L’Osservatorio Imprese e Consumatori torna a dare evidenza al tema della privacy e alle buone pratiche. Nello specifico, considerata l’attuale emergenza Covid-19, proponiamo un focus sul tema “salute e sicurezza sui luoghi di lavoro”.
Parleremo quindi di tutela della privacy del dipendente, di smart working e tanto altro, insieme a Marco Trombadore, consulente privacy ed Associato ASSO DPO per la quale ricopre il ruolo di Responsabile Sviluppo Associativo per il centro sud.
Marco Trombadore, in questo periodo la tematica privacy è tornata alla ribalta per la tanto discussa App “immuni” ma anche per i trattamenti dati legati alla gestione emergenza Covid-19 in generale. La privacy quindi è un limite o un’opportunità per il nostro sistema Paese, per le imprese e i consumatori?
Le norme sulla protezione dei dati personali vengono viste spesso come burocrazia inutile, a volte legate al concetto “la privacy è il foglio dell’informativa”. In realtà la cosa affascinante è che si parla di vita vera di tutti noi, i dati personali sono in un contratto, in un acquisto on line, in una telefonata tra amici o quando ordiniamo il nostro cibo preferito tramite un’App sul nostro smartphone. Il senso delle norme è quello di garantire che la gestione delle informazioni personali sia fluida e lineare con un grande vantaggio sia per i consumatori che per gli operatori economici. Sono convinto che l’applicazione corretta dei principi normativi potrebbe anche essere fonte di risparmio aziendale.
Potresti spiegare meglio questa ultima affermazione? Sembra abbastanza inusuale.
Certamente. In sostanza, i principi cardine della normativa sono molteplici, ricordiamone alcuni: la necessità è che qualunque trattamento avvenga in modo lecito e corretto, in equilibrio con gli altri diritti, trasparente, quindi facilitando i consumatori a capire davvero cosa accadrà ai loro dati, con processi di minimizzazione degli stessi, ossia utilizzare solo i dati necessari per raggiungere un obiettivo. Questi dati devono essere esatti, aggiornati e conservati solo per il tempo necessario. La corretta applicazione di questi principi ha concrete ripercussioni sui diritti degli interessati ma anche sull’efficienza delle organizzazioni.
Le faccio alcuni esempi: è logico affermare che se sono molto trasparente con il consumatore ed è ben chiaro che effettuerò azioni di marketing mirato, coloro che mi conferiranno il consenso a tali attività saranno davvero interessati a quanto offro e convinti di ricevere delle mie comunicazioni, quindi probabilmente si genereranno dei data base meno “ricchi” rispetto a chi raccoglie i dati come se fosse “pesca a strascico” ma sicuramente la performance commerciale migliorerà moltissimo perché saranno DB molto più utili e con gioia dei consumatori che saranno lieti di ricevere quanto invio.
Un altro esempio di grande attualità sono i sistemi di rilevazione delle temperature legate all’emergenza “covid-19”. I protocolli prevedono la “rilevazione” delle temperature mentre la registrazione del “superamento” soglia è legato solo a particolari casi in cui l’azienda ha l’obbligo di dimostrare perché “ha negato l’accesso”.
L’applicazione corretta dei principi che abbiamo ricordato porta le imprese a valutare ed acquistare strumenti ed apparecchiature che abbiano le funzionalità necessarie per ottemperare a quanto previsto dai protocolli evitando di sostenere costi molto maggiori con sistemi evoluti, sicuramente il top da un punto di vista tecnologico, ma che effettuano trattamenti ultronei e molto invasivi ( registrazione della temperatura di chiunque, biometria dei volti, riconoscimento comportamentale ad esempio). Ecco che la sana applicazione dei principi privacy anche in questo caso garantisce entrambe le parti, permettendo di dover acquistare strumenti meno onerosi.
Ma acquisire dati e poi per privacy non usarli, può andare bene? In sostanza le aziende possono registrare temperature dati biometrici ed altre informazioni sui soggetti interessati e poi non utilizzarle e tenerle in sicurezza?
Ottima domanda. Per trattamento dati si intende qualunque azione su dati personali che va dalla raccolta, all’elaborazione, la registrazione, la condivisione sino alla distruzione del dato stesso.
Raccogliere dei dati è di per sé un trattamento, quindi raccogliere dati non necessari ed essere convinti che “tanto non li uso”, quindi nessun problema per i diritti dei soggetti degli interessati, è pericolosissimo. Se scoprissimo che qualche impresa raccogliesse senza ragione copie delle nostre carte di identità e le conservasse in un bel data base ci arrabbieremmo oppure no? E se l’impresa ci dicesse ma tranquilli tanto non usiamo quelle informazioni ci sentiremmo più tranquilli? Beh ovviamente ci arrabbieremmo e non ci sentiremmo tranquilli anche perché quei dati potrebbero essere sempre soggetti a furti o accessi abusivi. Pensate che in un’operazione di controllo di qualche anno fa sono stati trovati, in un money transfer, dati di cittadini ignari ma che figuravano come persone che compievano operazioni di trasferimento somme in paesi extra UE.
Marco Trombadore, parliamo anche di smart working, una delle grandi sfide di questo periodo. Se dovesse pensare alla prima attenzione che devono avere le organizzazioni, cosa direbbe?
Detto in modo molto sintetico: la gestione in smart working rientra nel processo di trattamento dati riferibile al personale dipendente, oltre che dei dati “gestiti” per le mansioni lavorative. E’ fondamentale la valutazione di strumenti, modalità procedurali operative e funzionalità tecniche che si intendono adottare e loro gestione anche in relazione alle prescrizioni contenute nell’art.4 della legge 300/1970 (statuto dei lavoratori). Le attività indicate, come detto, impattano anche su altri soggetti interessati e non solo sui dipendenti (o clienti, fornitori) e quindi la mancanza di procedure e misure di sicurezza adeguate può generare trattamenti non conformi (perdita di dati, condivisione di informazioni con terzi non autorizzati).
Per poter trovare un giusto equilibrio tra esigenza organizzativa aziendale e diritti degli interessati, oltre che in tema di presidi di sicurezza, si ritiene necessario effettuare una chiara e concreta analisi dei sistemi e dei processi posti in essere per garantire la fattibilità tecnica delle attività lavorative e realizzare una specifica valutazione del rischio (o aggiornare quella già effettuata) ed un DPIA non dimenticando che in molti casi alcuni strumenti utilizzati per le attività lavorative potrebbero non essere di proprietà datoriale ma rientrare nel così detto BYOD.
SCARICA IL DOCUMENTO: “EMERGENZA COVID-19: GESTIONE SALUTE E SICUREZZA SUI LUOGHI DI LAVORO – GESTIONE SMART WORKING”