.

.

Ciao

Benvenuta e benvenuto nel Blog di Christian Bernieri. Sei in un posto dove riflettere e rimuginare in libertà su privacy, sicurezza, protezione dei dati personali e sui fatti che accadono nel mondo, sempre in salsa privacy. Con una tempistica assolutamente randomica, con format per nulla omogenei, con un linguaggio decisamente inappropriato, senza alcuna padronanza della grammatica e della sintassi, ti propongo articoli che nessun editore accetterebbe mai di pubblicare... Divertiti.

15 marzo 2024

Un piccolo uomo



Non so il tuo nome, non so nulla di te ma so che sei una giovane promessa, per molti un investimento, una speranza per altri.

So che lavori in un importante club di serie A che, per me, a prescindere dai colori, è poco più di una manica di imbecilli che corrono dietro ad una palla, circondati da una manica di imbecilli che li guardano correre. 

Ma questo è chiaramente un mio problema, so bene che sono fuori dal mondo, che c'è molto di più e che sono io a non conoscerlo. Non conosco il calcio, non lo pratico e non lo seguo, so che la AS Roma è una importante squadra, che muove molti soldi, che fa prosperare migliaia di famiglie, che i giocatori guadagnano tanto e fanno guadagnare tanto agli sponsor che, a loro volta, investono molto denaro e fanno girare il mondo. So anche che non conta nulla che un calciatore sia erudito, intelligente, sensibile, ironico o simpatico, basta che sappia fare tanti gol. In alcuni contesti bisogna anche essere del colore giusto per essere apprezzati come si merita.

Questo è tutto ciò che conosco del calcio e quindi, decisamente, non ti conosco come calciatore.

Ma, forse, conosco te da un altro punto di vista.

Tu sei solo un bambino e stai imparando a vivere nel modo più brutale di tutti: da solo, attorniato da cattivi maestri, con alle spalle una "famiglia" che ti protegge dalla maestra malvagia che ti vuole dare un brutto voto, con un amico di nome Lucignolo che ti fa godere al massimo, senza pensare ad altro.

Sei un bambino che, oggi, diventa un adulto e che scopre che le dolci parole che senti attorno a te sono bugie:

"tranquillo bambino, ci pensiamo noi"

"tranquillo bambino, va tutto bene"

"tranquillo bambino, non è successo niente"

"...non è colpa tua"

Perchè è questo che ti hanno sempre detto, ed è ciò che ti stanno dicendo anche adesso, ma attorno a te aleggia una sconosciuta sensazione di angoscia, che non hai mai provato, che non sai bene da dove venga e che tutte le rassicurazioni del mondo non riusiranno a mandare via.

Dai retta a un pirla, a uno che c'è già passato. Sai cosa vorrai fare fra poco? Vorrai rimbambirti di casino, di mille cose, di rumore, musica, botte e bordello. Correrai a perdifiato, e Dio solo sa quanto ne hai, ma quella strana sensazione ti seguirà ovunque, aspetterà paziente e ti raggiungerà sempre.

Poi cercherai di capire da dove diavolo viene e lo capirai solo guardando alle tue spalle, a chi sei, a chi sei stato il giorno in cui, con un telefono in mano, trovando un video di due persone che ben conosci che scopano, hai pensato solo "Me cojoni!" e hai toccato quella maledetta icona per condividerlo e mandarlo fuori da quel telefono.


"Quante storie per un solo invio" 

"Mica voleva fare tutto il bordello che è successo dopo"

"Sono gli altri che lo hanno condiviso infinite volte ma lui non centra"

"Perchè deve pagare lui quando lui è quello che lo ha condiviso meno di tutti"

"Sono loro gli zozzoni, se lo sono meritato"

"Non si lasciano queste cose sul cellulare, se la sono cercata"

...un florilegio di rassicuranti alibi. "Tranquillo, non è successo niente", appunto. Però ora è solo un brusio, un confuso rumore di fondo che viene presto sovfrastato da un acufene che ti trapana la testa e che non va via.

Continuano a trattarti da bambino, ma tu non riesci più ad ascoltare, non ti basta, inizi a capire che sono tutte stronzate, bugie, perché non sei più un bambino.


Benvenuto nel mondo dei grandi. Benvenuto nell'età della responsabilità.

Stai capendo che è colpa tua.

È colpa tua se due persone hanno perso il posto di lavoro.

È colpa tua se quelle due persone sono additate da tutti, se ora tutti le guardano in modo diverso, se la loro vita è diversa da prima, cambiata, peggiorata, e non sarà mai più la stessa.

La vita peggiorerà anche per tante altre persone, tu non lo sai ma salteranno delle teste, ci saranno dei processi, sentirai parlare di protezione dei dati, di codice penale, di diritti violati, di discriminazione, di tante strane cose che non capirai ma che, con il tempo, imparerai a riconoscere dentro di te.

Mi auguro che non accada ma, a volte, in questi casi, alcune vite si spengono del tutto.

È colpa tua se il tuo Club è in crisi nera e sta facendo la peggiore delle figure di merda, arrivando a negare l'evidenza per proteggerti.  Un tempo ne eri fiero, ti sentivi importante per questa falange armata attorno a te, ti sentivi invulnerabile ed era inebriante, ma ora è diverso. Ora sono tutte stronzate e non servono a cambiare le cose.

Il tribunale ti assolverà. Magari non quello di P.za Clodio ma sicuramente lo farà il tribunale della pubblica opinione... ti assolveranno tutti ma non ti basterà.

Che non si possa tornare indietro lo sapevi già, ma ora hai scoperto che non abbiamo nemmeno la possibilità di rimediare, che chiedere scusa non serve a nulla, che, qualunque cosa tu faccia, sarà sempre colpa tua.

Quando hai avuto in mano quel telefono hai visto tutto, marca, modello, ao gajardo, e via dicendo, ma non hai capito cosa fosse in realtà. Li dentro c'è la vita di una persona, anzi, di due persone. Di molte persone. Nel gesto di dartelo c'è tanta fiducia verso di te e tu l'hai tradita nel modo peggiore, ridendo.

È colpa tua non aver capito che quel telefono non è un pezzo di tecnologia ma un pezzo di vita privata, da rispettare, da proteggere.

È colpa tua se non ti sei fermato sulla soglia e l'hai varcata, se non hai provato vergogna ed imbarazzo nel trovarti, tuo malgrado, a condividere con quelle due persone qualcosa di così intimo e di così segreto. 

È tutta colpa tua.

