Tempo di lettura stimato: 10'
Il GDPR riguarda tutti. Tutti vuol dire: cittadini, aziende, enti pubblici, associazioni e professionisti senza alcun tipo di distinzione che vivono e operano nell’Unione Europea, ed anche le aziende che non fanno parte dell’UE, ma offrono servizi e prodotti alle persone che si trovano nel territorio comunitario e di conseguenza sono soggette al Regolamento Europeo sulla privacy.
Tutti, significa che anche il panettiere sotto casa è obbligato ad essere in regola con il GDPR.
E qui sorge il problema.
Il GDPR riguarda anche Peppino il panettiere
Google, Facebook, le multinazionali, le aziende che hanno un team privacy interno e sanno di dover essere compliant sono consapevoli di cosa vuol dire privacy-by-design, accountability, rischio residuale basso. Non sono loro il problema. Il problema è il resto del mondo. Sono le aziende che non erano in regola neanche con la 196, una legge che 14 anni prima dell’applicazione del GDPR aveva introdotto l’obbligo di avere l’informativa.
Sono i Peppino il panettiere, che povero, deve portare il pane a casa delle signore che non si possono muovere e come fa a non sbagliare consegna? Sul sacchetto con il filone e le rosette ci scrive nome, cognome e indirizzo. È Peppino che in negozio ha uno scaffale a vista dove c’è la scansia per celiaci e nella scansia per celiaci mette tutti i sacchetti con il nome delle signore celiache, perché li deve tenere divisi. Gli hanno detto che per sicurezza deve fare così e lui lo ha fatto.
È normale.
Però Peppino in questo modo sta facendo dei trattamenti, trattamenti semplici, ma pur sempre trattamenti di dati personali.
È normale.
Però Peppino in questo modo sta facendo dei trattamenti, trattamenti semplici, ma pur sempre trattamenti di dati personali.
Poi succede che, dopo 5, 10 anni di Economia e Commercio fuori corso, suo figlio gli dice “Papà siamo nel 2019: web 7.0, Social Network, marketing virale, direct marketing, App… Perché non apriamo una pagina Facebook e prendiamo una App, che è gratuita, così i ragazzini delle scuole medie fanno la prenotazione del panino e della pizzetta e poi mandiamo Aziz con la motoretta che glieli consegna?”
Allora Peppino prende la App di Just Eat - dove però tratta dati personali: se Giacomo e Andrea sono celiaci, se Sara e Martina hanno allergie… - e apre la Pagina Facebook.
Peppino ha comprato una Ferrari e non sa neanche guidarla!
Perché il vero problema del mercato è che non c’è consapevolezza.
Titolari del trattamento, responsabili esterni e addetti non sono formati. Ancora troppo spesso non sanno di fare trattamenti, non sanno come gestirli in modo conforme al GDPR.
Cosa vuol dire essere conformi al Regolamento Europeo 16/679?
Oggi sul mercato c’è chi rende le aziende conformi al Regolamento Europeo partendo da questo presupposto: “Dimmi chi sei e io ti rendo compliant”. Questo non è un percorso per essere in regola, è un timbro sul sedere. Personalmente lo ritengo sbagliato. Non è un bollino che ti rende conforme al GDPR, ma è la consapevolezza. È dimostrare accountability. Accountability - non finirò mai di ripeterlo - significa essere responsabili ma anche competenti e consapevoli, e poterlo testimoniare con prove documentali.
È come con le auto. Sei consapevole della macchina che guidi oppure no?
Perché se non sei consapevole, è giusto che ti ritirino la patente.
Sei un dirigente: sei consapevole dei dati che tratti oppure no?
Se non sei consapevole, è meglio che cambi lavoro.
Quindi, visto che il GDPR vale per tutti, per essere conformi dobbiamo:
- Essere consapevoli – “Quali trattamenti fai? Sai che alcune aziende devono tenere il Registro delle attività dei trattamenti?”
Partiamo da una cosa semplice: deve avere il Registro delle attività dei trattamenti chiunque abbia dei dipendenti. Peppino il panettiere ha 3 dipendenti – suo figlio, Aziz e Antonio che fanno consegne a domicilio - quindi anche Peppino deve avere il Registro delle attività dei trattamenti. In più Peppino porta il pane a casa delle sue clienti, anche queste informazioni devono rientrare nel Registro dei trattamenti. Perché questo documento - che se vuole Peppino lo può scrivere anche su carta di formaggio, non mi interessa - gli serve perché sa che, se fa qualcosa, se tocca un dato personale, deve andarlo a scrivere lì e deve ricordarsi che è riportato lì. Sono tutte queste piccole procedure operative che mancano nella maggior parte delle aziende. - Essere competenti - “Sei sicuro che i trattamenti che stai facendo abbiano un rischio residuale basso? Perché devi fare solo trattamenti con rischio residuale basso!”
