Fiat lux

 Fiat Lux

"Il buio che precede la genesi non è tanto oscuro quanto il mercimonio dei dati personali."

(CB)

Purtroppo questa tenebra fatta di CRM, database, call center, procacciatori d’affari, liste, broker, faccendieri e lestofanti non risparmia nessuno perché chiunque abbia dei dati personali, prima o poi, attira gli sciacalli. A causa di questa inevitabile e comune sorte, ogni azienda si deve confrontare con un eterno dilemma:

“Se il mio partner si avvale di un sottobosco di filibustieri ma io mi proteggo con 150 pagine di contratto e non vedo e non sento niente, posso trarre vantaggio dal fatto che sia lui a fare il lavoro sporco?”

Questa domanda non ha né una risposta univoca né una risposta netta. Viviamo tutti in un mondo di compromessi, di relazioni, di fraintendimenti, di fantasiose deduzioni e comode ingenuità.

A pensarci, appare molto lontano il concetto di “buon padre di famiglia”, tanto caro alla old school del diritto e, sovente, viene addirittura  frustrando il concetto di “buona fede” e di “trasparenza”.

Viviamo in questo mondo, un po trascinati per inerzia, un po ' invischiati come fossimo nella pece.

Ma "c'è una crepa in ogni cosa ed è da li che entra la luce".  (Leonard Cohen)

Tutto iniziò da una piccola cosa e, come accade con una palla di neve che rotola, si trasformò in una valanga.

C’era una volta una ridente cittadina che tutti chiamavano Soave. Nonostante il regno fosse afflitto dalla maledizione della strega COVIDia, due agenti di commercio, intenti a vendere i fiammiferi realizzati dalla piccola pENELope, passeggiavano incuranti dei divieti vigenti in quel periodo per sconfiggere il maleficio. Una zelante pattuglia di cavalieri del Re, sul loro cavallo grigio, fece un controllo e, insospettita dai tesserini di dubbia provenienza, volle approfondire la loro conoscenza. Si sa, in questi casi da cosa nasce cosa, fattostà che l’pENELope, ignara di tutto, finì per essere sanzionata per quasi 80.000.000 di Euro.

Sembra una fiaba ma, con una certa approssimazione dovuta alla sintesi, è accaduto veramente.

Con riferimento al PRIMO provvedimento di sanzione ad ENEL, nell’estate 2023 pubblicai un post su twitter per spiegare il buffo smascheramento operato dalla Guardia di Finanza durante il periodo pandemico che portò all'indagine del Garante e alla prima raffica di sanzioni per mercimonio di liste:

Arnia società cooperativa per 800.000€ 

Mas s.r.l.s. per 200.000€

Mas s.r.l. 500.000€

Sesta Impresa s.r.l. 300.000€

Si veda qui per maggiori dettagli:  https://twitter.com/prevenzione/status/1666111590691684353  

Di lì a poco, ENEL venne sanzionata per 26.500.000,00 di Euro. Questo provvedimento fu impugnato da ENEL e il tribunale ha annullato la sanzione per un difetto procedurale del Garante e il mancato rispetto dei tempi dell’istruttoria.

In effetti, il Tribunale non affronta il provvedimento nel merito e l’annullamento della sanzione, di fatto, non dice assolutamente nulla sulla condotta dell’ente che, allo stato attuale, è stata giudicata illecita dal Garante.

(https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9735672)

Pochi giorni fa il Garante Privacy ha pubblicato un secondo provvedimento sanzionatorio verso ENEL.

(https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9988710)

Si, di nuovo… ma per motivi differenti, o meglio, contestando violazioni differenti rispetto a quelle alla base del primo provvedimento.

Enel viene quindi raggiunta da una serie di nuove sanzioni così articolate:

• Obbligo di comunicare ai 595 interessati, i cui dati anagrafici sono confluiti nei sistemi della Società a seguito delle illecite acquisizioni da parte delle società partner, gli esiti del procedimento in base ad un testo da concordare con il Garante.
• Obbligo di fornire adeguata documentazione al fine di attestare le avvenute implementazioni di misure di sicurezza che impediscano accessi contemporanei al sistema N.Eve
• Obbligo di adottare ulteriori misure per garantire la tracciabilità e l’efficace monitoraggio delle operazioni svolte e degli eventi critici sul sistema N.Eve e per impedire l’accesso da indirizzi IP diversi
• Obbligo di fare in modo che le agenzie stipulino con subagenti contratti del tutto conformi al contratto standard stipulato tra Enel Energia e le agenzie medesime e nei quali sia chiaramente esplicitata la distribuzione delle responsabilità nel trattamento dei dati
• Obbligo di riferire entro 30 giorni sull’attuazione di questi obblighi
• Dulcis in fundo, una sanzione pari a  € 79.107.101,00    (settantanovemilionicentosettemilacentouno)

Penso che la sanzione peggiore da digerire sia la letterina da mandare alle 595 persone coinvolte, anche perchè non potrà rimanere riservata e sarà interessante vederne i contenuti. Ricorda un po il cammino espiatorio della “Shame Walk”.

La somma da pagare probabilmente è già accantonata a bilancio e comporterà il taglio di qualche testa (metaforicamente parlando)

Le altre sanzioni sono complesse da attuare ma vanno considerate migliorie e investimenti quindi penso che non saranno un problema.

A questo provvedimento vorrei dedicare alcune osservazioni.

Innanzitutto la forma:

Il provvedimento è organizzato come un “botta e risposta” continuo dove il Garante elenca e riassume tutte le contestazioni che la difesa di Enel ha opposto in sede di istruttoria. Per ciascun elemento di difesa, alcuni certamente non peregrini, il Garante ha puntualizzato la propria posizione, a volte ricorrendo a precedenti provvedimenti, a volte in punto di diritto. In più d'una occasione, il Garante indulge in piccate repliche e argomentazioni emotive, abbastanza tautologiche seppur corrette che, probabilmente, saranno apprezzate da chi dovrà impugnare il provvedimento.  

Considerando la lunghezza del provvedimento, la complessità dell’istruttoria e la naturale tendenza a complicare le situazioni, la lettura è lunga e impegnativa. Non oso immaginare quanto difficile possa essere stata la redazione.

Ad ENEL vengono contestati alcuni comportamenti specifici, comuni a quelle aziende che beneficiano del lavoro sporco effettuato dai partner dei propri partner.

Il primo comportamento contestato dal Garante consiste nell’aver permesso l’utilizzo condiviso delle credenziali di autenticazione degli operatori. Questo è reso possibile proprio da un sistema di autenticazione che non esclude la possibilità di accessi multipli e contemporanei con le medesime credenziali ed è idoneo a consentire a più soggetti, anche esterni alla rete di vendita ufficiale di Enel Energia e, dunque, sottratti ai vincoli che la stessa impone contrattualmente anche in relazione al rispetto della normativa di data protection, di caricare proposte contrattuali sui sistemi in uso, i CRM (denominato N.Eve). 

