Informazioni personali

La mia foto
“A fucking good DPO” - Data Protection advocate. IAPP CIPP/E. Working just to make the world a better place.

lunedì 25 settembre 2023

Decreto Caivano - "Applicazioni di controllo parentale nei dispositivi di comunicazione elettronica" ed altre fantastiche creature partorite dalla fantasia del legislatore.



Rieccoci, dopo qualche mese ho messo mano alla tastiera per scrivere qualcosa di più ampio respiro dei soliti tweet. Questo sia perchè twitter sta affondando, sia perchè oggi ci sono troppe cose da dire e ci vuole spazio.

Recentemente, il Governo ha annunciato una serie di misure per la sicurezza dei minori in ambito digitale. Il DECRETO CAIVANO. Ho visto in diretta la conferenza stampa, da subito ho avuto l'impressione che ci fosse più di un problema nel progetto annunciato dall'esecutivo.

Forse il problema principale è nelle intenzioni, più ancora che negli aspetti tecnici.

Ma andiamo con ordine.

I miei commenti a caldo sono noti e vorrei citarli e richiamarli per non doverli riproporre e duplicarli qui:

https://x.com/prevenzione/status/1699834779716243544?s=20

https://x.com/prevenzione/status/1699852066452037936?s=20

https://x.com/prevenzione/status/1700123324351737956?s=20

https://x.com/prevenzione/status/1700108172176843178?s=20

https://x.com/prevenzione/status/1700109770789642664?s=20

https://x.com/prevenzione/status/1700115105151590695?s=20

https://x.com/prevenzione/status/1700113375470944527?s=20

https://x.com/prevenzione/status/1700111489154064804?s=20

https://x.com/prevenzione/status/1700112151875105149?s=20

https://x.com/prevenzione/status/1700119261694263489?s=20

https://x.com/prevenzione/status/1700157791552299246?s=20

https://x.com/prevenzione/status/1700113558262976934?s=20


In questi giorni è stato pubblicato il testo del decreto nel quale compare il sinistro Capo IV  e l'articolo 13 che riporto integralmente (i colori sono arbitrari e funzionali al mio studio del testo).


 




DEFINIZIONI
L'art 13 si apre con alcune definizioni e questa è senz'altro una buona cosa, peccato che non siano chiare come sarebbe lecito aspettarsi.

"1. Ai fini del presente articolo, trovano applicazione le seguenti definizioni:
a) controllo parentale: la possibilità di limitare e controllare, da parte dei genitori o di coloro che esercitano la responsabilità genitoriale, l’accesso ai contenuti e/o alla rete da parte dei minori, mediante la scelta degli spazi digitali e dei tempi di utilizzo;
b) dispositivi di comunicazione elettronica, di segui- to «dispositivi»: smartphones, computers, tablets e, ove compatibili, consolles di videogames, e altri possibili og- getti connessi come televisioni, orologi, assistenti vocali, sistemi di domotica e di «Internet delle cose»;
c) applicazioni di controllo parentale, di seguito «ap- plicazioni»: elementi esterni a dispositivi di comunica- zione elettronica, soluzioni a livello di rete o applicazioni o software per dispositivi di comunicazione elettronica, facilmente comprensibili e accessibili agli utenti, che consentano il controllo parentale."


Viene definito il "controllo parentale" in un ottica molto ristretta, con una accezione esclusivamente tecnica, senza alcun riferimento al ruolo educativo della famiglia o del genitore. Per il legislatore, il controllo parentale è la mera possibilità di limitare o monitorare la fruizione dei contenuti e dell'accesso alla rete, di autorizzare "spazi digitali" e limitare i tempi di utilizzo. Trovo questa prospettiva squisitamente tecnica, asettica, impersonale e inadatta a descrive un fenomeno ben più articolato e complesso. Forse sarebbe stato meglio definire questa come una funzione educativa, con una connotazione più ampia e più vicina all'essere umano. 
Purtroppo questa norma di umano ha ben poco.

Viene definito il dispositivo di comunicazione elettronica in un modo decisamente bizzarro. Leggendo la norma non posso fare a meno di pormi una domanda: sono io che non capisco oppure ho appena letto una stupidaggine? Probabilmente è un mio limite ma non riesco a pensare ad un frigorifero come ad uno strumento di comunicazione e non riesco ad immaginarmi il parental control applicato al termostato connesso. Nessun problema per conputer, smarthpone, tablet e console per videogame, ma già con le smart tv i dubbi iniziano ad affastellarsi per culminare in un groviglio inestricabile quando si arriva ad includere orologi, assistenti virtuali e sistemi di domotica. Sarà divertente capire chi dovrà giudicare il fatto di essere o meno "compatibili", condizione alla quale la norma subordina l'applicabilità dei precetti.

Proseguendo si incontra la definizione cruciale di applicazioni di controllo parentale ma la delusione cresce rapidamente: elementi esterni ai dispositivi, soluzioni a livello di rete o app e software. Non posso esimermi dal soffermarmi sulla pregnante distinzione che pare esserci tra APP e Software e mi tuffo a capofitto nella poetica espressione "facilmente comprensibile e accessibile all'utente". Ma a quale utente? A quello maggiorenne o quello minorenne? Quello erudito o quello ai margini dalla curva gaussiana del livello di alfabetizzazione? Quello Italiano (made in Italy) o quello alloglotto? Comprensibile rispetto alla logica di funzionamento del sistema o in termini generali e formali? Accessibile in senso cognitivo o solo in termini pratici cioè non nascosta e visibile con pochi click? 
Sublime il pensiero sottostante all'espressione "elementi esterni al dispositivo" contrapposto a ciò che, per il legislatore, probabilmente, è dentro al dispositivo.
La memoria corre veloce a Zoolander impegnato a prendere i file che sono dentro al computer.


Purtroppo mi pare che manchino definizioni importanti come, a titolo di esempio, in cosa consista un ambiente digitale sicuro. Personalmente, da genitore, temo molto più l'interazione con umani malintenzionati che non la fruizione di contenuti inappropriati per età e non concordo con l'idea di ambiente sicuro come di un ambiente con dei blocchi e dei limiti statici e predefiniti che impediscano all'utente di accedere a determinati contenuti, come pare emergere nel provvedimento .



TEMPISTICHE
La norma prevede una fase di transizione di un anno ed una fase a regime, ma la norma disciplina questi due momenti in modo differente creando differenze difficili da comprendere.

Nel primo anno di applicazione il controllo parentale assume la forma di un filtro a monte, predefinito, affidato ai fornitori di servizi di comunicazione che, per legge, devono garantire oltre all'esistenza dello strumento di filtro anche la sua attivazione automatica e, di conseguenza, la possibilità di disattivazione solo a richiesta. La logica dunque è quella dell'OPT-OUT, il filtro è già attivo e se vuoi disattivarlo devi farne richiesta.

A regime, il controllo parentale diventa meno incisivo, meno perentorio, e scompare l'attivazione come modalità predefinita. La logica si inverte e basta che il sistema "consenta l'utilizzo" e che le applicazioni siano presenti o attivabili nel dispositivo. La logica è dunque OPT-IN: lo attivi solo se vuoi e se non fai nulla il sistema è spento.

Non mi è facile capire questo bizzarro cambio di logica.

"2. Al fine di garantire un ambiente digitale sicuro ai minori, nelle more che i produttori assicurino, all’atto dell’immissione sul mercato dei dispositivi, entro un anno dall’entrata in vigore del presente decreto, che i sistemi operativi ivi installati consentano l’utilizzo e includano la disponibilità di applicazioni, i fornitori di servizi di comunicazione elettronica assicurano la di- sponibilità di applicazioni nell’ambito dei contratti di fornitura nei servizi di comunicazione elettronica disci- plinati dal codice di cui al decreto legislativo 1° agosto 2003, n. 259."


PARCO CIRCOLANTE
Nello stesso comma 2 si nasconde un altro errore metodologico di origine oscura. La norma prevede che i produttori includano gli strumenti di parental control nei dispositivi che verranno messi in commercio successivamente all'entrata in vigore o all'anno di fase transitoria. Nulla è detto per i dispositivi attualmente o precedentemente venuti.
Questo elemento potrebbe sembrare una misura di buonsenso e usuale nella normazione. Le norme dispongono per il futuro e questo ci rassicura: non è possibile chiedere modifiche ed implementazioni onerose alle automobili già circolanti... salvo il fatto che anch'esse debbano usare il seggiolino per i bambini se questi vengono traspostati. Perchè escludere i dispositivi già venduti dall'obbligo di dotazione del parental control? Forse il legislatore si immagina questo filtro come una cosa da saldare alle schede elettroniche, come un chip nuovo da aggiungere "dentro" al computer o allo smartphone. Chi può dirlo.
Di fatto, penso che chiunque si renda immediatamente conto che i sistemi di parental control "dentro" al dispositivo sono elementi logici del sistema operativo o programmi che interagiscono con esso. Nessuna saldatura, niente chip da aggiungere, nessun intervento di assistenza necessario. Direi addirittura nessun costo o necessità di ammodernamento o cambio dispositivo.
Perchè escludere il parco di dispositivi circolante quando potrebbe essere sufficiente un aggiornamento del software o una nuova app da installare?



WARNING
Proseguendo, al comma 3, trovo una paraculata formidabile, una norma talmente ipocrita da entrare di diritto nel guinness della vergogna: entro 3 mesi, i produttori devono mettere un fantastico adesivo o un magnifico foglietto illustrativo per comunicare all'utenza quanto segue:

caro utente, con questo dispositivo puoi attivare il parental control
caro utente, questa è la app o la funzione inclusa... (seguono dettagli caso per caso)
caro utente, il parental control è una cosa utile ed è importante utilizzarlo
caro utente, per maggiori informazioni vai al sito della presidenza del consiglio dei ministri, dipartimento per le politiche per la famiglia e dell'autorità per le garanzie nelle comunicazioni

Fantastico, risolviamo tutto con un adesivo e mandiamo l'utente sul sito del governo per saperne di più. Non vedo l'ora di leggere i pregiatissimi contenuti che verranno messi online dal ministero.

