Si scrive Privacy di pronuncia Tonia Maffei. Curiosa dell’impatto dell’innovazione tecnologica nel mondo del lavoro, convinta della necessità di non prescindere dall’organizzazione, dalla centralità dei lavoratori e da una pubblica amministrazione moderna in grado di accompagnare i mutamenti della società, ha coordinato interventi complessi nell’ambito del sostegno comunitario alle politiche attive del lavoro e alla gestione degli impatti occupazionali delle crisi aziendali. Tonia Maffei è specialista dell’organizzazione del lavoro e consulente per la protezione dei dati personali. Studia la lingua russa e cinese e viaggia sempre in treno verso est.
E’ quindi mio grandissimo piacere pubblicare su questo blog il riassunto del dialogo che abbiamo avuto a #CoseDellAltroManager.
Sono trascorsi più di due anni dall’entrata in vigore del Regolamento europeo sulla protezione dei dati personali. In questo periodo vari elementi ne hanno costituito un “crash test”: l’emergenza sanitaria che ha ampliato sia la necessità di sorveglianza che l’utilizzo di piattaforme e dispositivi da remoto, l’estensione dell’applicazione dell’intelligenza artificiale, le notizie che si susseguono sulla raccolta e utilizzo improprio di dati degli utenti da parte delle grandi compagnie del web… Che bilancio possiamo trarre?
Un bilancio sostanzialmente positivo, se teniamo conto del dato ufficiale – contenuto nella Relazione della Commissione Europea sull’attuazione del GDPR – dove si afferma che il Regolamento ha conseguito la maggior parte dei suoi obiettivi, sviluppando consapevolezza, rafforzando la protezione dei dati nell’era digitale e dimostrandosi uno strumento flessibile anche nella gestione dell’attuale pandemia. Tuttavia, la Commissione ha sottolineato come siano ancora necessari alcuni miglioramenti e armonizzazioni con le legislazioni nazionali, soprattutto nel caso di conflitti tra diritto all’oblio e diritto di cronaca oppure tra la normativa sulla trasparenza e privacy. Viene introdotto anche un concetto nuovo e interessante, l’altruismo dei dati. Soprattutto in sanità, ad esempio, la cessione volontaria e gratuita di più dati di quelli necessari – ovviamente con la rassicurazione che verrebbero protetti e utilizzati a soli fini scientifici – potrebbe migliorare la ricerca. E’ però necessario che ci si accordi su formati compatibili, questione che è ancora un freno ad uno dei diritti previsti dal GDPR, quello alla portabilità.
Didattica a distanza, medicina da remoto, aperitivi virtuali… Negli ultimi mesi abbiamo avviato un processo di digitalizzazione della quotidianità con conseguente produzione e gestione di una mole mai vista prima di dati personali. Come possono, gli utenti, proteggere i propri dati sensibili che consegnano al web e – d’altra parte – quali processi devono mettere in atto le imprese, i professionisti e le PA per garantire privacy e cybersecurity?
Smart working, e-learning, e-commerce: la diffusione in rete di dati ha avuto una decisa accelerazione a seguito delle limitazioni alla circolazione fisica delle persone durante la pandemia. Le piattaforme private sono state messe a disposizione sollevando però interrogativi in merito alla gratuità, alla sicurezza delle informazioni, alla volontarietà dell’uso da parte dell’utente. A questo si aggiunge il dibattito sulla App di tracciamento utile a contenere la diffusione della pandemia, l’ampliamento della sorveglianza sanitaria sui luoghi di lavoro… Ciò che suscita preoccupazione è soprattutto la questione dell’autodeterminazione dei flussi informativi relativi ai propri dati personali. Cosa si può fare per contribuire a garantirla? Intanto considerare che la cornice di riferimento rimane comunque il GDPR, che non ha costituito una barriera al trattamento di dati sanitari, ad esempio, per tracciare la rete di contatti dei contagiati oppure per misurare la temperatura prima dell’accesso in un supermercato. L’importante è rispettare le regole, appunto. Quindi la conoscenza dei dati sanitari riservata soltanto a chi è autorizzato a farlo (nel caso delle aziende, ad esempio, al medico competente tranne che nei casi in cui le autorità sanitarie devono ricostruire la catena contagi). Oppure nel caso dei sensori di temperatura per l’accesso, il dato non deve essere correlato ad altri e quindi restare anonimo e non conservato. A differenza dei Paesi asiatici, in Europa, nel caso di massivo e pervasivo trattamento di dati personali, è sempre necessario fare una valutazione di impatto, una ricerca di proporzionalità tra problema affrontato e modalità di soluzione, verifica di soluzioni alternative meno invasive, minimizzazione della raccolta e conservazione. Nel caso degli utenti, invece, raccomanderei – con le parole dell’autorità Garante, le tre C: Cautela, Consapevolezza, Controllo delle informazioni. Per quanto è possibile. Sapendo che ci si può sempre rivolgere al Titolare del trattamento per l’esercizio dei propri diritti (accesso, oblio, limitazione, ecc) e al Garante per eventuali reclami.
