenti pubblici e per chi opera a vario titolo presso la P.A. di segnalare all’amministrazione di provenire da un’area a rischio. In tale quadro il datore di lavoro può invitare i propri dipendenti a fare tali comunicazioni agevolando le modalità di inoltro delle stesse, anche predisponendo canali dedicati.
- I datori di lavoro hanno il compito di comunicare agli organi preposti l’eventuale variazione del rischio “biologico” derivante dal Coronavirus per la salute sul posto di lavoro e gli altri adempimenti connessi alla sorveglianza sanitaria sui lavoratori per il tramite del medico competente, come, ad esempio, la possibilità di sottoporre a una visita straordinaria i lavoratori più esposti.
Leggi il testo completo del comunicato dell’Autorità Garante qui
Nel frattempo, i chiarimenti e le indicazioni normative su come gestire il Covid-19 in azienda si sono moltiplicati e oggi abbiamo una serie di riferimenti da cui partire per avere un quadro chiaro, per agire cum grano salis e senza ansia da prestazione di fare le cose pur di raggiungere l’obiettivo. Che se ci facciamo prendere dall’asia da prestazione, se facciamo i fenomeni, poi ci ritroviamo con delle violazioni dei dati che avremmo dovuto prevedere, magari mettendo pure a rischio diritti e libertà fondamentali, perché non ci abbiamo pensato prima.
Come gestire l’emergenza Covid-19 nei luoghi di lavoro: cosa dice la legge
Come dobbiamo comportarci durante il lavoro quotidiano, in questo periodo di Coronavirus, per gestire le cose nel rispetto del GDPR? Per prima cosa non andando a casaccio, ma guardiamo le norme.
È fondamentale sempre e comunque avere il riferimento normativo e quindi andare a guardare quello che ci dice la legge. Non dobbiamo cercare chissà dove, perché nel Regolamento europeo per la protezione dei dati troviamo già tutto quello che serve, tutto quello e che è necessario per riuscire a gestire le informazioni personali ed eventualmente gestire quelle aggiuntive – perché la situazione ci ha imposto dei cambiamenti organizzativi – che dovremo poi trattare.
I riferimenti normativi che devi avere sotto sono – macroscopicamente – solo 5:
- 1 – Il GDPR
- 2 – Il Novellato 101 – cioè la modifica del decreto legislativo 196 italiano (Codice Privacy) – che ha aggiunto alcuni aspetti sul trattamento dei dati particolari legati al Coronavirus
- 3 – Il Testo Unico sulla sicurezza dei lavoratori (D.lgs. 9 aprile 2008 n.81)
- 4 – I decreti emanati dal Presidente del Consiglio dei Ministri
- 5 – Il Protocollo di Intesa firmato da sindacati ed associazioni di categoria, che è uscito il 14 marzo 2020 e che dà delle indicazioni precise – è un Protocollo d’Intesa, non una legge – su come ci dobbiamo comportare
Questo è il quadro normativo da tenere come riferimento. Fossi in te io mi stamperei le varie norme.
È un consiglio. Da sempre tengo la norma stampata lì vicino, la sottolineo, vado a guardare le varie situazioni, me la tengo come riferimento. Nel dubbio me la vado a rivedere.
Questo è molto importante, secondo me.
Bene, adesso che hai stampato tutto e che hai il quadro normativo sotto gli occhi, riprendiamo il discorso e cerchiamo di capire una cosa importante: la situazione che stiamo vivendo ha alzato l’asticella nella gestione trattamento dei dati dei dipendenti? Dobbiamo fare più lavoro per essere GDPR compliant?
La norma ci impone di fare di più? No. Nel GDPR c’è già tutto.
Il GDPR ha già previsto tutto
In una logica di accountability, di responsabilità, la norma già prevede tutto quello che serve per gestire l’attività, sia prima che dopo il Coronavirus.
Il concetto è essere consapevoli. Essere responsabili. Perché la norma al suo interno ci dà indicazioni precise che abbiamo sempre dovuto seguire e che dobbiamo seguire anche adesso:
- Se fai qualcosa con i dati personali, devi indicarlo nell’informativa
L’articolo 9 del Regolamento europeo al punto B ci dice una cosa chiara. Ci dice: guarda titolare del trattamento, tu puoi trattare i dati particolari dei tuoi dipendenti (i dati ex sensibili), però, devi indicarlo nell’informativa e non devi chiedere nessun consenso.
E poi, oltre a questo articolo, bisogna tenere presenti anche gli articoli 13 e 14 del GDPR che ci dicono come si gestiscono le informative.
- Prima di fare qualcosa, pensaci!
Gli articoli 25 e 32 del GDPR invece parlano di privacy by design e by default. Cosa vuol dire? Vuol dire che, prima di fare qualsiasi cosa, devi pensare bene se i dati che stai trattando sono quelli giusti, se hai messo tutto a posto, se tutto funziona e se le misure di sicurezza sono giuste, in modo che i dati trattati non rischino nulla.
- È il caso di fare una DPIA?
L’articolo 35 sulla DPIA (Data Privacy Impact Assessment), cioè la valutazione del rischio residuale, ci dice: caro titolare, se gestisce dei dati personali particolari legati al Coronavirus, devi fare una DPIA.
- Documenta tutto nel registro dei trattamenti
Sempre in tema di rischi, gli altri riferimenti da tenere sotto mano sono l’articolo 30 sul registro dei trattamenti e l’articolo 33 sulla gestione delle eventuali violazioni, perché, qualsiasi modifica o cambiamento che andrai a fare, impatterà sul tuo registro dei trattamenti, dovrai aggiornarlo e aggiornando il registro, dovrai mettere in piedi anche delle eventuali misure aggiuntive, per verificare possibili e potenziali violazioni che possono verificarsi durante il trattamento di questi dati aggiuntivi.
Dal punto di vista del GDPR, il fatto che noi possiamo trattare dei dati personali, quindi non solo nome e cognome del dipendente, del fornitore, del cliente che viene in azienda, ma anche dati relativi alla situazione sanitaria della persona, era già previsto dal Regolamento, che già dava indicazioni su cosa si poteva fare e su cosa non si poteva fare.
Indicazione generale: prima di fare un trattamento, pensaci
Come sempre, come ripeto ogni volta a stufo, la cosa più importante nel trattamento dei dati personali è avere consapevolezza di dove stai andando. Perché, se non sai dove stai andando, è un problema. Non sei mica Bear Grylls, che viene buttato in una foresta amazzonica, ma riesce a trovare il modo di mangiare e di tornare a casa. Non puoi andare allo sbaraglio. Quindi, prima di fare qualsiasi cosa – Coronavirus o no – devi sapere:
1 – Dove sei e quali dati tratti
2 – Dove vuoi andare
3 – Perché vuoi trattare quei dati
4 – Come trattare i dati e con quali strumenti, per avere un trattamento filante in ottica di accountability
Analizzi i provvedimenti e in base ai comportamenti da tenere, decidi cosa può essere applicato nella tua struttura e cosa no. Valuti se la misura che vuoi adottare – per esempio, misurare la temperatura ai dipendenti – è un trattamento di dati personali, oppure no, come farlo, come gestirlo e dove vuoi arrivare. È la logica dell’accountability. Logica già presente nel GDPR e che devi applicare esattamente nella stessa maniera, anche in questa situazione di pandemia, per i trattamenti che fai già e per quelli aggiuntivi, nel caso in cui dovessi farli. Bene.
Occhio agli strumenti!