"3. I produttori di dispositivi, anche per il tramite dei di- stributori operanti in Italia, informano l’utente sulla pos- sibilità e sull’importanza di installare applicazioni. Tale adempimento può essere assicurato anche tramite l’inse- rimento nelle confezioni di vendita di uno specifico fo- glio illustrativo o tramite l’apposizione sulla confezione di uno specifico supporto adesivo che, con apposita evi- denziazione grafica, segnali, con chiarezza e semplicità, l’esistenza delle applicazioni suddette, potenzialmente at- tivabili, rinviando per maggiori informazioni ai siti della Presidenza del Consiglio dei ministri - Dipartimento per le politiche per la famiglia e dell’Autorità per le garanzie nelle comunicazioni. L’adempimento informativo di cui al presente comma è assicurato entro 3 mesi dalla data di entrata in vigore del presente decreto."




GRATUITÀ
Il comma 4 prevede la gratuità per l'utente dell'attivazione dei sistemi di parental control. La formulazione è un po' oscura e non fa riferimento al sistema quanto al servizio di attivazione. Ma sarà veramente indolore questa operazione? Di sicuro non lo sarà per i produttori, non lo sarà per i fornitori di servizi di telecomunicazione e, a naso, non lo sarà nemmeno per le famiglie.
Chi sosterrà gli oneri maggiori, come spesso accade, sarà il vicino di casa o il cugino che di internet ne capisce. Prevedo un periodo di superlavoro per questi qualificati e fondamentali professionisti che, pro bono, sorreggono le infrastrutture e curano l'efficienza delle nostre reti domestiche, scolastiche, al lavoro ed in ogni luogo.

"4. Il servizio di attivazione delle applicazioni, qualora richiesto dall’utente, deve essere consentito, nell’ambito dei contratti di fornitura del servizio principale, tramite un dispositivo di comunicazione elettronica, senza alcun costo aggiuntivo. In sede di prima applicazione, ai fini della definizione dei contenuti da filtrare ovvero bloc- care e delle modalità di realizzazione tecnica del filtro o del blocco, trovano applicazione le disposizioni adot- tate dall’Autorità per le garanzie nelle comunicazioni ai sensi dell’articolo 7-bis del decreto-legge 30 aprile 2020, n. 28, convertito, con modificazioni, dalla legge 25 giu- gno 2020, n. 70."


CONTENUTI
Lo stesso comma presenta un sinistro richiamo ad altra norma con riferimento alla definizione dei contenuti da filtrare ovvero bloccare. Questo richiamo è all'art 7-bis del DL 28/2020:
Di fatto, l'unico criterio utile per la definizione dei filtri e blocchi coincide con ciò che è riservato ad un pubblico maggiorenne.
Io veramente non comprendo come si possa pensare di risolvere problemi titanici dell'intero sistema educativo e valoriale limitando l'accesso a materiali che la legge riserva ai maggiorenni, peraltro definnedo questo limite per ragioni completamente differenti a quelle che dovrebbero guidare la scelta e la selezione.
Gioco d'azzardo, fumo, alcol e pornografia sono i macroargomenti di riferimento previsti dalla legge. Vengono completamente ignorati i diversi fattori culturali che possono influenzare il concetto di accettabile/inaccettabile o di appropriato/inappropriato.
Vengono ignorati inoltre quei contenuti che non sono qualificati dalla legge come riservati ad un pubblico adulto ma che presentano criticità evidenti.

Solo per chiarire: la pornografia è inaccessibile al minore e sono vietate le pubblicità di gioco d'azzardo... ma gli argomenti che potrebbero essere filtrati e per i quali non esiste alcun divieto nel discettare sono veramente tanti.

Alcuni esempi di contenuti che un genitore potrebbe prendere in considerazione e ritenere inappropriati per i propri figli? Eccone alcuni:

  • violenza sulle persone
  • violenza sugli animali
  • religione, o meglio, le altre religioni
  • estremismi e fondamentalismi
  • politica
  • dieta, disturbi e abitudini alimentari
  • argomenti medici, trattamenti sanitari, cure mediche
  • omeopatia o cure alternative
  • caccia, pesca, allevamento intensivo animali
  • guerra, conflitti bellici, armi
  • droga e alcol
  • dipendenze varie ed assortite
  • pirateria e condivisione di materiali coperti da copiright
  • materiali di studio sulle tecniche di hacking
  • reati vari
  • fascismo (ricordiamolo, è un reato)
  • astrologia
  • bestemmie
  • tutti i vari tabu classici: morte, incesto, parafilie assortite

Vogliamo parlarne? perchè a me il porno sembra veramente molto riduttivo.


Personalmente ricordo ancora una scena di macellazione bovina alla quale ho assistito in tenera età e che mi ha certamente segnato ed influenzato. Questo non è certamente vietato nè filtrato o bloccato per legge. 
Altre persone avranno certamente alti argomenti da aggiungere: l'omosessualità, una o l'altra idea politica, i colori della tifoseria avversaria, una o più religioni e chissà quanti altri temi sensibili.

Sono un po' preoccupato a questa fase di prima applicazione durante la quale il blocco ed il filtro trova applicazione automatica e predefinita e i cui contenuti sono definiti arbitrariamente e sommariamente dallo stato.

Anzi, riformulo, sono molto preoccupato.



DATI PERSONALI
Forse, scrivendo la norma, qualcuno ha suggerito al governo che questi sistemi di controllo generano, a loro volta, database sterminati di informazioni e sono un LOG fenomenale della nostra intera attività online.
Questo sia per l'attività bloccata che per quella non bloccata. Tutto ciò che passa nel setaccio viene registrato e genera una montagna di dati personali.
Forse per questo è stato timidamente inserito l'articolo 6 che tuttavia ha la stessa efficacia di un cucchiaio usato per tagliare una bistecca.

Leggere il comma 6 da DPO fa sanguinare gli occhi e genera una sensazione di male fisico. 
"i dati personali raccolti o generati". Generati? Ma è del mestiere questo? Ma chi t'ha fatto entrare, santo cielo! Generati e non creati? Della stessa sostanza del Padre? 
Ma che cazzo sono i dati generati?
I dati personali possono essere raccolti, registrati, organizzati, inferiti, se vogliamo fare i sofisticati. Che siano generati mi preoccupa molto, più che altro perchè mi fa pensare che chi ha scritto questa norma non abbia alcuna idea di come funzioni la normativa e il diritto alla protezione dei dati personali.
E infatti, poco dopo, arriva la conferma, sempre leggendo il comma 6: "generati durante l'attivazione delle applicazioni"  Io boh! Quali applicazioni? Quelle di parental control o tutte le applicazioni? Ma solo le applicazioni o anche i software e tutti i fantasiosi sistemi definiti prima dalla norma? E perchè solo durante la fase di attivazione e non durante l'ordinario utilizzo?
Sembra quasi che all'ultimo momento sia venuto in mente che esiste anche la privacy e qualcuno, in corridoio, abbia dovuto aggiungere una frasetta qualsiasi introducendo, tanto per cambiare, un bel divieto. Ma cosa viene vietato dal decreto? L'uso per fini commerciali e di profilazione
...e a questo punto, chiunque deve capitolare e arrendersi all'evidenza: non sanno cosa stanno facendo. 
Ci sono decine, centinaia di altri "usi" che non sono nè profilazione nè hanno natura commerciale ma che dovrebbero comunque essere vietati. 
Nel decreto si citano solo due miserrimi trattamenti ma ce ne sono ben altri di cui preoccuparsi e ben peggiori.
Il fatto che ne siano stati citati solo due, solo quei due e non altri, elencati in modo esplicito, crea un grosso problema interpretativo che non tarderà a manifestarsi: se sono vietate solo la profilazione e l'uso commerciale, gli altri trattamenti sono dunque leciti? Significa forse che quei dati possono essere usati, per esempio, per addestrare sistemi di intelligenza artificiale generativa? Oppure magari per finalità statistiche? E ancora, per scopi di ricerca scientifica? Magari per la prevenzione o accertamento di reati? Possiamo usarli per scopi di propaganda politica? E se ci viene voglia di scambiarli senza fine di lucro, escludendo la finalità commerciale, possiamo quindi farli girare?
In pratica, il Governo sta introducendo una norma avulsa dal contesto, senza alcun richiamo al GDPR, che introduce dei divieti bislacchi, superflui poichè già ampiamente previsti dalla direttiva e-privacy e dal GDPR stesso e, peraltro, aprendo la porta ad un indebolimento delle tutele generali e dei limiti ordinari all'uso dei dati personali. 

Questo comma entra di diritto nella top-ten della classifica "FARE LE COSE CON IL CULO".

No caro Ministro, Non è così che funziona.

Questo comma sancisce e conclama l'ignoranza, la pocaggine e l'approssimazione del provvedimento e, oltre a questo, apre la porta a tutti quegli usi non espressamente vietati, decisamente preoccupanti che forse nessuno al governo ha intravisto. 
Oppure mi sbaglio: magari questi usi ulteriori sono stati effettivamente intravisti, anzi, sono per caso desiderabili?
 
Ecco, l'ho detto.

"6. I dati personali raccolti o generati durante l’attivazione delle applicazioni non possono essere utilizzati per scopi commerciali e di profilazione."


LA LETTERINA
Secondo una logica un po' bizzarra, il comma 7 disciplina e completa quanto previsto dal comma 1. Faceva brutto metterlo subito dopo? Forse è un post scriptum? Non saprei. Quello che so è che anche il comma 7 è un pateracchio.
I dispositivi già in uso, quelli per i quali i produttori non hanno alcun obbligo di aggiornamento o di dotazione di sistemi di parental control, sono qui il presupposto per  una comunicazione da inviare entro 30 giorni. Una bella letterina.
La cosa bizzarra è che questa comunicazione dovrà essere inviata dai fornitori di servizi di comunicazione che, però, non sono i produttori dei dispositivi. Secondo la definizione iniziale dovrà riguardare smartphone, computer, consolle per i videogiochi, dispositivi connessi come frigoriferi, termostati, assistenti virtuali, ecc. Mi vergogno a raccontarlo ma è ciò che prescrive la norma.
Mi sorge un dubbio: su che base i fornitori di servizi di comunicazione selezioneranno i propri utenti per inviare questa comunicazione? Temo che sarà una comunicazione erga omnes, molto generica con il consueto utilissimo messaggio:

"caro utente, è possibile ed è importante che tu installi o chiedi l'attivazione dei sistemi di parental control, anche sui dispositivi già in uso"

Arriverà una pioggia di sms?  Faranno un invio broadcast tipo It-alert? Vedremo una letterina allegata alla fattura? Una bella email? Difficile prevederlo, nulla è certo, se non l'immane costo di questa comunicazione di massa a fronte di una utilità decisamente risibile.