È colpa tua se hai pensato di usare una debolezza umana, che ci accomuna, contro un tuo simile, senza renderti conto che tu non sei diverso, non sei immune, non sei un santo. Sei solo più fortunato e non hai ancora incontrato lungo il tuo cammino qualcuno che voglia divertirsi alle tue spalle ma, ti garantisco, ti capiterà. E allora capirai un altra cosa importante, di quelle che ti cambiano la vita... la capirai comunque, qualunque sia la tua erudizione, la tua sensibilità, per quanto possa essere spessa le tua scorza e alti i muri attorno a te. E da quel momento, ciò che capirai, non ti abbandonerà mai più. 

Purtroppo.



NOTA DISAMBIGUA: non so proprio niente di questa vicenda, non ho informazioni di prima mano e tutto può essere. Mi sono fatto un film nella testa che potrà serenamente essere smentito da ciò che emergerà. Ed emergerà.... perchè la merda galleggia.



04 marzo 2024

Fiat lux

 Fiat Lux


"Il buio che precede la genesi non è tanto oscuro quanto il mercimonio dei dati personali."

(CB)


Purtroppo questa tenebra fatta di CRM, database, call center, procacciatori d’affari, liste, broker, faccendieri e lestofanti non risparmia nessuno perché chiunque abbia dei dati personali, prima o poi, attira gli sciacalli. A causa di questa inevitabile e comune sorte, ogni azienda si deve confrontare con un eterno dilemma:

“Se il mio partner si avvale di un sottobosco di filibustieri ma io mi proteggo con 150 pagine di contratto e non vedo e non sento niente, posso trarre vantaggio dal fatto che sia lui a fare il lavoro sporco?”


Questa domanda non ha né una risposta univoca né una risposta netta. Viviamo tutti in un mondo di compromessi, di relazioni, di fraintendimenti, di fantasiose deduzioni e comode ingenuità.

A pensarci, appare molto lontano il concetto di “buon padre di famiglia”, tanto caro alla old school del diritto e, sovente, viene addirittura  frustrando il concetto di “buona fede” e di “trasparenza”.

Viviamo in questo mondo, un po trascinati per inerzia, un po ' invischiati come fossimo nella pece.

Ma "c'è una crepa in ogni cosa ed è da li che entra la luce".  (Leonard Cohen)


Tutto iniziò da una piccola cosa e, come accade con una palla di neve che rotola, si trasformò in una valanga.

C’era una volta una ridente cittadina che tutti chiamavano Soave. Nonostante il regno fosse afflitto dalla maledizione della strega COVIDia, due agenti di commercio, intenti a vendere i fiammiferi realizzati dalla piccola pENELope, passeggiavano incuranti dei divieti vigenti in quel periodo per sconfiggere il maleficio. Una zelante pattuglia di cavalieri del Re, sul loro cavallo grigio, fece un controllo e, insospettita dai tesserini di dubbia provenienza, volle approfondire la loro conoscenza. Si sa, in questi casi da cosa nasce cosa, fattostà che l’pENELope, ignara di tutto, finì per essere sanzionata per quasi 80.000.000 di Euro.


Sembra una fiaba ma, con una certa approssimazione dovuta alla sintesi, è accaduto veramente.


Con riferimento al PRIMO provvedimento di sanzione ad ENEL, nell’estate 2023 pubblicai un post su twitter per spiegare il buffo smascheramento operato dalla Guardia di Finanza durante il periodo pandemico che portò all'indagine del Garante e alla prima raffica di sanzioni per mercimonio di liste:

Arnia società cooperativa per 800.000€ 

Mas s.r.l.s. per 200.000€

Mas s.r.l. 500.000€

Sesta Impresa s.r.l. 300.000€

Si veda qui per maggiori dettagli:  https://twitter.com/prevenzione/status/1666111590691684353  



Di lì a poco, ENEL venne sanzionata per 26.500.000,00 di Euro. Questo provvedimento fu impugnato da ENEL e il tribunale ha annullato la sanzione per un difetto procedurale del Garante e il mancato rispetto dei tempi dell’istruttoria.

In effetti, il Tribunale non affronta il provvedimento nel merito e l’annullamento della sanzione, di fatto, non dice assolutamente nulla sulla condotta dell’ente che, allo stato attuale, è stata giudicata illecita dal Garante.

(https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9735672)


Pochi giorni fa il Garante Privacy ha pubblicato un secondo provvedimento sanzionatorio verso ENEL.

(https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9988710)


Si, di nuovo… ma per motivi differenti, o meglio, contestando violazioni differenti rispetto a quelle alla base del primo provvedimento.

Enel viene quindi raggiunta da una serie di nuove sanzioni così articolate:

  • Obbligo di comunicare ai 595 interessati, i cui dati anagrafici sono confluiti nei sistemi della Società a seguito delle illecite acquisizioni da parte delle società partner, gli esiti del procedimento in base ad un testo da concordare con il Garante.
  • Obbligo di fornire adeguata documentazione al fine di attestare le avvenute implementazioni di misure di sicurezza che impediscano accessi contemporanei al sistema N.Eve
  • Obbligo di adottare ulteriori misure per garantire la tracciabilità e l’efficace monitoraggio delle operazioni svolte e degli eventi critici sul sistema N.Eve e per impedire l’accesso da indirizzi IP diversi
  • Obbligo di fare in modo che le agenzie stipulino con subagenti contratti del tutto conformi al contratto standard stipulato tra Enel Energia e le agenzie medesime e nei quali sia chiaramente esplicitata la distribuzione delle responsabilità nel trattamento dei dati
  • Obbligo di riferire entro 30 giorni sull’attuazione di questi obblighi
  • Dulcis in fundo, una sanzione pari a  € 79.107.101,00    (settantanovemilionicentosettemilacentouno)


Penso che la sanzione peggiore da digerire sia la letterina da mandare alle 595 persone coinvolte, anche perchè non potrà rimanere riservata e sarà interessante vederne i contenuti. Ricorda un po il cammino espiatorio della “Shame Walk”.

La somma da pagare probabilmente è già accantonata a bilancio e comporterà il taglio di qualche testa (metaforicamente parlando)

Le altre sanzioni sono complesse da attuare ma vanno considerate migliorie e investimenti quindi penso che non saranno un problema.



A questo provvedimento vorrei dedicare alcune osservazioni.

Innanzitutto la forma:

Il provvedimento è organizzato come un “botta e risposta” continuo dove il Garante elenca e riassume tutte le contestazioni che la difesa di Enel ha opposto in sede di istruttoria. Per ciascun elemento di difesa, alcuni certamente non peregrini, il Garante ha puntualizzato la propria posizione, a volte ricorrendo a precedenti provvedimenti, a volte in punto di diritto. In più d'una occasione, il Garante indulge in piccate repliche e argomentazioni emotive, abbastanza tautologiche seppur corrette che, probabilmente, saranno apprezzate da chi dovrà impugnare il provvedimento.  

