Consulenti del lavoro: titolari o responsabili?

Consulenti del lavoro: titolari o responsabili?

Il Garante per la privacy ha precisato il ruolo e le responsabilità dei consulenti del lavoro nel trattamento dei dati personali della clientela alla luce del GDPR, identificandoli come “responsabili del trattamento” quando trattano i dati dei dipendenti dei clienti in base all’incarico da questi ricevuto.

Il fatto.

La questione si trascinava dalla scorsa estate, quando prima l’Ordine dei consulenti del lavoro di Lecce e poi la presidenza del consiglio nazionale avevano inizialmente consigliato caldamente ai propri associati di non accettare contratti di consulenza in ambito privacy e poi sottolineato come questi agissero in qualità di titolari del trattamento anche nei confronti dei dati affidati loro dai rispettivi clienti.

All’epoca, ne era scaturita una accesa discussione tra gli addetti ai lavori, che si erano divisi tra le due fazioni: “consulente-titolare”, difesa dai consulenti stessi e “consulente-responsabile”, sostenuta da chi si occupa professionalmente di privacy.

Con una serie di comunicazioni ufficiali iniziate il 24 settembre 2018, il Consiglio nazionale dei consulenti del lavoro ha poi sottoposto al Garante un quesito relativo al ruolo della loro categoria alla luce del GDPR, con particolare riferimento alle qualificazioni di “titolare” e di “responsabile” del trattamento, richiamando la sua circolare n° 1150 del 23 luglio 2018, nella quale si affermava che “il consulente del lavoro nelle attività di trattamento di dati dei propri clienti e dei dipendenti di questi ultimi, non potrà che assumere la qualifica di titolare del trattamento” e che fosse “possibile ritenere configurabile, al più, una fattispecie di co-titolarità”.

L’opinione del Garante.

Il Garante, con la sua risposta del 22 gennaio 2019, fa innanzi tutto notare che il GDPR, in merito all’individuazione dei ruoli di titolare e responsabile ed alla distribuzione della relativa responsabilità, conferma quanto già prefigurato nella Direttiva 95/46/CE che ha generato prima la L 675/1996 e poi il Dlgs 196/2003 (il Codice privacy). Infatti, il titolare del trattamento è definito come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”, mentre il responsabile del trattamento è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.

Alla luce di ciò, è bene considerare che il consulente del lavoro può trovarsi a operare in due contesti distinti:

  1. Quando tratta i dati dei propri dipendenti ovvero dei propri clienti (persone fisiche) nella sua qualità di professionista; e
  2. Quando tratta i dati dei dipendenti del cliente.

Nel primo caso il consulente del lavoro agisce in piena autonomia e indipendenza ed è il titolare del trattamento.

Nel secondo caso, al contrario, si configura come responsabile, poiché agisce nell’ambito dello svolgimento di attività delegate dal cliente (titolare, in questo caso) il quale, in funzione delle sue scelte organizzative, può individuare un soggetto particolarmente qualificato allo svolgimento delle attività tipicamente affidate al consulente del lavoro.

L’articolo 28 del GDPR ha precisato e delimitato i compiti che possono essere attribuiti dal titolare al responsabile, individuando espressamente l’ambito delle rispettive responsabilità e gli obblighi di cooperazione cui è tenuto il responsabile esclusivamente in funzione delle attività svolte per conto del titolare che gliele ha esternalizzate. Il soggetto che svolge tali attività, quindi, tratta le informazioni relative ai lavoratori utilizzando i dati raccolti dal datore di lavoro per realizzare le sue finalità, nonché in base ai criteri e alle direttive da questo impartite relativamente alla gestione del rapporto di lavoro subordinato.

Pertanto, il Garante ritiene che, sebbene le prestazioni normalmente svolte dal consulente del lavoro si fondino sulla L 12/1979 sull’ordinamento della professione di consulente del lavoro, resti pur sempre il datore di lavoro ad affidare al consulente il relativo incarico, cosa che non lo libera dall’assunzione delle responsabilità previste dal nostro ordinamento in caso di violazione degli obblighi giuslavoristici.

Il Garante, inoltre, sottolinea che, nell’ipotesi in cui il trattamento dei dati relativi ai propri clienti da parte del consulente del lavoro, la base giuridica che legittima il trattamento sia l’esecuzione del contratto di servizio.

Diversamente, qualora il consulente del lavoro agisca come responsabile del trattamento, la base normativa che lo legittima a trattare i dati personali riguardanti i lavoratori del datore di lavoro va individuata nel contratto di lavoro subordinato in cui il datore di lavoro/titolare è parte: ciò fa sì che la legittimità del trattamento si “trasferisca” alle operazioni svolte dal consulente del lavoro in ragione del contratto di sua designazione a responsabile del trattamento.

Perciò non è configurabile il rapporto di contitolarità tra datore di lavoro e consulente del lavoro.

Conclusioni.

La risposta del Garante, dunque, non stupisce affatto e, anzi, fornisce importanti spunti di riflessione anche per tutti gli altri ordini professionali regolamentati quali, per esempio, i commercialisti, gli avvocati, o i medici competenti.

Tutti loro hanno le medesime caratteristiche dei consulenti del lavoro: operano come responsabili quando agiscono in nome e per conto di chi ha affidato loro un incarico professionale che preveda il trattamento di dati personali di persone terze rispetto alle due parti che sottoscrivono il mandato o il contratto di servizio.

Tutto ciò, in conclusione e a parere di chi scrive, non dovrebbe essere vissuto come qualcosa di negativo o uno svilimento della professionalità. In primo luogo perché è quanto previsto dal GDPR e, secondariamente, perché rendere “responsabile” qualcuno, paradossalmente, significa affidargli solo una parte di tutte le responsabilità oggettive e soggettive, civili, amministrative e penali che qualsiasi trattamento di dati pone in carico al titolare del trattamento.

Chiaramente, bisognerà costruire un buon contratto o mandato e rispettarlo pedissequamente.


Fonte: Fiscal Focus

Protezione dei dati Vs Fisco. Quando si fanno i conti senza l’oste

Protezione dei dati Vs Fisco. Quando si fanno i conti senza l’oste

Il provvedimento contro l’Agenzia delle entrate sull’obbligo di fatturazione elettronica, del 15/11/2018, esplicita il ruolo del Garante Privacy e ci mostra che “la legge è uguale per tutti”

In questi giorni uno degli argomenti più discussi riguarda il provvedimento del Garante Privacy emesso contro l’Agenzia delle Entrate, relativo alla fatturazione elettronica, esercitando il suo potere di controllo preventivo e ponendosi come scudo a difesa dei cittadini. E facendo sì che sia tutto il sistema a guadagnarci.

Il provvedimento del 15 novembre arriva subito dopo l’ultimo atto del Direttore dell’Agenzia delle Entrate, del 5 novembre, che fa coppia con il precedente del 30 aprile. In entrambi i casi, l’agenzia ha adottato tali provvedimenti senza consultare il Garante, come previsto dalle norme.
Ulteriori criticità, poi, sono emerse in considerazione di altri elementi intrinsecamente legati alla fatturazione elettronica. Ecco i perché.