Sarebbe interessante anche capire il senso del voler limitare la comunicazione (la letterina) ai dispositivi "già in uso" quando, a livello sistematico, si dovrebbe fare riferimenti ai dispositivi già immessi sul mercato, a prescindere dal fatto che siano stati effettivamente accesi, o giacciano in un cassetto in attesa del compleanno del pargoletto. Temo che cercare coerenza all'interno di questo provvedimento possa generare frustrazione, se non disperazione.


"7. I fornitori di servizi di comunicazione elettronica in- viano, entro 30 giorni dalla data di entrata in vigore della presente disposizione, una comunicazione ai propri clien- ti riguardo alla possibilità e all’importanza di installare, o comunque di richiederne l’attivazione, sui dispositivi di cui al comma 1, lettera b), già in uso, le applicazioni di cui al comma 1, lettera c).
8. L’Autorità per le garanzie nelle comunicazioni vigila sulla corretta applicazione del presente articolo e, previa diffida ai soggetti obbligati, applica le disposizioni di cui all’articolo 1, comma 31, del decreto legislativo 31 luglio 1997, n. 249."


Con questo si conclude il primo dei due provvedimenti escogitati dal Governo per rendere sicura la vita digitale dei minori e salvarli dal lupo cattivo.
Questo era il provvedimento fatto bene. Quello successivo è peggio.

Il secondo provvedimento sembra una barzelletta.



ALFABETIZZAZIONE
L'idea di base è buona, anzi, ottima, un pò come salvare i cuccioli di foca, diminuire le tasse, salvare la foresta amazonica o fermare le guerre: strutturare una campagna di informazione e alfabetizzazione per dare strumenti alle persone per gestire al meglio la vita digitale dei figlio e, in generale, dei minori. 
Chi non è d'accordo con questo?

"Consulenza e servizi in merito alla alfabetizzazione mediatica e digitale dei minori con particolare attenzione alla loro tutela rispetto all’esposizione a contenuti pornografici e violenti."
Ottimo
Come facciamo?   
Ma io Boh!

Il Governo, con un piglio decisamente ottimista, vorrebbe affidare questo compito ai Centri per la Famiglia (CpF). Soprassedendo per un attimo sul tema della competenza, soffermiamoci sui numeri.
Ma cosa sono questi centri? dove sono? quanti sono? 
Semplificando molto, si può dire che sono i vecchi CONSULTORI dei servizi sociali.
Stando al conteggio ufficiale, ad oggi, sono 507 in tutta Italia. Mecojoni!


  



Consultando il sito ISTAT si scopre che le famiglie con almeno un figlio minore sono oggi 5.984.691.
Non male, vuoto per pieno, facendo un rapido e approssimativo calcolo, teoricamente ciascuno di questi centri per la famiglia dovrà gestire 11.804 appuntamenti. Presupponendo che abbiano anche altro da fare, direi che, con un po di fortuna, rimboccandosi le maniche, ogni centro possa gestire 4 appuntamenti al giorno. Ovviamente penso a appuntamenti personalizzati per ogni famiglia. Se i CpF facessero per tutti la stessa cosa, non servirebbe questo servizio, basterebbe un opuscolo. Ogni incontro dovrebbe richiedere almeno un'ora di formazione individuale, personalizzata sulla base dei dispositivi posseduti dalla famiglia, dell'età dei minori, delle condizioni socio economiche, ecc. Gli incontri andranno preparati e organizzati e penso sia necessaria almeno una mezzoretta per acquisire gli elementi di contesto e per capire cosa fare caso per caso...   quindi, 2.951 giorni di lavoro. In circa 8 anni dovrebbero aver terminato.
Non male. Fossi in loro inizierei appena possibile.

Accanto a questo sono previste attività di monitoraggio, rendicontazioni, alcune campagne informative, spot e altre pregevoli iniziative, utilissime per dimostrare un grande impegno delle istituzioni sul tema.
La norma prevede azioni di monitoraggio sull'osservanza... ma non mi pare di aver visto da nessuna parte strumenti di misurazione dell'efficacia del progetto. Sono due cose differenti.
Ecco, anche questo l'ho detto.


"Art. 14.
Alfabetizzazione digitale e mediatica
a tutela dei minori e campagne informative
1. La Presidenza del Consiglio dei ministri - Dipar- timento per le politiche della famiglia promuove studi ed elabora linee guida rivolte ai fruitori di dispositivi di comunicazione elettronica e di applicazioni di controllo parentale, con particolare attenzione agli educatori, alle famiglie e ai minori stessi.
2. I Centri per la famiglia di cui all’articolo 1, com- ma 1250, lettera e), della legge 27 dicembre 2006, n. 296, offrono consulenza e servizi in merito alla alfabetizzazio- ne mediatica e digitale dei minori, con particolare atten- zione alla loro tutela rispetto all’esposizione a contenuti pornografici e violenti. A tal fine, il Ministro per la fami- glia, la natalità e le pari opportunità realizza un’intesa in sede di Conferenza Unificata, avente ad oggetto i criteri e le modalità di attuazione di tali servizi."


QUI PRODEST?
Dopo questa analisi del testo, magari simile alla affannosa ricerca del pelo nell'uovo, vale la pena di alzare lo sguardo per cercare di avere una prospettiva più ampia.
Guarda un po... accidenti, ma tutto questo è veramente inutile! 
C'è già!!! 

I principali sistemi operativi, quelli comunemente utilizzati da smartphone e computer, videogiochi e smart tv, implementano già sistemi di parental control nativi, da anni! In certi casi magari è solo in PIN numerico ma risponde ai requisiti della norma.
Che senso ha una norma che obbliga a fare una cosa già fatta e che nessuno ha intenzione di non fare? Che senso ha una norma che obblighi la gente a ripararsi dalla pioggia? Oppure l'obbligo di poter disporre di bicchieri per bere? Si potrebbe pensare cha sia un provvedimento stupido ma francamente non penso che sia così. Il governo non è stupido, penso piuttosto che il provvedimento sia voluto esattamente com'è, solo che lo scopo di questa norma non è esattamente quello dichiarato.
Urca, l'ho detto, pure questo.


Continuo ad essere molto perplesso da alcuni aspetti della norma e ai risvolti della sua applicazione.
L'obbligo di dotare i dispositivi di strumenti di parental control non deve e non può coincidere con l'obbligo di utilizzare tali sistemi. Una famiglia può tranquillamente decidere di non avvalersene.
La cosa triste è che, per come è congegnata la norma e per come è delineata la campagna informativa, se una famiglia non usa il parental control, non è una buona famiglia.
Il fatto che la gestione della tematica sia affidata ai centri per le famiglie (ex consultori) non va nella direzione responsabilizzazione della famiglia ma suggerisce, piuttosto, un monitoraggio da parte di chi è preposto, tra le altre cose, a mettere in discussione la capacità genitoriale.
In breve, non vorrei che si diffondesse il pensiero che chi non usa il Parental Control non si sta prendendo cura dei propri figli.


Personalmente ritengo che questo sia uno strumento utile solo in un contesto evoluto. Resta uno strumento inutile in un contesto con grosse lacune, disomogeneo o immaturo, mostra grossi limiti e può facilmente diventare controproducente.
Il divieto moltiplica la curiosità nei ragazzi e ammanta di trasgressione comportamenti che dovrebbero essere spiegati e discussi.
Nel mio piccolo, ho attivato il parental control per le mie figlie, decidendo io cosa debba essere filtrato e i tempi di utilizzo. Oltre a questo, ho anche dato loro la password per bypassarlo, per disattivare i blocchi e per prolungare il tempo di utilizzo. 
Parlo costantemente di questi temi e sanno bene quale è il senso del blocco che, per me, ha la funzione di un mero avvertimento, certamente non di un divieto.
Questa è la mia strada, nel bene e nel male.

Temo che le persone e i bambini che realmente avrebbero bisogno di aiuto non abbiano nemmeno una famiglia alle spalle che possa farsi carico di una educazione digitale.
Mi domando che senso abbia collocare questa opera informativa all'interno dei Centri per le famiglie. Torniamo sul tema della competenza.
I ragazzi vanno a scuola e da li si dovrebbe partire: assieme alle famiglie, quello è il luogo ove si formano le giovani persone che stiamo cercando di educare e di far crescere.
Mi sorge il dubbio che il Governo non abbia molta stima del corpo docente o che non lo ritenga capace di gestire questo tema. Francamente, se fossi un insegnate, sarei offeso da questa norma.



IL LUPO CATTIVO
Intanto mi metto nei panni delle aziende coinvolte e non posso fare a meno di immaginarle sogghignare e fregarsi le mani per alcune delle implicazioni di questa norma:

Digital Assistant:  i produttore di digital assistant (alexa per intenderci ma anche Siri, Hei Google, Cortana, ecc) sta già pensando che il suo onnipresente borlottino, potrebbe operare in presenza di un minore, anche in modo saltuario o imprevisto. Perchè dunque non aggiungere una utilissima funzione di ascolto ambientale e attivazione automatica dei filtri parental control qualora venga rilevata la presenza di una voce bianca? Fantastico, si apre la porta al monitoraggio permanente e legale, anzi, obbligatorio, della frequentazione domestica di milioni di abitazioni.


ISP: la direttiva e-privacy vieta (o meglio regolamenta) agli Internet Service Provider (ISP) come TIM, Fastweb, ecc. l'analisi e l'uso del traffico dati. Per adempiere a questo decreto si introduce un trattamento obbligatorio e strutturato. I log dei sistemi di parental control sono una fonte preziosissima di informazioni, anche solo in termini di dati aggregati. A che ora, dove, ogni quanto si fruisce di contenuti vietati ai minori? Cosa ce ne facciamo di una informazione simile? Per carità, come detto, nessun uso commerciale o di profilazione... ma queste informazioni non dovrebbero proprio esserci e, di sicuro, non dovrebbero essere nella disponibilità degli ISP.