Considerando la lunghezza del provvedimento, la complessità dell’istruttoria e la naturale tendenza a complicare le situazioni, la lettura è lunga e impegnativa. Non oso immaginare quanto difficile possa essere stata la redazione.

Ad ENEL vengono contestati alcuni comportamenti specifici, comuni a quelle aziende che beneficiano del lavoro sporco effettuato dai partner dei propri partner.

Il primo comportamento contestato dal Garante consiste nell’aver permesso l’utilizzo condiviso delle credenziali di autenticazione degli operatori. Questo è reso possibile proprio da un sistema di autenticazione che non esclude la possibilità di accessi multipli e contemporanei con le medesime credenziali ed è idoneo a consentire a più soggetti, anche esterni alla rete di vendita ufficiale di Enel Energia e, dunque, sottratti ai vincoli che la stessa impone contrattualmente anche in relazione al rispetto della normativa di data protection, di caricare proposte contrattuali sui sistemi in uso, i CRM (denominato N.Eve). 

Anche le misure di autenticazione evolute, introdotte da ENEL, si sono dimostrate concretamente inefficaci come per l’utilizzo della autenticazione a due fattori che, per come è stata implementata, non comporta l’impossibilità che più soggetti, anche non noti alla Società, condividano le medesime credenziali consegnate ad un agente. Infatti l’authenticator utilizzato consente di collegare ad un account più dispositivi di verifica, senza disconnettere i precedenti dispositivi.  Solo tardivamente ENEL ha modificato questa impostazione impedendo, ex ante, accessi multipli da parte di una medesima utenza terminando la sessione aperta qualora se ne istauri un’altra con le medesime credenziali o negando l’instaurazione della nuova sessione. 

Questo è, per il Garante, il peccato originale poichè costituisce la porta di ingresso delle molteplici attività illecite del cd. “sottobosco del telemarketing”.

Pur disponendo di diversi sistemi di verifica della compliance e pur raccogliendo i log degli accessi delle agenzie della propria rete di vendita, ENEL non ha mai utilizzato effettivamente gli strumenti a sua disposizione per verificare il corretto utilizzo dei sistemi e prevenire pratiche scorrette.


Uno dei punti analizzati dal Garante riguarda i LOG del CRM, grazie ai quali ENEL avrebbe dovuto accorgersi della presenza di operazioni sospette. Questi LOG registrano i METADATI delle operazioni di accesso al sistema, di caricamento dei contratti e assomigliano moltissimo ai metadati che recentemente sono diventati oggetto del provvedimento che ne stabilisce un termine breve di conservazione fissato ad un massimo di 7 giorni. Conservazioni ulteriori dovrebbero poter avvenire unicamente con una procedura autorizzativa. 

(Per maggiori dettagli si veda QUI   …”Chi vusa püsé la vaca l'è sua”)   


Una grande parte dell’istruttoria si basa proprio sull’analisi dei metadati dei LOG, raccolti e analizzati in un arco temporale decisamente lungo. ENEL li conserva ordinariamente per 18 mesi (72 settimane, 540 giorni) e le analisi hanno potuto contare su una mole di dati sufficiente per appurare i fatti e i comportamenti contestati.

Mi domando cosa sarebbe accaduto se ENEL avesse rigorosamente applicato sin dal 2007 i principi che il Garante ha vergato nelle sue linee guida di allora e che afferma più di recente nel Documento di Indirizzo relativo ai metadati nei log delle email.

Di sicuro non avrei scritto questo articolo e, forse, il Garante non avrebbe avuto elementi per contestare violazioni ad ENEL.


Il Garante affronta inoltre un tema apparentemente formale ma dagli importanti risvolti sostanziali: la nomina dei responsabili del trattamento e degli ulteriori sub-responsabili del trattamento.

Un corretto sistema di distribuzione delle responsabilità non può prescindere da un capillare controllo, previsto anche dal GDPR, che il titolare deve porre in essere nei confronti dei responsabili del trattamento, ed anche nei confronti dei sub-responsabili. Il Garante contesta la mancanza di un effettivo controllo e questo sarà difficile da confutare dal momento che ENEL ha accettato 9380 contratti in 8 anni caricati da un partner formalmente diffidato per uso illegittimo del marchio Enel.

ENEL da formalizzato contratti standard decisamente articolati e completi con i propri partner. Documenti di 150 pagine, scritti e verificati con attenzione che, tuttavia, presentano un difetto: con riferimento all’articolo 28 del GDPR, viene applicata solo la seconda parte dell’articolo, relativa al trasferimento di responsabilità dal titolare al responsabile in relazione all’operato del sub-responsabile, trasferimento che, da un’interpretazione sistematica dell’articolo, deve ritenersi operante solo in caso di esatta applicazione della prima parte.


La prima parte dell’articolo 28 non è presente nei contratti di ENEL e questo ha causato l’interruzione del meccanismo di propagazione degli obblighi contrattuali verso i sub-responsabili.

Il testo al quale non si fa riferimento prevede che “quando un responsabile del trattamento ricorre a un altro responsabile del trattamento (SUB-RESPONSABILE ndr) per l'esecuzione di specifiche attività di trattamento per conto del titolare del trattamento, su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento di cui al paragrafo 3, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento


In pratica, ENEL ha sottoscritto con i propri partner contratti gioiello da 150 pagine, superdettagliati e blindatissimi. 

I partner hanno trovato, a cascata, altre aziende a cui appoggiarsi, sub-fornitori, stipulando contratti farlocchi, riassumendo tutto in un paio di paginette e omettendo ogni elemento necessario per vincolarli a comportamenti rispettosi del GDPR.


Prosit



¸.•*´¨`*•.¸        ¸.•*´¨`*•.¸



Se sei arrivato fino a qui meriti un plauso. Complimenti!

Se ti è piaciuto l'articolo, se ti ha dato spunti utili per la tua vita privata o professionale, prendi in considerazione l'idea di ringraziarmi e puoi farlo in due modi:


- Condividendo il mio lavoro sui tuoi social. Questo aiuterà altre persone

- Con una donazione. Questo aiuterà me.



👇 👇 Clicca qui 👇 👇






07 febbraio 2024

Chi vusa püsé la vaca l'è sua


  

Nota preliminare alla lettura: il Garante ha ragione. Non è mia intenzione confrontarmi ma ragionare e, purtroppo, lo so fare solo così. Si prega di leggere questo pezzo tenendo ben presenti le mie intenzioni semiserie e l’animo giocoso, con il dovuto rispetto per le funzioni istituzionali e del lavoro altrui.



Una lettura ragionata del provvedimento del Garante che include il Documento di indirizzo in materia di posta elettronica.