Anche le misure di autenticazione evolute, introdotte da ENEL, si sono dimostrate concretamente inefficaci come per l’utilizzo della autenticazione a due fattori che, per come è stata implementata, non comporta l’impossibilità che più soggetti, anche non noti alla Società, condividano le medesime credenziali consegnate ad un agente. Infatti l’authenticator utilizzato consente di collegare ad un account più dispositivi di verifica, senza disconnettere i precedenti dispositivi.  Solo tardivamente ENEL ha modificato questa impostazione impedendo, ex ante, accessi multipli da parte di una medesima utenza terminando la sessione aperta qualora se ne istauri un’altra con le medesime credenziali o negando l’instaurazione della nuova sessione. 

Questo è, per il Garante, il peccato originale poichè costituisce la porta di ingresso delle molteplici attività illecite del cd. “sottobosco del telemarketing”.

Pur disponendo di diversi sistemi di verifica della compliance e pur raccogliendo i log degli accessi delle agenzie della propria rete di vendita, ENEL non ha mai utilizzato effettivamente gli strumenti a sua disposizione per verificare il corretto utilizzo dei sistemi e prevenire pratiche scorrette.

Uno dei punti analizzati dal Garante riguarda i LOG del CRM, grazie ai quali ENEL avrebbe dovuto accorgersi della presenza di operazioni sospette. Questi LOG registrano i METADATI delle operazioni di accesso al sistema, di caricamento dei contratti e assomigliano moltissimo ai metadati che recentemente sono diventati oggetto del provvedimento che ne stabilisce un termine breve di conservazione fissato ad un massimo di 7 giorni. Conservazioni ulteriori dovrebbero poter avvenire unicamente con una procedura autorizzativa. 

(Per maggiori dettagli si veda QUI   …”Chi vusa püsé la vaca l'è sua”)   

Una grande parte dell’istruttoria si basa proprio sull’analisi dei metadati dei LOG, raccolti e analizzati in un arco temporale decisamente lungo. ENEL li conserva ordinariamente per 18 mesi (72 settimane, 540 giorni) e le analisi hanno potuto contare su una mole di dati sufficiente per appurare i fatti e i comportamenti contestati.

Mi domando cosa sarebbe accaduto se ENEL avesse rigorosamente applicato sin dal 2007 i principi che il Garante ha vergato nelle sue linee guida di allora e che afferma più di recente nel Documento di Indirizzo relativo ai metadati nei log delle email.

Di sicuro non avrei scritto questo articolo e, forse, il Garante non avrebbe avuto elementi per contestare violazioni ad ENEL.

Il Garante affronta inoltre un tema apparentemente formale ma dagli importanti risvolti sostanziali: la nomina dei responsabili del trattamento e degli ulteriori sub-responsabili del trattamento.

Un corretto sistema di distribuzione delle responsabilità non può prescindere da un capillare controllo, previsto anche dal GDPR, che il titolare deve porre in essere nei confronti dei responsabili del trattamento, ed anche nei confronti dei sub-responsabili. Il Garante contesta la mancanza di un effettivo controllo e questo sarà difficile da confutare dal momento che ENEL ha accettato 9380 contratti in 8 anni caricati da un partner formalmente diffidato per uso illegittimo del marchio Enel.

ENEL da formalizzato contratti standard decisamente articolati e completi con i propri partner. Documenti di 150 pagine, scritti e verificati con attenzione che, tuttavia, presentano un difetto: con riferimento all’articolo 28 del GDPR, viene applicata solo la seconda parte dell’articolo, relativa al trasferimento di responsabilità dal titolare al responsabile in relazione all’operato del sub-responsabile, trasferimento che, da un’interpretazione sistematica dell’articolo, deve ritenersi operante solo in caso di esatta applicazione della prima parte.

La prima parte dell’articolo 28 non è presente nei contratti di ENEL e questo ha causato l’interruzione del meccanismo di propagazione degli obblighi contrattuali verso i sub-responsabili.

Il testo al quale non si fa riferimento prevede che “quando un responsabile del trattamento ricorre a un altro responsabile del trattamento (SUB-RESPONSABILE ndr) per l'esecuzione di specifiche attività di trattamento per conto del titolare del trattamento, su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento di cui al paragrafo 3, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento”

In pratica, ENEL ha sottoscritto con i propri partner contratti gioiello da 150 pagine, superdettagliati e blindatissimi. 

I partner hanno trovato, a cascata, altre aziende a cui appoggiarsi, sub-fornitori, stipulando contratti farlocchi, riassumendo tutto in un paio di paginette e omettendo ogni elemento necessario per vincolarli a comportamenti rispettosi del GDPR.

Prosit

¸.•*´¨`*•.¸        ¸.•*´¨`*•.¸

Se sei arrivato fino a qui meriti un plauso. Complimenti!

Se ti è piaciuto l'articolo, se ti ha dato spunti utili per la tua vita privata o professionale, prendi in considerazione l'idea di ringraziarmi e puoi farlo in due modi:

- Condividendo il mio lavoro sui tuoi social. Questo aiuterà altre persone

- Con una donazione. Questo aiuterà me.

👇 👇 Clicca qui 👇 👇

Perchè lo devo salvare? Tanto lo trovo nell'email... ma anche no!

 Perchè lo devo salvare? Tanto lo trovo nell'email...

Ma anche no!

Si, lo ammetto, esistono persone, con evidenti problemi psicologici irrisolti, che si comportano effettivamente nel modo corretto, che fanno ordine nella posta e che governano i flussi di email in ingresso ed in uscita. A loro va tutta la mia stima ed invidia. Tuttavia, con un po' di sano qualunquismo dettato dall'esperienza, posso dire con serenità che il comportamento più frequente tende ad essere diverso e molto più rilassato, orientato al massimo risultato con il minimo sforzo. (E forse il minimo costo)

Tutto ciò parte da molto lontano.

C'era una volta... un epoca in cui le risorse informatiche erano imitate e le caselle di posta avevano una capienza nell'ordine di poche decine di Mega.  A quell'epoca si faceva di tutto per ottimizzare e risparmiare spazio: iniziò così una feroce lotta allo spam e vennero applicate procedure di cancellazione selettiva degli archivi di email, spesso basate su criteri arbitrari. All'ansia da ristrettezza si aggiunse l'angoscia da cancellazione e il pensiero di perdere documenti importanti. Ricordo ancora il "giorno delle pulizie di primavera" in cui partiva la caccia alle mail troppo "pesanti" per poterle gestire, salvare o cancellare. Con la necessaria pazienza, era facile individuare i pachidermi mettendo i file in ordine di "peso". Ricordo anche appositi tool di analisi sviluppati per thunderbird che, oltre a produrre simpatiche statistiche, mettevano in evidenza proprio i messaggi più ingombranti per liberare spazio sui mail server o sugli striminziti hard disk dell'epoca.