Prima di fare un trattamento, bisogna verificare che abbia un rischio residuale basso. È il concetto di privacy-by-design introdotto dall’articolo 25 del GDPR, ma la maggior parte dei titolari del trattamento – compreso Peppino il panettiere – quando ne parli ti fissa come le mucche che guardano passare il treno, e ti chiede: “Ma cosa devo fare perché il rischio sia basso?”
Risposta: adottare delle contromisure.
Il GDPR non dice quali contromisure. Alcune sono più consigliate di altre, ma in generale possono essere diverse e di diverso tipo: fisiche, logiche e organizzative.
Non basta avere l’estintore e l’impianto antincendio - certo, se Peppino tiene l’anagrafica dei clienti in bottega vicino al forno dove cuoce il pane, l’impianto antincendio è indispensabile – e tra le contromisure ci sono: la scelta dei sistemi con cui vengono trattati i dati personali, le procedure usate per trattare i dati, la formazione sul GDPR. - Formarsi – “La segretaria, il CED, l’ufficio paghe dell’azienda sono formati?”
Spesso una buona formazione agli addetti (gli interni all’azienda: segretaria, staff del CED, amministrativi…) e ai responsabili esterni del trattamento (ufficio paghe, commercialista, software house…) vale molto più del migliore impianto antincendio sul mercato. Anche sulla formazione bisognerebbe valutare il contesto. Dipende da cosa fai e dai trattamenti che fai. Magari a Peppino e ai suoi corrieri basta spiegare che i nomi delle clienti non vanno esposti in bella vista in negozio e che quando consegnano il pane non devono urlare per strada “Signora Maria Rossi, Piazza San Francesco 18!”. Ad un operatore sanitario, invece, bisognerebbe fare un corso più approfondito.
Perché se è vero che il GDPR riguarda tutti, è anche vero che per alcuni trattamenti l’azienda è obbligata alla valutazione d’impatto.
Alcuni trattamenti sono più delicati di altri e va fatta la DPIA
Ci sono situazioni più delicate, in cui è obbligatorio fare la DPIA (Data Privacy Impact Assessment) cioè una valutazione d’impatto sulla protezione dei dati. Sono i casi in cui il trattamento ha un rischio elevato per i diritti e le libertà delle persone interessate.
1) Trattamenti valutativi o di scoring su larga scala, trattamenti che comportano la profilazione degli interessati e lo svolgimento di attività predittive - fatte anche on-line o attraverso App - relativi ad “aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l'affidabilità o il comportamento, l'ubicazione o gli spostamenti dell'interessato.”
Esempio – Il sito internet che attraverso strumenti terzi come Google Analytics o Hotjar identifica gli utenti ed eroga articoli o informazioni puntuali a fronte del profilo che hai. L’App che mette in contatto domanda ed offerta di lavoro: se sbaglio il trattamento, il possibile candidato potrebbe perdere un’opportunità o essere discriminato.
2) Trattamenti automatizzati finalizzati ad assumere decisioni che producono “effetti giuridici” o che incidono “in modo analogo significativamente” sull’interessato, comprese le decisioni che impediscono di esercitare un diritto o di avvalersi di un bene o di un servizio o di continuare ad esser parte di un contratto in essere.
Esempio – Antonio è un artigiano e deve comprare un nuovo furgone. Vuole chiedere un finanziamento alla banca. Solo che 2 anni prima era stato segnalato in Centrale Rischi perché aveva accumulato troppi debiti. La filiale di Albinea a cui si è rivolto controlla nel gestionale della banca, vede che è un cattivo pagatore e non gli dà il finanziamento. La banca sta trattando i dati di Antonio - e di tutti gli Antonio che risultano in Centrale Rischi – in un modo tale da richiedere la DPIA
3) Trattamenti che prevedono un utilizzo sistematico di dati per l’osservazione, il monitoraggio o il controllo degli interessati, compresa la raccolta di dati attraverso reti, effettuati anche on-line o attraverso App, nonché il trattamento di identificativi univoci in grado di identificare gli utenti di servizi della società dell’informazione inclusi servizi web, tv interattiva, ecc. rispetto alle abitudini d’uso e ai dati di visione per periodi prolungati. Rientrano in tale previsione anche i trattamenti di metadati ad es. in ambito telecomunicazioni, banche, ecc. effettuati non soltanto per profilazione, ma più in generale per ragioni organizzative, di previsioni di budget, di upgrade tecnologico, miglioramento reti, offerta di servizi antifrode, antispam, sicurezza.
Esempio – I nuovi servizi inseriti nei Firewall di sicurezza che attraverso il monitoraggio della navigazione definiscono le regole per decidere chi far navigare, quando e per quanto tempo.
