Tag: Sistemisti

Posted on

Software gestionali per la privacy: benefici e rischi

Software gestionali per la privacy: benefici e rischi

Prima di procedere con l’acquisto, così come durante il suo utilizzo, sarebbe bene ricordarsi che un programma gestionale è solamente uno strumento che per rendere al meglio deve essere maneggiato con l’adeguata preparazione.

Capiamoci fin da subito: non sono contro i gestionali per partito preso, anzi, direi piuttosto che mi schiero con chi ritiene che le macchine non possono fare tutto e non possono sostituirsi all’uomo. Se è vero che avere un software apporta alcuni benefici, lo è altrettanto che espone chi lo usa a nuovi rischi.

Tralasciamo il fatto che non tutti i gestionali sono uguali e che possono comportare spese differenti in termini di acquisto della licenza, o investimenti per lo sviluppo interno, o canoni per l’assistenza, e che ovviamente possono offrire una qualità di servizio differente, e concentriamoci su alcuni (tutti è difficile farlo in questa sede) dei benefici e dei rischi che interessano prevalentemente il lato operativo della faccenda.

Tra i benefici penso si possano elencare una miglioria nella gestione complessiva degli adempimenti, una migliore organizzazione delle scadenze e una facilità di accesso a determinate informazioni sul modello organizzativo adottato per proteggere i dati personali.

In alcune realtà, potrebbe essere un valido strumento per la conduzione di audit o, comunque, per espletare alcuni dei controlli necessari, tra cui la valutazione di impatto sulla protezione dei dati (c.d. DPIA), e migliora senza dubbio gli effetti del lavoro di squadra e della collaborazione attiva, sempre più rilevanti e importanti nelle organizzazioni moderne, soprattutto se il suo impego non è limitato a poche persone chiave.

D’altro canto, i rischi sono comunque dietro l’angolo.

Innanzi tutto si rischia di sostituire completamente l’elemento umano, trasformando potenzialmente alcuni dei trattamenti da “manuali” a “automatizzati”, con tutto quanto ne consegue anche sotto l’aspetto della tutela dei diritti degli interessati.

Secondariamente, affidarsi troppo al software potrebbe allontanare dalla realtà effettiva dei fatti chi è incaricato di controllare il sistema, come i responsabili o i DPO. Se il software non funzionasse correttamente (e non è un’ipotesi da escludere a priori, visto che è prassi consolidata emettere patch o aggiornamenti per correggere anomalie o bachi) potrebbe avere effetti negativi sulla realtà percepita e, di conseguenza, sull’efficacia del controllo e della gestione complessiva.

Infine, basare il proprio operato esclusivamente sul gestionale per la privacy, genera un errore di fondo gravissimo (a mio parere) soprattutto in sede di valutazione d’impatto: procedendo solo con il software, non potremmo più parlare di “valutazione”, bensì dovremmo parlare di “misurazione”.

Il perché è presto detto: ogni realtà è differente e ognuna include necessariamente operatori (responsabili del trattamento, DPO, incaricati, IT manager…) differenti che hanno ognuno ciascuno un bagaglio di conoscenze ed esperienze diversi e di cui è doveroso tenerne conto in sede di valutazione che, oltre tutto, è di per sé un prodotto di queste conoscenze ed esperienze. Una valutazione è necessariamente soggettiva e deve essere relativa al contesto osservato, perché è sulla base delle sue caratteristiche e dei risultati della valutazione stessa, che il titolare del trattamento può mettersi nella condizione di essere adempiente alle norme vigenti, su tutte il GDPR, con particolare riferimento agli artt. 24, 25, 32 e 35, che richiedono tutti di tenere conto dell’ stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche i rischi gravanti sui diritti e le libertà degli interessati.