Con il Garante:
Attività istruttoria verso XYZ per trattamento illecito di dati di traffico
"Hem, scusi, Garante, noi abbiamo applicato una norma"
G "si, ma avete violato il GDPR, non avete una base di legittimazione per trattare quei dati"
"hem, si, siamo obbligati, legga qui"
G "ok, ma avete trattato i dati per altre finalità"
"hem, ma qui sono vietate solo queste due che non abbiamo fatto"
G "eh ma il GDPR è una norma europea e prevale
"hem, ma questa è una legge successiva e speciale, inoltre non possiamo non applicarla"
G "va bene, sospendiamo tutto in attesa di approfondire"
....
...
..
.



Comitato di direzione della XYZ-VPN (produttore di VPN a caso)
Peppe-pepepepeeeeee
festa festa festaaaaaaaa
peppe-pepepepeeeeee
Un altro pò di caviale?
peppe-pepepepeeeeee




Comitato di direzione dei fornitori dei servizi di comunicazione: 
"ragazzi, dobbiamo inviare una comunicazione a tutti gli utenti"
"ok, mandiamo con la fattura?"
"Certo, sono 4 facciate in più, per 8.000.000 di utenti, sono circa €800.000"
"occacchio.... e se le mandiamo via email?"
"Be, poco meno, anche perchè dobbiamo dimostrare di averlo fatto quindi serve un service di invio affidabile, dobbiamo tracciare l'apertura delle mail, inviare di nuovo a chi non ha ricevuto, archiviare tutto, ecc."
"va be, ma è un costo che giriamo sul cliente, vero?"
"no, non possiamo"
"ma siete scemi? Ma chi ha avuto questa idea del cacchio?"
"..."
"capo, potremmo fare questa cosa gratis ma metterci un sevizio premium a pagamento"
"Interessante, dimmi di più"
"Il governo ci obbliga a promuovere il servizio, si creerà molta visibilità, non si parlerà d'altro, diventeranno tutti paranoici, tutti vorranno attivare questa cagata, hem, questa funzione e noi lo regaliamo nella versione base, che non fa un cazzo, ma nel contempo pubblicizziamo quello che già facciamo, lo chiamiamo premium e raddoppiamo il costo"
"Geniale! Procedete pure."

Così, tanto per volare con la fantasia.

Prosit.







domenica 11 giugno 2023

Vietato vietare - riflessioni in libertà


Periodicamente, ciclicamente, esattamente come i pidocchi,, le verruche e l'influenza, arrivano quelli che benpensano, sbandierando la grande idea, l'ideona, proprio, la soluzione, la panacea per tutti i mali del mondo:  VIETARE.

In più, immancabilmente, ogni raffica di divieti viene mistificata e ammantata di santità sempre con il solito argomento:  "lo facciamo per proteggere i bambini".

Capita forse in tutti gli ambiti, ma quando accade nel piccolo mondo della protezione dei dati personali non riesco a stare zitto.


Giù le mani dai bambini, per carità, se no mi parte l'embolo!


Raccolgo qui alcuni post che ho pubblicato su twitter e che descrivono abbastanza bene il mio pensiero.


1) tweet n.1, in risposta ad un post (bloccato) di Giulia Pastorella.

(fonte https://twitter.com/prevenzione/status/1667080065203556352)

Questa idea è discutibile. È legittimo fare una proposta simile e, se ottieni il il voto della maggioranza della popolazione, diventi pure realtà. Si chiama democrazia.


Però bisognerebbe essere trasparenti e dire le cose come stanno.


"Proteggere i bambini" è una scusa di facile presa, messa li apposta per raccogliere facile consenso, per dissimulare una triste realtà facendola sembrare meritoria e universalmente condivisibile. Chi mai potrebbe essere contro ai bambini? Chi può dirsi contrario a ciò che si fa per il loro bene?


Purtroppo ormai è un mantra: ogni volta che si vuole far passare una porcata assurda la si mette in relazione alla tutela dei minori, al contrasto alla pedopornografia infantile, al bullismo, ai peggiori scenari a danno dei più deboli. Si vince facile. Siamo sempre tutti d'accordo.


Peccato che le cose non stiano in questi termini.


Il tweet sotto riportato rappresenta il VERO pensiero sottostante: il controllo esercitato al posto dei genitori, giudicati incapaci di attendere alle proprie funzioni.


Noto uno uno spiccato accento morale, un giudizio aprioristico su cose che attengono a ciascuno di noi e per le quali abbiamo bisogno di essere liberi, magari anche di sbagliare e noto la chiara e netta volontà di sostituirsi ai genitori nell'esercizio di una delle più importanti missioni a loro affidate: l'educazione dei propri figli.


Questo passaggio è cruciale perchè il pensiero espresso, questo metodo e questa politica, in prospettiva, apre le porte e va nella direzione del controllo: 

controllo del voto al posto degli elettori, 

controllo dell'opinione al posto delle coscienze,

controllo dell'informazione al posto della stampa,

controllo della pluralità al posto della gente,

controllo dell'impresa al posto dell'imprenditore,

controllo delle libertà al posto della legge,

controllo di tutto.


Non ci sono mezze misure.

Se si sdogana la bontà del controllo, per salvare i bambini dall'incompetenza genitoriale, si aprono le porte dell'abisso.


Il GDPR non chiede di fare questo, ma proprio per niente, anzi, chiede l'esatto contrario. Per favore, non diciamo che questa brillante idea è necessaria per applicare la legge perchè è una bugia.

Il GDPR è una norma di libertà e di responsabilità.

Le aziende hanno la responsabilità di garantire che certi servizi siano utilizzati solo da determinate persone, in alcuni caso dai maggiori di 14 o 18 anni. 

Le famiglie hanno la responsabilità di gestire i propri figli, mettendo a disposizione strumenti appropriati alle loro esigenze e alla loro età, vigilando e insegnando come utilizzare il mondo intero, non solo una app.

Le persone, anche quelle piccole, hanno il dovere, ma anche il diritto, di decidere, di sbagliare, di provare, di capire, di essere libere.


Persone non libere di fare una cosa saranno persone che quella cosa la faranno in modo illecito, aggirando ogni possibile norma pensata dal legislatore per vietare loro ciò che desiderano fare.


Ciascuno faccia le proprie considerazioni, naturalmente, per tutelare i bambini.

Gli adulti di domani non possono ereditare un mondo schifoso, fatto di controllo pervasivo dello stato su tutto ciò che li riguarda.

 

(Secondo post di integrazione)

 

Non bisogna confondere il soggetto tutelato con il soggetto obbligato.

il minore è il oggetto tutelato e ha dei DIRITTI, non ha dei doveri. 

il soggetto obbligato è il social network e non ha dei diritti bensì ha dei doveri.

La vostra proposta inverte tutto, gravando il soggetto tutelato di doveri e comprimendo i suoi diritti.


Che vi piaccia o meno, uno dei diritti delle persone è anche quello di poter violare una norma, rispondendone, poi, se del caso. 

Il sistema proposto è pensato per impedire (formalmente) un accesso a chi non rispetta i criteri stabiliti da una norma amministrativa. E' sproporzionato e lesivo di una libertà importante per la tenuta della nostra democrazia.


Dico "formalmente" perchè in concreto accadranno cose molto diverse da quelle che voi immaginate.

Non so se mentite sapendo di mentire oppure se proprio non fatto alcuna valutazione sull'impatto di questo sciagurato sistema:


1) nessun minore verrebbe tutelato: quelli che già ora utilizzano  socialnetwork anche sotto l'età minima continueranno a farlo. 


2) nessun genitore sarà educato a fare meglio il genitore: chi ha già una sensibilità sull'argomento non ha alcun bisogno di questa norma e si comporta già in modo virtuoso. Al contrario, chi non ha sensibilità su questo argomento percepirà soltanto una nuova fastidiosa pastoia burocratica, per colpa della quale dovrà perdere tempo per fare una cosa che avrebbe lasciato fare in autonomia: aprire un account per il proprio figlio... o per il fratellino... o per il vicino di casa.


3) le piattaforme saranno deresponsabilizzate rispetto ad un proprio preciso obbligo di legge, non rischieranno più sanzioni e potranno disinteressarsi di ciò che avviene all'utente. la norma una chiede di istituire una procedura formale ma chiede di attuare una gestione che garantisca protezione effettiva. 


4) si moltiplicheranno i database, gli archivi e le liste, aumentando a dismisura i rischi per gli inevitabili data breach, errori umani, bug e malfunzionamenti he esporranno valanghe di dati che potrebbero (dovrebbero) non esistere. Diventa solo questione di tempo.


5) ci sarà un nuovo soggetto intermedio con un nuovo database di utenti che, volenti o nolenti, permetterà di tracciare ogni utente impedendo una fruizione veramente anonima dei social network.


Solo per evitarle la fatica di arrabattarsi su questo punto: NO, l'anonimato non è affatto un male e non è sinonimo di sordidi affari. 

L'anonimato è tanto necessario quanto lo è la libertà di espressione.


Senza anonimato, non ci può essere dissenso, non ci può essere opinione contraria a quella di un soggetto autoritario, non si può essere libertà in molti aspetti della nostra vita.


Ci pensi, questa proposta porterà il nostro paese ad essere peggiore, non migliore.


Se poi lo si vuole fare solo per carpire i voti ed il consenso di quattro imbecilli trogloditi che appena sentono "bambini" urlano sguaiatamente in favore della nuova ideona... prego, fate pure, ma abbiate almeno il buongusto di promettere senza mantenere.

 






martedì 10 gennaio 2023

Perchè lo devo salvare? Tanto lo trovo nell'email... ma anche no!

 Perchè lo devo salvare? Tanto lo trovo nell'email...

Ma anche no!


Si, lo ammetto, esistono persone, con evidenti problemi psicologici irrisolti, che si comportano effettivamente nel modo corretto, che fanno ordine nella posta e che governano i flussi di email in ingresso ed in uscita. A loro va tutta la mia stima ed invidia. Tuttavia, con un po' di sano qualunquismo dettato dall'esperienza, posso dire con serenità che il comportamento più frequente tende ad essere diverso e molto più rilassato, orientato al massimo risultato con il minimo sforzo. (E forse il minimo costo)

Tutto ciò parte da molto lontano.