Uno dei temi più dibattuti – e con confini non del tutto ben definiti – relativi alla privacy è fin dove possa spingersi il monitoraggio e il controllo, anche a distanza e con sistemi tecnologici, delle attività dei dipendenti da parte dei datori di lavoro. Tema tornato di attualità a seguito dell’estensione dello smart working. Cosa ci dici?
Come si diceva prima, il GDPR ha dimostrato di avere la flessibilità necessaria per poter costituire la cornice normativa di riferimento anche per la gestione dei dati personali nel contesto emergenziale. Anche nel caso dello smart working, dove come sappiamo c’è stata un’accelerazione non prevedibile, superato un primo momento di “improvvisazione”, la normativa europea e nazionale sulla privacy costituisce il frame di riferimento. Per adeguarsi ed essere in regola, certo, ma anche come supporto all’efficientamento organizzativo. Pensiamo a cosa ha significato lo spostamento in remoto del luogo di lavoro: aumento della massa e della circolazione di documenti, cartacei e digitali; dati personali di utenti, clienti, fornitori, dipendenti trattati fuori dal perimetro ordinario cui il datore di lavoro ha individuato delle modalità di gestione e sicurezza; esposizione dei dati rimessa in gran parte alla responsabilità dello smart worker che spesso utilizza propri dispositivi e in ambienti condivisi. Si è ritenuto che di fronte a tutto questo fosse legittima una sorveglianza a distanza – da parte del datore di lavoro – di dipendenti che non ha più sotto quotidiano controllo. Ma secondo il parere delle Autorità garanti europee, l’introduzione di qualsiasi tecnologia volta al monitoraggio e al controllo dei lavoratori dovrebbe essere preceduta da una valutazione d’impatto al fine di verificare se il trattamento dei dati (e le modalità con cui esso viene effettuato) siano proporzionati al rischio che il datore di lavoro deve fronteggiare. Più che la sorveglianza massiva, quindi, potrebbe essere più utile lo sviluppo della consapevolezza, trasparenza e responsabilizzazione sia da parte del lavoratore che del datore di lavoro. E’ importante che il datore di lavoro dia regole precise alle quali attenersi . Creare policy aziendali e comunicarle al dipendente. Ed è importante che il lavoratore le segua.
Quando si parla di GDPR e di adeguamento alla normativa privacy da parte di aziende e Pubbliche Amministrazioni, una delle prime cose che viene in mente è l’aumento delle procedure burocratiche tanto da far sì che ci si focalizzi più sulle “carte” da mettere in ordine che sulla reale protezione dei dati. Possiamo sfatare questo pregiudizio (se di pregiudizio si tratta)?
Più che a produrre nuovi documenti, la normativa privacy “costringe” a riflettere su ciò che ordinariamente si fa e a razionalizzare i flussi di produzione, conservazione e trasferimento delle informazioni. Questo credo possa rappresentare un fattore di efficientamento per qualsiasi struttura anziché un aggravio amministrativo. Alcuni esempi. Consideriamo le misure tecniche informatiche che vengono ritenute necessarie per la compliance GDPR: antivirus, firewall, back up periodico, password di accesso… Davvero ci sono aziende o Pubbliche Amministrazioni che possono considerare queste misure di sicurezza un dispendio economico invece che un sistema di protezione dei propri asset? E alla stessa considerazione credo si possa arrivare anche se consideriamo le misure organizzative suggerite. Il registro dei trattamenti – necessario per dimostrare il proprio adeguamento alla normativa – è la mappatura delle modalità di trattamento effettuata da una struttura riguardo ai dati personali di dipendenti, utenti, fornitori… Immagino che in qualsiasi azienda ci sia questa mappatura, magari non messa per iscritto… e quindi è l’occasione per farlo. Le stesse nomine dei propri dipendenti e collaboratori ad autorizzati al trattamento, se non vissute in maniera burocratica come un documento copia/incolla da produrre perché nessuno le legga, possono essere il contesto nel quale si razionalizzano compiti e attività oltre a spiegare ad operatori – magari in smart working – a quali misure di sicurezza attenersi.