Questo articolo non è adatto ai minori

Questo articolo è destinato agli addetti ai lavori

Questo articolo è sconsigliato a persone emotive, narcisiste, egocentriche e infantili

Nessun animale è stato maltrattato per la redazione dell'articolo.



Leggiamo insieme il provvedimento del 21 Dicembre 2023, pubblicato il 7 Febbraio 2024.

I considerando sono ripresi dal testo del provvedimento quindi li omettio.


1 Introduzione


L’introduzione definisce UNO SPECIFICO RISCHIO riscontrato dal Garante consistente nel fatto che prodotti informatici destinati alla gestione della posta elettronica, al servizio dei titolari, POSSANO RACCOGLIERE IN MODO PERVASIVO E GENERALIZZATO I METADATI RELATIVI ALL’UTILIZZO DEGLI ACCOUNT DI POSTA IN USO AI DIPENDENTI.

Gli esempi fatti dal garante riguardano dati, o meglio, metadati, relativi ai singoli messaggi come giorno, ora, mittente, destinatario, oggetto, dimensione.


Temo che questo passaggio contenga un primo e fondamentale problema: i dati di uso dell’account di posta sono una cosa distinta rispetto ai dati propri dei singoli messaggi.


I dati di uso di un account possono essere riscontrati prendendo in considerazione elementi “di uso” come, ad esempio:

  • indirizzo IP di collegamento al server di posta
  • data e ora di collegamento, di invio di un messaggio, di scaricamento dei messaggi e di ogni altra operazione che genera righe di log
  • client utilizzato e suoi dati specifici, programma, versione
  • data ed ora del login

  • data e ora e frequenza dei download
  • data e ora dei collegamenti per l'upload
  • ricordiamolo, i sistemi possono lavorare anche offline e la data, ora dei singoli messaggi può tranquillamente essere diversa da quelle di invio/ricezione


Nel caso di interfacce web (Webmail) di accesso, i dati di uso sono quelli utilizzati e registrati dal fornitore e assomigliano molto ai dati registrati durante una navigazione web qualsiasi:

  • indirizzo IP (gia visto)
  • browser utilizzato
  • dati del sistema operativo, dell’hardware, dimensioni del monitor, stato della batteria e tutti quei dati che il browser scambia con il sito web o con il portale di accesso alla posta tramite web, tanto cari alle funzioni di analytics
  • cookie letti e scritti
  • ecc.

Direi che si va ben oltre rispetto a giorno, ora, mittente, destinatario, oggetto, dimensione.

Questi dati di uso possono effettivamente costituire un rischio, come descritto dal garante, ma generalmente sfuggono al controllo del titolare del trattamento. Solo il gestore del servizio li può trattare e, non essendo il datore di lavoro delle persone che utilizzano le mailbox, non è toccato dal provvedimento del Garante. 

Questi stessi dati, tuttavia, anche se generalmente non sono accessibili al titolare del trattamento, potrebbero diventare un serio problema in particolari contesti ove vengano installate tecnologie invasive di controllo che li intercettino durante l’ordinario funzionamento dei sistemi come, per esempio, un router con funzionalità di filtro o analisi del traffico, uno sniffer, un sistema di analytics sul sito che ospita la posta elettronica. Questi sono metadati e sono pericolosi, queste sono situazioni da regolamentare e dove l'intervento del Garante è auspicabile.


Gli esempi portati dal Garante non paiono coerenti con la casistica alla quale sono ricondotti perché data, ora, mittente e destinatario non sono dati di uso ma dati di routing, necessari per inviare e recapitare il messaggio e fanno parte del messaggio stesso. Infatti, il mittente e il destinatario qualificano e danno senso al mero contenuto della mail, la data e l’ora del loro invio costituiscono elementi essenziali di una comunicazione poichè la definiscono nello spazio e nel tempo.


Orbene, queste due tipologie di dati, quelli che cita il garante e quelli che cito io,  non coincidono, hanno differenti finalità, differenti basi di legittimazione e, soprattutto, hanno differenti titolari che ne governano elementi quali finalità e modalità di trattamento.


Ricondurre questi dati al Titolare Datore di Lavoro è una semplificazione che porta ad un errore: attribuire ad un soggetto colpe non sue.


In effetti, un datore di lavoro, sia esso pubblico o privato, desidera solo poter inviare e ricevere posta, indirizzata, contestualizzata nello spazio e nel tempo. Ogni altro aspetto tecnico, funzionale all’invio e alla ricezione, non gli compete, non gli interessa e sfugge al suo controllo proprio perchè afferisce ad un altro titolare del trattamento.


Per non incorrere in un difetto logico, se si decide di sposare l’analogia proposta dal Garante (meglio espresso nel punto 2 normativa), questa deve essere adottata in modo integrale e non parziale. La posta elettronica, così come quella tradizionale, tutelata dalla legge e qui in discussione, si appoggia ad un soggetto terzo, un autonomo titolare, che risponde davanti alla legge per le proprie scelte. POSTE ITALIANE, SDA, TNT, DHL, NEXIVE, UPS e tutti gli altri 80 operatori accreditati presentano una stretta analogia con Google, Microsoft, Protonmail, Libero, Tiscalinet, Aruba GMX, Yahoo, Outlook, Maildotcom, iCloud, ecc. 


(solo per curiosità si veda qui: https://www.mimit.gov.it/images/stories/documenti/Elenco_operatori_postali_-_LIC_AUG_AEI.pdf )


Nell’esercizio della funzione istituzionale, il recapito della corrispondenza, sia gli operatori di posta tradizionale che quelli di posta elettronica non sono qualificabili “responsabili del trattamento” e operano in regime di autonoma titolarità. Qui si gioca la tenuta logica e normativa del provvedimento.


Per questa ragione appare inappropriata la conclusione alla quale giunge il Garante, sia perché prende come riferimento dati di uso richiamando però dati propri del messaggio, sia perché riconduce il rischio paventato al titolare del trattamento sbagliato.


Volendo applicare una interpretazione conservativa, in modo da cercare un senso in ciò che il legislatore ha scritto, volendo negare la possibilità che vi sia una aporia nel testo, si possono esplorare casistiche particolari in cui i dati di uso degli account (idonei a monitorare l’attività lavorativa) possano coincidere con i dati a disposizione del datore di lavoro, ossia quelli di indirizzo e collocazione spazio temporale del messaggio ricevuto o inviato.

Per quanto riguarda la posta ricevuta, non mi sembra che l’ipotesi abbia un riscontro nella realtà.