C'era una volta... un epoca in cui le risorse informatiche erano imitate e le caselle di posta avevano una capienza nell'ordine di poche decine di Mega.  A quell'epoca si faceva di tutto per ottimizzare e risparmiare spazio: iniziò così una feroce lotta allo spam e vennero applicate procedure di cancellazione selettiva degli archivi di email, spesso basate su criteri arbitrari. All'ansia da ristrettezza si aggiunse l'angoscia da cancellazione e il pensiero di perdere documenti importanti. Ricordo ancora il "giorno delle pulizie di primavera" in cui partiva la caccia alle mail troppo "pesanti" per poterle gestire, salvare o cancellare. Con la necessaria pazienza, era facile individuare i pachidermi mettendo i file in ordine di "peso". Ricordo anche appositi tool di analisi sviluppati per thunderbird che, oltre a produrre simpatiche statistiche, mettevano in evidenza proprio i messaggi più ingombranti per liberare spazio sui mail server o sugli striminziti hard disk dell'epoca.

"Mai, mai scorderai. L'attimo, la terra che tremò. L'aria s'incendiò e poi silenzio..."

Venne il giorno dell'apocalisse. La posta elettronica cambio di colpo e tutto accadde nel momento in cui Google decise di regalare spazio infinito a tutti i gli utenti Gmail. Tanti Giga per tutti! All'epoca erano una quantità di spazio virtualmente inesauribile e, come se non bastasse,  sono stati via via aumentati proprio per garantire spazio sufficiente anche rispetto alle crescenti esigenze dettate dalle nuova generosa possibilità di archiviazione. Di conseguenza si è diffuso un frizzante senso di leggerezza e spensieratezza. Finalmente non era più necessario cancellare mail per liberare spazio e si poteva tenere tutto a portata di mano nella posta.

Da quel momento cambiarono molte cose e il cambiamento più significativo probabilmente riguarda proprio il nostro atteggiamento mentale e l'uso pratico della posta elettronica che da allora si diffuse. Chi ha utilizzato Gmail, all'epoca, ha iniziato a modificare il proprio comportamento: niente più pulizie di primavera, niente più pensieri sull'esaurimento delle risorse, niente più bisogno di fare ordine.

Oltre all'abbondanza di risorse, ci si rese conto anche della praticità di poter disporre di una potente ed automatica indicizzazione delle mail, dei loro metadati e dei loro allegati. Gran parte delle persone iniziò a disinteressarsi della catalogazione e, in ultima analisi, della gestione della posta arichiviata.

Perchè perdere tempo a catalogare, etichettare, spostare, salvare e archiviare email quando, con un veloce ed intuitivo comando, era ed è possibile trovare rapidamente ogni cosa, anche se apparentemente sperduta nel mare magnum dell'ininterrotto e lunghissimo flusso di messaggi?

Questa banale considerazione ammalia l'essere umano e fa leva sulla sua innata pigrizia. Non so dire se sia un fattore trascinante ma di certo la pigrizia umana ha contribuito molto al successo di Gmail.

Negli anni questa tendenza si è consolidata e oggi pare molto normale cercare documenti direttamente nella posta anzichè in archivio.

Purtroppo in ogni favola c'è sempre una mela avvelenata, una strega cattiva, un lupo affamato o una matrigna cattiva. Così, anche nella favola dello spazio infinito e della conservazione eterna arriva il colpo di scena che cambia tutto e ogni cosa si trasforma da azzurra e sgarzullina in rossa e dardeggiante.

Arriva il GDPR

Eh... già, ma non è mica questa la strega cattiva. Forse, nella metafora, il GDPR è il principe azzurro, il cacciatore o la fata madrina. Il GDPR prova a salvarci dal problema, non facciamo confusione.

Ma allora qual'è il problema?

Il problema è proprio la sempiterna conservazione di tutto ciò che arriva per posta, senza distinzioni e senza preoccupazioni. 

Nel GDPR sono contenuti alcuni importanti principi e questi sono oggi un obbligo di legge. I principi della minimizzazione del dato (1) e della limitazione delle finalità (2) e della limitazione della conservazione (3), descritti dal GDPR, non sono nati oggi, sono ben più risalenti e rappresentano una ESIGENZA sentita sin dai tempi in cui la normativa in materia di protezione di dati ha emesso i suoi primi vagiti. Oserei dire che sono esigenze molto umane, connaturate ad ogni persona, bisogni ontologici rispetto al dato spesso che, si spera, debba vivere la sua vita secondo natura: il dato deve nascere, deve vivere e deve morire

Il dato non può esistere per sempre e non può essere utilizzato per qualsiasi cosa ci possa venire in mente di fare in futuro. Il rischio sotteso a questa nefasta possibilità è così grande da essere una delle distopie più ricorrenti nella letteratura e nella cinematografia. Questo ci deve terrorizzare: un calderone dove tutto entra e da cui nulla si cancella, una cornucopia di dati stratificati, automaticamente indicizzati e solo all'apparenza disordinati, infiniti dati strutturati che si possono elaborare, che possono essere messi in relazione ad altri dati, che possono essere estratti o selezionati secondo criteri arbitrari.

Allora l'antagonista, il cattivo, non è il GDPR bensì la concezione stessa della email senza limiti ed utilizzata, in modo improprio, come immenso archivio incrementale e alluvionale.

Prendere coscienza di tutto questo è abbastanza doloroso anche perchè, se vogliamo trarre delle conclusioni, dobbiamo ammettere che:

  • stiamo sbagliando ad usare la posta come archivio universale dell'impresa
  • abbiamo bisogno di salvare altrove sia i file che la corrispondenza da conservare
  • abbiamo bisogno di definire un tempo di conservazione per l'archivio della posta elettronica
  • abbiamo bisogno di cancellare periodicamente tutto ciò che non abbiamo messo da parte dopo il tempo di conservazione
  • abbiamo anche bisogno di un sistema di gestione documentale per non trovarci di fronte ad un archivio inutilizzabile
  • ...infine... ci accorgiamo che il Garante ha ragione e che ci sanziona per questo comportamento.

In tutto questo torna alla mente un recente ed illuminante provvedimento del Garante Privacy che ci permette di prevedere cosa accadrebbe se dovessimo essere giudicati noi, sulla base di come gestiamo la posta elettronica in azienda. 

Non finirebbe per niente bene.

Buon lavoro colleghi DPO!
Prosit.




Appendice documentale ---

Il provvedimento citato in ultimo è qui (Ordinanza ingiunzione nei confronti di Stay Over s.r.l. - 21 luglio 2022 [9809466]) ed è una pietra miliare per la gestione delle email in azienda.

Oltre a questo, sono rilevanti anche altri provvedimenti e linee guida sullo stesso tema e di stesso identico orientamento:

Provv. 1° marzo 2007, n. 13 “Linee guida per posta elettronica e internet” (QUI)

Provv. 29.10.2020, n. 214, doc. web n. 9518890 (QUI)

Provv. 29.9.2021, n. 353, doc. web. n. 9719914 (QUI)

Provv. 16.12.2021, n. 440, doc. web n. 9739653 (QUI)

provv. 1° febbraio 2018, n. 53, doc. web 8159221(QUI)


martedì 20 dicembre 2022

Non ci stiamo nemmeno provando (a rispettare le regole) !

 Non ci stiamo nemmeno provando a rispettare le regole!


© Mordillo Foundation. All rights reserved.


Premessa: un post che farà arrabbiare molti colleghi, preoccupare molti imprenditori, sobbalzare molti controllori. 

Obbiettivo: lanciamo un altro sasso nello stagno e vediamo cosa succede. Magari qualcuno si sveglia

Previsione: non succederà proprio niente perchè nessuno vuole accettare la realtà

Esito finale: continueremo ad essere tutti molto fragili e ricattabili.


Lungo lungo lungo post che richiede un piccolo indice:

  • Introduzione
  • Il dilemma del DPO
  • Non c'è solo il GDPR
  • Cosa ci chiede lo statuto dei lavoratori?
  • Il percorso di elaborazione del dolore
  • La negazione
  • La rabbia
  • Il patteggiamento
  • La depressione
  • L'accettazione
  • Il riscatto


Introduzione

Quando opero da consulente mi trovo spesso ad analizzare aziende che iniziano a mettersi in regola con il GDPR: si inizia pieni di entusiasmo ma con un velo di malinconia perchè si preconizza come andrà a finire.

Il lavoro è lungo e dipende molto dalle aspettative dell'azienda. Normalmente tutto parte dall'analisi dei trattamenti: un bell'inventario basato su ciò che accade in azienda, cosa si fa, da dove arrivano i dati, come vengono usati, dove vengono mandati, fino ad arrivare a cosa potremo voler fare in futuro. Quanto più si riesce ad essere precisi e analitici, tanto più sarà completo il lavoro finale. Il resto del lavoro dipende da questa analisi e si svilupperò di conseguenza.

Quando opero da DPO il discorso è molto simile, verifico i documenti, gli adempimenti e mi trovo di fronte a situazioni gestite con tanta buona volontà e con un livello di consapevolezza dei dettagli che varia molto tra le diverse imprese.

Per la cronaca... si, intendevo proprio dire questo: se faccio il consulente per un'azienda non posso essere il suo DPO e viceversa. Ma questa è un'altra storia.

In entrambi i casi, quando mi capita di affiancare ispettori durante le loro verifiche, osservo un livello di analisi decisamente leggero, compiacente, uno sguardo dall'alto, senza voler approfondire più di tanto e senza scoperchiare pentoloni che, forse, è meglio che rimangano chiusi. Non intendo dire che le verifiche siano all'acqua di rose, ma non posso fare a meno di concludere ogni ispezione con un giudizio che immancabilmente suona più o meno sempre nello stesso modo: "ci è andata veramente di lusso!"

Perchè lamentarsene quando la situazione va a proprio vantaggio? Non penso proprio che la fortuna possa giocare un ruolo in tutto questo e, forse, le cause vanno ricercate più che altro in un tacito patto tra persone che si trovano di fronte ad un nemico comune.

Penso che la stessa cosa capiti a ogni professionista, per quanto riguarda il proprio campo di specializzazione. Fin qui, dunque, nulla di speciale.