Sapere cosa fare è fondamentale, così come scegliere gli strumenti per arrivare all’obiettivo. Devi avere il controllo degli strumenti. E qui, in queste settimane di pazzia, mi sono accorto che, prese dall’emergenza, prese dall’ansia da prestazione di raggiungere l’obiettivo di portare avanti l’attività, in condizioni di emergenza e in piena pandemia, molte aziende hanno scelto di usare strumenti inadeguati al GDPR.
Uno fra tutti? Zoom!
Zoom è uno strumento potenzialmente inadeguato ma lo hanno usato tutti, dall’aziendina alla scuola.
E questo, bada bene, è un discorso indipendente dal tipo di dati trattati. Sensibili o non sensibili, poco importa. Il problema sta proprio nella scelta degli strumenti, che non andava bene perché erano strumenti non adeguati o perché gratis o perché gliel’ha detto il cugino o perché non avevano nient’altro o perché il loro fornitore ha detto “No, no, tranquilli! Questo strumento va benissimo…”
Non c’è consapevolezza nella scelta dello strumento. Ma la scelta dello strumento è all’interno del contesto del GDPR, quindi vuol dire che anche prima del Coronavirus dovevi scegliere strumenti a norma con il Regolamento!
Prima, adesso, domani, il GDPR ti dice che devi valutare gli strumenti, verificare i responsabili esterni e capire se sono adeguati o meno a trattare i dati che gli dai. Roba vecchia, nessuna novità.
Sei un titolare del trattamento? Devi fare 3 cose
Quindi non va bene dire: “Ditemi quali documenti devo usare, che li stampo, li lascio ai miei dipendenti e poi buonanotte al secchio!” Non è così. Il concetto parte da prima. In quanto titolari del trattamento – mi ci metto dentro anche io è chiaro – dobbiamo:
1 – Decidere quali dati trattare
2 – Decidere quali strumenti utilizzare (verificando che siano conformi al GDPR)
3 – Verificare preventivamente se la strada che abbiamo intrapreso è una strada corretta o se stiamo guidando un po’ alla cieca, che vuol dire che non abbiamo definito perché vogliamo usare certi dati e per quali finalità.
E adesso andiamo nel pratico, con un vademecum semplice e chiaro.
Come gestire l’emergenza Covid-19 nei luoghi di lavoro: cosa devi fare?
Riepiloghiamo. Abbiamo detto che c’è una base normativa – il GDPR – che ci dà delle indicazioni importanti su cosa dobbiamo fare quando trattiamo dei dati personali. Ma non è l’unica, ci sono anche il Testo Unico sulla sicurezza nei luoghi di lavoro, i decreti del Presidente del Consiglio e il protocollo condiviso uscito il 14 marzo 2020 per il contrasto e per il contenimento del Covid-19. Il protocollo lo teniamo come indicazione, perché ci dice come dobbiamo comportarci nel momento in cui dobbiamo aprire e lavoriamo. Bene.
Punto per punto, andiamo vedere cosa devi fare.
1 – Stabilisci il protocollo da seguire: poche regole, ma chiare
Il Protocollo di Intesa ci dice come dobbiamo comportarci. Quindi in azienda, devi avere bene chiaro qual è il protocollo da seguire, che è semplice e che tocca tutti i dipendenti:
1) Se hai la febbre, stai a casa e chiama il tuo medico curante
2) Devi usare sempre la mascherina
3) Devi rispettare la distanza di sicurezza di almeno 1 metro dalle altre persone
4) Se sei entrato o entrata in contatto con persone in quarantena devi comunicarlo al tuo medico, perché è il tuo medico che ti dice se puoi andare a lavorare oppure no
5) Se durante la prestazione lavorativa stai male, hai la tosse e ti viene la febbre, dillo alla persona preposta, che dovrebbe essere il medico competente, se l’azienda ce l’ha, o un’altra figura incaricata di gestire la cosa
2 – Dai informazioni semplici e comprensibili
Stabilite le regole, devi prima di tutto informare i dipendenti e le persone che entrano in azienda su quali sono queste regole e devi avere la sicurezza che le informazioni che dai siano semplici, chiare e comprensibili.
Devi avere la certezza che l’altra parte abbia recepito come si deve comportare: fai dei cartelli con scritte e disegnini – la figurina dell’omino con la mascherina, quella della pistoletta che misura la temperatura, la freccina con la distanza di sicurezza eccetera – così le persone quando arrivano al primo turno li vedono, poi dai anche la mascherina e insieme alle mascherine dai un foglio in cui c’è scritto in modo chiaro quali regole bisogna seguire.
È fondamentale la chiarezza. È fondamentale perché viene richiesta anche dal Regolamento europeo. Poi verifichi che le persone abbiano capito. Non va bene dare 50 fogli ad Abdul che lavora nella catena di montaggio dell’acciaieria e dirgli: firma questi. Perché li firma, se glielo dici. Ma poi ha capito? Abdul, Antonio, Giulia, per la loro sicurezza e per quella degli altri, devono capire chiaramente come si devono comportare e a chi rivolgersi.
Attenzione: le regole che ho elencato finora non toccano il trattamento dei dati personali! Perché, dare le informazioni con i cartelli e un foglio all’ingresso, significa informare e basta. Punto. Dici solo quali sono le regole. Non devi chiedere nient’altro: l’obbligo di erogare l’informazione a tutti non implica alcun trattamento di dati personali.
3 – Gestisci le persone
Bene. Adesso che le persone sanno come devono comportarsi, ogni giorno da qui a quando l’emergenza non sarà finita, vanno gestite.
Come? Adesso lo vediamo.
Misurare la febbre sì, registrare le temperature no, a meno che…
Prima cosa: quando le persone arrivano, devi misurare la febbre a ognuno.
Cosa succede se uno ha più di 37.5? Stop!
Gli dici “No, non puoi entrare. Vai dal tuo medico curante per farti dare la malattia, deciderà lui se e quando potrai rientrare al lavoro”
E dove va scritta la temperatura?
Secondo me, come mia indicazione personale, non va scritta da nessuna parte. Me se proprio la vuoi scrivere, allora sappi che stai iniziando a trattare dei dati personali. Il trattamento temporaneo nella testa della persona che prende la temperatura e poi non la riporta da nessuna parte – resta lì nella sua testolina – non c’entra nulla col GDPR. L’ha chiarito anche il Garante.
Se però inizia a scrivere i dati e li riporta da qualche parte, allora sì che è un trattamento dei dati personali e quindi rientra nel GDPR e va gestito secondo il Regolamento.
Ma poi perché dico io, uno dovrebbe scrivere la temperatura delle persone. Perché?
Ti serve davvero sapere questa cosa?
L’articolo 5 del GPDR sulla minimizzazione del trattamento ci dice: prima di prendere delle informazioni, chiediti se ti serve davvero questa informazione o puoi farne a meno.
A cosa ti serve avere un elenco con la temperatura dei tuoi dipendenti?
Nel momento in cui uno ha la febbre non può entrare. Punto. È un po’ come una persona che ha la gamba rotta e che quindi non può andare sopra il muletto. Secondo te ha senso che un’azienda registri chi ha la gamba rotta e chi no? Per me non ha nessun senso.
“Ah ma sapere se Peppino ha la febbre, mi serve per capire se è idoneo al lavoro oppure no…”
“Eh no! Mica è di tua competenza!”
È il medico che decide se il dipendente è idoneo o non è idoneo, non tu
La competenza di dire che Peppino è idoneo o non è idoneo al lavoro è del medico curante e del medico del lavoro. Non è del datore di lavoro.
“Eh, ma se poi Peppino mi arriva in azienda e vedo che ha la febbre a 38?”