Possiamo citare qualche esempio di “semplificazione” apportato dal GDPR nell’ambito della privacy e della protezione dei dati?
Nel nostro paese, dove abbiamo una lunga tradizione di normativa privacy, siamo abituati a raccogliere il consenso per trattare qualsiasi tipologia di dati, immaginando che comunque sia sempre meglio averlo. Raccogliere il consenso, però, comporta non solo l’onere di acquisirlo, ma anche di registralo, conservarlo ed, eventualmente, dimostrarlo. Oggi è più esplicito che in tanti casi il consenso non è necessario, perché sono altre le basi giuridiche del trattamento: adempimento precontrattuale, obbligo di legge, interesse vitale dell’interessato o di un terzo, legittimo interesse del titolare. Tranne che per poche eccezioni, questo vale ad esempio, per il datore di lavoro che tratti i dati personali dei dipendenti; per le Pubbliche Amministrazioni nel rapporto con i cittadini; per chi svolge attività di marketing verso i propri clienti. E, infine, ricordiamoci che l’autorizzazione al trattamento non è necessaria in calce ai curriculum spontaneamente inviati. Ed è intuitivo il motivo: il presupposto di un consenso validamente prestato, infatti, è la manifestazione di una volontà specifica ed informata, ed è assai remota la possibilità che il candidato possa preliminarmente conoscere quali siano le modalità di trattamento dei dati della struttura al quale sta inviando il cv, le misure di sicurezza adottate, i soggetti che potranno avere accesso ai suoi dati. Quindi il consenso fornito in formula standard rischia di essere vuoto di senso. Diverso è il caso in cui il candidato risponda ad un’offerta di lavoro dell’azienda. In questo caso, l’informativa sulle modalità di trattamento dei dati deve essere contenuta già nella vacancy pubblicizzata dal potenziale datore di lavoro.
E quindi, a proposito di curriculum, dove finiscono i dati dei cv?
Analizziamo prima dove cominciano. E cominciano da quello che ciascuno decide di scrivere nel proprio CV. In Corea del Sud, nel curriculum vitae, si è soliti inserire anche altezza e peso, in Arabia Saudita lo stato civile; in Giappone il dovere o meno di mantenere familiari. Nei paesi europei, invece, vige la regola della “minimizzazione” nel conferimento dei dati: fornire solo le informazioni necessarie per la finalità oggetto della trasmissione consente a chi riceve i dati di individuare più facilmente le informazioni utili e di poter usare misure di sicurezza più contenute, perché così inferiori sono i rischi derivanti da eventuali accessi non autorizzati o diffusione involontaria di dati. D’altra parte, cosa aggiunge alla scelta del selezionatore conoscere, ad esempio, il giorno, il mese o la città di nascita del candidato, quando in alcuni paesi l’età è un’informazione del tutto omessa per evitare possibili discriminazioni anagrafiche? Infine, dove finiscono i dati? Nell’archivio del selezionatore, se il cv ha riscosso interesse. Nel cestino virtuale negli altri casi. Solo al momento in cui il recruiter deciderà di convocare per il colloquio il candidato/a gli fornirà un’informativa, anche oralmente. Per essere compliance alla normativa, i dati del candidato non andrebbe conservati per troppo tempo, generalmente non più di 24 mesi. Ma è davvero utile avere in archivio curriculum risalenti a più di due anni prima??
Piero Vigutto
La tua opinione è importante, lascia un commento qui sotto o una valutazione a questo articolo oppure contattami alla mia mail. Grazie