Per quanto riguarda la posta inviata, si potrebbe pensare che i dati di spedizione qualifichino il rischio poichè identificano il momento in cui un lavoratore ha premuto il tasto invio, quante email ha inviato nella giornata, in che orari le ha inviate, ma questo porterebbe a conclusioni peregrine e non condivisibili.

Sempre a causa dell'analogia portata dal Garante,  se i dati di invio dei messaggi di posta integrassero la fattispecie di rischio paventata dal Garante, lo stesso rischio dovrebbe essere riscontrato anche per l’impiegato addetto ai pagamenti dei bollettini postali, all’effettuazione dei bonifici in banca e ogni altro lavoro che sia referenziato nel tempo e nello spazio dai dati che genera e che sono strettamente funzionali al lavoro stesso, spesso accessibili in via telematica e , comunque, destinati ad essere raccolti in un archivio strutturato, quindi soggetti al GDPR.

Faccio fatica a pensare che “giorno ora e ufficio postale” debbano essere cancellati dai bollettini di pagamento o dalle ricevute dei bonifici effettuati. Faccio fatica a credere che sia il GDPR a chiedere questo.



Tornando quindi a quanto scritto dal Garante nel punto 1 del documento (Introduzione), se esistono dei rischi, se vi sono dati e trattamenti che preoccupano, di questo occorre parlare con il gestore del servizio in qualità di autonomo titolare.


Certamente, al Datore di Lavoro compete la scelta del gestore di posta, sia fisica che digitale e deve preferire quello che sappia dare le migliori garanzie, ma non si può ignorare il fatto che i dati giudicati problematici non sono nella disponibilità e nemmeno nella visibili dei datori di lavoro.


Sono certo che il Garante potrà orientare e supportare le aziende sanzionando quei gestori, autonomi titolari, presso i quali sono stati riscontrati dati eccedenti le finalità dichiarate, conservati sine die o resi accessibili a soggetti non autorizzati.



Il paragrafo 1 si chiude con una considerazione importante:


… talvolta ponendo, altresì, limitazioni al cliente (datore di lavoro) in ordine alla possibilità di modificare le impostazioni di base del programma informatico al fine di disabilitare la raccolta sistematica di tali dati o di ridurre il periodo di conservazione degli stessi.



Volendo supportare i Datori di Lavoro, posso solo consigliare di precostituirsi le prove per accertare una condotta diligente e, quindi, mandare una richiesta al proprio fornitore chiedendo di disabilitare la raccolta e ridurre il periodo di conservazione dei dati in conformità al  provvedimento del Garante Privacy n. 642 del 21 Dicembre 2023, richiamandone integralmente i contenuti in merito a individuazione dei dati e tempistiche di conservazione.




Proseguendo nell'analisi, al punto 2 si trova una “legittima aspettativa” che richiede cautela e maggiore attenzione. Mi riferisco al fatto che, per il Garante, “anche nel contesto lavorativo pubblico e privato, sussista una legittima aspettativa di riservatezza in relazione ai messaggi oggetto di corrispondenza”.




Personalmente non mi accontenterei e farei una distinzione tra differenti casistiche, variamente combinate:



Azienda organizzata che ha informato i lavoratori e che li ha vincolati ad un uso esclusivamente lavorativo delle mailbox

Azienda disorganizzata, libera spensierata e sgarzullina

Email composte in modo personale:  christianbernieri@azienda.it 

Caso che presenta una limitata legittima aspettativa 

MEDIO RISCHIO

Caso che presenta una legittima aspettativa


ALTO RISCHIO

Email compost in modo funzionale:  urp@gpdp.it 

Caso dove fatico a vedere l’ombra di una aspettativa e, se questa esiste, è riconducibile ad un grave errore del lavoratore

BASSO RISCHIO

Caso che presenta una legittima aspettativa




ALTO RISCHIO

Email collettiva riconducibile unicamente all’azienda: info@gpdp.it 

Ma di che cosa stiamo parlando?

Ma di che cosa stiamo parlando?

NESSUN RISCHIO



Vedo 4 casistiche differenti che meritano una gestione ben diversa. Omogeneizzare tutto in una unica fattispecie genera dei mostri giuridici, distanti dalla realtà e indigeribili per l’interprete.


In ordine di  rischio:


RISCHIO ALTO: l’azienda disorganizzata avrà sempre torto e il trattamento sarà sempre problematico. Questa è l’azienda che lascia le buste paga aperte sul tavolo, che non si cura di nulla e di nessuno e che forse non ha nemmeno capito che esiste il GDPR. Benvenga un intervento, un provvedimento e una sanzione.


RISCHIO MEDIO: email personali ma ad uso esclusivo professionale dimezzano il rischio. Il lavoratore, avvertito, addestrato, consapevole, non userà certamente la posta per fini personali e sa perfettamente come possono essere usati  i dati dei messaggi. Certo, non può controllare la posta in arrivo che potrebbe metterlo in imbarazzo e quindi sussiste un rischio. Per questo, le classiche misure di gestione della posta personale possono essere calibrate caso per caso.


RISCHIO BASSO: ho citato una mail molto particolare, quella dell’ufficio relazioni con il pubblico del Garante. Troverei strano che i funzionari incaricati di presidiare questa email si sentano pervasi da una legittima aspettativa di riservatezza in relazione ai messaggi ricevuti ed inviati. Magari mi sbaglio


RISCHIO NULLO: questa casistica dovrebbe essere stralciata. L’intero discorso non si può applicare ad una mail prettamente aziendale, la cui ricezione è distribuita su più utenze e che non genera, di fatto, dati personali in relazione al suo utilizzo. La maggior parte delle aziende italiane sono microimprese e possono facilmente ricadere in questa casistica. Ma non solo. Ho esperienza diretta di una primaria banca che riceve su indirizzi generali e risponde senza firma e senza qualificare il funzionario o l’operatore.



 

Proseguendo l’analisi del testo, ogni paragrafo risente inevitabilmente delle considerazioni iniziali. Parlando di trattamenti, di acquisizione dati, di definizione delle finalità, non posso che richiamare costantemente l’estraneità del Datore di Lavoro rispetto ai pericolosi trattamenti che ha in mente il Garante.

Il Datore di lavoro deve definire le finalità di un trattamento e a queste si deve attenere. Se sono lecite e se non effettua altri trattamenti, il GDPR e lo Statuto dei Lavoratori devono ritenersi soddisfatti.

Naturalmente operano tutte le garanzie previste dalla norma e se un datore di lavoro provasse anche solo a pensare di usare dati in suo possesso per finalità differenti, come il controllo a distanza dei lavoratori o valutazione dell’attitudine professionale, si vestirebbe da criminale e dovrebbe affrontare un tribunale per violazione di una norma penale.


Pensare ai dati personali significa pensare ad un coltello. 