“Benissimo. Se ha la febbre sopra il 37.5 gli dici: Peppino, vai dal medico competente che così ti visita e stabilisce se puoi tornare al lavoro oppure no. Perché è il medico competente che dà l’idoneità e che valuta se è il caso di attivare i protocolli sanitari per il trattamento del Covid-19 oppure no. Lui avvisa l’ASL e gli enti preposti.”
Quindi direi che non c’è nessuna necessità di registrare le temperature. Anche perché, mica è detto che Peppino abbia il Coronavirus, potrebbe avere un’altra cosa, ma tu, titolare dell’azienda non devi saperlo, deve saperlo il medico curante. Potrebbe avere un ascesso, aver preso un colpo di calore, aver bevuto troppo e ha la cirrosi epatica. Non ti deve interessare!
Lo dice anche il Garante: sulla idoneità al lavoro non è competente l’azienda, è competente il medico, che verifica in autonomia il dipendente malato perché è un titolare del trattamento – per i trattamenti che fa sul dipendente – mentre l’azienda, in quanto responsabile esterno, sa solo se Peppino è idoneo o non idoneo. Basta.
Se la differenza tra titolare e responsabile esterno del trattamento non ti è chiara, dai un’occhiata all’approfondimento GDPR: Titolare, Responsabile, Addetto
Fatto? Bene. Andiamo avanti.
No alle autodichiarazioni: non servono e poi sono trattamenti di dati da gestire. Sicuri di volerle gestire?
Tutte le autodichiarazioni in cui il dipendente dice che non è in quarantena e che non ha il Coronavirus non hanno nessun senso. Anche il Garante dice: “Non prendete autodichiarazioni.” Perché?
Perché è il medico che avrebbe dovuto spiegare al dipendente che se ha dei sintomi da Coronavirus deve telefonargli per dirglielo. Poi, tu, azienda, glielo spieghi e glielo ricordi. Punto.
Non solo. Se tu come azienda chiedi l’autodichiarazione, allora stai gestendo anche dei dati personali!
Ricapitolo. Se prendi la temperatura e basta senza registrarla, se la valutazione dell’idoneità al lavoro la fa il medico, se non prendi autodichiarazioni del dipendente, allora significa che non stai trattando dati personali! Quindi viaggi via tranquillo come hai viaggiato fino adesso, per quanto riguarda il GDPR.
Smart Working: senza DPIA non lo puoi fare, lo sapevi?
Purtroppo o per fortuna, vista la situazione, c’è la possibilità di lavorare in Smart Working, che è un’opportunità, ma che tocca il trattamento dei dati personali. Quindi se alcuni dei tuoi dipendenti lavorano in Smart Working già da adesso, sappi che è quasi certo che tu debba aggiungere alcune cose sia sul registro dei trattamenti sia sulle informative che dai dipendenti.
Anzi, dovresti fare la DPIA!
Io l’ho sempre detto per me la DPIA dovrebbero farla tutti, a prescindere. Ma sei fai Smart Working e se trattati dati legati al Coronavirus, hai la certezza: devi fare la valutazione di impatto su quel trattamento.
È obbligatorio, altrimenti non puoi fare lo Smart Working!
“Eh, ma non sono mica trattamenti di dati su larga scala…”
“Chissenefrega! Il trattamento che fai può portare ad una grave discriminazione. Se Antonio che lavora in Smart Working è collegato con la VPN, tu azienda riesci a vedere tutto, perché vengono registrate le navigazioni: quando si collega, quando si scollega, che siti guarda. Riesci a vedere tutto.”
Se un giorno Antonio scopre che c’è l’abbonamento gratuito a Porn Hub e usa la VPN per collegarsi e guardare le donnine nude, è un rischio per lui, perché potrebbe essere discriminato e anche in maniera grave! Può ledere i suoi diritti e le sue le libertà.
Se Antonio perde il lavoro perché l’azienda ha visto che usa Porn Hub è una discriminazione.
“E quindi cosa facciamo? Non registriamo?”
“Meglio! Se vuoi registrare, registra, ma nel momento in cui decidi di farlo, se tratti quei dati, devi fare la DPIA. Che comunque è necessaria in caso di Smart Working, perché l’azienda riesce a vedere quando i dipendenti si collegano, per quante ore, se si connettono dopo e si disconnettono prima dell’orario di lavoro, quante ore fanno… E possono dire: ho visto che hai lavorato solo 6 ore e mezza invece di 8. Adesso ti do meno soldi, oppure ti faccio una nota di demerito.”
Perché quel trattamento che stai facendo sulla persona che lavora in Smart Working può essere discriminatorio, a prescindere dal fatto che sia su larga scala oppure no.
Gestione della filiera dei contatti
Ci sono alcune aziende che, per la gestione della sicurezza antincendio e altre esigenze, prendono nota di chi entra in azienda e di dove va, perché, se succede qualcosa, bisogna poter dire chi era presente: se viene giù tutto – per esempio c’è un terremoto – bisogna sapere dove sono queste persone per andarle a cercare.
Questa cosa è già presente in diverse aziende ed è una prassi, quindi non è obbligatoria.
Però, se vuoi, in questa fase di Coronavirus, puoi adottarla, segnando chi arriva in azienda, quanto rimane e dove lavora, perché tu possa dirlo se ti viene chiesto. Quindi solo se ti viene richiesto da chi è preposto, cioè i medici della ASL, i medici competenti, la Protezione Civile nelle persone indicate, per verificare i contatti di una persona infetta.
La gestione della filiera dei contatti è una cosa semplicissima, non è che devi infilare un chip con la geolocalizzazione nel sedere dei dipendenti, per vedere se non rispettano la distanza di sicurezza di 1 metro. Basta prendere le presenze e avere il buon senso di poter dire che Antonio lavora in amministrazione, ha lavorato dalle 8 alle 18 in amministrazione in questi giorni. Dalle 8 alle 18 in amministrazione negli stessi giorni c’erano anche Francesco e Giulia. Semplice.
Molte aziende ce l’hanno già e dovrebbero già avere questa informazione nel loro registro dei trattamenti, aver fatto le cose corrette e averlo anche scritto nell’informativa. Dovrebbero. Quelle che invece non hanno questo tipo di gestione, nel momento in cui decidono di mettere su questo tipo di controllo, devono inserirlo nel registro dei trattamenti, indicare questo trattamento nell’informativa dei dipendenti e consegnare loro l’informativa.
Il controllo della filiera non prevede la DPIA però devi verificare le misure prima di fare il trattamento e rendere evidente di averle fatte.
E come si fa a rendere evidente questa cosa?
La rendi evidente perché hai messo nell’informativa che fai il trattamento, hai dato istruzioni a chi poteva vedere quei dati su come si doveva comportare, hai nominato gli addetti e adottato le misure di sicurezza. E perché su quel trattamento hai fatto l’analisi dei rischi, verificando che il rischio residuale è basso.
E quando ci sono dei visitatori esterni?
Quando in azienda arrivano dei visitatori esterni, il protocollo d’intesa ci dà alcune indicazioni banali: i visitatori devono avere dei bagni apposta per loro, dove non c’è nessuno, se sono dei padroncini devono scaricare e ricaricare in un certo modo eccetera.
Ma non toccano il trattamento dei dati personali
Cosa succede se un dipendente sta male durante l’orario di lavoro?
Peppino alle 8 ha il primo turno di lavoro. Giulia, l’addetta, gli misura la temperatura: 36,8. Niente tosse. Peppino entra nel capannone e inizia a lavorare. Alle 14.30, dopo pranzo, Peppino inizia a stare poco bene. Tossisce. E adesso?