Il dilemma del DPO
Rimango spesso invischiato in pensieri che mi perplimono e che tratteggiano situazioni che non riesco ad accettare.
Non ci dormo la notte.

Ciò che mi turba è l'immenso ed ubiquitario il vaso di Pandora che nessuno vuole vedere, che nessuno vuole toccare e che, se aperto, avrebbe conseguenze dirompenti e devastanti un po' per tutti. Nessuno ne ammette l'esistenza ma il vaso c'è. Forse siamo tutti tacitamente d'accordo e fare finta di niente può essere la cosa giusta da fare di fronte a una faccenda troppo dolorosa, troppo complicata, troppo grossa per essere gestita.

E io non ci dormo la notte.

Probabilmente è vero che viviamo in un mondo sovrastrutturato, con norme molto stratificate che rendono complicato anche il solo fatto di respirare, dove tutto è potenzialmente vietato e che, spesso, frustra la volontà di chi desidera provare a fare le cose per bene. 
Altrettanto probabilmente il mondo della privacy è estremamente complesso e maledettamente serio, un mondo in cui le circostanze determinano il senso e la portata della norma nonchè la sua applicabilità ai singoli casi.  È un mondo dalla dimensione frattale, dove ogni singolo elemento può essere oggetto di ulteriore analisi e scomposizione, ritrovando in ogni sua parte le stesse simmetrie che sono proprie dell'intero. Chiunque approfondisca un po' l'argomento si trova presto alle prese con il fatidico dilemma al quale tutti dobbiamo dare un risposta:  

la domanda fondamentale sulla vita, l'universo e tutto quanto, in salsa Privacy...  
"ma fino a che punto devo arrivare?" 

Fino a che punto è giustificato analizzare, scandagliare, descrivere nel particolare e vivisezionare i trattamenti, i sistemi informativi, il ciclo produttivo, i fornitori ed ogni altro asset che concorre al trattamento dei dati personali?

Fino a che livello di analisi e di sofisticazione deve spingersi un DPO, un titolare del trattamento, un consulente, per spacchettare la realtà e per poterla, poi, gestire pezzo per pezzo, evidenziandone i rischi, rimediare ai guai e, in ultima analisi, adempiere al GDPR?

Si, perchè ci dev'essere un punto che, una volta raggiunto, mi consenta di dire "ok, va bene così, può bastare". 

Deve esserci anche perché, se non ci fosse, saremmo di fonte ad un circolo vizioso, senza senso, che porterebbe a riscoprire che l'atomo è indivisibile per poi portarci a concludere che più avanti di così non si può andare, perdendo completamente di vista il quadro generale e il senso della realtà. Senza contare il fatto che, la natura frattale della protezione dei dati personali, potrebbe portare ad inviluppi senza fine degni dei cervellotici paradossi tipici delle antiche scuole filosofiche ateniesi.

Non ci dormo la notte, vedendo che l'approccio più comune consiste nell'allinearsi ad un livello di analisi così superficiale da non riuscire a vedere l'ovvio, così fumoso da trascurare rischi macroscopici e ignorare adempimenti cardine dell'intero sistema.

E dato che non ci dormo la notte, approfondisco volentieri.

Cercando questo punto di equilibrio, tra rigore e senso pratico, si finisce spesso a filosofeggiare tra DPO e divertirsi a portare il discorso alle sue estreme conseguenze. Questo è un esercizio utile per capire molti meccanismi, per esempio, è molto divertente analizzare un semplice browser per capire cosa implichi in termini di adempimenti GDPR. Cosa dobbiamo considerare per una analisi attenta?

  • c'è il browser,
  • ci sono dei trattamenti automatici che l'utente non vede nemmeno, come la tecnologia Google Instant
  • ci sono i cookie del browser,
  • ci sono i cookie di alcuni produttori o di tecnologie accessorie (es. ricordiamo quelli di Adobe Flash)
  • ci sono i javascript che arrivano dalle pagine web visitate
  • c'è la risoluzione degli indirizzi digitati tramite i DNS,
  • ci sono utenti loggati e utenti non loggati, per esempio, a Google,
  • ci sono utenti che salvano le password in locale nel browser,
  • ci sono pagine web che memorizzano il dispositivo come attendibile,
  • ci sono le estensioni che possono essere aggiunte al browser e che fanno entrare in gioco nuovi soggetti con i quali i dati sono condivisi,
  • e ci sono tante altre cose sempre più tecniche, invisibili e sempre più complicate.

Adempiere al GDPR rispetto ad ogni singolo elemento riscontrato in un'analisi rigorosa e completa è estenuante. Non ho mai incontrato un'azienda che abbia nominato "responsabili del trattamento" tutti i soggetti che emergono da questa banale analisi di un ipotetico browser e tutti i produttori di tecnologia coinvolti, per esempio, dalle varie estensioni presenti nel browser.

Non sono un matto e capisco benissimo che, ad un certo punto, sia necessario fermarsi.

Il livello a cui porre l'asticella cambia ed è il titolare del trattamento, diciamo pure l'azienda, che deve decidere quando fermarsi e quando un'analisi è arrivata ad un livello di dettaglio adeguato e, quindi, sufficiente.

Ma io non ci dormo la notte. 

Sì, perché non esiste solo il GDPR, esistono anche altre norme da rispettare, ben più risalenti, consolidate e severe. Esistono norme per le quali non si può fare spallucce liquidandole a una fisima o etichettandole come esagerazioni di un legislatore lontano dal mondo reale (si, ogni tanto me lo sento dire).

Per esempio, esiste la L.300 del 1970, nota alle masse come "statuto dei lavoratori". Una legge fondamentale e profondamente ancorata al nostro contesto sociale e produttivo. Difficile pensare ad una Italia senza tale norma. 

Forse a causa dell'età anagrafica della norma, ho sentito dire che sarebbe, secondo alcuni, una legge anacronistica e non adatta ad un contesto fatto di computer, smartphone ed email.  Ogni volta che lo sento sorrido e taccio perchè ci sarebbero troppe cose da dire e non vorrei seppellire l'interlocutore sotto una montagna di parole e di vergogna.

È un fatto che dagli anni 70 ad oggi sono cambiate tante cose, è vero, ma è cambiata anche la norma e il suo articolo 4 non è sfuggito alle novelle e al maquillage operato da recenti governi.

Al contrario del GDPR, l'articolo 4 dello Statuto dei lavoratori è una norma molto rigida, che non lascia all'interprete margini per giustificare le proprie scelte e che, se violata, comporta unicamente una sanzione penale, immediata, diretta. Questo elemento, da solo, testimonia tutta l'austerità della norma, l'importanza che ha nel nostro ordinamento e la sua posizione in cima alla lista delle norme che non possono essere trascurate o applicate in modo distratto.

Eppure, non ci domo la notte quanto mi accorgo che, normalmente, questa norma viene presa in considerazione solo con riferimento ai sistemi di videosorveglianza. E a volte nemmeno per quelli!

Cosa ci dice lo statuto? In realtà una cosa molto semplice:

Se hai un sistema di videosorveglianza o un qualsiasi altro sistema, dal quale è teoricamente possibile effettuare un controllo a distanza dell'attività dei lavoratori... hai dei limiti e devi fare determinate cose. Se sbagli sei un malfattore. L'unica deroga riguarda i sistemi utilizzati dal lavoratore per rendere la prestazione lavorativa. (parafrasi molto libera e sgarzullina)


Dispositivo dell'art. 4 Statuto dei lavoratori

1. Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell'attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali. In alternativa, nel caso di imprese con unità produttive ubicate in diverse province della stessa regione ovvero in più regioni, tale accordo può essere stipulato dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale. In mancanza di accordo, gli impianti e gli strumenti di cui al primo periodo possono essere installati previa autorizzazione delle sede territoriale dell'Ispettorato nazionale del lavoro o, in alternativa, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più sedi territoriali, della sede centrale dell'Ispettorato nazionale del lavoro. I provvedimenti di cui al terzo periodo sono definitivi.

2. La disposizione di cui al comma 1 non si applica agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze.

3. Le informazioni raccolte ai sensi dei commi 1 e 2 sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d'uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196.

Dietro a questa "cosa molto semplice" c'è un universo di sentenze, interpretazioni, fatti e misfatti che rendono il tema scottante e difficile da maneggiare. Si può facilmente trovare tutto ed il suo contrario nelle sentenze dei tanti tribunali che hanno deciso su vicende legate all'articolo 4 dello statuto.  Facendo i dovuti approfondimenti si nota tuttavia una prevalenza netta di determinate applicazioni e si delinea una giurisprudenza prevalente e chiara.

Senza addentrarci nell'esegesi del diritto e nei complessi ragionamenti sugli orientamenti giurisprudenziali, ci limitiamo ad alcune semplici considerazioni, in salsa GDPR che, tuttavia, svelano un mondo di inadempienze.


PRIMA CONGETTURA: siamo nel penale. Per arrivare al penale con il GDPR bisogna impegnarsi veramente tanto, combinarne di tutti i colori e non è facile.  Al contrario, violare l'articolo 4 dello statuto costituisce una violazione con una unica sanzione di tipo penale. Si, è vero che esiste l'istituto dell'oblazione, ma non sempre può essere esercitato e non è certo uno strumento per ricondurre tutto ad una burla. Ho visto personalmente datori di lavoro dover affrontare il tribunale per aver pagato il bollettino dell'oblazione in ritardo!


SECONDA CONGETTURA: quando la norma cita "gli altri strumenti" amplia enormemente il proprio campo di applicazione. Che i sistemi di videosorveglianza siano richiamati espressamente non li rende diversi da ogni altro sistema che possa essere ricondotto alla fattispecie prevista dall'articolo 4. 

E quali sarebbero gli altri sistemi citati? Beh, mettiamola così: questo è esattamente ciò che mi toglie il sonno.

Volendo vedere la portata esatta dell'articolo 4, in modo oggettivo e non capzioso, bisogna leggerlo in questi termini: ogni altro sistema dal quale sia possibile effettuare un controllo a distanza e che non sia necessario al lavoratore per rendere la prestazione lavorativa. 

E a questo punto, anche i migliori trasecolano davanti al dolore.