Obbligo di valutazione d’impatto

La fatturazione elettronica implica un trattamento sistematico di dati personali su larga scala, anche particolari, potenzialmente relativi ad ogni aspetto della vita quotidiana, e presenta un rischio elevato per i diritti e le libertà degli interessati. È chiaro che sussiste l’obbligo di valutazione d’impatto e, potenzialmente, di consultazione preventiva. Nulla di ciò è stato fatto.

Principio di proporzionalità ed eccedenza nel trattamento

L’Agenzia delle Entrate, oltre a rendere disponibile lo SDI per recapitare le fatture in qualità di “postino”, archivia sia i dati necessari ad assolvere gli obblighi fiscali (finalità legittima) che la fattura vera e propria in formato XML, che può contenere informazioni non necessarie a fini fiscali; detta presenza, pur contemplata nel provvedimento di aprile, non è tutelata da nessuna specifica misura volta ad assicurare il rispetto dei principi di limitazione della finalità, minimizzazione e riservatezza.

Altre criticità derivano dalla possibilità di accesso degli interessati a tutte le fatture elettroniche sul portale dell’Agenzia, nonostante il diritto di ottenerne una copia direttamente da chi l’ha emessa. In pratica si ha un ingiustificato incremento dei rischi per i diritti e le libertà di tutti i privati cittadini, insiti in un trattamento massivo e informatizzato di dati accessibili tramite un applicativo web.

Per tali motivi il Garante ritiene che siano violati i principi di protezione per impostazione predefinita e sin dalla progettazione del trattamento.

Il ruolo degli intermediari

Il Garante si è anche preoccupato della posizione, assai critica, degli intermediari, che ben poco possono fare, visto che l’intero trattamento deve essere eseguito nei modi e nei tempi decisi dall’Agenzia. Il pericolo maggiore è che, in caso di operatore economico persona fisica (professionista o ditta individuale), potrebbero essere consultate sia le fatture relative alla sfera professionale o imprenditoriale che quelle relative alla sfera privata. Ciò determinerebbe la concentrazione, soprattutto presso gli intermediari con maggior numero di clienti, di una mole enorme di informazioni che non si riscontrerebbe normalmente.

È facilmente intuibile che la presenza di simili banche dati sia un rischio elevato, il cui governo, da parte degli intermediari, potrebbe essere particolarmente oneroso, non solo in termini economici.

Altre criticità

Il Garante, inoltre, rileva che il protocollo FTP, base del sistema di comunicazione dello SDI, sia poco sicuro, e che nel trattamento gioca un ruolo fondamentale la PEC, che coinvolge implicitamente gli operatori di mercato che vendono il loro servizio di posta elettronica certificata: ciò significa che i dati personali contenuti delle fatture potrebbero (ragionevolmente) essere memorizzati sui server di gestione delle caselle PEC. Chi se ne assume la responsabilità?

Infine, il Garante ha criticato il servizio di conservazione messo gratuitamente a disposizione dalle Entrate, facendo notare che il contratto proposto prevede che “l’Agenzia non potrà essere ritenuta responsabile nei confronti del contribuente né nei confronti di altri soggetti, direttamente o indirettamente connessi o collegati con esso, per danni, diretti o indiretti, perdite di dati, violazione di diritti di terzi, ritardi, malfunzionamenti, interruzioni totali o parziali che si dovessero verificare in corso di esecuzione del servizio di conservazione”. In pratica l’Agenzia non si ritiene responsabile per la mancata applicazione del principio di integrità e riservatezza.

Conclusioni

Per tali motivi, il Garante ha doverosamente agito in difesa dei cittadini e dei loro intermediari, facendo notare che l’Agenzia ha operato al di fuori delle norme di riferimento, senza consultarlo e progettando e imponendo al mercato un sistema che viola in più punti i principi fondamentali della protezione dei dati, peraltro senza nemmeno volersene assumere le responsabilità. E se i dati non fossero disponibili per un malfunzionamento del sistema, chi ne risponderebbe? Il Garante ha praticamente chiarito che spetta all’Agenzia.

Ciò che è successo nei giorni scorsi, quindi, è facilmente sintetizzabile così: il Garante ha ricordato all’Agenzia che non può fare quello che le pare e che è bene che prima di giocare, conosca le regole del gioco. Dura lex, sed lex.


Fonte: Fiscal Focus

I registri delle attività di trattamento

I registri delle attività di trattamento.

Introdotto dal GDPR, sono strumenti fondamentali e irrinunciabili per gestire i trattamenti compiuti in un’organizzazione e aiutare il titolare o il responsabile del trattamento a mantenere i livelli adeguati di sicurezza.

L’8 ottobre 2018 il Garante Privacy ha pubblicato le istruzioni sul registro delle attività di trattamento, che s’inseriscono all’interno del quadro normativo come strumenti utili per sciogliere eventuali dubbi sull’obbligatorietà o meno della tenuta del registro, andando a spiegare con un linguaggio più semplice di quello usato nella norma europea ciò che deve essere fatto dai titolari e dai responsabili dei trattamenti.

Fonte normativa.

Il registro delle attività di trattamento è disciplinato dall’art. 30 del Regolamento (UE) 2016/679, anche conosciuto come GDPR, che ne descrive i contenuti, la forma e i casi in cui è obbligatorio. Ne esistono due tipi: quello del titolare e quello del responsabile del trattamento.

Il primo indica i dati del titolare stesso, elenca le finalità perseguite con ogni trattamento effettuato (giova ricordare, in questo momento, che per “trattamento” intendiamo qualsiasi attività o processo in cui siano coinvolti dati personali), descrive le categorie di interessati e di dati personali (per esempio: clienti e loro dati anagrafici, lavoratori dipendenti e loro dati relativi alle presenze, passanti e loro immagini riprese dalle telecamere di videosorveglianza…), indica le categorie di destinatari a cui vengono comunicati i dati personali, elenca i trasferimenti verso Paesi extra-UE od organizzazioni internazionali e le garanzie che sono poste in essere per tutelare il diritto delle persone alla protezione dei dati, indica i termini di conservazione e descrive le misure di sicurezza tecniche e organizzative adottate.

Il registro del responsabile del trattamento risulta più semplice, poiché è richiesto che indichi i dati del responsabile, le categorie di trattamento effettuate per conto di ogni titolare, elenca i trasferimenti verso Paesi extra-UE o organizzazioni internazionali e le garanzie che sono attuate per tutelare i diritti delle persone alla protezione dei dati e descrive le misure di sicurezza tecniche e organizzative adottate.

In ogni caso, i registri devono avere forma scritta e possono avere anche formato elettronico e devono essere esibiti agli organi di vigilanza qualora ne sia fatta richiesta.