"Mai, mai scorderai. L'attimo, la terra che tremò. L'aria s'incendiò e poi silenzio..."

Venne il giorno dell'apocalisse. La posta elettronica cambio di colpo e tutto accadde nel momento in cui Google decise di regalare spazio infinito a tutti i gli utenti Gmail. Tanti Giga per tutti! All'epoca erano una quantità di spazio virtualmente inesauribile e, come se non bastasse,  sono stati via via aumentati proprio per garantire spazio sufficiente anche rispetto alle crescenti esigenze dettate dalle nuova generosa possibilità di archiviazione. Di conseguenza si è diffuso un frizzante senso di leggerezza e spensieratezza. Finalmente non era più necessario cancellare mail per liberare spazio e si poteva tenere tutto a portata di mano nella posta.

Da quel momento cambiarono molte cose e il cambiamento più significativo probabilmente riguarda proprio il nostro atteggiamento mentale e l'uso pratico della posta elettronica che da allora si diffuse. Chi ha utilizzato Gmail, all'epoca, ha iniziato a modificare il proprio comportamento: niente più pulizie di primavera, niente più pensieri sull'esaurimento delle risorse, niente più bisogno di fare ordine.

Oltre all'abbondanza di risorse, ci si rese conto anche della praticità di poter disporre di una potente ed automatica indicizzazione delle mail, dei loro metadati e dei loro allegati. Gran parte delle persone iniziò a disinteressarsi della catalogazione e, in ultima analisi, della gestione della posta arichiviata.

Perchè perdere tempo a catalogare, etichettare, spostare, salvare e archiviare email quando, con un veloce ed intuitivo comando, era ed è possibile trovare rapidamente ogni cosa, anche se apparentemente sperduta nel mare magnum dell'ininterrotto e lunghissimo flusso di messaggi?

Questa banale considerazione ammalia l'essere umano e fa leva sulla sua innata pigrizia. Non so dire se sia un fattore trascinante ma di certo la pigrizia umana ha contribuito molto al successo di Gmail.

Negli anni questa tendenza si è consolidata e oggi pare molto normale cercare documenti direttamente nella posta anzichè in archivio.

Purtroppo in ogni favola c'è sempre una mela avvelenata, una strega cattiva, un lupo affamato o una matrigna cattiva. Così, anche nella favola dello spazio infinito e della conservazione eterna arriva il colpo di scena che cambia tutto e ogni cosa si trasforma da azzurra e sgarzullina in rossa e dardeggiante.

Arriva il GDPR

Eh... già, ma non è mica questa la strega cattiva. Forse, nella metafora, il GDPR è il principe azzurro, il cacciatore o la fata madrina. Il GDPR prova a salvarci dal problema, non facciamo confusione.

Ma allora qual'è il problema?

Il problema è proprio la sempiterna conservazione di tutto ciò che arriva per posta, senza distinzioni e senza preoccupazioni. 

Nel GDPR sono contenuti alcuni importanti principi e questi sono oggi un obbligo di legge. I principi della minimizzazione del dato (1) e della limitazione delle finalità (2) e della limitazione della conservazione (3), descritti dal GDPR, non sono nati oggi, sono ben più risalenti e rappresentano una ESIGENZA sentita sin dai tempi in cui la normativa in materia di protezione di dati ha emesso i suoi primi vagiti. Oserei dire che sono esigenze molto umane, connaturate ad ogni persona, bisogni ontologici rispetto al dato spesso che, si spera, debba vivere la sua vita secondo natura: il dato deve nascere, deve vivere e deve morire. 

Il dato non può esistere per sempre e non può essere utilizzato per qualsiasi cosa ci possa venire in mente di fare in futuro. Il rischio sotteso a questa nefasta possibilità è così grande da essere una delle distopie più ricorrenti nella letteratura e nella cinematografia. Questo ci deve terrorizzare: un calderone dove tutto entra e da cui nulla si cancella, una cornucopia di dati stratificati, automaticamente indicizzati e solo all'apparenza disordinati, infiniti dati strutturati che si possono elaborare, che possono essere messi in relazione ad altri dati, che possono essere estratti o selezionati secondo criteri arbitrari.

Allora l'antagonista, il cattivo, non è il GDPR bensì la concezione stessa della email senza limiti ed utilizzata, in modo improprio, come immenso archivio incrementale e alluvionale.

Prendere coscienza di tutto questo è abbastanza doloroso anche perchè, se vogliamo trarre delle conclusioni, dobbiamo ammettere che:

• stiamo sbagliando ad usare la posta come archivio universale dell'impresa
• abbiamo bisogno di salvare altrove sia i file che la corrispondenza da conservare
• abbiamo bisogno di definire un tempo di conservazione per l'archivio della posta elettronica
• abbiamo bisogno di cancellare periodicamente tutto ciò che non abbiamo messo da parte dopo il tempo di conservazione
• abbiamo anche bisogno di un sistema di gestione documentale per non trovarci di fronte ad un archivio inutilizzabile
• ...infine... ci accorgiamo che il Garante ha ragione e che ci sanziona per questo comportamento.

In tutto questo torna alla mente un recente ed illuminante provvedimento del Garante Privacy che ci permette di prevedere cosa accadrebbe se dovessimo essere giudicati noi, sulla base di come gestiamo la posta elettronica in azienda. 

Non finirebbe per niente bene.

Buon lavoro colleghi DPO!

Prosit.

Appendice documentale ---

Il provvedimento citato in ultimo è qui (Ordinanza ingiunzione nei confronti di Stay Over s.r.l. - 21 luglio 2022 [9809466]) ed è una pietra miliare per la gestione delle email in azienda.

Oltre a questo, sono rilevanti anche altri provvedimenti e linee guida sullo stesso tema e di stesso identico orientamento:

Provv. 1° marzo 2007, n. 13 “Linee guida per posta elettronica e internet” (QUI)

Provv. 29.10.2020, n. 214, doc. web n. 9518890 (QUI)

Provv. 29.9.2021, n. 353, doc. web. n. 9719914 (QUI)

Provv. 16.12.2021, n. 440, doc. web n. 9739653 (QUI)

provv. 1° febbraio 2018, n. 53, doc. web 8159221(QUI)

Non ci stiamo nemmeno provando (a rispettare le regole) !