In cucina abbiamo tutti i coltelli per spalmare, quelli per tagliare e anche quello lungo per il pane. Ogni tanto capita che qualcuno li usi in modo inappropriato e questo implica la galera per chi ne abusa.

Se in cucina avessi una Katana, una scimitarra e un arsenale di Kriss e maceti, sarei d'accordo nel vedersi sollevare qualche  sopracciglio e troverei giusto dover rispondere a qualche domanda ma non darei per scontato che mi stia preparando per un assalto armato. 


Ecco, penso che le aziende siano in questa stessa situazione: hanno i coltelli in cucina, o meglio, hanno un normalissimo sistema di posta elettronica, utilizzato per finalità lecite, condivisibili e necessarie.

Se qualcuno sbaglia deve pagare, sia nell’abuso dei coltelli che dei dati.

Se qualcuno utilizza sistemi più evoluti, forse ha anche esigenze più complesse da gestire

Vietare di conservare i messaggi di posta elettronica per più di 7 giorni equivale a vietare i coltelli nelle cucine a tutti.



Proseguendo, il punto 2 enuncia una serie di previsioni normative di cui una sola merita attenzione, il punto sulla responsabilizzazione. Correttamente, il Garante descrive il meccanismo sulla base del quale solo il Titolare può valutare l’entità del rischio sotteso ai trattamenti, tenendo in considerazione fattori non visibili dall’esterno e arrivando a definire la necessità di una eventuale DPIA (valutazione di impatto). Questo passaggio è cruciale, tanto corretto quanto moderno. Proprio questo principio, contenuto nel GDPR, ci ha permesso di superare le antiche logiche tabellari in cui un legislatore distante dalla realtà elencava, come una lista della spesa, misure minime di sicurezza o dettava parametri quantitativi da non superare, come se fosse il depositario del metro supremo per giudicare il bene dal male. È grazie a questo principio che il tempo di conservazione dei dati sfugge ad una quantificazione preordinata e uniforme, dovendo dimostrare adeguatezza unicamente alle finalità che il titolare ha definito.

Sarebbe tutto fantastico sennonché il Garante, in questo provvedimento, stabilisce limiti numerici semplicemente incongrui, calati dall’alto in modo aprioristico, con buona pace del principio di accountability.






Punto 3, la disciplina di settore.


Qui la luce si spegne e si brancola nel buio.


Dopo una lettura dell’art 4 dello statuto dei lavoratori, compare un passaggio che non riesco a ricondurre ad alcuna logica.


Vero è che laddove esiste un rischio di abuso dei dati, lo statuto permette l’uso di strumenti solo per 4 determinate finalità (esigenze organizzative, produttive, di sicurezza del lavoro e di tutela del patrimonio aziendale)

Altrettanto vero che il legislatore aggiunge una finalità che deroga completamente al divieto, andando ad affiancare le 4 citate e operando in autonomina, come esimente da ogni procedura autorizzativa, a prescindere dalla coesistenza di altre finalità altrimenti ritenute necessarie e vincolanti. In altri termini, quando uno strumento è “utilizzato dal lavoratore per rendere la prestazione lavorativa”.


Personalmente non concordo con le interpretazioni eccessivamente restrittive, specialmente in presenza di una posizione così marcata della esimente, a fianco a ciò che pare ovvio, come il marcatore segnatempo per la rilevazione delle presenze. Si, a me pare ovvio che rilevare le presenze e dare al lavoratore gli strumenti con i quali possa fare il proprio lavoro sia e debba restare possibile, senza chiedere autorizzazioni a nessuno. L’azienda, il datore di lavoro, deve essere libero di organizzare il lavoro e gli strumenti per eseguirlo. Anche questa è una libertà fondamentale presente a livello costituzionale (art 41) e il dovere dell’interprete non è essere restrittivo ma armonizzare questa libertà con le altre che la affiancano e che la delimitano, tra le quali il diritto alla riservatezza dei lavoratori. 

Non riesco a vedere le ragioni di una compressione dei diritti quando è possibile contemperarli e adottare una logica a somma positiva (Win-Win per gli alloglotti). La logica a somma zero è stata superata proprio grazie al GDPR e mi rattrista vedere che sia ricomparsa in uno spaesato documento che sembra pervenuto (via posta ordinaria) da un’altra epoca.


Il passaggio logico che, mio malgrado, non colgo è come dalla lettura dello statuto si arrivi alla perentoria, necessaria, ovvia e lampante constatazione della presenza di limiti aprioristici di conservazione del dato che mi ricordano tanto il mercato delle vacche: 


non più di poche ore, 

ma anche alcuni giorni

ma non più di 7 giorni, 

ok, anche 7 giorni + 48 ore 


… e “Chi vusa püsé la vaca l'è sua”.

 

E dov’è andato il GDPR con il suo principio di accountability? 

In vacca, appunto.




Il Garante si spinge oltre e ipotizza uno scenario alternativo: cosa succederebbe se i dati fossero conservati più a lungo?

Beh, lo scenario ipotizzato è molto limitato e prende in considerazione solo la loro presenza per finalità di sicurezza dei sistemi.

Non prende in considerazione ciò che è vergato nella norma, dolorosamente scritto con il sangue di chi ha rivendicato diritti e combattuto per ottenere uno statuto che li potesse contemperare tutti… ma dove sono le finalità preordinate suggerite dall’art. 4? Cosa gli facciamo fare ai lavoratori se non possiamo tenere i dati che ci servono per lavorare?


Nonostante le novelle intervenute, l’articolo 4 merita di essere riletto. Io l’ho fatto e non sono riuscito a trovare questi 7 giorni indicati dal Garante. Ho anche messo gli occhiali. niente, non ci sono.

Anche una lettura sinottica mi ha deluso perchè il combinato disposto dello statuto e del GDPR non fa che allontanarsi dai rigidi parametri indicati dal Garante, proprio a causa del principio di accountability sopra citato.


Di nuovo, mi sembra che la questione sia tornata ai coltelli, nel senso buono, ai coltelli da cucina, che per il solo fatto che potrebbero essere utilizzati da un criminale, per finalità vietate, debbano essere vietati.


Il Garante continua a riproporre questo come fosse un mantra e io non riesco a capire perché. Questo ragionamento, vietare perchè esiste la possibilità di un abuso, è diametralmente opposto a quella che mi sembra essere la logica sistematica del GDPR: una norma che ha lo scopo di agevolare la libera circolazione dei coltelli, nel rispetto delle norme che ne garantiscono la protezione…. hem, rectius, dei dati personali, 





Arriviamo al punto 4, le “possibili responsabilità dei datori di lavoro”.