Scatta il protocollo e quindi:
1) Peppino deve avvisare la persona incaricata per seguire queste situazioni
Bisogna aver dato la regola chiara che dice: se il dipendente si sente male, deve andare a chiamare una certa persona definita dall’organizzazione. Se in azienda c’è il medico, va dal medico. Se è il responsabile sulla sicurezza, allora va dal responsabile sulla sicurezza. Se è una persona dello Human Resources, allora va dal nominato dello Human Resources.
2) Peppino si misura la febbre, se ha la tosse va in isolamento, l’incaricato chiama l’ASL
Misuri la febbre. Se la febbre è più alta di 37.5 e se Peppino ha la tosse, bisogna che vada in una stanza isolata. L’incaricato chiama l’ASL. Fine. Stop.
Non scrivi niente da nessuna parte. Ti arriverà eventualmente il certificato di malattia, quando i medici avranno fatto le loro verifiche.
Io per eccesso di paraculismo chiamo anche il medico competente e gli dico: “Sai, forse abbiamo un caso di Covid in azienda e l’abbiamo gestito così. Va tutto bene?”
La procedura è questa. Anche perché Peppino potrebbe non averlo il Covid: viene gestito come qualsiasi persona che non sta bene, con l’accortezza in più di tenerlo in isolamento e di chiamare l’ASL competente. Facendo così, non fai nessun trattamento in più rispetto alla normale gestione di un dipendente che sta male.
Minimizza i dati, perché se c’è un Data Breach legato al Coronavirus rischi una causa civile
Meno informazioni tratti, soprattutto se si tratta di dati sensibili, cioè quelli che adesso si chiamano dati particolari, è meglio perché se poi da qualche parte scappa qualcosa – se c’è una violazione – sono problemi grossi.
Se tratti dati personali legati al Coronavirus e c’è un Data Brach (una violazione) – le informazioni vengono perse, qualcuno che non doveva vederle le ha viste o uno degli altri casi violazione dei dati – il dipendente malato di Codiv-19, grazie al Novellato 101, può fare una causa civile contro l’azienda per responsabilità diretta sulla gestione del trattamento dei dati personali.
Ecco perché la minimizzazione dei dati è fondamentale.
Quindi dal mio punto di vista bisogna:
1) Minimizzare il più possibile i trattamenti, cioè ragionare se è davvero necessario fare quel trattamento dei dati e se decidi di trattare quei dati, devi anche aggiornare il registro, l’informativa, usare l’adeguata base giuridica
2) Nominare gli addetti e gli incaricati nella gestione di chi presenta sintomi da Covid-19
3) Fare la DPIA, cioè fare la verifica e l’analisi dei rischi perché il rischio residuale sia basso
4) Fare le verifiche sulle misure di sicurezza fisiche, logiche e organizzative
Punto. Questo è quello che devi fare, per gestire la riapertura e le attività in questa emergenza.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
GDPR: Smart Working, Business Continuity e GDPR
La situazione pandemica ha portato moltissime aziende a lavorare in Smart Working. Di queste, quante lo hanno fatto in modo conforme al GDPR? Da quello che vedo non molte, ma per le aziende che hanno sposato il concetto di Business Continuity e che hanno attuato lo Smart Working in questi mesi di Coronavirus, ho la speranza che non sia cambiato assolutamente nulla nel loro impianto di gestione del GDPR.
Non è cambiato nulla – o almeno spero che sia così – perché avevano giustamente e correttamente ragionato sul discorso di Business Continuity.
Cosa vuol dire Business Continuity?
È la capacità dell’azienda, a prescindere da quello che succede, di continuare il proprio business.
È chiaro che se sono un’azienda che produce cuscinetti a sfera e piastrelle, hai voglia a fare cuscinetti a sfera e piastrelle in Smart Working – la Business Continuity nella produzione viene strutturata con la delocalizzazione – ma tutta la parte di vendita di servizi, di amministrazione, di Human Resources, di Marketing può essere tranquillamente gestita da remoto rispettando la Business Continuity.
Altrimenti come fai a garantire il servizio? Come fai a fatturare?
Che se non fatturi, chiudi!
Se un addetto ha un problema col computer, gli mandi un computer di ricambio, non puoi fermarti per una cosa del genere: questo è Business Continuity, ma non solo.
Perché, occhio che la continuità del business deve impattare non solo sulla parte tecnologica – cioè dare strumenti (device) agli addetti e stop! – ma anche sulla parte organizzativa e sulla parte di formazione. Perché se è solo tecnologica e le persone in Smart Working non hanno le istruzioni e gli strumenti per operare, questa cosa non funziona.
Estote parati! Sempre pronti!
Il concetto di Business Continuity è il concetto che gli Scout chiamano estote parati, che significa sempre pronti.
È il mantra che deve entrare nelle aziende e che non riguarda solo l’IT e gli aspetti tecnologici, ma è trasversale a tutta l’impresa.
È inutile che il responsabile IT deputato a scegliere gli strumenti a norma con il GDPR (clicca qui per approfondire)– non quelli gratis, ma a quelli a pagamento e conformi alla normativa – si giustifichi dicendo: “Noi siamo piccoli, siamo piccolini, siamo come Calimero. Abbiamo pochi soldi. Mi dicono sempre di no quando vado in amministrazione a chiedere delle cose.”
Perché la Business Continuity non deve partire dall’IT.
Deve partire dall’alto!
È un po’ una battaglia da Don Chisciotte, mi rendo conto, ma è l’azienda che applica la Business Continuity e che adotta misure tecniche, organizzative e di formazione per lavorare a norma anche quando arriva la pandemia di Coronavirus.
La Business Continuity e la realtà dei fatti
La realtà dei fatti è che c’è stata l’emergenza da Coronavirus e le aziende hanno fatto lo Smart Working alla cieca. Valutazione sul rischio per i dati? Zero.
La valutazione è stata: fare Smart Working con quello strumento costa poco o costa tanto?
Funziona o non funziona?
Se costa poco e funziona, bene, usiamolo che dobbiamo lavorare!
E allora, vedi quelli che attivano, agganciano, pubblicano on-line le riunioni, le mega riunioni, con l’accesso, senza accesso, viene registrato tutto…
Addirittura le farmacie usano WhatsApp per gli ordini dei clienti. Ma com’è possibile che mi fai l’ordine via WhatsApp? L’ordine con la medicina per il cuore, quello con il Viagra perché finalmente sono a casa con mia moglie e ne approfitto… tutto passa su WhatsApp!
Ma perché?
Perché non avevano pensato alla Business Continuity!
Non avevano lo strumento per la gestione degli ordini valutato e registrato.
Poi c’è stata l’emergenza e allora chiedono di mandare l’SMS o il WhatsApp…
Non si può! Non si può!
Adesso che però è passata l’emergenza, bisogna iniziare a ragionare su cosa c’è da fare e come mettersi a norma. Hai adottato lo Smart Working in emergenza? Bene. Adesso fermati e guarda cosa stai facendo, come lo stai facendo e mettiti a posto.
Come si fa?
FONTE: Privacylab BLOG – By Redazione
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
Smart Working, lavoro AGILE e Coronavirus: gestire l’emergenza in regola col GDPR
Non ce lo aspettavamo, ma all’improvviso è arrivato. Il Coronavirus ha fatto piazza pulita di tutto. Ci sta facendo navigare a vista e ha trovato molte aziende, soprattutto le PMI, del tutto impreparate. Impreparate di fronte a cosa? Non solo all’emergenza, è chiaro. Le aziende si sono trovate a dover gestire una nuova modalità di lavoro – lo Smart Working e il lavoro AGILE – che senza il Covid-19 forse non avrebbero neanche mai considerato.
