Tempo di lettura stimato: 5'
Ormai lo sappiamo. È uscito anche il decreto trasparenza. Bene. Cosa cambia? Cosa succede adesso? C’è chi dice: “Ma quindi il badge non va più bene? Allora l’app che mi serve per calcolare quanto fatturare è fuori legge?”
Ne ho parlato tante volte quando si trattava di GDPR – da poco anche a proposito di Google Analytics – e ora che è uscito questo nuovo decreto, torno a ribadirlo: il punto non è tanto quale strumento vai a utilizzare, ma è come lo usi e per quale finalità lo usi.
Non solo nel GDPR, anche nel decreto trasparenza conta la finalità
Per chi è compliant col GDPR non ci sono grandi novità: sa già che la finalità è fondamentale! Bene. Questa cosa succede anche col decreto trasparenza, in particolare per quanto riguarda le finalità legate alla sorveglianza.
Se hai letto gli articoli che abbiamo pubblicato su questo tema – sono quelli dell’Avvocato Barbara Sabellico “Decreto trasparenza: cosa prevede e cosa bisogna fare subito per adeguarsi” e “Decreto trasparenza, sistemi decisionali e di monitoraggio automatizzato: quando vale l’obbligo di comunicazione ai sindacati” – saprai già che se la finalità è una finalità di sorveglianza, che ti porta in maniera semiautomatica o automatica a decidere cose, allora entri nel contesto del decreto trasparenza.
Facciamo degli esempi.
L’azienda che fa vigilanza privata
Prendiamo l’azienda che fa vigilanza privata. Sulle macchine dei suoi metronotte mette su un GPS per assicurarsi – fra le altre cose - che i suoi dipendenti arrivino nelle varie sedi aziendali per fare la guardia notturna. Se col GPS l’azienda vede che la macchina di Peppino è ferma da troppo tempo in un posto, può decidere di fare un controllo per assicurarsi che non si sia addormentato o che non lo abbiano fatto fuori…
Quindi l’azienda prende una decisione con uno strumento automatizzato (il GPS) che registra la posizione del metronotte. Poi la scelta di controllare che Peppino stia bene è manuale: vede che è fermo, strucca il bottone dell’allarme e manda qualcuno a controllare che sia tutto a posto.
Di fatto, prende una decisione a fronte di un’informazione che arriva da un sistema automatico o semi automatico. Quindi, il punto non è quello di avere il sistema GPS oppure no, ma di prendere una decisione funzionale alla sorveglianza.
Se è così, si rientra nel perimetro del decreto trasparenza e quindi dei vari obblighi che questo prevede, fra cui la comunicazione agli organi sindacali.
Amministratori di sistema e sistemi che registrano gli accessi
Prendiamo un altro esempio: gli amministratori di sistema e i sistemi che registrano l'accesso del reparto IT alle varie macchine e ai vari database, che servono in caso di verifica o di attacco.
Bene.
Un giorno l’azienda guarda nel sistema e vede che Peppino – che è autorizzato ad accedere - è entrato nel sistema alle 4 del mattino. Scatta l’allarme, il Responsabile della Sicurezza chiama Peppino e gli chiede se è stato davvero lui (che non si sa mai…).
Anche questo tipo di sorveglianza – se avviene attraverso un sistema automatizzato o semiautomatizzato – ricade nel campo da gioco del decreto trasparenza e quindi da qui campiamo se questo tipo di comunicazione ai lavoratori e agli organi sindacali è da fare oppure no.
Attenzione. L’azienda non deve chiedere l’autorizzazione ai sindacati. Se informa nelle informative giuste, ha registrato tutto nel registro dei trattamenti, ha spiegato perché e determinato per quanto tempo e ha fatto l'analisi dei rischi, non devi farsi autorizzare. Deve informare. Punto. Il sindacato non può dire no. Dice “prendo atto”.
Bene. La cosa non finisce qui.
Ok le finalità. Ok che hai fatto tutto quello che dovevi fare. Ma le procedure in azienda ci sono? Perché è qui che si casca, attenzione…
Procedure e regolamento interno aziendale: il buco nero delle aziende
Procedure e regolamento interno sono il buco nero delle aziende. Non lo dico (solo) io. Lo dice l’Avvocato Barbara Sabellico che ho intervistato proprio su questo argomento. E sono completamente d’accordo con lei.
Andrea Chiozzi: “Senza procedure non c’è controllo, non c’è trasparenza, non c’è – per riportare il discorso sul GDPR – accountability.”
Avvocato Sabellico: Te lo spiego con un esempio: lo spettro di ogni imprenditore. L’infedeltà aziendale. Soprattutto in tempi come questi, in cui c'è un'infedeltà del personale alta, spesso alle aziende viene la voglia di andare a guardare le mail, di controllare i PC... Quello che vedo però è che non hanno fatto un regolamento interno sull'utilizzo della strumentazione informatica, che nelle informative non c'è la questione del controllo del patrimonio aziendale. Di fatto, si trovano nell'impossibilità di poter utilizzare queste informazioni, che possono essere utilizzate solo nell'ipotesi in cui il comportamento rileva ai fini penali. Però l'infedeltà aziendale, anche se è una brutta roba, di penale ha poco... Mi sento di dare un consiglio ai consulenti privacy, ai consulenti del lavoro e agli HR: questo è il momento in cui bisogna dotarsi di regolamenti interni e di procedure. Altrimenti si rischia di avere le armi ma di non poterle usare.
Andrea Chiozzi: Chiaro. Anzi, su questa cosa – e parlo da auditor e da uomo ISO – mi permetto anch’io di dare qualche consiglio: il regolamento interno, anche se scritto su carta di formaggio, poco importa, deve esserci e deve essere semplice e chiaro.
Devono esserci riportate le reali procedure, le reali attività, le cose effettive che si fanno. Deve essere scritto con un linguaggio che sia comprensibile e che sia applicabile. Altrimenti abbiamo la distonia tra il Regolamento e quello che in effetti viene fatto in azienda. Se le due cose non combaciano, sei in difetto.
Crea un regolamento che sia applicabile. È inutile copiare dei regolamenti già fatti con delle procedure folli per gestire delle robe che tanto non si fanno…
Avvocato Sabellico: Ogni azienda ha un regolamento. È come un nome. Lo stampone non va bene. Bisogna andare in azienda, capire quello che si fa, come viene fatto e scrivere il regolamento. Non è un ciclostile. Farlo così non serve a niente. Aggiungo anche che le procedure si possono cominciare a scrivere. Non è mica obbligatorio fare tutto in un botto solo. Consiglio di cominciare a farle in maniera coerente con l'effettiva attività dell'azienda, soprattutto per le procedure informatiche.
Attraverso il regolamento io riesco a essere protetto da comportamenti negligenti o dolosi.
Andrea Chiozzi: Chiaro. Così non ti ritrovi Peppino che ti dice: “Ma io non sapevo che, lavorando col computer aziendale, non devo guardare i film pornografici…”.
Avvocato Sabellico: Ti faccio un altro esempio. Prendi l’azienda che fa un controllo e scopre che alle 3 di notte un lavoratore si mette a lavorare. “Va be', che problema c'è?” si potrebbe dire. E invece, se questa cosa viene a saperla il consulente del lavoro o l'HR, la prospettiva è completamente ribaltata. Perché potrebbero pensare che se Tizio lavora alle 3 di notte, in orario notturno, domani chiede la maggiorazione… Quindi, in questo caso, non solo l’azienda non ha controllato, ma se la prenderebbe anche nei denti... A maggior ragione bisogna avere dei regolamenti reali.
I ciclostilati si vedono lontano un miglio…
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