Tutto questo, senza scomodare la più recente giurisprudenza che è arrivata ad affermare che il concetto di dato personale, fortemente legato all’identificabilità anche indiretta della persona fisica a cui si riferiscono, è correlato anche alla “facilità” e all’impegno necessario per identificarla. Tradotto: se io scrivo Mario Rossi o John Smith, in questo testo e per coloro che lo leggono, sono quattro parole che di dato personale hanno ben poco.

Pensare di essere a posto con la privacy solo perché si è comprato un software per la sua gestione, è come salire su un’auto da F1 e pensare di poter vincere il GP di Montecarlo senza aver mai guidato quel mezzo, né mezzi simili, né essere mai stato in pista, né aver mai visto le strade di Montecarlo aperte al traffico.

Chi lo fa, è un pericolo per sé e per gli altri. Con l’aggravante di non essere pienamente consapevole di cosa significhi effettivamente occuparsi della protezione dei dati personali.

Posted on

Controllo a distanza con videosorveglianza, GPS o altri sistemi

Privacy e videosorveglianza con i nuovi modelli INL

L’Ispettorato Nazionale del Lavoro ha rilasciato la versione aggiornata dei modelli da utilizzare per presentare le istanze di autorizzazione al telecontrollo dei lavoratori. Da marzo 2017 diventano tre, ognuno specifico per una determinata modalità, in luogo di uno unico

Dal 10 marzo 2017 sul sito dell’INL sono disponibili tre modelli – scaricabili in formato PDF – per presentare le istanze di autorizzazione all’installazione e utilizzo di apparecchiature che consentono il telecontrollo dei lavoratori. Uno specifico per la videosorveglianza, uno specifico per gli impianti GPS a bordo delle auto aziendali e uno specifico per tutti gli altri dispositivi di controllo.

Concentriamoci, in questa sede, sul modello predisposto per la videosorveglianza (qui il link), ossia il primo file dell’elenco (per intenderci, è quello che, una volta aperto, reca l’intestazione “Modulo istanza di autorizzazione all’installazione di impianti audiovisivi”). Più specificamente, andiamo a fare alcune considerazioni sulla sezione delle “dichiarazioni”. Va sottolineato, anzitutto, che apporre la propria firma sul documento, senza che la situazione di riferimento sia conforme a quanto scritto in questa sezione, corrisponde a dichiarare il falso, con tutto quello che ne consegue.

Tutta la sezione è costellata di richiami più o meno indiretti alla normativa sulla privacy, a partire dalla limitazione temporale della conservazione, fissata a 24 ore (salve speciali esigenze), passando per l’informativa da rendere agli interessati (lavoratori e non), fino alla generica indicazione di “rispettare la disciplina, in particolare il provvedimento in materia di videosorveglianza”.

Proprio quest’ultimo punto potrebbe rappresentare un ostacolo non da poco, soprattutto ora che è arrivato il GDPR (Regolamento UE 2016/679), che richiede l’adozione di un approccio orientato alla gestione del rischio e focalizzato sulla responsabilizzazione e la dimostrabilità di ogni decisione assunta.

Cosa significa, dunque, essere conformi alla normativa?

Innanzi tutto, ogni titolare del trattamento (cioè chi vuole installare l’impianto) dovrebbe porsi le domande fondamentali “è proprio necessario fare videosorveglianza?” e “non posso organizzarmi in un altro modo?”. Se la risposta è affermativa, allora non c’ nemmeno bisogno di investine nell’acquisto del sistema.

Se, invece, la risposta è negativa, allora questa risposta e le motivazioni che hanno permesso di darla, cioè tutte le considerazioni e le valutazioni in merito, devono essere adeguatamente riportate in una relazione.