 Non ci stiamo nemmeno provando a rispettare le regole!

© Mordillo Foundation. All rights reserved.

Premessa: un post che farà arrabbiare molti colleghi, preoccupare molti imprenditori, sobbalzare molti controllori. 

Obbiettivo: lanciamo un altro sasso nello stagno e vediamo cosa succede. Magari qualcuno si sveglia

Previsione: non succederà proprio niente perchè nessuno vuole accettare la realtà

Esito finale: continueremo ad essere tutti molto fragili e ricattabili.

Lungo lungo lungo post che richiede un piccolo indice:

• Introduzione
• Il dilemma del DPO
• Non c'è solo il GDPR
• Cosa ci chiede lo statuto dei lavoratori?
• Il percorso di elaborazione del dolore
• La negazione
• La rabbia
• Il patteggiamento
• La depressione
• L'accettazione
• Il riscatto

Introduzione

Quando opero da consulente mi trovo spesso ad analizzare aziende che iniziano a mettersi in regola con il GDPR: si inizia pieni di entusiasmo ma con un velo di malinconia perchè si preconizza come andrà a finire.

Il lavoro è lungo e dipende molto dalle aspettative dell'azienda. Normalmente tutto parte dall'analisi dei trattamenti: un bell'inventario basato su ciò che accade in azienda, cosa si fa, da dove arrivano i dati, come vengono usati, dove vengono mandati, fino ad arrivare a cosa potremo voler fare in futuro. Quanto più si riesce ad essere precisi e analitici, tanto più sarà completo il lavoro finale. Il resto del lavoro dipende da questa analisi e si svilupperò di conseguenza.

Quando opero da DPO il discorso è molto simile, verifico i documenti, gli adempimenti e mi trovo di fronte a situazioni gestite con tanta buona volontà e con un livello di consapevolezza dei dettagli che varia molto tra le diverse imprese.

Per la cronaca... si, intendevo proprio dire questo: se faccio il consulente per un'azienda non posso essere il suo DPO e viceversa. Ma questa è un'altra storia.

In entrambi i casi, quando mi capita di affiancare ispettori durante le loro verifiche, osservo un livello di analisi decisamente leggero, compiacente, uno sguardo dall'alto, senza voler approfondire più di tanto e senza scoperchiare pentoloni che, forse, è meglio che rimangano chiusi. Non intendo dire che le verifiche siano all'acqua di rose, ma non posso fare a meno di concludere ogni ispezione con un giudizio che immancabilmente suona più o meno sempre nello stesso modo: "ci è andata veramente di lusso!"

Perchè lamentarsene quando la situazione va a proprio vantaggio? Non penso proprio che la fortuna possa giocare un ruolo in tutto questo e, forse, le cause vanno ricercate più che altro in un tacito patto tra persone che si trovano di fronte ad un nemico comune.

Penso che la stessa cosa capiti a ogni professionista, per quanto riguarda il proprio campo di specializzazione. Fin qui, dunque, nulla di speciale.

Il dilemma del DPO

Rimango spesso invischiato in pensieri che mi perplimono e che tratteggiano situazioni che non riesco ad accettare.

Non ci dormo la notte.

Ciò che mi turba è l'immenso ed ubiquitario il vaso di Pandora che nessuno vuole vedere, che nessuno vuole toccare e che, se aperto, avrebbe conseguenze dirompenti e devastanti un po' per tutti. Nessuno ne ammette l'esistenza ma il vaso c'è. Forse siamo tutti tacitamente d'accordo e fare finta di niente può essere la cosa giusta da fare di fronte a una faccenda troppo dolorosa, troppo complicata, troppo grossa per essere gestita.

E io non ci dormo la notte.

Probabilmente è vero che viviamo in un mondo sovrastrutturato, con norme molto stratificate che rendono complicato anche il solo fatto di respirare, dove tutto è potenzialmente vietato e che, spesso, frustra la volontà di chi desidera provare a fare le cose per bene. 

Altrettanto probabilmente il mondo della privacy è estremamente complesso e maledettamente serio, un mondo in cui le circostanze determinano il senso e la portata della norma nonchè la sua applicabilità ai singoli casi.  È un mondo dalla dimensione frattale, dove ogni singolo elemento può essere oggetto di ulteriore analisi e scomposizione, ritrovando in ogni sua parte le stesse simmetrie che sono proprie dell'intero. Chiunque approfondisca un po' l'argomento si trova presto alle prese con il fatidico dilemma al quale tutti dobbiamo dare un risposta:  

la domanda fondamentale sulla vita, l'universo e tutto quanto, in salsa Privacy...  

"ma fino a che punto devo arrivare?" 

Fino a che punto è giustificato analizzare, scandagliare, descrivere nel particolare e vivisezionare i trattamenti, i sistemi informativi, il ciclo produttivo, i fornitori ed ogni altro asset che concorre al trattamento dei dati personali?

Fino a che livello di analisi e di sofisticazione deve spingersi un DPO, un titolare del trattamento, un consulente, per spacchettare la realtà e per poterla, poi, gestire pezzo per pezzo, evidenziandone i rischi, rimediare ai guai e, in ultima analisi, adempiere al GDPR?

Si, perchè ci dev'essere un punto che, una volta raggiunto, mi consenta di dire "ok, va bene così, può bastare". 

Deve esserci anche perché, se non ci fosse, saremmo di fonte ad un circolo vizioso, senza senso, che porterebbe a riscoprire che l'atomo è indivisibile per poi portarci a concludere che più avanti di così non si può andare, perdendo completamente di vista il quadro generale e il senso della realtà. Senza contare il fatto che, la natura frattale della protezione dei dati personali, potrebbe portare ad inviluppi senza fine degni dei cervellotici paradossi tipici delle antiche scuole filosofiche ateniesi.

Non ci dormo la notte, vedendo che l'approccio più comune consiste nell'allinearsi ad un livello di analisi così superficiale da non riuscire a vedere l'ovvio, così fumoso da trascurare rischi macroscopici e ignorare adempimenti cardine dell'intero sistema.

E dato che non ci dormo la notte, approfondisco volentieri.

Cercando questo punto di equilibrio, tra rigore e senso pratico, si finisce spesso a filosofeggiare tra DPO e divertirsi a portare il discorso alle sue estreme conseguenze. Questo è un esercizio utile per capire molti meccanismi, per esempio, è molto divertente analizzare un semplice browser per capire cosa implichi in termini di adempimenti GDPR. Cosa dobbiamo considerare per una analisi attenta?