Per quanto riguarda l’obbligatorietà, è stabilito che lo sia quando:

  • Si effettua almeno un trattamento che può presentare rischi per diritti o libertà degli interessati; o
  • Si effettua almeno un trattamento con continuità e sistematicità (anche periodicamente); o
  • Si effettua almeno un trattamento che prevede dati particolari (ovvero quelli riferiti alla salute, all’appartenenza a sindacati, al credo religioso, alle caratteristiche biometriche…) o riferiti a condanne penali o reati.

In ogni caso, se questi tre criteri fossero tutti inapplicabili nell’ambito che stiamo osservando, i registri sono obbligatori se il titolare o il responsabile hanno più di 250 dipendenti.

Criticità.

La tenuta dei registri, però, si accompagna ad alcune criticità che si dovrebbero considerare bene.

Anzitutto, bisogna individuare quale ruolo si ricopre: talvolta si è solo titolari del trattamento, talaltra solo responsabili. Molto spesso, quando si è responsabili del trattamento che ci è stato affidato da un titolare, si è nella condizione di essere i titolari dei trattamenti su cui abbiamo il completo potere di determinazione delle finalità e dei mezzi di realizzazione. È questo il caso tipico dei commercialisti, degli esperti contabili o dei consulenti del lavoro. Questi soggetti devono predisporre entrambi i registri.

La seconda criticità è data dalla forma del registro – che ovviamente deve essere privo di abrasioni e cancellazioni, con i fogli rilegati e non asportabili – che deve necessariamente essere “scritta”. Nel linguaggio giuridico, semplificando, un documento “in forma scritta” è quello su cui è apposta la firma di chi esercita la legale rappresentanza.

La terza risiede nell’eventuale forma elettronica: in Italia, perché un documento elettronico abbia validità legale, deve avere anche le caratteristiche previste dal Codice dell’Amministrazione Digitale, dal regolamento eIDAS, e dal DPCM 13 Novembre 2014 sulla formazione del documento informatico. È chiaro che non sono considerati validi, né opponibili in giudizio, documenti formati solo con programmi di uso comune per la videoscrittura.

La quarta è che il registro deve essere scritto e mantenuto aggiornato, dando prova delle varie versioni che si susseguono e dimostrazione della loro presenza a una certa data.

La quinta, infine, è rappresentata dal fatto che, qualora indicassimo informazioni non veritiere nei registri, nel momento in cui il Garante o la Guardia di Finanza ne volessero prendere visione, incorreremmo nel reato di falsa dichiarazione, perseguito penalmente.

Vantaggi.

I registri, tuttavia, sono anche forieri di vantaggi che si riflettono in modo concreto sull’intera organizzazione: come sottolinea lo stesso Garante, infatti, i registri sono documenti di censimento e analisi dei trattamenti effettuati. Si tratta di strumenti fondamentali non soltanto ai fini dell’eventuale supervisione da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico, indispensabile per ogni valutazione e analisi del rischio. Proprio per questi motivi, il Garante ne raccomanda la redazione e l’aggiornamento poiché, secondo la sua opinione, questi non costituiscono solo un mero adempimento formale, bensì sono parte integrante di un sistema di corretta gestione dei dati personali; su queste considerazioni, quindi, esorta i titolari e i responsabili, a prescindere dalle dimensioni dell’organizzazione, a dotarsi di tale registro, prevedendo anche la possibilità, secondo le volontà del titolare o del responsabile, d’inserire ulteriori informazioni se lo si ritiene opportuno nell’ottica della complessiva valutazione di impatto dei trattamenti svolti.

In definitiva, i registri dei trattamenti sono obbligatori e necessari per tutti e, se adeguatamente curati nel tempo, sono uno strumento potentissimo per governare l’organizzazione e per difenderla in caso di ispezione o contenzioso, essendo la trasposizione documentale di tutto ciò che è stato fatto per aderire al principio di responsabilizzazione che fa da sfondo all’intero GDPR.


Fonte: Fiscal Focus

Belle le linee guida sulla PIA, ma… Non manca qualcosa?

Belle le linee guida sulla PIA, ma… Non manca qualcosa?

Lo scorso autunno il Gruppo di lavoro sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali ha pubblicato le sue linee guida concernenti la valutazione d’impatto sulla protezione dei dati personali (PIA, privacy impact assessment) e i criteri per stabilire se un trattamento possa presentare un rischio elevato ai sensi del GDPR.

Che dire? Belle, scritte bene, piuttosto utili, con qualche spunto di riflessione e molti collegamenti non proprio espliciti, ma… Secondo me manca qualcosa.

Tra gli aspetti positivi c’è certamente quello di ripetere più d’una volta il concetto che la PIA è un processo continuativo e che deve essere completato e riproposto periodicamente e secondo le caratteristiche del contesto di riferimento.

Di positivo ci sono poi tutti i richiami a norme volontarie e a linee guida e suggerimenti già pubblicati da altri soggetti (per esempio ISO, ICO, CNIL…), il suggerimento di avvalersi di soggetti esperti nella gestione e nella valutazione dei rischi e il collegamento a un generale concetto di gestione della qualità.

Poi ci sono gli esempi e le tabelle che aiutano a inquadrare meglio il discorso, assieme alle immagini e i grafici.

 Apprezzabile, a mio modo di vedere, il fatto che sia richiamato il registro dei trattamenti del titolare, poiché può costituire una buona base di partenza – se fatto bene – per procedere con la valutazione del rischio. Attenzione però: coinvolgere attivamente gli eventuali responsabili del trattamento (oltre ai DPO) è importante. E qui entrano in gioco gli accordi che vincolano i titolari e i responsabili, per rispondere alle esigenze che emergono in un’ottica di garanzia e responsabilità, di gestione dei rischi, di gestione della qualità.

Infine, ci sono addirittura i criteri per definire una PIA accettabile.

Eppure, lo ripeto, secondo me manca qualcosa. Sono migliorabili. E in quanto tali, se lette e applicate da persone inesperte, potrebbero comportare più danni che benefici.

L’inesperienza a cui mi riferisco non è tanto quella nel variegato mondo della protezione dei dati, quanto quella nello specifico mondo della gestione dei rischi, che non ha nulla a che vedere con gli aspetti legali o informatici, o con la compliance e gli audit, se non il fatto che questi ultimi due, se fatti male, rappresentano un rischio a cui non si dovrebbe rimanere indifferenti.

Le linee guida hanno il pregio di offrire una chiave di lettura orientata alla protezione dei dati personali – addirittura estendendone il concetto anche ad aspetti sociologici, etici e comunicativi e includendo anche il contenuto di agende, appunti e dati sensibili nel senso comune del termine – e di proporre almeno due nuovi diritti degli interessati – la loro consultazione (qui trovo che si avvicino molto ai concetti espressi con riguardo alle consultazioni dei rappresentanti sindacali o dei rappresentanti dei lavoratori per la sicurezza) e la definizione di un sottoinsieme costituito dai soggetti vulnerabili per i quali si dovrebbe avere un occhio di riguardo – ma trovo che siano piuttosto carenti nel definire effettivamente una strategia operativa standard che possa garantire almeno un livello minimo di adeguatezza nell’effettuazione del processo stesso. In primis per il fatto che partono dal presupposto che sia “facile” – o, almeno, non complesso – determinare se si sia o meno soggetti all’obbligo di condurre la PIA stessa.