Una volta che abbiamo deciso e capito che ci serve davvero la videosorveglianza, bisognerà procedere con l’organizzarsi adeguatamente e prima che sia installato l’impianto. Tra le varie persone a nostra disposizione, dovremo individuare almeno due responsabili del trattamento, e spiegare loro dettagliatamente cosa significa essere il “responsabile della videosorveglianza” (si va dalla semplice custodia delle chiavi di accesso al sistema, fino alla completa gestione e manutenzione dell’infrastruttura hardware e software e al controllo in diretta dei monitor). Queste istruzioni, oltre a risultare da un atto scritto e ufficiale, dovranno poi essere coerenti con una politica o, almeno, una procedura interna che disciplini specificamente l’argomento.

Tutte queste informazioni saranno la base su cui elaborare la relazione tecnico-descrittiva richiesta al punto 2 della lista degli allegati da presentare con l’istanza.

Riassumendo, questo è ciò che occorre avere (almeno):

  • La valutazione preliminare sulla necessità di dotarsi di un impianto di videosorveglianza;
  • La valutazione dell’impatto sulla privacy che consegue all’installazione dell’impianto;
  • Eventualmente, la motivazione del perché servono tempi di conservazione più lunghi (e qui potrebbe entrare in gioco il Garante);
  • Un adeguato modello organizzativo, con policy e procedure specifiche;
  • Nominare i responsabili per iscritto e istruirli sul loro compito;
  • Informare tutti gli interessati con modalità “estese” e con i cartelli.

In conclusione, vi ricordo che l’istanza è da presentare solo se non è presente alcuna rappresentanza sindacale in azienda, o se con quella presente non si è raggiunto un accordo (cosa che potrebbe richiedere un modus operandi molto simile) e vi rammento che per l’installazione dell’impianto, bisogna seguire anche le eventuali indicazioni che arrivano dalla normativa sulla sicurezza sul lavoro riguardo gli obblighi dei progettisti, degli installatori e, se pertinente, dei committenti e degli appaltatori.

Posted on

Slide sulla videosorveglianza

Slide sulla videosorveglianza

Un’utile pubblicazione per conoscere gli adempimenti previsti dalle norme che regolano la videosorveglianza, la privacy, il lavoro

Sul sito iCLHUB sono ora a disposizione le slide tecnico normative per i formatori sulla normativa e sulle procedure da attuare per la corretta videosorveglianza dei luoghi di lavoro. In allegato anche il vademecum per utenti e installatori.

Come esperto in materia di protezione dei dati personali, ho scelto di pubblicare sulla Libreria Digitale Pubblica dell’Associazione un pacchetto di slides tecniche in formato PDF, da utilizzare nei corsi sull’utilizzo in sicurezza della videosorveglianza (dei lavoratori, dei beni aziendali, dei processi produttivi…).

Nelle slide sono presenti tutti i riferimenti tecnico normativi (e relative istruzioni) al Nuovo Statuto dei Lavoratori, al Codice Privacy, alle sanzioni derivanti dal Codice Civile e Penale per un uso scorretto (nelle forme e nei modi) della videosorveglianza, con un focus particolare sul provvedimento sulla videosorveglianza del Garante.

A complemento, un secondo file (sempre in formato PDF) con un vademecum sui punti fondamentali della videosorveglianza dei diversi ambiti d’applicazione (lavoro, domestico, condominiale, sanitario…).

Posted on

Il webmaster e la privacy

Il webmaster e la privacy.

Cose scomode che gli artigiani del web devono sapere.

Voglio raccontarvi un fatto realmente accaduto. Un fatto che, come a me, potrebbe essere capitato a molti miei colleghi che si occupano di privacy e che mi vede protagonista assieme a un mio amico webmaster (che per ovvie ragioni chiamerò Mario).

Eravamo seduti comodamente a prenderci un caffè e, tra una chiacchiera e l’altra, mentre gli raccontavo che è sempre preferibile scrivere un accordo con i propri clienti prima di iniziare qualsiasi progetto, lui fa una battuta dicendo:

<<Perché dovrei scrivere un contratto ogni volta che faccio un sito? Tanto non ho mica responsabilità, io>>.