• c'è il browser,
• ci sono dei trattamenti automatici che l'utente non vede nemmeno, come la tecnologia Google Instant
• ci sono i cookie del browser,
• ci sono i cookie di alcuni produttori o di tecnologie accessorie (es. ricordiamo quelli di Adobe Flash)
• ci sono i javascript che arrivano dalle pagine web visitate
• c'è la risoluzione degli indirizzi digitati tramite i DNS,
• ci sono utenti loggati e utenti non loggati, per esempio, a Google,
• ci sono utenti che salvano le password in locale nel browser,
• ci sono pagine web che memorizzano il dispositivo come attendibile,
• ci sono le estensioni che possono essere aggiunte al browser e che fanno entrare in gioco nuovi soggetti con i quali i dati sono condivisi,
• e ci sono tante altre cose sempre più tecniche, invisibili e sempre più complicate.

Adempiere al GDPR rispetto ad ogni singolo elemento riscontrato in un'analisi rigorosa e completa è estenuante. Non ho mai incontrato un'azienda che abbia nominato "responsabili del trattamento" tutti i soggetti che emergono da questa banale analisi di un ipotetico browser e tutti i produttori di tecnologia coinvolti, per esempio, dalle varie estensioni presenti nel browser.

Non sono un matto e capisco benissimo che, ad un certo punto, sia necessario fermarsi.

Il livello a cui porre l'asticella cambia ed è il titolare del trattamento, diciamo pure l'azienda, che deve decidere quando fermarsi e quando un'analisi è arrivata ad un livello di dettaglio adeguato e, quindi, sufficiente.

Ma io non ci dormo la notte. 

Sì, perché non esiste solo il GDPR, esistono anche altre norme da rispettare, ben più risalenti, consolidate e severe. Esistono norme per le quali non si può fare spallucce liquidandole a una fisima o etichettandole come esagerazioni di un legislatore lontano dal mondo reale (si, ogni tanto me lo sento dire).

Per esempio, esiste la L.300 del 1970, nota alle masse come "statuto dei lavoratori". Una legge fondamentale e profondamente ancorata al nostro contesto sociale e produttivo. Difficile pensare ad una Italia senza tale norma. 

Forse a causa dell'età anagrafica della norma, ho sentito dire che sarebbe, secondo alcuni, una legge anacronistica e non adatta ad un contesto fatto di computer, smartphone ed email.  Ogni volta che lo sento sorrido e taccio perchè ci sarebbero troppe cose da dire e non vorrei seppellire l'interlocutore sotto una montagna di parole e di vergogna.

È un fatto che dagli anni 70 ad oggi sono cambiate tante cose, è vero, ma è cambiata anche la norma e il suo articolo 4 non è sfuggito alle novelle e al maquillage operato da recenti governi.

Al contrario del GDPR, l'articolo 4 dello Statuto dei lavoratori è una norma molto rigida, che non lascia all'interprete margini per giustificare le proprie scelte e che, se violata, comporta unicamente una sanzione penale, immediata, diretta. Questo elemento, da solo, testimonia tutta l'austerità della norma, l'importanza che ha nel nostro ordinamento e la sua posizione in cima alla lista delle norme che non possono essere trascurate o applicate in modo distratto.

Eppure, non ci domo la notte quanto mi accorgo che, normalmente, questa norma viene presa in considerazione solo con riferimento ai sistemi di videosorveglianza. E a volte nemmeno per quelli!

Cosa ci dice lo statuto? In realtà una cosa molto semplice:

Se hai un sistema di videosorveglianza o un qualsiasi altro sistema, dal quale è teoricamente possibile effettuare un controllo a distanza dell'attività dei lavoratori... hai dei limiti e devi fare determinate cose. Se sbagli sei un malfattore. L'unica deroga riguarda i sistemi utilizzati dal lavoratore per rendere la prestazione lavorativa. (parafrasi molto libera e sgarzullina)

Dispositivo dell'art. 4 Statuto dei lavoratori

1. Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell'attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali. In alternativa, nel caso di imprese con unità produttive ubicate in diverse province della stessa regione ovvero in più regioni, tale accordo può essere stipulato dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale. In mancanza di accordo, gli impianti e gli strumenti di cui al primo periodo possono essere installati previa autorizzazione delle sede territoriale dell'Ispettorato nazionale del lavoro o, in alternativa, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più sedi territoriali, della sede centrale dell'Ispettorato nazionale del lavoro. I provvedimenti di cui al terzo periodo sono definitivi.

2. La disposizione di cui al comma 1 non si applica agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze.

3. Le informazioni raccolte ai sensi dei commi 1 e 2 sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d'uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196.

Dietro a questa "cosa molto semplice" c'è un universo di sentenze, interpretazioni, fatti e misfatti che rendono il tema scottante e difficile da maneggiare. Si può facilmente trovare tutto ed il suo contrario nelle sentenze dei tanti tribunali che hanno deciso su vicende legate all'articolo 4 dello statuto.  Facendo i dovuti approfondimenti si nota tuttavia una prevalenza netta di determinate applicazioni e si delinea una giurisprudenza prevalente e chiara.

Senza addentrarci nell'esegesi del diritto e nei complessi ragionamenti sugli orientamenti giurisprudenziali, ci limitiamo ad alcune semplici considerazioni, in salsa GDPR che, tuttavia, svelano un mondo di inadempienze.

PRIMA CONGETTURA: siamo nel penale. Per arrivare al penale con il GDPR bisogna impegnarsi veramente tanto, combinarne di tutti i colori e non è facile.  Al contrario, violare l'articolo 4 dello statuto costituisce una violazione con una unica sanzione di tipo penale. Si, è vero che esiste l'istituto dell'oblazione, ma non sempre può essere esercitato e non è certo uno strumento per ricondurre tutto ad una burla. Ho visto personalmente datori di lavoro dover affrontare il tribunale per aver pagato il bollettino dell'oblazione in ritardo!

SECONDA CONGETTURA: quando la norma cita "gli altri strumenti" amplia enormemente il proprio campo di applicazione. Che i sistemi di videosorveglianza siano richiamati espressamente non li rende diversi da ogni altro sistema che possa essere ricondotto alla fattispecie prevista dall'articolo 4. 

E quali sarebbero gli altri sistemi citati? Beh, mettiamola così: questo è esattamente ciò che mi toglie il sonno.

Volendo vedere la portata esatta dell'articolo 4, in modo oggettivo e non capzioso, bisogna leggerlo in questi termini: ogni altro sistema dal quale sia possibile effettuare un controllo a distanza e che non sia necessario al lavoratore per rendere la prestazione lavorativa. 

E a questo punto, anche i migliori trasecolano davanti al dolore.