Mi spiego meglio: nel diagramma di flusso, per come viene proposto (v. pag. 6 del testo in italiano), si parte chiedendosi se il trattamento possa comportare un rischio elevato; peccato che però non si faccia riferimento a come arrivare a tale conclusione. È come se mancasse tutta la fase di valutazione generale del rischio, al termine della quale, se si giunge alla conclusione che il rischio è basso o medio, si conviene che non sia necessario procedere alla PIA. Una sola lista di controllo che elenca i trattamenti esclusi e quelli inclusi, secondo me, non è sufficiente. È grossolano. È un errore madornale e da dilettanti. Non può essere considerato accountable, come direbbero gli anglofoni.

A queste linee guida, se il blocco di partenza del diagramma di flusso è il “punto 0”, manca il “punto -1”.

Forse, la più evidente mancanza di queste linee guida, è aver perso l’opportunità di consacrare una volta per tutte la protezione dei dati come aspetto strategico, tagliando i ponti con la scuola di pensiero che la vede ancora come adempimento burocratico che non apporta valore aggiunto.

È iniziato il processo di cambiamento del Codice privacy

È iniziato il processo di cambiamento del Codice privacy.

Solo pochi giorni fa il Parlamento delegava il Governo a emanare atti normativi per modificare il nostro Codice privacy, al fine di allinearlo alle disposizioni del GDPR che, come ben sappiamo o dovremmo sapere, è già in vigore e diventerà applicabile tra meno di sei mesi.

Nel frattempo, lo stesso Parlamento si è dato da fare per apportare le prime modifiche attraverso una legge: lunedì 27 novembre, infatti, è stata pubblicata sulla Gazzetta Ufficiale la Legge n° 167, del 20 novembre u.s, recante disposizioni per l’adempimento degli obblighi derivanti dall’appartenenza dell’Italia all’Unione europea – Legge europea 2017 (GU Serie Generale n° 277 del 27/11/2017). La legge entrerà in vigore il prossimo 12 dicembre.

Tralasciando il fatto che mi sembra incomprensibile delegare il Governo e poi agire direttamente (cfr. L 163/2017, art. 13, in particolare il co. 3, lett. b)), andiamo a vedere cosa è effettivamente cambiato e proviamo a determinarne gli effetti concreti.

Al codice in materia di protezione dei dati personali sono state apportate due importanti modifiche.

All’articolo 29 (Responsabile del trattamento), dopo il comma 4 è stato inserito il 4-bis:

“Fermo restando quanto previsto ai commi 1, 2, 3 e 4, il titolare può avvalersi, per il trattamento di dati, anche sensibili, di soggetti pubblici o privati che, in qualità di responsabili del trattamento, forniscano le garanzie di cui al comma 2. I titolari stipulano con i predetti responsabili atti giuridici in forma scritta, che specificano la finalità perseguita, la tipologia dei dati, la durata del trattamento, gli obblighi e i diritti del responsabile del trattamento e le modalità di trattamento; i predetti atti sono adottati in conformità a schemi tipo predisposti dal Garante”.

Sempre all’art. 29, il comma 5 è stato sostituito dal seguente:

“Il responsabile effettua il trattamento attenendosi alle condizioni stabilite ai sensi del comma 4-bis e alle istruzioni impartite dal titolare, il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di cui al comma 2, delle proprie istruzioni e di quanto stabilito negli atti di cui al comma 4-bis”.

Infine, dopo l’articolo 110 è stato aggiunto il 110-bis. (Riutilizzo dei dati per finalità di ricerca scientifica o per scopi statistici), che recita:

1. Nell’ambito delle finalità di ricerca scientifica ovvero per scopi statistici può essere autorizzato dal Garante il riutilizzo dei dati, anche sensibili, ad esclusione di quelli genetici, a condizione che siano adottate forme preventive di minimizzazione e di anonimizzazione dei dati ritenute idonee a tutela degli interessati.

2. Il Garante comunica la decisione adottata sulla richiesta di autorizzazione entro quarantacinque giorni, decorsi i quali la mancata pronuncia equivale a rigetto. Con il provvedimento di autorizzazione o anche successivamente, sulla base di eventuali verifiche, il Garante stabilisce le condizioni e le misure necessarie ad assicurare adeguate garanzie a tutela degli interessati nell’ambito del riutilizzo dei dati, anche sotto il profilo della loro sicurezza”.

Dunque, quali sono gli effetti di queste prime modifiche al Codice? Vediamoli insieme.

Innanzi tutto possiamo dire che, soprattutto quando il responsabile del trattamento è esterno, il titolare deve stipulare con lui un contratto scritto, il cui contenuto è solo in parte vincolato dal nuovo Codice: al di là di quello che sarà la volontà delle parti, che si accorderanno come meglio riterranno, questo contratto deve contente almeno la finalità perseguita, la tipologia dei dati, la durata del trattamento, gli obblighi e i diritti del responsabile del trattamento e le modalità di trattamento. A ben vedere, è molto diverso dal testo del GDPR, che prevede che nel contratto siano indicati la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento, oltre a tutti quegli elementi indicati dalle lettere da a) a h) del par. 3 dell’art. 28 del GDPR e dai paragrafi successivi.

Già qui ci sarebbe da criticare fortemente chi ha scritto il testo delle Legge. A parte che è inutile averlo fatto, avrebbe almeno potuto copiare bene.

Nella seguente tabella evidenzio le differenze.

Caratteristiche del contratto Nuovo Codice privacy modificato GDPR
Forma scritta  Sì
Materia disciplinata No
Natura del trattamento No  Sì
Finalità perseguita No  Sì
Tipologia di dati  Sì
Categorie di interessati No
Durata del trattamento  Sì
Obblighi e diritti del titolare del trattamento No  Sì
Obblighi e diritti del responsabile del trattamento  Sì
Modalità del trattamento  Sì
Altre specifiche No  Sì
Obbligo di conformarsi agli schemi proposti dal Garante  Sì

L’ultimo periodo dell’nuovo comma 4-bis obbliga implicitamente il Garante a predisporre degli “schemi tipo”, cosa che il GDPR gli riconosce come facoltativa.

Sostanzialmente, il nuovo comma 5 non apporta variazioni o innovazioni nel modo in cui i titolari devono vigilare sui propri responsabili.