Oggi devo avere problemi di vista. Trovo solo le responsabilità dei datori di lavoro e nulla più… nulla che faccia riferimento alle responsabilità dei provider. 

Si, quegli stessi provider che ho descritto inizialmente, gli stessi sui quali anche il Garante getta l’ombra del dubbio, quelli che usano i VERI metadati relativi all’uso dei sistemi di posta elettronica, quelli che lo fanno per proprie finalità, senza permettere  ai datori di lavoro di modificare la raccolta e la conservazione, senza dare alcun accesso a quei pericolosi dati personali… si, quegli autonomi titolari del trattamento ai quali bisognerebbe porre alcune scomode domande.

Immaginavo di trovare un paragrafo, peraltro corposo, intitolato “le possibili responsabilità dei provider per i trattamenti effettuati nell’ambito dei servizi resi al fine di veicolare i messaggi di posta elettronica”.


Il Documento di Indirizzo illustra qui una casistica di tutti i modi in cui un datore di lavoro può violare la legge abusando dei dati personali, rischiando una condanna penale e ponendosi chiaramente fuori da ogni logica di legalità.

Confesso che una delle idee mi ha colpito e voglio esplorarla meglio, a scopo scientifico, s’intende. Non ci avevo ancora pensato: analizzando la frequenza di contatto di un lavoratore con il suo corrispondente, il suo pen-friend, diventa possibile acquisire informazioni personali, addirittura intime. 

Me lo vedo il lavoratore dell’azienda di traslochi che fa sexting con l’ufficio TOSAP del comune. 

“si, dimmelo ancora dove li devo mettere i cartelli segnalatori…”

Ok, ho sbagliato esempio. Forse questo potrebbe capitare.


Che dire, forse bisogna richiamare lo schemino iniziale, quello con le 4 casistiche in ordine di “professionalità”.


Le altre cose che penso su questo passaggio sono in vernacolo livornese e non posso scriverle qui.




La prudenza mi suggerisce di sorvolare i punti 4.2 e 4.3.


Però il punto 5 mi da una grandissima soddisfazione. Ecco, ho pensato male e ho sbagliato. Il Garante ha messo nero su bianco anche un severo monito ai provider, vale a dire alle aziende che sviluppano e commercializzano sistemi atti a gestire la posta elettronica. Beh, se i datori di lavoro hanno percepito tanta severità, immagino che ora i provider li facciamo neri… 


Eccolo:


In tale prospettiva, si invitano i produttori dei servizi e delle applicazioni, in fase di sviluppo e progettazione degli stessi, a tenere conto del diritto alla protezione dei dati tenuto conto dello stato dell’arte (v. cons. 78 del Regolamento). 



    ! ! !       S I    S T A N N O     C A G A N D O      S O T T O     ! ! !      

Adesso si che ci penseranno due volte prima di smerciare prodotti e servizi che non siano meno che perfetti e compliant rispetto al GDPR e al Documento di Indirizzo del Garante. 

Speriamo solo che il mercato non imploda.

Anche perchè, se non lo facessero, come indica il Garante, le aziende e gli enti della PA avrebbero solo due scelte:


  • chiedere una autorizzazione al ministero per l’uso dei sistemi, che non verrà mai rilasciata se non in termini irrealistici, che i prodotti in uso non consentono di rispettare

oppure

  • abbandonare l’uso dei sistemi che non hanno le caratteristiche indicate dal Garante.


Sono certo che in un ragionevole lasso di tempo, vedremo comparire fantastiche soluzioni perfettamente a norma. Entro 5 anni usciranno dalla beta, entro 10 anni vedremo almeno tre player tra cui scegliere. Nel frattempo, naturalmente, niente email.






Non resta che una cosa da fare, come indicato dal documento al successivo punto 5, contatto subito uno dei miei fornitori per chiedere ciò che il Garante suggerisce:



PEC a googleitaly@legalmail.it


Oggetto: Provvedimento del Garante Privacy n. 642 del 21 Dicembre 2023 - documento di indirizzo per sistemi di posta elettronica


Spett.le Google Italy srl,

con riferimento al provvedimento in oggetto, io sottoscritto Bernieri Christian (p.Iva xxxxx), vostro cliente e raggiungibile all'utenza google workplace xxxxxx, come espressamente previsto dall'autorità Garante, vi chiedo:


1) di limitare il trattamento dei metadati relativi alle comunicazioni email in uscita ed in entrata, archiviate nei sistemi di posta elettronica da me in uso secondo i limiti temporali fissati dal Garante (poche ore, o alcuni giorni, o 7 giorni, o 7 giorni + 48 ore, in funzione delle finalità perseguite)


2) di confermare il rigoroso rispetto dei principi contenuti nell'art 5 del GDPR, in particolare il principio di minimizzazione dei dati e di limitazione delle finalità.


3) di consentire la modifica delle impostazioni relative alle impostazioni di conservazione dei dati  e approntare un sistema di offuscamento dei metadati relativi alle comunicazioni email (data, ora, mittente, destinatario, frequenza di contatto).


4) di disattivare funzioni incompatibili con le finalità del trattamento come, a titolo di esempio, le funzioni analitiche e la conservazione dei messaggi cancellati, ancorché non più visibili tramite interfaccia webmail o collegamento da client di posta.



hem.. No… così mi faccio ridere da solo. 


Riformulo:



Spett.le Google Italy srl,

con riferimento al provvedimento in oggetto, la scrivente intende verificare che i programmi e servizi informatici di gestione della posta elettronica in uso ai propri dipendenti consentano di modificare le impostazioni di base, impedendo la raccolta dei metadati relativi ai singoli messaggi quali giorno, ora, mittente, destinatario, oggetto, dimensione.

Vi chiediamo, a titolo esplorativo, se sussiste la possibilità di impostare il periodo di conservazione degli stessi ad un limite massimo di 216 ore (9 giorni). Con la presente vi chiediamo di rilasciare una dichiarazione di ottemperanza attestante la conformità del servizio erogato al provvedimento in oggetto. La richiesta fa riferimento unicamente ai trattamenti da voi erogati in regime di "responsabile del trattamento" come definito dall'art 4 del GDPR (data processor) e non si estende ai trattamenti da voi effettuati in regime di autonoma titolarità (data controller) Cordiali saluti.



Cordiali saluti.

Christian Bernieri




Spedita. (non scherzo)

Ora non resta che attendere la risposta che spero di poter pubblicare qui.


Ah, no, che dico, stavo per fare un errore colossale… devo cancellare subito la PEC dalla webmail!

Come DPO non posso permettermi di violare le norme e le linee guida del Garante.





Il documento da analizzare è terminato e, visto che sono stato compassato, a questo punto posso permettermi un commento in libertà.