-fase della negazione-

"Non è possibile. "

"Stai scherzano... "

"Ma figurati, è roba da talebani della privacy"

Chiunque inizia a preoccuparsi seriamente e ad elaborare l'orrore che si delinea cupo all'orizzonte e che è troppo doloroso per essere vero. Non si può accettare una sconfitta così clamorosa e ci si rende conto che, se le cose stessero veramente in questi termini, la situazione sarebbe veramente grave... non può essere possibile! Non deve esserlo!

-fase della rabbia-

"questa è una norma scritta da chi non ha mai lavorato"

"così le aziende chiudono"

"voglio proprio vedere quale ispettore ha il coraggio di venirmi a dire una cosa del genere"

Dopo la negazione si inizia a prendere in considerazione il fatto che, effettivamente, la norma esista e dalla negazione si passa alla rabbia. Il pensiero di non poterla gestire e di non poter accettare un cambiamento di questa portata genera ostilità e porta le persone a dire cose poco gradite al clero.

È in questi momenti che i DPO vengono spesso presi a maleparole e, nei casi più pittoreschi, anche licenziati. Per fortuna la maggior parte dei titolari si limita a dare al DPO tutte le colpe di un sistema fatto unicamente per dare da vivere ai DPO... ma questa è tutta un'altra storia.

-fase del patteggiamento-

"presto, chiama il consulente, deve esserci una soluzione"
(quello appena mandato via perchè era tutta colpa sua - n.d.r.)

"avremo capito male, deve esserci una soluzione"

"chiamo mio cugino, vediamo come hanno fatto dalle loro parti"

Dopo aver placato i bollenti spiriti, la mente ricomincia a funzionare in modo razionale ma è ancora intontita dal forte shock. A questo punto si cerca una strada alternativa, si pensa che possano esistere deroghe, eccezioni, che si possa fare qualcosa per non doversi tuffare nella valle di lacrime che, ora, si vede chiaramente all'orizzonte.

È in questa fase che arriva uno dei passaggi più insidiosi del percorso perchè, a questo punto, arriva sempre, immancabilmente, chi suggerisce di leggere bene e interpretare pro domo sua l'unica eccezione presente nella regola: "utilizzato per rendere la prestazione lavorativa" 

Vogliamo essere meno furbi degli altri? La domanda è legittima e, nella cupa disperazione, fioriscono variopinte interpretazioni.

Sicchè, incuranti della giurisprudenza accumulata negli anni, nel totale disprezzo dei numerosi provvedimenti del Garante che chiariscono bene la postata di questo inciso, dopo tanta angoscia, si vuole a tutti i costi intravedere un barlume di speranza... forse c'è una soluzione, forse abbiamo trovato l'escamotage.

Ma la luce in fondo al tunnel non è l'uscita, ma un treno che arriva in senso contrario!

-fase della depressione-

Ed è qui che il dolore lascia il segno più profondo, quando il DPO, di nuovo, chiarisce al titolare che quel lumicino di speranza deve confrontarsi con l'evidenza del concetto di necessità, così come interpretato dal Garante.

        

Così, recentissimo il Garante con Ordinanza di ingiunzione nei confronti di Regione Lazio - 1 dicembre 2022

Sebbene la gestione dei dati esteriori relativi all’utilizzo dei sistemi di posta elettronica, contenuti nella cosiddetta "envelope" del messaggio, e la conservazione degli stessi per un arco temporale limitato, di regola non superiore a sette giorni, si possano considerare necessarie ad assicurare il corretto funzionamento e il regolare utilizzo del sistema di posta elettronica, comprese le essenziali garanzie di sicurezza informatica (v. provv.ti nn. 303 del 13 luglio 2016, doc. web n. 5408460, confermato dal Tribunale di Chieti con sent. n. 672 del 24 ottobre 2019; 1° febbraio 2018, n. 53, doc. web n. 8159221; 29 ottobre 2020, n. 214, doc. web n. 9518890; 29 settembre 2021, n. 353, doc. web n. 9719914), la conservazione di tali metadati, per un lasso di tempo più esteso, non può, invece, ricondursi all’ambito di applicazione dell’art. 4, comma 2, della predetta l. n. 300/1970. Infatti, per scelta espressa del legislatore, solo gli strumenti preordinati, anche in ragione delle caratteristiche tecniche di configurazione, alla “registrazione degli accessi e delle presenze” e allo “svolgimento della prestazione” non soggiacciono ai limiti e alle garanzie di cui al primo comma, in quanto funzionali a consentire l’assolvimento degli obblighi che discendono direttamente dal contratto di lavoro, vale a dire, la presenza in servizio e l’esecuzione della prestazione lavorativa.

In tale quadro, la generalizzata raccolta e la conservazione, per un periodo più esteso (rispetto ai predetti 7 giorni), dei metadati relativi all’utilizzo della posta elettronica da parte dei dipendenti non possono, invece, essere ricondotte all’ambito di applicazione del comma 2 dell’art. 4 della l. n. 300/1970, rientrando, piuttosto, tra gli strumenti funzionali alla tutela dell’integrità del patrimonio informativo del titolare nel suo complesso, di cui al comma 1 del medesimo art. 4.

Così il Garante in audizione il 13 maggio 2020

Va, in particolare, inteso in modo rigoroso il vincolo finalistico alla prestazione lavorativa che, rispetto ai controlli mediante strumenti utilizzati appunto per rendere la prestazione, legittima l’esenzione dalla procedura concertativa o autorizzativa (art. 4, c.2, l.300).

Non sarebbe, ad esempio, legittimo fornire per lo smart working un computer dotato di funzionalità che consentano al datore di lavoro di esercitare un monitoraggio sistematico e pervasivo dell’attività compiuta dal dipendente tramite, appunto, questo dispositivo. 

Garante in Newsletter 21/12/2017

Il Garante ha osservato inoltre che ai sensi della disciplina di settore, il sistema non poteva configurarsi quale mero "strumento di lavoro" indispensabile per rendere la prestazione, potendo consentire, anche indirettamente, il controllo a distanza del lavoratore.

Garante in Newsletter 15/09/2016

L´infrastruttura adottata dall´Ateneo, diversamente da quanto affermato, consentiva poi la verifica costante e indiscriminata degli accessi degli utenti alla rete e all´e-mail, utilizzando sistemi e software che non possono essere considerati, in base alla normativa, "strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa". Tali software, infatti, non erano necessari per lo svolgimento della predetta attività ed operavano, peraltro, in background, con modalità non percepibili dall´utente. E´ stato così violato lo Statuto dei lavoratori - anche nella nuova versione modificata dal cosiddetto "Jobs Act" – che in caso di controllo a distanza prevede l´adozione di specifiche garanzie per il lavoratore.