Il nuovo art. 110-bis, invece, offre una nuova opportunità per i titolari, ovvero quella di trattare ulteriormente i dati già in loro possesso per finalità di ricerca scientifica o statistiche. In linea con il par. 4 dell’art. 9 del GDPR, il Parlamento ha posto due importanti vincoli: il primo è che deve essere ottenuta un’autorizzazione da parte del Garante (magari ci sarà spazio per delle autorizzazioni generali?), mentre il secondo è che, comunque, a prescindere dall’aver ottenuto l’autorizzazione o dalle misure di sicurezza adottate, non sarà lecito trattare per finalità di ricerca scientifica o statistiche i dati genetici. Mi viene da chiedermi come ci si dovrà comportare quando questo divieto contrasterà con finalità d’interesse pubblico rilevante, come la salvaguardia della vita o dell’incolumità fisica dell’interessato o di terzi (cfr. Dlgs 196/2003, art. 26, co. 4, lett. b) e GDPR, art. 6, per. 1, lett. d) e art. 9), con particolare riferimento ai casi in cui qualcuno si sottopone a terapie mediche sperimentali che, per loro stessa natura servono a salvaguardare la vita di qualcuno e sono ancora in fase di studio e, quindi, fortemente legate alla ricerca.

Ritengo che soprattutto su quest’ultimo punto si apriranno dibattiti interessanti nel prossimo periodo.

La simbiosi tra il registro del responsabile e la valutazione d’impatto sulla protezione dei dati

La simbiosi tra il registro del responsabile e la valutazione d’impatto sulla protezione dei dati

Sono due adempimenti richiesti dal GDPR con peculiari caratteristiche che si realizzano attraverso la formazione di due documenti distinti, solamente se ricorrono i casi specificati. Ma a ben vedere, il loro legame è molto più profondo di quanto possa apparire e potrebbe essere utile considerarli “simbiotici”.

In biologia la simbiosi è un rapporto che s’instaura a livello intimo tra due soggetti e che tende a legarli in maniera forte e mutuale, con lo scopo ultimo di portare un vantaggio reciproco a entrambi nel corso del tempo e dell’evoluzione del contesto di riferimento.

È possibile, dunque, trovare questo tipo di connessione tra il registro del responsabile del trattamento e la valutazione d’impatto sulla protezione dei dati? E se è possibile, quanto sarebbe utile farlo?

Questa è la domanda con cui sono uscito dal seminario organizzato da AssoDPO a Milano lo scorso 26 ottobre, durante il quale si è ampiamente dibattuto sullo stato dell’applicazione del GDPR a circa 200 giorni dalla sua definitiva applicazione diretta su tutto il territorio dell’Unione. Molte informazioni utili e un importante spunto di riflessione, appunto.

Come mia abitudine, parto dal considerare i principali riferimenti normativi, per circoscrivere il discorso che altrimenti rischierebbe di divagare troppo. Vi invito, perciò, a considerare il secondo e quinto paragrafo dell’art. 30 e il primo dell’art. 35, avendo sempre in mente i precetti dell’art. 5.

Quando parlo di simbiosi intendo dire che esiste uno stretto rapporto che lega il registro del trattamento del responsabile alla valutazione d’impatto svolta dal titolare e viceversa e, in un’ottica complessiva di gestione del rischio, non trovo poi così assurdo ipotizzare che il contenuto del primo, dovrebbe essere considerato nella seconda, fermo restando che è anche dai risultati della valutazione d’impatto che deriva l’adozione del registro stesso.

Così, se è vero che un titolare che, a seguito della valutazione d’impatto, individuati rischi elevati per i diritti e le libertà degli interessati deve richiedere l’adozione di un registro da parte del suo responsabile anche se questo potrebbe applicare (al netto del rapporto con il titolare) la deroga prevista dal quinto paragrafo dell’art. 30, trovo altrettanto vero che, in un complessivo sistema di gestione dei rischi, il titolare abbia il legittimo interesse, per non dire il diritto, di consultare il registro del responsabile per venire a conoscenza di quali siano gli eventuali altri titolari con cui ha rapporti.

Questo perché oggi non è possibile non considerare anche gli “altri titolari” come una fonte di rischio. Così come in un condominio con locali a uso commerciale, quando si redigono i DVR per la sicurezza sul lavoro, non si possono non considerare anche le altre attività presenti per via delle conseguenze sull’affollamento complessivo in caso di evacuazione o con effetti diretti sulla valutazione di rischi derivanti dalla vicinanza con obiettivi “sensibili” per rischi di rapina o attacchi terroristici (pensiamo, per esempio, se nello stesso stabile ci fossero al piano terra una filiale di una banca o delle poste, e ai piani superiori un laboratorio di oreficeria e un’ambasciata o un consolato), analogamente si dovrebbero considerare gli altri titolari per via dalla loro “attitudine” a essere bersaglio di tentativi di violazioni di dati.

Proviamo a pensare al caso in cui un’azienda che si occupa di conservazione e archiviazione documentale. In pratica l’attività consiste nell’offrire uno spazio fisico in cui è possibile lasciare i propri documenti che saranno conservati e archiviati secondo logiche predefinite su scaffali all’interno di capannoni.

Bene, è chiaro che se oltre ai nostri, ci fossero anche documenti di altri titolari, penso ci sarebbe utile valutare il rischio che qualcuno che si introduce nell’archivio per danneggiare uno degli altri, possa accidentalmente danneggiare anche noi. E questa valutazione ritengo che possa essere utile per una protezione dei dati in senso lato, anche in caso di dati informatici e in caso di dati non personali in senso stretto (bilanci societari, brevetti, progetti di vario genere…).

E quindi lo chiedo di nuovo: esiste una simbiosi tra il registro del responsabile e la valutazione d’impatto sulla protezione dei dati personali?

A mio modo di vedere, la risposta è affermativa: sì, perché se conosco il contesto di riferimento posso valutare e gestire il rischio.

A questo punto, quindi,  la questione si sposta sulla volontà del responsabile di rendere disponibile l’informazione. Gli strumenti contrattuali e tecnici per assistere il titolare nella sua valutazione senza necessariamente diffondere informazioni che il responsabile potrebbe voler o dover mantenere riservate esistono.

A chi serve il DPO?

chi serve il DPO?A chi serve il DPO?

Il DPO è una figura su cui si discute parecchio e da tempo. Tuttavia c’è ancora un velo di insicurezza circa gli ambiti merceologici in cui dovrebbe essere sicuramente nominato.

A chi serve il DPO? O meglio: in quali casi deve essere nominato?

La domanda sembra scontata, perché bastano pochi minuti di ricerca per imbattersi in uno dei tanti “interessanti articoli” sull’argomento che sono fioriti nell’ultimo biennio, ma che – diciamocelo – non hanno aggiunto nulla di più di quanto non fosse già stato chiaramente detto dal GDPR e successivamente descritto dalle linee guida di dicembre 2016.

Una critica forte che mi sento di fare è che in questo ultimo lustro, pochi si sono posti davvero il problema di determinare a chi serve il DPO, ma ricade in quelle categorie di soggetti titolari o responsabili del trattamento per i quali la nomina sarebbe obbligatoria, ma in modo non così immediatamente palese.

È pacifico e scontato che un ospedale debba nominarlo, così come deve farlo una pubblica amministrazione e, allo stesso modo, chi fornisce servizi di vigilanza da remoto. Ma gli altri? A chi serve il DPO?