-fase della negazione-

"Non è possibile. "

"Stai scherzano... "

"Ma figurati, è roba da talebani della privacy"

Chiunque inizia a preoccuparsi seriamente e ad elaborare l'orrore che si delinea cupo all'orizzonte e che è troppo doloroso per essere vero. Non si può accettare una sconfitta così clamorosa e ci si rende conto che, se le cose stessero veramente in questi termini, la situazione sarebbe veramente grave... non può essere possibile! Non deve esserlo!


-fase della rabbia-

"questa è una norma scritta da chi non ha mai lavorato"

"così le aziende chiudono"

"voglio proprio vedere quale ispettore ha il coraggio di venirmi a dire una cosa del genere"

Dopo la negazione si inizia a prendere in considerazione il fatto che, effettivamente, la norma esista e dalla negazione si passa alla rabbia. Il pensiero di non poterla gestire e di non poter accettare un cambiamento di questa portata genera ostilità e porta le persone a dire cose poco gradite al clero.

È in questi momenti che i DPO vengono spesso presi a maleparole e, nei casi più pittoreschi, anche licenziati. Per fortuna la maggior parte dei titolari si limita a dare al DPO tutte le colpe di un sistema fatto unicamente per dare da vivere ai DPO... ma questa è tutta un'altra storia.


-fase del patteggiamento-

"presto, chiama il consulente, deve esserci una soluzione"
(quello appena mandato via perchè era tutta colpa sua - n.d.r.)

"avremo capito male, deve esserci una soluzione"

"chiamo mio cugino, vediamo come hanno fatto dalle loro parti"

Dopo aver placato i bollenti spiriti, la mente ricomincia a funzionare in modo razionale ma è ancora intontita dal forte shock. A questo punto si cerca una strada alternativa, si pensa che possano esistere deroghe, eccezioni, che si possa fare qualcosa per non doversi tuffare nella valle di lacrime che, ora, si vede chiaramente all'orizzonte.

È in questa fase che arriva uno dei passaggi più insidiosi del percorso perchè, a questo punto, arriva sempre, immancabilmente, chi suggerisce di leggere bene e interpretare pro domo sua l'unica eccezione presente nella regola: "utilizzato per rendere la prestazione lavorativa

Vogliamo essere meno furbi degli altri? La domanda è legittima e, nella cupa disperazione, fioriscono variopinte interpretazioni.

Sicchè, incuranti della giurisprudenza accumulata negli anni, nel totale disprezzo dei numerosi provvedimenti del Garante che chiariscono bene la postata di questo inciso, dopo tanta angoscia, si vuole a tutti i costi intravedere un barlume di speranza... forse c'è una soluzione, forse abbiamo trovato l'escamotage.

Ma la luce in fondo al tunnel non è l'uscita, ma un treno che arriva in senso contrario!



-fase della depressione-

Ed è qui che il dolore lascia il segno più profondo, quando il DPO, di nuovo, chiarisce al titolare che quel lumicino di speranza deve confrontarsi con l'evidenza del concetto di necessità, così come interpretato dal Garante.


        

Così, recentissimo il Garante con Ordinanza di ingiunzione nei confronti di Regione Lazio - 1 dicembre 2022

Sebbene la gestione dei dati esteriori relativi all’utilizzo dei sistemi di posta elettronica, contenuti nella cosiddetta "envelope" del messaggio, e la conservazione degli stessi per un arco temporale limitato, di regola non superiore a sette giorni, si possano considerare necessarie ad assicurare il corretto funzionamento e il regolare utilizzo del sistema di posta elettronica, comprese le essenziali garanzie di sicurezza informatica (v. provv.ti nn. 303 del 13 luglio 2016, doc. web n. 5408460, confermato dal Tribunale di Chieti con sent. n. 672 del 24 ottobre 2019; 1° febbraio 2018, n. 53, doc. web n. 8159221; 29 ottobre 2020, n. 214, doc. web n. 9518890; 29 settembre 2021, n. 353, doc. web n. 9719914), la conservazione di tali metadati, per un lasso di tempo più esteso, non può, invece, ricondursi all’ambito di applicazione dell’art. 4, comma 2, della predetta l. n. 300/1970. Infatti, per scelta espressa del legislatore, solo gli strumenti preordinati, anche in ragione delle caratteristiche tecniche di configurazione, alla “registrazione degli accessi e delle presenze” e allo “svolgimento della prestazione” non soggiacciono ai limiti e alle garanzie di cui al primo comma, in quanto funzionali a consentire l’assolvimento degli obblighi che discendono direttamente dal contratto di lavoro, vale a dire, la presenza in servizio e l’esecuzione della prestazione lavorativa.

In tale quadro, la generalizzata raccolta e la conservazione, per un periodo più esteso (rispetto ai predetti 7 giorni), dei metadati relativi all’utilizzo della posta elettronica da parte dei dipendenti non possono, invece, essere ricondotte all’ambito di applicazione del comma 2 dell’art. 4 della l. n. 300/1970, rientrando, piuttosto, tra gli strumenti funzionali alla tutela dell’integrità del patrimonio informativo del titolare nel suo complesso, di cui al comma 1 del medesimo art. 4.

Così il Garante in audizione il 13 maggio 2020

Va, in particolare, inteso in modo rigoroso il vincolo finalistico alla prestazione lavorativa che, rispetto ai controlli mediante strumenti utilizzati appunto per rendere la prestazione, legittima l’esenzione dalla procedura concertativa o autorizzativa (art. 4, c.2, l.300).

Non sarebbe, ad esempio, legittimo fornire per lo smart working un computer dotato di funzionalità che consentano al datore di lavoro di esercitare un monitoraggio sistematico e pervasivo dell’attività compiuta dal dipendente tramite, appunto, questo dispositivo. 


Garante in Newsletter 21/12/2017

Il Garante ha osservato inoltre che ai sensi della disciplina di settore, il sistema non poteva configurarsi quale mero "strumento di lavoro" indispensabile per rendere la prestazione, potendo consentire, anche indirettamente, il controllo a distanza del lavoratore.


Garante in Newsletter 15/09/2016

L´infrastruttura adottata dall´Ateneo, diversamente da quanto affermato, consentiva poi la verifica costante e indiscriminata degli accessi degli utenti alla rete e all´e-mail, utilizzando sistemi e software che non possono essere considerati, in base alla normativa, "strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa". Tali software, infatti, non erano necessari per lo svolgimento della predetta attività ed operavano, peraltro, in background, con modalità non percepibili dall´utente. E´ stato così violato lo Statuto dei lavoratori - anche nella nuova versione modificata dal cosiddetto "Jobs Act" – che in caso di controllo a distanza prevede l´adozione di specifiche garanzie per il lavoratore.

Garante in Newsletter 29/03/2018

Il sistema, contrariamente a quanto affermato dalla società, non può essere considerato uno "strumento di lavoro" per la sola gestione del contatto con il cliente e dunque utilizzato dall´operatore per rendere la prestazione, perché rientra piuttosto - a parere del Garante - tra gli "strumenti organizzativi" per soddisfare esigenze organizzative e produttive del datore di lavoro dai quali può derivare il controllo a distanza dei lavoratori. E, data la loro invasività, prima di impiegare questi strumenti la società avrebbe dovuto attivare tutte le procedure previste dallo Statuto dei lavoratori


Addirittura sul tema: Audizione del Presidente Antonello Soro sugli schemi di decreti legislativi attuativi del c.d. Jobs Act - 9 e 14 luglio 2015

Espressa esclusione, dalla procedura concertativo-autorizzativa, dei controlli realizzati mediante gli "strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa" (es. computer, smartphone) e gli strumenti di registrazione degli accessi e delle presenze" (ad es. i badge).

Come precisato dallo stesso Ministro, tuttavia, i controlli realizzati mediante tali strumenti beneficiano dell´esonero dalla procedura autorizzativa solo nella misura in cui siano effettuati utilizzando le normali funzionalità degli apparecchi  forniti in dotazione, appunto, per rendere la prestazione e non inserendo specifici  sistemi modificativi  dei dispositivi, finalizzati al controllo personale del lavoratore.

Non dovrebbe, dunque, avvalersi dell´esonero il datore di lavoro che intenda dotare di particolari software atti al monitoraggio del lavoratore i dispositivi (il pc o il telefono) forniti al dipendente per ragioni di servizio.


Provvedimento sul trattamento di dati personali dei dipendenti mediante posta elettronica e altri strumenti di lavoro - 13 luglio 2016 

Tali software non possono essere considerati "strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa" (ai sensi e per gli effetti dell´art. 4, comma 2, l. n. 300/1970, come modificato dall´art. 23 del d.lg. n. 151/2015; sul punto, cfr. nota del Ministero del Lavoro e delle Politiche Sociali, del 18 giugno 2015; v. altresì la definizione di "attrezzatura" e "post[azione] di lavoro" di cui all´art. 173 d.lg. n. 81/2008).


Questa breve e approssimativa ricerca, purtroppo, spegne il lumicino di speranza, riportando il titolare nell'oscurità che precede la genesi. 



-fase dell'accettazione-

L'accettazione della situazione si fa largo nel buio e si offre ai titolari rincuorandoli, come una strada sicura da percorrere per uscire dalle tenebre.

Avendo superato questo dolente percorso, il titolare riconsidera la propria situazione, ammette la possibilità di adempiere e inizia persino a intravedere alcuni aspetti positivi; si rende conto che ora sa cosa fare per scongiurare i rischi che incombevano sulla sua attività e di cui non era nemmeno consapevole. Il titolare si sente più padrone della propria impresa, vede un modo concreto per poterla proteggere e, soprattutto, inizia a guardare con occhi nuovi il DPO.

Forse non gli chiederà mai scusa per le brutte cose dette in precedenza, ma il titolare incomincia a capire che il DPO sta dalla sua stessa parte, che ha sofferto anche lui per l'angosciante situazione e che lui per primo si è personalmente esposto cercando di spiegare la situazione, senza passioni né pregiudizi.



E dunque?

Questo percorso ci porta ad una nuova consapevolezza: in azienda utilizziamo quotidianamente moltissimi strumenti che rientrano nel campo di applicazione dell'art 4 dello statuto, che quindi sono limitati nelle finalità, che sono assoggettati ad un regime autorizzativo (con i sindacati o con la Direzione Territoriale del Lavoro) e che, in ultima analisi, abbiano fortemente sottovalutato e volontariamente ignorato.