C’è un elefante nella stanza e spero che qualcuno se ne accorga.

Il Documento di indirizzo ci parla di un sistema di posta. Ma quanti usano un sistema di posta? 

Quanti utilizzano un sistema puro, che sia finalizzato UNICAMENTE alla gestione della posta elettronica? Questa domanda racchiude un mondo temo che sia sfuggito.


La maggior parte delle aziende trattano i dati per varie finalità, tra loro interconnesse. Le email sono gestite da un sottosistema che ha la precisa funzione di inviare e ricevere i messaggi ma non è solo, accanto ci sono altri sottosistemi con specifiche finalità, diverse, legittime, che esulano da ciò di cui il documento di indirizzo parla.


La posta in arrivo genera inviti in calendario, link a riunioni, verifica disponibilità di sale e colleghi, viene digerita per formulare risposte automatiche, va in coda per essere riproposta e permetterne la gestione in un contesto di risorse limitate, si trasforma in un ticket, alimenta un CRM o un gestionale, viene condivisa tra più uffici, più funzioni aziendali poichè i processi che portano all’erogazione dei servizi sono articolati e complessi.

Sono solo esempi ma si può andare oltre. Molti sistemi di posta sono degli ecosistemi di comunicazione che integrano posta elettronica, messaggistica istantanea, telefonia, calendario, memo, to do list, videoconferenze, stato avanzamento lavori sui progetti, ecc. 

Ma anche volendo spostare le email in un DMS (document management system), siamo sicuri che le cose migliorerebbero per la protezione dei dati del lavoratore?

Che senso ha prendere ogni singolo messaggio email, di cui un datore di lavoro può vedere data, ora, mittente, destinatario, cancellarlo dai sistemi di posta elettronica e riportarlo, tale quale, in un altro sistema, un DMS sul quale saranno necessariamente annotare natura del documento, cliente di riferimento, data, ora, mittente, destinatario e che sarà indicizzarlo con una pluralità di parametri aggiuntivi? È questa la soluzione?

E quanto costerebbe in termini organizzativi gestire la posta come suggerito dal Documento di indirizzo? Non parlo del costo economico, transeat, parlo del costo per le persone, del costo di email che non si trovano più, di documenti perduti, di errori che si moltiplicano, di database che proliferano, di incertezza nei rapporti e difficoltà nel documentare fatti e circostanze. Già me lo vedo. I lanciatori di coltelli non aspettano altro che una nuova scusa per poter dire “Mi spiace, non abbiamo più quei dati, sa, per la privacy!”


Eccolo l’elefante. Quei dati, metadati secondo il Documento di indirizzo, sono necessari e funzionali a molto altro, tutto lecito e decisamente riconducibile alla lungimirante previsione dell’art 4 dello statuto.

Sono strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa.

Di più, sono strumenti necessari al lavoratore per rendere la prestazione lavorativa.


Alla luce di questo, forse, bisognerà capire, con il Garante, l’effettiva portata del Documento di Indirizzo, il campo di applicazione reale di quei termini di conservazione di poche ore, pochi giorni, si ma non più di 7 giorni, ma anche 7 giorni + 48 ore.


La mia speranza è sempre la stessa: che i lanciatori di coltelli siano assicurati alla giustizia, che i maltrattatori di dati siano sotto processo, che i provider smettano di prendere per i fondelli i Garanti e i propri clienti, che le aziende sane possano lavorare godendo delle semplificazioni e delle tutele che il GDPR ha apportato, emendando il medioevo di burocrazia e maniacalità che abbiamo conosciuto in altri tempi.





Ma, OMFG, non c'è solo un elefante nella stanza, c'è anche un Unicorno glitterato!

All'elefante ci si può credere ma all'Unicorno glitterato no... eppure c'è.

La pubblicazione di questo provvedimento ha una implicazione logica. Se il documento è corretto, se le premesse sono corrette, se il procedimento logico è corretto, se le conclusioni sono corrette, allora non può essere applicato solo ai sistemi di posta elettronica.

DEVE necessariamente essere applicato, mutatis mutandis, anche a tutti gli altri sistemi che storicizzano metadati (nella accezione intesa dal Garante). Tutti, nessuno escluso.

Centralini telefonici

Router di rete

Browser per la navigazione in internet

Ma anche portali della PA

Software di office automation

Gestionali

Sistemi di messaggistica

Palmari per ordini e comande

...ecc.


Eccolo l'unicorno.

Sposare la tesi secondo la quale la posta, dopo una settimana, necessita dell'autorizzazione ministeriale, poichè può più essere considerato strumento usato per rendere la prestazione lavorativa, significa fare la stessa considerazione per tutti gli strumenti che presentano le medesime caratteristiche di storicizzazione dell'utilizzo.






Una ultima considerazione. Temo che alcuni consulenti e DPO potranno arroccarsi su posizione reattive, di pancia, elaborate come workaround in risposta al documento del Garante.

Un’azienda potrebbe arrivare a misure paradossali, non tanto per eliminare il problema inteso come il rischio sottesa al trattamento, quanto per togliersi dall’impiccio se il problema viene percepito nella norma stessa.


Capo:  “Scusi, caro DPO, ma qui si esagera, tanto vale diventare banditi, da domani lei non lavora più qui, lei e la sua bella legge.”


DPO: “Ma no, non faccia così, c’è una soluzione. Faccia così, scarica tutta la posta in automatico con POP3, cancellando i messaggi dal server, automatizza un comando di stampa ed ogni email che arriva viene mandata alla stampante. Poi si lavora sulla carta.

Le email le tiene così, come capita, in modo alluvionale e risolve.”


Capo: “In che senso risolvo? Mi sembra persino peggio di prima.”

Capo: “Ma è del mestiere questo?


DPO: “Beh, si, sarebbe peggio di prima e disboscheremmo l'amazzonia, però sticazzi!  Il GDPR si applica solo ai dati personali trattati con strumenti digitali e ai dati cartacei destinati a confluire in un archivio strutturato. Quindi, quelli digitali li cancelliamo appena arrivano e quelli cartacei li mischiamo: niente archivio, niente GDPR! E così risolviamo la questione.”


Capo: “Lei è un genio! Anzi, è sprecato come DPO, la nomino subito direttore del Marketing!!!”


Prosit.



--- --- ---




Se sei arrivato fino a qui meriti un plauso. Complimenti!

Se ti è piaciuto l'articolo, se ti ha dato spunti utili per la tua vita privata o professionale, prendi in considerazione l'idea di ringraziarmi e puoi farlo in due modi:


- Condividendo il mio lavoro sui tuoi social. Questo aiuterà altre persone

- Con una donazione. Questo aiuterà me.



👇 👇 Clicca qui 👇 👇