Quanto segue è tratto da un episodio che mi è accaduto negli scorsi giorni.

Mi trovavo in cassa al supermercato e ho notato un cartello che, insieme ad altri avvisi, ricordava che il Codice Penale vieta la somministrazione di bevande alcooliche ai minori di sedici anni o agli infermi di mente. Per comodità, riporto integralmente il testo della norma:

Codice Penale – Art. 689.
Somministrazione di bevande alcooliche a minori o a infermi di mente.

L’esercente un’osteria o un altro pubblico spaccio di cibi o di bevande, il quale somministra, in un luogo pubblico o aperto al pubblico, bevande alcooliche a un minore degli anni sedici, o a persona che appaia affetta da malattia di mente, o che si trovi in manifeste condizioni di deficienza psichica a causa di un’altra infermità, è punito con l’arresto fino a un anno.

La stessa pena di cui al primo comma si applica a chi pone in essere una delle condotte di cui al medesimo comma, attraverso distributori automatici che non consentano la rilevazione dei dati anagrafici dell’utilizzatore mediante sistemi di lettura ottica dei documenti. La pena di cui al periodo precedente non si applica qualora sia presente sul posto personale incaricato di effettuare il controllo dei dati anagrafici.

Se il fatto di cui al primo comma è commesso più di una volta si applica anche la sanzione amministrativa pecuniaria da 1.000 euro a 25.000 euro con la sospensione dell’attività per tre mesi.

Se dal fatto deriva l’ubriachezza, la pena è aumentata.

La condanna importa la sospensione dall’esercizio.

Fermi tutti! Abbiamo letto bene?

In pratica il Codice Penale ci sta dicendo che chi somministra (vende) alcoolici deve controllare un documento d’identità valido per accertarsi dell’età dell’acquirente/consumatore e deve accertarsi del suo stato di salute psichica, perché se dal controllo risultano determinate informazioni, allora non può vendere nemmeno una birra leggera. Tra l’altro, è anche contemplata la possibilità di avvalersi di incaricati per espletare il controllo e ci sono precise indicazioni anche per i distributori automatici.

Incredulo, ho approfondito la ricerca e mi sono imbattuto in più d’una sentenza della Cassazione, che sostanzialmente confermavano quanto scritto nel Codice; una in particolare (Sentenza n° 46334 del 2013, emessa dalla V Sezione Penale), citando anche la Legge 125/2001, arriva a dire che:

La natura di reato di pericolo della somministrazione di bevande alcooliche a minori di anni sedici impone una effettiva e necessaria diligenza nell’accertamento dell’età del consumatore, atteggiamento che, nel caso in cui la somministrazione sia stata preceduta dalla richiesta, da parte del cameriere addetto alle consumazioni, dell’età dell’avventore, non può essere soddisfatto né dalla presenza nel locale di cartelli indicanti il divieto di erogazione di bevande alcooliche ai minori, né limitandosi a prendere atto della risposta del cliente sul superamento dell’età richiesta, ove ciò non corrisponda al vero.

Si tratta di un obbligo che grava innanzitutto sul soggetto che gestisce l’esercizio commerciale in cui si pratica la vendita al pubblico di bevande alcoliche, assicurandone la somministrazione, su richiesta dei clienti, personalmente o attraverso forme di organizzazione del lavoro incentrate sull’impiego di uno o più dipendenti retribuiti.

Per completezza, riporto anche l’articolo della citata legge:

Legge 125/2001 – Art. 14-ter: Introduzione del divieto di vendita di bevande alcoliche a minori.

1. Chiunque vende bevande alcoliche ha l’obbligo di chiedere all’acquirente, all’atto dell’acquisto, l’esibizione di un documento di identità, tranne che nei casi in cui la maggiore età dell’acquirente sia manifesta.

2. Salvo che il fatto non costituisca reato, si applica la sanzione amministrativa pecuniaria da 250 a 1.000 euro a chiunque vende o somministra bevande alcoliche ai minori di anni diciotto. Se il fatto è commesso più di una volta si applica la sanzione amministrativa pecuniaria da 500 a 2.000 euro con la sospensione dell’attività da quindici giorni a tre mesi.

Vediamo come le norme italiane e la giurisprudenza della Cassazione confermano quanto scritto poco sopra: l’esercente deve controllare.

Ora aggiungiamo quanto scritto nel GDPR e nelle linee guida, in particolare l’art. 37 del primo e i concetti di “attività principale”, “larga scala” e “monitoraggio regolare e sistematico”.

Anche se sembra strano, considerate tutte le norme, le linee guida e le sentenze, appare chiaro che:

  1. Chi vende o somministra alcoolici deve controllare i documenti e lo stato di salute psichica del cliente.
  2. Quest’obbligo – che a mio modo di vedere persegue finalità di pubblica sicurezza e interesse, oltre che di tutela della salute del cliente stesso – rende l’attività di controllo un’attività principale, perché condizione essenziale per la vendita o la somministrazione (salvo voler andare contro disposizioni di legge).
  3. Conseguentemente, il trattamento dei dati è effettuato su larga scala (perché coinvolge praticamente tutti i soggetti che intendono acquistare la bevanda alcoolica) ed è svolto in modo regolare e sistematico (poiché deve essere fatto almeno la prima volta che si presenta un nuovo cliente e deve essere fatto per adempiere a norme cogenti).
  4. I dati raccolti possono riguardare minorenni e possono essere sensibili o particolari.

Se poi consideriamo che, in presenza di un distributore automatico, il trattamento dei dati implica anche un processo decisionale automatizzato che produce effetti giuridici sull’interessato (cioè l’acquisto della proprietà, o meno, della bevanda alcoolica), è chiaro che l’intero processo di vendita si basa su un trattamento dei dati personali che è tutt’altro che poco rischioso (in termini di responsabilità e gestione dei rischi sui diritti degli interessati).

E se al distributore automatico si può ragionevolmente immaginare di essere in un contesto “riservato”, altrettanto non si può dire di un locale aperto al pubblico. Possiamo ragionevolmente affermare che c’è il rischio di mettere in forte imbarazzo l’acquirente nel caso non si volesse vendere il prodotto alcoolico perché lo riteniamo in “stato di deficienza psichica” (magari perché malato, oppure perché ebbro); ho usato il termine “forte imbarazzo” per evitare di scrivere “ledere la sua personalità” in presenza di altre persone.

A questo punto la domanda è:

A chi serve il DPO? Se ho un bar, un ristorante o un distributore automatico e vendo alcoolici, devo nominarlo?

Ebbene, se non siete giocatori d’azzardo e non vi piace rischiare di incorrere in sanzioni, la mia risposta potrebbe non piacervi.

Perché è .

Personalmente, ritengo che questo sia uno dei casi in cui è chiaro che quando si scrivono le regole, talvolta ci si dimentica che poi qualcuno dovrebbe anche applicarle. Uscendo dal ruolo di consulente privacy, non nascondo la mia perplessità di fronte a quanto è così chiaramente scritto nei testi normativi.