In quel momento ho realizzato quanto fosse in pericolo. Sì, avete capito bene: in pericolo. Un pericolo che genera un rischio di conformità nei confronti della normativa sulla tutela dei dati personali e che espone quelli come Mario a pesanti sanzioni amministrative, civili e penali, oltre che all’ormai onnipresente danno d’immagine facilissimo da procurare con gli attuali media (tra cui proprio il web, ironia della sorte!).

Il webmaster (che spesso è chiamato anche a occuparsi delle campagne di marketing attraverso i siti che programma), per sua natura, è un lavoro che è caratterizzato da una grande libertà d’azione, proprio per via dell’ambiente in cui opera, Internet. Molto dell’efficacia delle loro opere è dovuta proprio alla facilità d’uso, alla libertà degli utenti di caricare, condividere, commentare, acquistare con un click. Tutto deve essere, come direbbero gli anglofoni, user friendly.

Per gli utenti, appunto.

Ma chi possiede un sito, e chi lo programma, per raggiungere il risultato che si sono prefissati devono attenersi a precise regole di comportamento, alcune richieste dal buonsenso (come la scelta di un provider che garantisca tempi di disaster recovery brevi), altre imposte da precise norme che vogliono soprattutto tutelare l’utilizzatore del sito, che per chi mastica un po’ di privacy si chiamano interessati.

Su tutti il Codice privacy, che impone l’adozione di misure di sicurezza sia a livello tecnico (per esempio le procedure di autenticazione informatica composte da userID e password univoci), richiamate anche dall’Allegato B, che a livello organizzativo (individuando i responsabili e gli incaricati del trattamento e i rispettivi ambiti operativi, obblighi e responsabilità). Un webmaster è, a tutti gli effetti, il responsabile dell’infrastruttura web dell’azienda e per questo motivo deve essere individuato in modo formale come amministratore di sistema (c.d. ADS o sistemista), che è una particolare forma di responsabile/incaricato.

Se io fossi il DPO dell’azienda cliente del mio amico Mario, gli farei sottoscrivere un preciso documento in cui dichiariamo i suoi obblighi e le sue libertà operative, individuando a priori quali siano gli interventi da fare sul sito (per esempio l’aggiornamento, la manutenzione, la programmazione dei cookie tecnici, analitici o di profilazione, di prima o di terza parte) e gli chiederei l’attestazione che quanto fatto sia conforme ai requisiti i legge richiesti, soprattutto se il suo progetto si conclude con la consegna del sito al committente.

Mario, alla fine del mio spiegone pieno di termini dal minaccioso suono legalese, mi ha domandato cosa dovrebbe fare per essere tutelato. In fondo, la parte che ha capito meglio e che ha attirato la sua attenzione, è stata quella relativa alle sanzioni (per il suo cliente e per lui) che potrebbero tradursi in richiesta di risarcimento per aver consegnato un lavoro non a regola d’arte: si andrebbe dai 36.000 € dell’informativa non idonea ai 120.000 € per le misure di sicurezza non adeguate, dai 120.000 € per un’omessa o inidonea notificazione al Garante in caso di cookie di profilazione ai 180.000 € per il mancato rispetto dei provvedimenti del Garante. E questo solo a livello amministrativo. Spostandoci nell’ambito delle sanzioni penali, Mario rischia molto probabilmente di essere punito con la reclusione fino a due anni per non aver implementato le dovute misure di sicurezza; sempre che non si sia preso il compito di effettuare la notificazione al Garante, e che l’Autorità non abbia poi constatato che questa fosse falsa: in tal caso, gli anni di reclusione sarebbero tre.

La mia risposta è stata semplice: <<Metti tutto per iscritto. Organizzati prima. Previeni.>>

Dopo queste mie parole mi è sembrato preoccupato. Di sicuro non ha voglia di rischiare così tanto.

Cosa gli serve? Facile. Un amico come me. Un consulente privacy.