4) Trattamenti su larga scala di dati aventi carattere estremamente personale: si fa riferimento, fra gli altri, ai dati connessi alla vita familiare o privata (quali i dati relativi alle comunicazioni elettroniche dei quali occorre tutelare la riservatezza), o che incidono sull’esercizio di un diritto fondamentale (quali i dati sull’ubicazione, la cui raccolta mette in gioco la libertà di circolazione) oppure la cui violazione comporta un grave impatto sulla vita quotidiana dell’interessato (quali i dati finanziari che potrebbero essere utilizzati per commettere frodi in materia di pagamenti).
Esempio – I trattamenti da parte di banche o di assicurazioni che usano le informazioni raccolte dal GPS
5) Trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti.
Esempio - Due operai di un’azienda metalmeccanica hanno una relazione e si incontrano sempre allo stesso turno nello sgabuzzino di servizio. L’addetto all’ufficio sicurezza li vede entrare dalle telecamere di videosorveglianza. Passa mezz’ora e visto che non li vede uscire, va a controllare e li sorprende mentre si rivestono. L’azienda avvia le pratiche per il licenziamento, ma i due operai e le Risorse Umane sporgono denuncia al Garante della Privacy, perché non era stata fornita ai dipendenti una adeguata informativa sul trattamento delle riprese di videosorveglianza.
Oppure la scelta di usare log di navigazione internet per i dipendenti dell’azienda.
6) Trattamenti non occasionali di dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo).
Esempio – Il trattamento di datti fatto da cooperative sociali, scuole, mense, ospedali.
7) Trattamenti effettuati attraverso l’uso di tecnologie innovative, anche con particolari misure di carattere organizzativo (es. IoT; sistemi di intelligenza artificiale; utilizzo di assistenti vocali on-line attraverso lo scanning vocale e testuale; monitoraggi effettuati da dispositivi wearable; tracciamenti di prossimità come ad es. il wi-fi tracking).
Esempio – L’uso di Voice Marketing e Assistenti Chat
8) Trattamenti che comportano lo scambio tra diversi titolari di dati su larga scala con modalità telematiche.
Esempio – L’invio di dati finanziari per il recupero crediti tra la società e l’azienda che effettua il recupero dei crediti con restituzione dell’esito. Oppure la società telefonica che affida ad un’agenzia di marketing il database di potenziali clienti per promozioni su nuovi contratti e la restituzione dell’esito.
9) Trattamenti di dati personali effettuati mediante interconnessione, combinazione o raffronto di informazioni, compresi i trattamenti che prevedono l’incrocio dei dati di consumo di beni digitali con dati di pagamento (es. mobile payment).
Esempio – I siti di e-commerce come Amazon, che trattano i dati di persone fisiche come ad esempio i dati anagrafici per l’invio del materiale, la gestione di carte di credito o bonifici e la profilazione dell’utente per indirizzarne le scelte d’acquisto attraverso promozioni mirate.
10) Trattamenti di categorie particolari di dati ai sensi dell’art. 9 – dati che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona - oppure di dati relativi a condanne penali e a reati di cui all’art. 10 interconnessi con altri dati personali raccolti per finalità diverse.
Esempio – Accesso con impronte digitali, badge dei dipendenti con impronte digitali, la consulenza per la partecipazione a bandi dove è obbligatorio presentare il casellario giudiziario. I trattamenti fatti dai Sindacati.
11) Trattamenti sistematici di dati biometrici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento.
Esempio: Accesso con impronte digitali e badge dei dipendenti con impronte digitali.
12) Trattamenti sistematici di dati genetici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento.
Esempio – I trattamenti fatti negli ospedali e nei centri di ricerca
Conclusione: non bisogna essere pigri, ma proattivi
Il Regolamento Europeo promuove la responsabilizzazione. Essere responsabili – dimostrare accountability – vuol dire che ci abbiamo pensato prima, perché quando le cose succedono è troppo tardi, non siamo stati responsabili.
Portare in ospedale il bimbo che è caduto dal seggiolone perché non era legato è un atto responsabile, ma la responsabilità del padre sarebbe stata legarlo al seggiolone perché non cadesse.
La responsabilità implica delle azioni preventive di valutazione, di verifica ed eventualmente pratiche (agire). Con il GDPR bisogna essere proattivi, cioè non dobbiamo essere pigri. Dobbiamo muoverci prima, affinché i dati personali che ci vengono affidati non vengano persi, rubati, distrutti, cancellati, visti da qualcuno che non li doveva vedere, diffusi quando non dovevano essere diffusi, comunicati a persone a cui non si potevano comunicare, perché ci hanno dato cose che non sono nostre e dobbiamo fare in modo che a questi dati non succeda nulla di male.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.