Forse, in questo caso, l’errore più grosso lo hanno commesso i legislatori.

 

 

Software gestionali per la privacy: benefici e rischi

Software gestionali per la privacy: benefici e rischi

Prima di procedere con l’acquisto, così come durante il suo utilizzo, sarebbe bene ricordarsi che un programma gestionale è solamente uno strumento che per rendere al meglio deve essere maneggiato con l’adeguata preparazione.

Capiamoci fin da subito: non sono contro i gestionali per partito preso, anzi, direi piuttosto che mi schiero con chi ritiene che le macchine non possono fare tutto e non possono sostituirsi all’uomo. Se è vero che avere un software apporta alcuni benefici, lo è altrettanto che espone chi lo usa a nuovi rischi.

Tralasciamo il fatto che non tutti i gestionali sono uguali e che possono comportare spese differenti in termini di acquisto della licenza, o investimenti per lo sviluppo interno, o canoni per l’assistenza, e che ovviamente possono offrire una qualità di servizio differente, e concentriamoci su alcuni (tutti è difficile farlo in questa sede) dei benefici e dei rischi che interessano prevalentemente il lato operativo della faccenda.

Tra i benefici penso si possano elencare una miglioria nella gestione complessiva degli adempimenti, una migliore organizzazione delle scadenze e una facilità di accesso a determinate informazioni sul modello organizzativo adottato per proteggere i dati personali.

In alcune realtà, potrebbe essere un valido strumento per la conduzione di audit o, comunque, per espletare alcuni dei controlli necessari, tra cui la valutazione di impatto sulla protezione dei dati (c.d. DPIA), e migliora senza dubbio gli effetti del lavoro di squadra e della collaborazione attiva, sempre più rilevanti e importanti nelle organizzazioni moderne, soprattutto se il suo impego non è limitato a poche persone chiave.

D’altro canto, i rischi sono comunque dietro l’angolo.

Innanzi tutto si rischia di sostituire completamente l’elemento umano, trasformando potenzialmente alcuni dei trattamenti da “manuali” a “automatizzati”, con tutto quanto ne consegue anche sotto l’aspetto della tutela dei diritti degli interessati.

Secondariamente, affidarsi troppo al software potrebbe allontanare dalla realtà effettiva dei fatti chi è incaricato di controllare il sistema, come i responsabili o i DPO. Se il software non funzionasse correttamente (e non è un’ipotesi da escludere a priori, visto che è prassi consolidata emettere patch o aggiornamenti per correggere anomalie o bachi) potrebbe avere effetti negativi sulla realtà percepita e, di conseguenza, sull’efficacia del controllo e della gestione complessiva.

Infine, basare il proprio operato esclusivamente sul gestionale per la privacy, genera un errore di fondo gravissimo (a mio parere) soprattutto in sede di valutazione d’impatto: procedendo solo con il software, non potremmo più parlare di “valutazione”, bensì dovremmo parlare di “misurazione”.

Il perché è presto detto: ogni realtà è differente e ognuna include necessariamente operatori (responsabili del trattamento, DPO, incaricati, IT manager…) differenti che hanno ognuno ciascuno un bagaglio di conoscenze ed esperienze diversi e di cui è doveroso tenerne conto in sede di valutazione che, oltre tutto, è di per sé un prodotto di queste conoscenze ed esperienze. Una valutazione è necessariamente soggettiva e deve essere relativa al contesto osservato, perché è sulla base delle sue caratteristiche e dei risultati della valutazione stessa, che il titolare del trattamento può mettersi nella condizione di essere adempiente alle norme vigenti, su tutte il GDPR, con particolare riferimento agli artt. 24, 25, 32 e 35, che richiedono tutti di tenere conto dell’ stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche i rischi gravanti sui diritti e le libertà degli interessati.

Tutto questo, senza scomodare la più recente giurisprudenza che è arrivata ad affermare che il concetto di dato personale, fortemente legato all’identificabilità anche indiretta della persona fisica a cui si riferiscono, è correlato anche alla “facilità” e all’impegno necessario per identificarla. Tradotto: se io scrivo Mario Rossi o John Smith, in questo testo e per coloro che lo leggono, sono quattro parole che di dato personale hanno ben poco.

Pensare di essere a posto con la privacy solo perché si è comprato un software per la sua gestione, è come salire su un’auto da F1 e pensare di poter vincere il GP di Montecarlo senza aver mai guidato quel mezzo, né mezzi simili, né essere mai stato in pista, né aver mai visto le strade di Montecarlo aperte al traffico.

Chi lo fa, è un pericolo per sé e per gli altri. Con l’aggravante di non essere pienamente consapevole di cosa significhi effettivamente occuparsi della protezione dei dati personali.

Controllo a distanza con videosorveglianza, GPS o altri sistemi

Privacy e videosorveglianza con i nuovi modelli INL

L’Ispettorato Nazionale del Lavoro ha rilasciato la versione aggiornata dei modelli da utilizzare per presentare le istanze di autorizzazione al telecontrollo dei lavoratori. Da marzo 2017 diventano tre, ognuno specifico per una determinata modalità, in luogo di uno unico

Dal 10 marzo 2017 sul sito dell’INL sono disponibili tre modelli – scaricabili in formato PDF – per presentare le istanze di autorizzazione all’installazione e utilizzo di apparecchiature che consentono il telecontrollo dei lavoratori. Uno specifico per la videosorveglianza, uno specifico per gli impianti GPS a bordo delle auto aziendali e uno specifico per tutti gli altri dispositivi di controllo.

Concentriamoci, in questa sede, sul modello predisposto per la videosorveglianza (qui il link), ossia il primo file dell’elenco (per intenderci, è quello che, una volta aperto, reca l’intestazione “Modulo istanza di autorizzazione all’installazione di impianti audiovisivi”). Più specificamente, andiamo a fare alcune considerazioni sulla sezione delle “dichiarazioni”. Va sottolineato, anzitutto, che apporre la propria firma sul documento, senza che la situazione di riferimento sia conforme a quanto scritto in questa sezione, corrisponde a dichiarare il falso, con tutto quello che ne consegue.

Tutta la sezione è costellata di richiami più o meno indiretti alla normativa sulla privacy, a partire dalla limitazione temporale della conservazione, fissata a 24 ore (salve speciali esigenze), passando per l’informativa da rendere agli interessati (lavoratori e non), fino alla generica indicazione di “rispettare la disciplina, in particolare il provvedimento in materia di videosorveglianza”.

Proprio quest’ultimo punto potrebbe rappresentare un ostacolo non da poco, soprattutto ora che è arrivato il GDPR (Regolamento UE 2016/679), che richiede l’adozione di un approccio orientato alla gestione del rischio e focalizzato sulla responsabilizzazione e la dimostrabilità di ogni decisione assunta.

Cosa significa, dunque, essere conformi alla normativa?