Quasi da un giorno all’altro, in seguito al Decreto del Governo che nei primi giorni di marzo ha esteso questa modalità a tutta l’Italia, i titolari d’azienda e le PA hanno chiesto ai dipendenti di lavorare da casa. E allora è successo di tutto: c’è chi, da un mese, lavora con il computer dei figli, chi ha dovuto chiedere in prestito il pc del vicino, chi aveva il computer ma non l’antivirus.
Insomma, tutti più o meno si sono dovuti barcamenare per portare avanti il lavoro con quello che avevano e purtroppo anche con buona pace dei dati personali e del GDPR.
Smart Working e rischi per i dati personali
Il Decreto del Governo non ha specificato nulla rispetto al trattamento dei dati personali e il Garante non ha ancora chiarito come gestire lo Smart Working durante la pandemia di Coronavirus, anche se si è già espresso il 2 marzo indicando ai datori di lavoro cosa NON devono fare. In questo contesto, i titolari del trattamento – aziende, professionisti ed enti – si sono trovati in a dover rivedere in tutta fretta l’organizzazione e le modalità di lavoro, con seri rischi per i dati personali trattati.
Rischi che sono molti e anche diversi: dai collegamenti VPN non sicuri all’uso di computer e altri dispositivi del tutto privi di misure di sicurezza, facili prede di virus e malware; come pure le videoriprese, le video-lezioni e le riunioni online, che possono presentare dei rischi per la privacy nostra e dei nostri familiari. Milioni di talloni d’Achille che possono aprire il fianco ad altrettante violazioni dei dati personali.
Come gestire questa situazione in modo conforme al GDPR?
Il 16 aprile abbiamo organizzato un corso per parlare proprio di questo.
Non c’eri? Nessun problema.
Nei prossimi paragrafi trovi punto per punto quello che è stato detto durante il webinar su come gestire lo Smart Working cum grano salis e a norma di legge.
Smart Working: come farlo a norma GDPR
Vediamo cosa bisogna fare per essere a norma GDPR quando si fa Smart Working:
1 – Analizza e mappa i trattamenti
La prima cosa che viene richiesta dal GDPR è analizzare e mappare. Quindi devi capire quali trattamenti stai facendo, perché li stai facendo, quali dati ci sono e da chi vengono visti all’interno dell’azienda. Dopodiché, guardi quali strumenti usi o vuoi usare, come vengono usati, se ci sono delle misure di sicurezza e quali istruzioni vuoi dare agli addetti che dovranno gestirli.
Mappare i trattamenti vuol dire avere la mente aperta: saper fare le connessioni e valutare che un certo trattamento o un certo strumento ne fa scaturire un altro.
Per esempio, nel momento in cui attivi la VPN per far collegare i dipendenti da casa, hai sicuramente il login utente, che è un trattamento aggiuntivo.E nel momento in cui fai accedere le persone da casa alla posta elettronica dell’ufficio, se non dai regole precise, loro si scaricano i file di Word e di Excel e ci lavorano col computer che hanno – magari quello del figlio e senza antivirus -, col rischio di beccarsi il Cryptolocker.
Sono tutti asset nuovi che devono essere gestiti, modalità nuove che devono essere gestite.
Non si può più far finta di niente. Perché con una gestione sempre più distribuita, quello che avresti dovuto fare prima, adesso diventa impellente e cioè adesso devi analizzare quali dati tratti, da quali strumenti vengono utilizzati e quali asset li vanno a utilizzare. Devi avere la mappatura di questa cosa. È diventato fondamentale. Senza mappatura non hai consapevolezza, senza consapevolezza non lavori con accountability.
Perché per agire con accountability bisogna essere consapevoli, responsabili e competenti.
Se non sai dove sono i dati e se non sai quali dati tratti come puoi essere accountable?
E i dati non sono solo quelli del gestionale. Sono anche tutti i dati dello Human Resources, sono i dati della produzione, sono tutti dati del Marketing, delle vendite, dei clienti. Sono dati personali che girano su degli asset che devono essere mappati.
La mappatura dei trattamenti scatena altri trattamenti. Dalla mappatura vedi che ci sono altri strumenti e quindi anche altri responsabili esterni. È una catena che devi avere chiara.
Partiamo quindi dagli asset, cioè dagli strumenti.
2 – Definisci quali asset stai usando, fai l’analisi dei rischi e stabilisci delle regole chiare su come usare gli strumenti
Gli asset fisici, cioè gli strumenti, sono di due tipi:
1) quelli di proprietà aziendale cioè gli asset comprati o affittati e i servizi
2) poi ci sono gli asset di proprietà del dipendente, cioè i BYOD (Bring Your Own Device) – che sembra un po’ il nome di una pornostar norvegese – e qui bisogna chiarire una cosa. Se io azienda ho deciso che do la possibilità ai miei dipendenti di utilizzare strumenti proprietari – lo posso fare? Certo che sì! – prima però devo fare delle attività legate al GDPR.
Quali sono le attività che vanno fatte se uso i BYOD?
Primo. Io azienda rimango controller dell’informazione, cioè rimango titolare del trattamento. Non è che se il dipendente usa il suo device diventa titolare del trattamento e sono pippe sue. Rimangono dell’azienda le pippe!
No, te lo dico. Che sia chiara questa cosa!
Secondo. Io azienda dico ai miei dipendenti: “Ti concedo di fare questo ma ti do queste regole, per poter usare il tuo device.” I dipendenti che lavorano in Smart Working devono avere delle regole che in maniera molto chiara dicano che va fatto il backup, il salvataggio, la gestione della sicurezza… altrimenti, se non dai delle regole, stai improvvisando.Le regole devono essere chiare e soprattutto devo mettere in piedi una serie di automatismi legati alla prevenzione obbligatoria che ho dei dati.
Cioè, se il dipendente usa il suo device, io azienda devo dargli accesso a degli strumenti che prima ho verificato e certificato. Se usasse dei device aziendali, controllati e verificati facendo l’analisi dei rischi e poi censiti, sarebbe un conto. Ma come faccio a verificare gli strumenti dei miei dipendenti?
Verifico il player, cioè lo strumento che gli ho dato. Non vado a verificare se le linee della Telecom o di Fastweb che usa per connettersi sono buone oppure no. Verifico che il fornitore che viaggia sopra le linee Fastweb sia adeguato.
Terzo. Poi devo dare l’informativa ai dipendenti dicendo loro che una serie di informazioni verranno tracciate. Altrimenti come posso tenere un rischio residuale basso su quei trattamenti?
Posso anche non tracciare, ma poi non riesco a tenere il rischio residuale basso.
Ecco perché serve l’analisi dei rischi – che è obbligatoria! – perché devo verificare come le informazioni vengono gestite e archiviate.
Queste cose andrebbero fatte prima.
Non le hai fatte? Male. Però puoi sistemare a posteriori.
Non hai fatto le verifiche né dato le regole per l’uso degli strumenti. E adesso? Fai l’analisi dei rischi
Anche se la frittata è fatta, si può lavorare a posteriori e verificare se le scelte che hai preso erano corrette, facendo l’analisi dei rischi.
L’analisi dei rischi infatti serve per valutare se le informazioni che hai dato e gli strumenti – anche quelli che non sono di tua proprietà – sono corretti e sono adeguati ai sensi dell’articolo 35 del GDPR (valutazione d’impatto), degli articoli 24 e 25 (privacy by design e by default) e dell’articolo 32 (misure di sicurezza fisiche, logiche e organizzative, che devono garantire un rischio residuale basso su tutti i trattamenti).