Qui cambia tutto

Primo Passo per il riscatto

Riprendendo il metodo ideale, si deve ripartire dalla mappatura, dall'inventario di tutte le tecnologie presenti in azienda che possono comportare il monitoraggio a distanza dei lavoratori. Questa volta, però, cercando di includerle tutte, anche se ci sembra assurdo che possano, in astratto, essere comprese tra gli strumenti di controllo a distanza. 

Con questo elenco sarà possibile, caso per caso, stabilire quali siano le modalità corrette di esercizio del sistema, le misure di prevenzione, i tempi di conservazione dei dati e ogni altro elemento necessario ai fini del GDPR. Sarà inoltre possibile predisporre il necessario ai fini della regolarità e dell'adempimento autorizzativo previsto dallo statuto dei lavoratori.

L'elenco è lungo e cambia rispetto ad ogni organizzazione, non è certamente possibile provare ad essere esaustivi e sarebbe già un grande risultato riuscire ad essere vagamente utili. Per puro diletto, solo per dare un'idea della tipologia di strumenti e trattamenti da elencare, provo ad immaginare una azeinda ipotetica e la sua lista di trattamenti che possono ricadere nel campo di applicazione dell'articolo 4 dello statuto:

  • rendicontazione transiti telepass o viacard
  • black box di assicurazioni o di sistemi antifurto
  • sistemi di pagamento elettronico, incluse le tessere carburante, carte di credito aziendali ecc
  • smartphone e tablet per il personale viaggiante
  • badge o codice per apertura porte, sblocco sistemi, cancelli e box con apertura a badge o a codice personale
  • mailbox o sistemi di deposito e prelievo oggetti
  • centralino telefonico digitale (che registra localmente le chiamate entranti, uscenti, durata, interni utilizzati, ecc.). Ovviamente anche i centralini che registrano le conversazioni effettuate.
  • sistemi di registrazione audio/video dell'attività lavorativa (es. centralini di callcenter, verifica identità dei clienti o utenti, stipula o attivazioni a distanza)
  • codici o badge individuali per inserimento comande (tipici dei terminali nei ristoranti)
A questi sistemi deve essere aggiunta l'intera categoria dei gestionali, ogni gestionale, che permetta di tracciare le operazioni compiute dai singoli terminali o dai singoli operatori. 
  • Gestionali che tracciano l'attività di ogni operatore scrivendo una riga di dati in un log e registrino anche solo i metadati per ogni operazione effettuata anche se riguarda movimentazione di merci o prodotti
  • CRM (come Salesforce), ERP (come SAP), PIM, AMS, TMS, ecc
  • Piattaforme operative web based con logging degli accessi e delle operazioni compiute: CMS, LMS e sistemi Elearning, MAP, ecc
Ok, qualcuno potrebbe pensare... mi è andata bene, non facciamo nulla di simile, ma la lista non è ancora terminata. Nella più assoluta banalità e nelle operazioni più comuni troviamo comunque molti trattamenti che meritano attenzione e che meritano di essere riconsiderate alla luce dell'obbligo previsto dallo statuto dei lavoratori:
  • qualsiasi file di office automation con journaling (MS Word, tanto per fare un esempio, ma vale per la maggior parte dei word processors e dei software che permettono gli "undo", le revisioni o che storicizzano le modifiche)
  • sistemi di lavoro collaborativo (che tracciano le modifiche e le revisioni per poterle integrare)
Non di solo software parliamo. Esistono anche elementi dell'infrastruttura di comunicazione da mettere nella lista:
  • router che instradano il traffico internet e che, ovviamente, possono registrare le pagine visitate
  • sistemi di sicurezza che filtrano i contenuti indesiderati e che, necessariamente, verificano i contenuti in transito sulla rete e verso internet
  • fotocopiatrici, stampanti scanner multifunzione con codice utente individuale o con reportistica d'uso
  • sistemi di reportistica dell'attività lavorativa
L'unico sistema di reportistica escluso è il sistema di timbratura di inizio e fine turno. Trattandosi di norma penale diventa difficile pensare ad una applicazione analogica tale da estendere l'esclusione ad altro che non sia strettamente collegato al tracciamento dell'orario di inizio e di fine lavoro.

Proseguendo con la lista non posso omettere altri sistemi di uso frequente che, per quanto incredibile, devono essere autorizzati e gestiti nei modi previsti dallo statuto:
  • Veicoli connessi, gestiti con app o con portale o con telemetria. Sono veicoli di ultima generazione, auto elettriche e simili.
  • Gestione flotte, sistemi di sicurezza antirapina, sistemi di chiamata soccorso con localizzazione, ecc 
  • Sistemi di assistenza in caso di guasto o incidente e localizzazione di veicoli in generale.
  • Parcheggi o posti auto con rilevazione presenza o accesso controllato 
  • Sistemi di allarme anti intrusione con codici identificativi personali, chiavi personali e log degli eventi
  • Strumenti di lavoro e diagnostica connessi, predisposti per invio di dati in remoto, tipico del settore medicale per l’effettuazione di analisi con refertazione a distanza e del settore dell'assistenza tecnica per la diagnostica o reportistica.
  • Macchinette con chiavette elettroniche come distributori di caffè, merende e bibite
  • Macchina fotografica digitale, se in dotazione per registrare fatti eventi lavori ecc. se registra metadati inclusa la localizzazione della foto 
  • Tutti i sistemi di messaggistica che gestiscono condivisione posizione o ricevute lettura e generano metadati. Ricordo sempre volentieri che usare whatsapp o telegram per lavoro è veramente una pessima idea.
Non posso esimermi dal citare i chiacchierati sistemi di monitoraggio presenze: 
  • analisi dei segnali wifi e bluetooth che permettono la localizzazione dei dispositivi
  • rfid (tessere, bottoni, ecc) per gestire l'accesso o localizzazione in edifici, siti lavorativi, cantieri
  • contapersone intelligenti

Infine, per i soli stoici che sono arrivati a leggere fino a qui, voglio citare l'emblematico caso della posta elettronica aziendale. Penso che ogni azienda italiana abbia un sistema di posta elettronica, fatico a immaginare attività che possono farne a meno, non fosse altro perchè è obbligatorio registrare un indirizzo PEC. Naturalmente la posta che più mi interessa è quella affidata ai lavoratori. Il panorama è molto vario e si va da mailbox individuali (paperino@paperopoli.it) ad email generiche (amministratione@paperopoli.it).

Il Garante Privacy ha appena sanzionato in modo molto pesante Regione Lazio proprio per aver violato le regole applicabili alle email e ai metadati generati dai loro server. Nello specifico (riassumendo molto) i metadati degli scambi delle email sono stati raccolti in modo indiscriminato per tutti gli account di posta, conservati per 6 mesi e utilizzati a posteriori per attività difensive rispetto a presunti illeciti comportamenti dei lavoratori. Nonostante sembri giusto poter perseguire condotte illecite, ci sono dei vincoli di legittimità, primo fra tutti il fatto che quei dati rientrano nel campo di applicazione del articolo 4 dello statuto. Serve una autorizzazione ministeriale o un accordo sindacale per trattarli lecitamente, Inoltre l'uso è limitato alle finalità indicate dallo statuto.

Per maggiori dettagli sulla sanzione a Regione Lazio si può leggere il mio thread su twitter: https://twitter.com/prevenzione/status/1604911740847808513?s=20&t=cGZhJJv3INmwESxbC2lPFw


Volendo imparare qualcosa da questo importante provvedimento si arriva a questa conclusione:

chiunque abbia in casa dati grazie ai quali è possibile verificare l'attività lavorativa di un dipendente deve ottenere una autorizzazione ministeriale oppure un accordo sindacale. Deve cancellarli appena semttono di essere tecnicamente necessari (7 giorni nel caso dei metadati delle email)

Dopodiché, il titolare deve limitarsi agli unici usi possibili e questi sono pochi pochi: 
  • esigenze organizzative, 
  • esigenze produttive, 
  • esigenze di sicurezza del lavoro e 
  • esigenze di tutela del patrimonio aziendale.
Infine devono essere rispettati i principi di minimizzazione del trattamento e di limitazione della conservazione, nonché di trasparenza, di privacy by design e ogni altro principio previsto dal GDPR.

Tutto questo per ogni singolo trattamento, sistema, tecnologia e aggeggio dal quale è possibile, anche solo astrattamente, raccogliere dati che permettono il controllo a distanza del lavoratore! La lista è lunga.


La particolarità di questa lista di trattamenti sta nel fatto che alcuni di essi sono pensati per utenti, clienti, passati o altre categorie di persone, diverse dai lavoratori dipendenti che, magari incidentalmente, possono rientrare comunque nel trattamento.
L'articolo 4 si applica infatti unicamente ai dati dei propri dipendenti, si, ma effettuato da qualsiasi sistema che, anche solo incidentalmente, tratti quei dati e dal quale sia possibile, anche solo astrattamente, realizzare una forma di controllo a distanza.


Ricordiamolo... non conta il fatto che questi strumenti siano effettivamente utilizzati per il controllo a distanza o in modo deteriore, né ci aiuta il fatto che siano configurati in modo da evitare il tracciamento. Ciò che conta è la teorica possibilità che un monitoraggio a distanza possa avvenire!

Forse questo panegirico farà perdere un po di serenità ad amici titolari del trattamento, a colleghi DPO, agli ispettori di vari enti...  oppure possiamo continuare tutti a fare finta di niente, allegramente, all'italiana.
Attenzione però, ogni azienda con DPO silenti che non sollevano il problema o titolari spensierati corrono un rischio enorme: vivono con la spada di Damocle sulla testa e sono, in una parola, ricattabili da tutti, ispettori, lavoratori, competitor.

Dovevo dirlo perchè non ci dormo la notte.
Ora non veglierò più da solo.

Prosit.

CB

IL PENSATOIO - POST IN EVIDENZA

Guida definitiva* ai cookies e strumenti di tracciamento. * :-)

Guida ai cookies e strumenti di tracciamento. Di Christian Bernieri - DPO (Data Protection Officer) Privacybydesign.it  Agg. 18 Aprile 2022...