Innanzi tutto, ogni titolare del trattamento (cioè chi vuole installare l’impianto) dovrebbe porsi le domande fondamentali “è proprio necessario fare videosorveglianza?” e “non posso organizzarmi in un altro modo?”. Se la risposta è affermativa, allora non c’ nemmeno bisogno di investine nell’acquisto del sistema.

Se, invece, la risposta è negativa, allora questa risposta e le motivazioni che hanno permesso di darla, cioè tutte le considerazioni e le valutazioni in merito, devono essere adeguatamente riportate in una relazione.

Una volta che abbiamo deciso e capito che ci serve davvero la videosorveglianza, bisognerà procedere con l’organizzarsi adeguatamente e prima che sia installato l’impianto. Tra le varie persone a nostra disposizione, dovremo individuare almeno due responsabili del trattamento, e spiegare loro dettagliatamente cosa significa essere il “responsabile della videosorveglianza” (si va dalla semplice custodia delle chiavi di accesso al sistema, fino alla completa gestione e manutenzione dell’infrastruttura hardware e software e al controllo in diretta dei monitor). Queste istruzioni, oltre a risultare da un atto scritto e ufficiale, dovranno poi essere coerenti con una politica o, almeno, una procedura interna che disciplini specificamente l’argomento.

Tutte queste informazioni saranno la base su cui elaborare la relazione tecnico-descrittiva richiesta al punto 2 della lista degli allegati da presentare con l’istanza.

Riassumendo, questo è ciò che occorre avere (almeno):

  • La valutazione preliminare sulla necessità di dotarsi di un impianto di videosorveglianza;
  • La valutazione dell’impatto sulla privacy che consegue all’installazione dell’impianto;
  • Eventualmente, la motivazione del perché servono tempi di conservazione più lunghi (e qui potrebbe entrare in gioco il Garante);
  • Un adeguato modello organizzativo, con policy e procedure specifiche;
  • Nominare i responsabili per iscritto e istruirli sul loro compito;
  • Informare tutti gli interessati con modalità “estese” e con i cartelli.

In conclusione, vi ricordo che l’istanza è da presentare solo se non è presente alcuna rappresentanza sindacale in azienda, o se con quella presente non si è raggiunto un accordo (cosa che potrebbe richiedere un modus operandi molto simile) e vi rammento che per l’installazione dell’impianto, bisogna seguire anche le eventuali indicazioni che arrivano dalla normativa sulla sicurezza sul lavoro riguardo gli obblighi dei progettisti, degli installatori e, se pertinente, dei committenti e degli appaltatori.

Il webmaster e la privacy

Il webmaster e la privacy.

Cose scomode che gli artigiani del web devono sapere.

Voglio raccontarvi un fatto realmente accaduto. Un fatto che, come a me, potrebbe essere capitato a molti miei colleghi che si occupano di privacy e che mi vede protagonista assieme a un mio amico webmaster (che per ovvie ragioni chiamerò Mario).

Eravamo seduti comodamente a prenderci un caffè e, tra una chiacchiera e l’altra, mentre gli raccontavo che è sempre preferibile scrivere un accordo con i propri clienti prima di iniziare qualsiasi progetto, lui fa una battuta dicendo:

<<Perché dovrei scrivere un contratto ogni volta che faccio un sito? Tanto non ho mica responsabilità, io>>.

In quel momento ho realizzato quanto fosse in pericolo. Sì, avete capito bene: in pericolo. Un pericolo che genera un rischio di conformità nei confronti della normativa sulla tutela dei dati personali e che espone quelli come Mario a pesanti sanzioni amministrative, civili e penali, oltre che all’ormai onnipresente danno d’immagine facilissimo da procurare con gli attuali media (tra cui proprio il web, ironia della sorte!).

Il webmaster (che spesso è chiamato anche a occuparsi delle campagne di marketing attraverso i siti che programma), per sua natura, è un lavoro che è caratterizzato da una grande libertà d’azione, proprio per via dell’ambiente in cui opera, Internet. Molto dell’efficacia delle loro opere è dovuta proprio alla facilità d’uso, alla libertà degli utenti di caricare, condividere, commentare, acquistare con un click. Tutto deve essere, come direbbero gli anglofoni, user friendly.

Per gli utenti, appunto.

Ma chi possiede un sito, e chi lo programma, per raggiungere il risultato che si sono prefissati devono attenersi a precise regole di comportamento, alcune richieste dal buonsenso (come la scelta di un provider che garantisca tempi di disaster recovery brevi), altre imposte da precise norme che vogliono soprattutto tutelare l’utilizzatore del sito, che per chi mastica un po’ di privacy si chiamano interessati.

Su tutti il Codice privacy, che impone l’adozione di misure di sicurezza sia a livello tecnico (per esempio le procedure di autenticazione informatica composte da userID e password univoci), richiamate anche dall’Allegato B, che a livello organizzativo (individuando i responsabili e gli incaricati del trattamento e i rispettivi ambiti operativi, obblighi e responsabilità). Un webmaster è, a tutti gli effetti, il responsabile dell’infrastruttura web dell’azienda e per questo motivo deve essere individuato in modo formale come amministratore di sistema (c.d. ADS o sistemista), che è una particolare forma di responsabile/incaricato.

Se io fossi il DPO dell’azienda cliente del mio amico Mario, gli farei sottoscrivere un preciso documento in cui dichiariamo i suoi obblighi e le sue libertà operative, individuando a priori quali siano gli interventi da fare sul sito (per esempio l’aggiornamento, la manutenzione, la programmazione dei cookie tecnici, analitici o di profilazione, di prima o di terza parte) e gli chiederei l’attestazione che quanto fatto sia conforme ai requisiti i legge richiesti, soprattutto se il suo progetto si conclude con la consegna del sito al committente.

Mario, alla fine del mio spiegone pieno di termini dal minaccioso suono legalese, mi ha domandato cosa dovrebbe fare per essere tutelato. In fondo, la parte che ha capito meglio e che ha attirato la sua attenzione, è stata quella relativa alle sanzioni (per il suo cliente e per lui) che potrebbero tradursi in richiesta di risarcimento per aver consegnato un lavoro non a regola d’arte: si andrebbe dai 36.000 € dell’informativa non idonea ai 120.000 € per le misure di sicurezza non adeguate, dai 120.000 € per un’omessa o inidonea notificazione al Garante in caso di cookie di profilazione ai 180.000 € per il mancato rispetto dei provvedimenti del Garante. E questo solo a livello amministrativo. Spostandoci nell’ambito delle sanzioni penali, Mario rischia molto probabilmente di essere punito con la reclusione fino a due anni per non aver implementato le dovute misure di sicurezza; sempre che non si sia preso il compito di effettuare la notificazione al Garante, e che l’Autorità non abbia poi constatato che questa fosse falsa: in tal caso, gli anni di reclusione sarebbero tre.

La mia risposta è stata semplice: <<Metti tutto per iscritto. Organizzati prima. Previeni.>>

Dopo queste mie parole mi è sembrato preoccupato. Di sicuro non ha voglia di rischiare così tanto.

Cosa gli serve? Facile. Un amico come me. Un consulente privacy.