È importante, sai perché? Perché, per esempio, se la posta viene scaricata su un device e la segretaria dello Human Resources, che lavora in Smart Working, usa il computer del figlio che è infettato di Cryptolocker – un computer dove il figlio non ci ho mai messo un Word neanche a sbagliare – appena arriva lei e scarica la posta sul computer…vruuum! Il virus chiappa tutto, blocca tutto, blocca la casa e spara virus in giro!
È una cosa che può succedere e la domanda che ti potrebbero fare è: ma prima di dare l’accesso, avevi fatto una valutazione? Hai verificato se gli strumenti – i device – e la modalità di lavoro a casa fossero adeguati?
Amen, è successo. Adesso però devi inserire la cosa nel registro delle violazioni – in maniera sicura e non modificabile – poi se è un Data Breach o no lo vediamo dopo, ma intanto devi registrarlo.
Su quali misure di sicurezza devi fare l’analisi dei rischi?
Su tutte!
L’analisi va fatta su tutte le misure di sicurezza
L’articolo 32 del GDPR ci dice: bisogna verificare tutte le misure di sicurezza, anche quelle logiche e organizzative, non solo quelle fisiche.
Hai dato le istruzioni a chi lavora in Smart Working?
Le persone sanno come si devono comportare?
Sai come accedono da remoto?
Hai fatto la verifica su cosa viene tracciato e su cosa viene verificato durante il lavoro esterno all’azienda?
Anche queste sono misure di sicurezza!
Attenzione! Se poi in azienda per fare lo Smart Working hai deciso di usare dei BYOD, devi sapere che stai usando device fuori dal tuo controllo. Quindi non è che puoi andare a dire al tuo dipendente: “Peppino, guarda che sul tuo telefonino non devi installare Snapchat e neanche Tik Tok.”
Perché giustamente Peppino ti risponde “Il telefono è mio e ci faccio quello che voglio. Se non vuoi che mi installi queste cose, dammene uno tu!”
Quindi se per fare lo Smart Working decidi di usare i dispositivi dei tuoi dipendenti devi gestire questa situazione e adottare delle misure di sicurezza che vanno valutate. Come si fa?
Vanno valutate così:
- Prendi i trattamenti, i dati e le misure di sicurezza fisiche logiche e organizzative. Fai l’analisi dei rischi – che è obbligatoria ai sensi dell’articolo 32 – e guardi: il rischio residuale che viene fuori com’è?
- Risposta: Medio-alto. Non va bene.
- Torna da capo: o tiri via dei dati o aggiungi misure.
- Rifai l’analisi: il rischio è basso.
- Fantastico!
Adesso puoi procedere col trattamento e aggiornare il registro dei trattamenti.
3 – Aggiorna il registro dei trattamenti
Fatta la valutazione? Identificati gli asset (strumenti)? Hai visto che quello che stai facendo ha un rischio residuale basso? Benissimo.
A questo punto devi aggiornare il registro dei trattamenti.
E quindi ci devi indicare:
– tutti i trattamenti, eventualmente anche quelli nuovi
– tutti gli asset nuovi
– tutti i fornitori nuovi (responsabili esterni del trattamento)
– tutte le misure di sicurezza nuove.
Nel registro devi dare evidenza che hai ragionato sui nuovi trattamenti, che hai visto che certi asset e certe scelte ne hanno fatti scaturire altri. Devi dare evidenza di aver fatto una valutazione che quello strumento, quel servizio, quella modalità di erogazione, quelle istruzioni sono ok.
Questo è quello che deve andare sul registro perché, ai sensi dell’articolo 30, il registro deve essere una fotografia della situazione.
Quindi fai la foto, poi istruisci le persone.
4 – Nomina gli addetti e dai istruzioni
Dopo aver fatto la foto – cioè dopo aver riportato la situazione nel registro dei trattamenti – se ancora non lo avevi fatto, devi nominare gli addetti ai trattamenti e dare nuove istruzioni.Quindi, a chi lavora da casa, se le istruzioni non le avevi ancora date, devi dare quelle aggiuntive, così sanno come devono comportarsi.
Se lavorano con strumenti che non necessitano di formazioni aggiuntive, ad esempio con i client remoti, non darai nessuna informazione aggiuntiva.
È una verifica che va fatta: in base agli strumenti che usi, devi verificare se è il caso di aggiornare le istruzioni oppure no.
E poi devi dare l’informativa.
5 – Aggiorna e consegna l’informativa
Se in azienda non avete mail lavorato in Smart Working devi dare sicuramente una nuova informativa.
Non è sempre detto che serva, perché magari nella vecchia informativa queste cose c’erano già: dipende da cosa c’è scritto, da cosa facevi prima e da cosa fai adesso.
Al dipendente devi chiedere un consenso? No!
Bene. Detto questo, prima di concludere, facciamo una breve panoramica delle norme del GDPR che toccano lo Smart Working.
Lavoro da casa: cosa dice il GDPR?
La situazione pandemica ha obbligato moltissime aziende a lavorare in Smart Working. Bene.
Cosa ci dice il GDPR su questo? Vediamo gli articoli del Regolamento. Quelli che riguardano lo Smart Working sono:
- Articoli 24 e 25 cioè privacy by design e by default
In sostanza questi articoli ci dicono: “Guarda, prima di fare qualsiasi trattamento, devi verificare se quello che vuoi fare o se quello che stai facendo rispecchiano la norma e quindi se hai adeguati strumenti, adeguata formazione, se hai dato un’adeguata istruzione agli addetti e se puoi produrre tutte le evidenze del caso.”
- Articolo 32 sulle misure di sicurezza
Ci dice che, per ogni trattamento che facciamo, dobbiamo assicurarci di aver adottato tutte le adeguate misure di sicurezza e che il rischio residuale su quei trattamenti sia basso.
Quindi, dal momento che i dipendenti lavorano al di fuori dell’azienda con lo Smart Working, sicuramente bisogna verificare questa cosa! È una verifica obbligatoria per tutte le aziende e per tutti i trattamenti, non c’è nessuna distinzione, a maggior ragione se parte dell’attività è svolta da casa. Ma quali misure di sicurezza bisogna verificare?
Tutte! Vanno verificate le misure fisiche, logiche e organizzative, non solo le misure di sicurezza tecnologiche. Tutta la filiera deve essere gestita e verificata: devo avere il controllo delle attività, delle persone e devo avere il controllo degli strumenti. Le misure di sicurezza infatti toccano tutto in maniera trasversale.
- Articolo 28 sui responsabili esterni
Un altro articolo su cui dobbiamo ragionare è l’articolo 28 sui responsabili esterni del trattamento e che riguarda anche lo Smart Working perché tutte le volte che usiamo degli strumenti – delle strutture esterne alla nostra azienda – per archiviarci delle informazioni, per abilitare le conferenze, per organizzare meeting, per distribuire i documenti attraverso il Cloud, cioè tutte le volte che noi utilizziamo servizi esterni, secondo l’articolo 28, dobbiamo verificare che il fornitore esterno rispecchi certe caratteristiche, cioè che sia a norma GDPR.- Articolo 29 sulla formazione agli addetti
L’articolo 29 del GDPR ci dice: “Guarda, quando uno dei tuoi dipendenti subordinati o parasubordinati fa dei trattamenti – qualcuno sotto il tuo controllo diretto (persona fisica) – prima deve essere adeguatamente formato. Sappi infatti che tutte le persone fisiche che lavorano sui tuoi trattamenti, sui dati che tu prendi, devono essere istruite e formate.”