Garante in Newsletter 29/03/2018

Il sistema, contrariamente a quanto affermato dalla società, non può essere considerato uno "strumento di lavoro" per la sola gestione del contatto con il cliente e dunque utilizzato dall´operatore per rendere la prestazione, perché rientra piuttosto - a parere del Garante - tra gli "strumenti organizzativi" per soddisfare esigenze organizzative e produttive del datore di lavoro dai quali può derivare il controllo a distanza dei lavoratori. E, data la loro invasività, prima di impiegare questi strumenti la società avrebbe dovuto attivare tutte le procedure previste dallo Statuto dei lavoratori

Addirittura sul tema: Audizione del Presidente Antonello Soro sugli schemi di decreti legislativi attuativi del c.d. Jobs Act - 9 e 14 luglio 2015

Espressa esclusione, dalla procedura concertativo-autorizzativa, dei controlli realizzati mediante gli "strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa" (es. computer, smartphone) e gli strumenti di registrazione degli accessi e delle presenze" (ad es. i badge).

Come precisato dallo stesso Ministro, tuttavia, i controlli realizzati mediante tali strumenti beneficiano dell´esonero dalla procedura autorizzativa solo nella misura in cui siano effettuati utilizzando le normali funzionalità degli apparecchi  forniti in dotazione, appunto, per rendere la prestazione e non inserendo specifici  sistemi modificativi  dei dispositivi, finalizzati al controllo personale del lavoratore.

Non dovrebbe, dunque, avvalersi dell´esonero il datore di lavoro che intenda dotare di particolari software atti al monitoraggio del lavoratore i dispositivi (il pc o il telefono) forniti al dipendente per ragioni di servizio.

Provvedimento sul trattamento di dati personali dei dipendenti mediante posta elettronica e altri strumenti di lavoro - 13 luglio 2016 

Tali software non possono essere considerati "strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa" (ai sensi e per gli effetti dell´art. 4, comma 2, l. n. 300/1970, come modificato dall´art. 23 del d.lg. n. 151/2015; sul punto, cfr. nota del Ministero del Lavoro e delle Politiche Sociali, del 18 giugno 2015; v. altresì la definizione di "attrezzatura" e "post[azione] di lavoro" di cui all´art. 173 d.lg. n. 81/2008).

Questa breve e approssimativa ricerca, purtroppo, spegne il lumicino di speranza, riportando il titolare nell'oscurità che precede la genesi. 

-fase dell'accettazione-

L'accettazione della situazione si fa largo nel buio e si offre ai titolari rincuorandoli, come una strada sicura da percorrere per uscire dalle tenebre.

Avendo superato questo dolente percorso, il titolare riconsidera la propria situazione, ammette la possibilità di adempiere e inizia persino a intravedere alcuni aspetti positivi; si rende conto che ora sa cosa fare per scongiurare i rischi che incombevano sulla sua attività e di cui non era nemmeno consapevole. Il titolare si sente più padrone della propria impresa, vede un modo concreto per poterla proteggere e, soprattutto, inizia a guardare con occhi nuovi il DPO.

Forse non gli chiederà mai scusa per le brutte cose dette in precedenza, ma il titolare incomincia a capire che il DPO sta dalla sua stessa parte, che ha sofferto anche lui per l'angosciante situazione e che lui per primo si è personalmente esposto cercando di spiegare la situazione, senza passioni né pregiudizi.

E dunque?

Questo percorso ci porta ad una nuova consapevolezza: in azienda utilizziamo quotidianamente moltissimi strumenti che rientrano nel campo di applicazione dell'art 4 dello statuto, che quindi sono limitati nelle finalità, che sono assoggettati ad un regime autorizzativo (con i sindacati o con la Direzione Territoriale del Lavoro) e che, in ultima analisi, abbiano fortemente sottovalutato e volontariamente ignorato.

Qui cambia tutto

Primo Passo per il riscatto

Riprendendo il metodo ideale, si deve ripartire dalla mappatura, dall'inventario di tutte le tecnologie presenti in azienda che possono comportare il monitoraggio a distanza dei lavoratori. Questa volta, però, cercando di includerle tutte, anche se ci sembra assurdo che possano, in astratto, essere comprese tra gli strumenti di controllo a distanza. 

Con questo elenco sarà possibile, caso per caso, stabilire quali siano le modalità corrette di esercizio del sistema, le misure di prevenzione, i tempi di conservazione dei dati e ogni altro elemento necessario ai fini del GDPR. Sarà inoltre possibile predisporre il necessario ai fini della regolarità e dell'adempimento autorizzativo previsto dallo statuto dei lavoratori.

L'elenco è lungo e cambia rispetto ad ogni organizzazione, non è certamente possibile provare ad essere esaustivi e sarebbe già un grande risultato riuscire ad essere vagamente utili. Per puro diletto, solo per dare un'idea della tipologia di strumenti e trattamenti da elencare, provo ad immaginare una azeinda ipotetica e la sua lista di trattamenti che possono ricadere nel campo di applicazione dell'articolo 4 dello statuto:

• rendicontazione transiti telepass o viacard
• black box di assicurazioni o di sistemi antifurto
• sistemi di pagamento elettronico, incluse le tessere carburante, carte di credito aziendali ecc
• smartphone e tablet per il personale viaggiante
• badge o codice per apertura porte, sblocco sistemi, cancelli e box con apertura a badge o a codice personale
• mailbox o sistemi di deposito e prelievo oggetti
• centralino telefonico digitale (che registra localmente le chiamate entranti, uscenti, durata, interni utilizzati, ecc.). Ovviamente anche i centralini che registrano le conversazioni effettuate.
• sistemi di registrazione audio/video dell'attività lavorativa (es. centralini di callcenter, verifica identità dei clienti o utenti, stipula o attivazioni a distanza)
• codici o badge individuali per inserimento comande (tipici dei terminali nei ristoranti)

A questi sistemi deve essere aggiunta l'intera categoria dei gestionali, ogni gestionale, che permetta di tracciare le operazioni compiute dai singoli terminali o dai singoli operatori. 

• Gestionali che tracciano l'attività di ogni operatore scrivendo una riga di dati in un log e registrino anche solo i metadati per ogni operazione effettuata anche se riguarda movimentazione di merci o prodotti
• CRM (come Salesforce), ERP (come SAP), PIM, AMS, TMS, ecc
• Piattaforme operative web based con logging degli accessi e delle operazioni compiute: CMS, LMS e sistemi Elearning, MAP, ecc

Ok, qualcuno potrebbe pensare... mi è andata bene, non facciamo nulla di simile, ma la lista non è ancora terminata. Nella più assoluta banalità e nelle operazioni più comuni troviamo comunque molti trattamenti che meritano attenzione e che meritano di essere riconsiderate alla luce dell'obbligo previsto dallo statuto dei lavoratori:

• qualsiasi file di office automation con journaling (MS Word, tanto per fare un esempio, ma vale per la maggior parte dei word processors e dei software che permettono gli "undo", le revisioni o che storicizzano le modifiche)
• sistemi di lavoro collaborativo (che tracciano le modifiche e le revisioni per poterle integrare)

Non di solo software parliamo. Esistono anche elementi dell'infrastruttura di comunicazione da mettere nella lista:

• router che instradano il traffico internet e che, ovviamente, possono registrare le pagine visitate
• sistemi di sicurezza che filtrano i contenuti indesiderati e che, necessariamente, verificano i contenuti in transito sulla rete e verso internet
• fotocopiatrici, stampanti scanner multifunzione con codice utente individuale o con reportistica d'uso
• sistemi di reportistica dell'attività lavorativa

L'unico sistema di reportistica escluso è il sistema di timbratura di inizio e fine turno. Trattandosi di norma penale diventa difficile pensare ad una applicazione analogica tale da estendere l'esclusione ad altro che non sia strettamente collegato al tracciamento dell'orario di inizio e di fine lavoro.

Proseguendo con la lista non posso omettere altri sistemi di uso frequente che, per quanto incredibile, devono essere autorizzati e gestiti nei modi previsti dallo statuto:

• Veicoli connessi, gestiti con app o con portale o con telemetria. Sono veicoli di ultima generazione, auto elettriche e simili.
• Gestione flotte, sistemi di sicurezza antirapina, sistemi di chiamata soccorso con localizzazione, ecc 
• Sistemi di assistenza in caso di guasto o incidente e localizzazione di veicoli in generale.
• Parcheggi o posti auto con rilevazione presenza o accesso controllato 
• Sistemi di allarme anti intrusione con codici identificativi personali, chiavi personali e log degli eventi
• Strumenti di lavoro e diagnostica connessi, predisposti per invio di dati in remoto, tipico del settore medicale per l’effettuazione di analisi con refertazione a distanza e del settore dell'assistenza tecnica per la diagnostica o reportistica.
• Macchinette con chiavette elettroniche come distributori di caffè, merende e bibite
• Macchina fotografica digitale, se in dotazione per registrare fatti eventi lavori ecc. se registra metadati inclusa la localizzazione della foto 
• Tutti i sistemi di messaggistica che gestiscono condivisione posizione o ricevute lettura e generano metadati. Ricordo sempre volentieri che usare whatsapp o telegram per lavoro è veramente una pessima idea.

Non posso esimermi dal citare i chiacchierati sistemi di monitoraggio presenze: 

• analisi dei segnali wifi e bluetooth che permettono la localizzazione dei dispositivi
• rfid (tessere, bottoni, ecc) per gestire l'accesso o localizzazione in edifici, siti lavorativi, cantieri
• contapersone intelligenti

Infine, per i soli stoici che sono arrivati a leggere fino a qui, voglio citare l'emblematico caso della posta elettronica aziendale. Penso che ogni azienda italiana abbia un sistema di posta elettronica, fatico a immaginare attività che possono farne a meno, non fosse altro perchè è obbligatorio registrare un indirizzo PEC. Naturalmente la posta che più mi interessa è quella affidata ai lavoratori. Il panorama è molto vario e si va da mailbox individuali (paperino@paperopoli.it) ad email generiche (amministratione@paperopoli.it).

Il Garante Privacy ha appena sanzionato in modo molto pesante Regione Lazio proprio per aver violato le regole applicabili alle email e ai metadati generati dai loro server. Nello specifico (riassumendo molto) i metadati degli scambi delle email sono stati raccolti in modo indiscriminato per tutti gli account di posta, conservati per 6 mesi e utilizzati a posteriori per attività difensive rispetto a presunti illeciti comportamenti dei lavoratori. Nonostante sembri giusto poter perseguire condotte illecite, ci sono dei vincoli di legittimità, primo fra tutti il fatto che quei dati rientrano nel campo di applicazione del articolo 4 dello statuto. Serve una autorizzazione ministeriale o un accordo sindacale per trattarli lecitamente, Inoltre l'uso è limitato alle finalità indicate dallo statuto.

Per maggiori dettagli sulla sanzione a Regione Lazio si può leggere il mio thread su twitter: https://twitter.com/prevenzione/status/1604911740847808513?s=20&t=cGZhJJv3INmwESxbC2lPFw

Volendo imparare qualcosa da questo importante provvedimento si arriva a questa conclusione:

chiunque abbia in casa dati grazie ai quali è possibile verificare l'attività lavorativa di un dipendente deve ottenere una autorizzazione ministeriale oppure un accordo sindacale. Deve cancellarli appena semttono di essere tecnicamente necessari (7 giorni nel caso dei metadati delle email)

Dopodiché, il titolare deve limitarsi agli unici usi possibili e questi sono pochi pochi: 

• esigenze organizzative, 
• esigenze produttive, 
• esigenze di sicurezza del lavoro e 
• esigenze di tutela del patrimonio aziendale.

Infine devono essere rispettati i principi di minimizzazione del trattamento e di limitazione della conservazione, nonché di trasparenza, di privacy by design e ogni altro principio previsto dal GDPR.

Tutto questo per ogni singolo trattamento, sistema, tecnologia e aggeggio dal quale è possibile, anche solo astrattamente, raccogliere dati che permettono il controllo a distanza del lavoratore! La lista è lunga.

La particolarità di questa lista di trattamenti sta nel fatto che alcuni di essi sono pensati per utenti, clienti, passati o altre categorie di persone, diverse dai lavoratori dipendenti che, magari incidentalmente, possono rientrare comunque nel trattamento.

L'articolo 4 si applica infatti unicamente ai dati dei propri dipendenti, si, ma effettuato da qualsiasi sistema che, anche solo incidentalmente, tratti quei dati e dal quale sia possibile, anche solo astrattamente, realizzare una forma di controllo a distanza.

Ricordiamolo... non conta il fatto che questi strumenti siano effettivamente utilizzati per il controllo a distanza o in modo deteriore, né ci aiuta il fatto che siano configurati in modo da evitare il tracciamento. Ciò che conta è la teorica possibilità che un monitoraggio a distanza possa avvenire!

Forse questo panegirico farà perdere un po di serenità ad amici titolari del trattamento, a colleghi DPO, agli ispettori di vari enti...  oppure possiamo continuare tutti a fare finta di niente, allegramente, all'italiana.

Attenzione però, ogni azienda con DPO silenti che non sollevano il problema o titolari spensierati corrono un rischio enorme: vivono con la spada di Damocle sulla testa e sono, in una parola, ricattabili da tutti, ispettori, lavoratori, competitor.

Dovevo dirlo perchè non ci dormo la notte.

Ora non veglierò più da solo.

Prosit.

CB