Quindi se hai chiesto ai tuoi dipendenti di lavorare in Smart Working, nel momento in cui usano nuovi strumenti e nuove metodologie, devi dare delle istruzioni perché le persone siano adeguatamente formate ai sensi dell’articolo 29.
- Articolo 30 sul registro dei trattamenti
Lo Smart Working chiaramente inciderà sul registro dei trattamenti. Perché è quel documento che fotografa la situazione attuale e dà evidenza a chi deve controllare – ma in primis a te, titolare del trattamento – di come sei arrivato a scegliere certi trattamenti, certi strumenti e certi dati. Su questa base, in caso di visita ispettiva, puoi dire: “Guarda carissimo nucleo ispettivo della Guardia di Finanza, abbiamo scelto di usare Go to Meeting, l’abbiamo nominato responsabile esterno, abbiamo fatto la valutazione, l’abbiamo inserito come nuovo trattamento qui nel registro. Quindi abbiamo l’evidenza del percorso logico che ci ha portato a dire che lo strumento che abbiamo scelto è corretto e che Tizio, Caio, Sempronio e Peppino sono gli incaricati.”
- Articolo 35 sulla valutazione d’impatto
L’articolo 35 ci dice: “Guarda che su alcuni trattamenti tu devi fare la valutazione di impatto. Quindi devi fare l’analisi dei rischi e valutare che impatto hanno.” L’analisi dei rischi e la DPIA (Data Privacy Impact Assessment) danno evidenza del percorso fatto.
- Articoli 13 e 14 sull’informativa
Se fino a questo momento lo Smart Working non era stato fatto, sappi che va inserito nell’informativa e che quindi anche questa va aggiornata.
Bene. Questo è il quadro normativo da tenere bene a mente e da mettere in pratica quando si fa Smart Working in azienda.
FONTE Privacylab BLOG – by Andrea Chiozzi socio fondatore e CEO di PRIVACYLAB SRL
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
GDPR: Come si scelgono gli strumenti per fare lo Smart Working (e non solo!)
Quali strumenti scegliere per fare Smart Working? Zoom, Google Meet, XYZ? Stop!
La prima cosa da sapere, a monte della scelta dello strumento, è questa: l’azienda decide come vuol trattare i dati e di conseguenza viene scelto strumento.
Non è il responsabile IT a scegliere cosa fare. È l’azienda che decide come vuole operare, che cosa possono fare le persone dello Human Resources, gli amministrativi, gli impiegati delle vendite e così via quando lavorano in Smart Working (ma anche dentro l’azienda). Il come farlo – cioè quali strumenti usare per lavorare a distanza – lo decide l’IT.Dopo che si è fatta questa disamina su cosa fare e su come fare lo Smart Working, il titolare o il DPO fanno l’analisi dei rischi per i trattamenti (decisi dall’azienda) con lo strumento (deciso dall’IT).
Il rischio risulta basso?
Bene! Fantastico!
Si va avanti e si guarda chi fornisce lo strumento, perché è un responsabile esterno.
Quindi bisogna capire se è conforme al GDPR.
Chi fornisce il servizio è responsabile esterno: occhio a come lo scegli
Se gli strumenti, come accade sempre più spesso, sono in Cloud o sono in streaming, chi eroga il servizio deve essere responsabile esterno al trattamento: Data Processor.
Quindi il titolare e il DPO, insieme all’IT, valutano il fornitore.
Su questo punto io mi sono immaginato il dialogo fra i due (titolare e DPO):
– Titolare: “Ma perché devo valutare il fornitore?”
– DPO: “Uno, perché è obbligatorio. Il GDPR ti obbliga a verificare che il responsabile esterno sia conforme. Due, perché, se per esempio, usi uno strumento di meeting online con la possibilità di registrare le persone, corri un rischio. Metti che succede una cosa del genere: Peppino, Antonio e Francesco stanno lavorando da casa. Ad un certo punto la moglie di Antonio passa per sbaglio dietro di lui in mutande mentre è in riunione virtuale e Peppino entra in registrazione, copia un pezzettino e lo manda in giro. Antonio può cazziare Peppino per dirgli: “Oh! Guarda che quello che hai fatto non lo potevi fare!” Ma, per contro, viene a cazziare anche te che sei l’azienda dicendo: “Perché hai messo le registrazioni accessibili a tutti?” Ecco perché è bene che il fornitore lo nomini responsabile esterno.”
– Titolare: “Oddio… non ci avevo pensato!”
– DPO: “Oppure metti che c’è un bombing e qualcuno dall’esterno riesce ad entrare nell’area di meeting e registra quello che viene detto. Diventa pericoloso… Il fornitore deve essere responsabile esterno e la scelta è obbligatoria! Se tu affidi dei dati di cui sei titolare, carissimo, devi valutare il responsabile esterno. E il responsabile esterno non può essere valutato in maniera superficiale.”
E qui, però, sulla scelta dello strumento da utilizzare – e quindi del responsabile esterno – ne ho sentite di tutti i colori!
Scelta del responsabile esterno e pornografia tecnologica
Io ho visto che, sempre di più, esiste una pornografia tecnologica, cioè la tecnologia eccita in una maniera non troppo corretta chi di tecnologia sa o si spaccia di sapere. Io li chiamo i pornografi della tecnologia. I pornografi della tecnologia sono quelli che, quando devono scegliere uno strumento, lo scelgono per dimensione. Se è grosso, allora sicuramente va bene, anzi è meglio!
Son quelli che dicono:
- “L’azienda è enorme, capirai è Google, è Microsoft, è IBM… lo strumento va bene…”
No! Non è detto che tutti i servizi erogati siano GDPR compliant.
E per legge si possono scegliere solo quelli GDPR compliant! Non puoi sceglierne altri.
Te lo dico. È inutile fare i fenomeni, perché, a fronte di una scelta errata, qualcuno può contestarla – e le hanno già contestate queste scelte, il Garante le ha già contestate nel 2019 e tante… – ma soprattutto, è una scelta che va fatta bene perché può essere potenzialmente un motivo di causa civile, attenzione!
Grosso è meglio, non è detto! Va verificato.
- “Tanto lo usano tutti… e se lo usano tutti va bene anche a me.”
No! Non è detto che vada bene anche a te.
- “È giovane, è una startup e usa le nuove tecnologie… le nuove tecnologie vanno benissimo.” Non è detto! Oppure: “È una tecnologia consolidata. C’è da 20 anni, questi hanno un’esperienza enorme…” Non è detto cha sia compliant GDPR.
- E poi ci sono quelli del si può fare solo così: “Guarda, è l’unico strumento che c’è per fare questa cosa..“ Io non ci credo! Se è l’unico strumento possibile e non è a norma, verifica se quel trattamento puoi farlo in un’altra maniera.
Come valutare un responsabile esterno?
Devi rispondere a 3 domande:
1) DOVE: dove stanno i dati?
Non dov’è il fornitore, attenzione!
Guarda il contratto di servizio: il fornitore indica dove sono fisicamente i dati?
Se non è indicato, non va bene, lo devi scartare.
Se è indicato e dice che sono in America, quindi fuori dall’UE, devi andare a verificare se l’azienda è in Privacy Shield o se rispetta i Security Standard Closing.
Perché i dati devono essere trattati all’interno dell’Europa, se non sono trattati all’interno dell’Europa o non è indicato dove sono trattati, ti devi fermare e guardare se sono in Privacy Shield o in Security Standard Closing.
2) COME: si auto nomina responsabile esterno?
Nel contratto di fornitura del servizio deve essere indicato che il fornitore è un Data Processor: si autonomina Data Processor. Quindi nel contratto deve esserci scritto “Io azienda XYZ, sono Data Processor.”
Se non c’è scritto: no buono! Perché dovresti nominarlo tu… e buona notte al secchio e ai suonatori! E poi verifica se esiste in Europa una sede legale dell’azienda perché, se succede un impippo, qualcuno che gli tira le orecchie e che gli bussa i denari lo trovi.
Se la sede è in America: buona notte!
3) COSA: perché fa il trattamento?
Nel contratto devono essere indicate le finalità per cui il fornitore fa il trattamento. Erogazione del servizio di streaming, erogazione dello spazio sul web, erogazione del servizio intranet…
E nel contratto, deve essere indicata la DPA: Data Policy Agreement. Se non c’è, occhio!
Queste sono le 3 condizioni di base, minime, per valutare il responsabile esterno per fare lo Smart Working.
Se il fornitore non rientra in queste condizioni: non lo puoi usare.
Se lo usi, lo usi a tuo rischio e pericolo!
FONTE: Privacylab BLOG by Andrea Chiozzi socio fondatore e CEO di PRIVACYLAB SRL
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
GDPR: Attività obbligatorie per la verifica del responsabile esterno
Quand’è che un’azienda deve nominare un responsabile esterno secondo il GDPR? Quando decide – per pigrizia, perché non ne ha voglia, perché non ne ha le competenze – di esternalizzare delle attività che potrebbe fare al suo interno e che preferisce dare fuori.
I classici esempi di responsabile esterno sono gli studi paghe, le aziende che gestiscono la videosorveglianza, lo studio di commercialisti, ma ce ne sono anche altri, dipende dall’attività che il titolare del trattamento svolge e dalle sue competenze.
I classici esempi di responsabile esterno sono gli studi paghe, le aziende che gestiscono la videosorveglianza, lo studio di commercialisti, ma ce ne sono anche altri, dipende dall’attività che il titolare del trattamento svolge e dalle sue competenze.
Quindi, il titolare può decidere di tenersi in casa certe funzioni o di delegarle ad altri. Se decide di darle fuori, prima di scegliere l’azienda o il professionista, deve verificare la sua compliance al GDPR.
Come si fa? Quali sono le attività obbligatorie per la verifica del responsabile esterno?
Se hai letto il mio articolo su Titolare, Responsabile e Addetto ed il parallelo con il club di scambisti, sai già che c’è una condizione imprescindibile da rispettare: il candidato a responsabile esterno deve aver pagato il biglietto d’ingresso al club e quindi deve già aderire ad una serie di regole chiare per entrare in gioco.
La prima di queste regole chiare è che il responsabile esterno deve essere nominato tale o con un atto di nomina o all’interno di un contratto.
1 – Deve esserci un atto formale: nomina o contratto
Un’azienda o un professionista non possono essere nominati responsabili esterni così, perché al titolare del trattamento un giorno viene in mente di nominare tutti i fornitori – pure quello che fa la manutenzione alla macchinetta del caffè – perché, per non saper né leggere né scrivere, per lui sono tutti responsabili, e magari li nomina a loro insaputa.
No, un responsabile esterno è tale perché c’è un atto di nomina oppure perché c’è un contratto in cui c’è scritto che può trattare informazioni per conto del titolare e che si comporterà in maniera corretta, secondo il GDPR.
Quindi la prima cosa da fare è aderire ad un atto formale: prendere delle regole e attraverso una nomina o attraverso un contratto, renderle chiare. Ma cosa bisogna scrivere?
Nell’atto di nomina dei tuoi responsabili esterni devi mettere nero su bianco che:
1) la tal azienda o il tal professionista è un responsabile esterno
2) per i trattamenti che fa per conto tuo – che sei il titolare del trattamento – ha le caratteristiche adeguate
E come fai a sapere se ha le caratteristiche adeguate?
Guardandogli nei pantaloni.
2 – Va fatta una verifica formale per stabilire se il responsabile esterno è GDPR compliant
Se hai letto o se conosci il mio esempio sul club di scambisti, ricorderai che è il Titolare (marito) a guidare il responsabile esterno mentre fa i trattamenti sull’Interessato (moglie). Bene. Però il titolare deve essere tranquillo che l’altro abbia tutte le carte in regola, che i suoi trattamenti siano sicuri e che piacciano all’interessato. È inutile che il responsabile esterno si presenti al club di scambisti dicendo che accetta le regole e che è dotato di 30 cm di dimensione artistica. Non basta raccontarlo, bisogna farlo vedere. Altrimenti è millantato credito.
Quindi, la dichiarazione del responsabile esterno che dice: “Io sono a norma GDPR” equivale alla dichiarazione di quello che va al club di scambisti e che dice “Io sono prestante e potente come Rocco Siffredi”. Tu me la puoi anche raccontare. Diciamo però che, prima di ingaggiarti, mi fai vedere delle foto, quanto meno. Mi dai delle prove formali.
Nel mondo aziendale, queste prove formali sono o la DPIA o il documento di verifica della compliance.
DPIA e documento di verifica della compliance
La DPIA – Data Privacy Impact Assessment – è una procedura che serve a valutare e a dimostrare se sei conforme al GDPR. È obbligatoria per alcuni trattamenti, ma è caldamente consigliabile in generale perché aiuta ad essere accountable e compliant al GDPR e a dare evidenza di aver adottato tutte le misure necessarie perché il rischio residuale sui dati trattati sia basso. Il responsabile che mostra questo documento al titolare o, ancora meglio, gli mostra il documento di verifica della compliance (che è più completo) può provare formalmente che i trattamenti che fa per suo conto hanno un rischio residuale basso.
Ma questo non basta.
Se sei un titolare del trattamento devi effettivamente verificare che il responsabile stia facendo davvero quello che ha dichiarato.
3 – Verifica qualitativa (perché i documenti mica bastano)
Hai nominato il responsabile esterno. Hai chiesto la DPIA o il documento di verifica della compliance. Hai appurato che formalmente è tutto a posto, ma non basta. Devi anche controllare che il tuo responsabile faccia davvero quello che ha scritto. E come si fa?
Si fa con una verifica qualitativa, un po’ come quando controlli la qualità di un prodotto: prepari dei questionari e chiedi direttamente agli interessati che hanno ricevuto il trattamento da parte del responsabile esterno come si sono trovati.
È tutto a posto? Bene.Qualcosa è andato storto? Controlli.
Come ultima ratio verifichi se le cose funzionano, se vanno come devono andare oppure no.
Quindi con cadenza annuale o semestrale – lo decidi tu – dai al responsabile esterno un voto, un punteggio sulla sua attività e ti riservi di andare a vedere come effettivamente fa i trattamenti.
Se ti accorgi che non si comporta in maniera adeguata, se non ti dà la DPIA aggiornata, se nicchia quando sollevi dei dubbi, eccetera eccetera, hai l’obbligo di allontanarlo, a meno che non ti assuma tu le sue responsabilità.
Quindi se poi succede qualcosa, non è il responsabile che ne risponde, ma tu titolare del trattamento. Perché se sai che il responsabile non si sta comportando come dovrebbe e non fai nulla, nel caso in cui l’interessato – la persona fisica di cui hai raccolto i dati e che hai affidato al responsabile esterno per alcuni trattamenti – subisse un danno e facesse una denuncia, sai di chi è la colpa? E’ TUA. E questo vale anche se non ti accorgi che qualcosa sta andando storto, perché sei responsabile per mancata sorveglianza.
Quindi occhio a chi ti affidi.
FONTE: Privacylab BLOG – di Andrea Chiozzi (Kaiser) socio fondatore e CEO di PRIVACYLAB SRL
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.