Il regolamento informatico aziendale ai tempi dello smart working

Articolo pubblicato su Linkedin in data 26 febbraio 2020

Negli ultimi giorni non si fa altro che parlare di smart working o “lavora agile” come definito dal decreto legge emesso dal governo e che autorizza le imprese del nord Italia ad applicare questa modalità di lavoro in maniera semplificata senza tutti gli adempimenti necessari secondo la previgente normativa (DPCM 23 febbraio 2020, Disposizioni attuative del decreto-legge 23 febbraio 2020, n. 6, recante misure urgenti in materia di contenimento e gestione dell’emergenza epidemiologica da COVID-19. (20A01228) (GU Serie Generale n.45 del 23-02-2020).

Premesso ciò in questo articolo vorrei descrivere brevemente, non gli adempimenti burocratici o i presupposti normativi per attuarlo, ma di uno strumento operativo necessario ad implementare questa modalità di lavoro, ossia il regolamento informatico aziendale, chiamato anche protocollo, manuale delle procedure informatiche, etc.

Per capire meglio questo documento cominciamo a descriverne il suo scopo, raccogliere le istruzioni operative per i dipendenti sulle modalità d’uso degli strumenti informatici aziendali, dentro e fuori l’azienda.

Il contenuto di questo documento deve comprendere una descrizione degli strumenti in uso, le modalità d’utilizzo, cosa non fare e le soluzioni in caso di problemi, soluzioni si specifica anche di tipo organizzativo non solo tecniche.

Riguardo a questo ultimo punto bisogna specificare che queste procedure non devono tentare di trasformare un impiegato in un tecnico informatico, un esperto di cyber-sicurezza o di privacy.

La difficoltà nel redigere questo tipo di documento risiede pertanto nel redigerle utlizzando un approccio human-centered (come si dice oggi nel mondo del legal design).

Ma qual è il vantaggio per l’impresa? Per l’impresa adottare questo tipo di documento ha molteplici vantaggi.

Prima di tutto è inserito nel sistema di gestione della infrastruttura informatica, difatti come ben sa ogni esperto di sicurezza informatica l’anello debole del sistema informatico è sempre l’uomo. Partendo da questa considerazione già risulta evidente come fornire delle procedure pronte all’uso aiuto la conoscenza e mitiga il rischio informatico all’interno dell’impresa. Altresì questa documentazione da una parte responsabilizza l’impiegato il quale non può più nascondersi dietro la motivazione che non è stato informato sul corretto uso del device, dall’altra mette al riparo, o almeno mitiga, la responsabilità dell’impresa di fronte a violazioni di alcune normative, si pensi ad esempio alla L. 231/01 o alla disciplina privacy ai sensi del GDPR.

Detto tutto quanto sopra vediamo quindi più in dettaglio quale debba essere il contenuto del regolamento.

Sicuramente un regolamento vede al principio un elenco delle definizioni utili a capire il testo e lo scopo dello stesso, successivamente bisogna descrivere i device in uso in azienda e le loro modalità d’utilizzo specificando bene quello che si può fare e non fare, molto importante ritengo è descrivere bene le modalità d’uso delle mail aziendali e chat, anche in modalità BYOD (Bring Your Own Device), i dispositivi di archiviazione di massa, l’uso di strumenti crittografati o l’eliminazione di alcuni (pen-drive usb non criptate proibirle).

Come detto le indicazioni devono essere anche organizzative, nel senso che bisogna indicare i soggetti da contattare in base alla problematica da risolvere, ad esempio per questione tecnica l’IT, mentre per questioni riguardanti la privacy probabilmente sarà più opportuno riferire al DPO, per altre ancora potrebbe essere più opportuno contattare prima il capoufficio.

Inoltre il regolamento ormai può allargarsi ad aspetti correlati come l’uso dei social nonché se e come parlare dell’azienda sui social, oltre ovviamente spiegare e giustificare se avviene un qualche tipo di tracciamento dell’attività del lavoratore e con finalità (in tale ambito sempre attenzione a rispettare statuto dei lavoratori ed il Jobs Act).

Infine occorrerà specificare le eventuali sanzioni disciplinari, nonché penali, cui potrà incorrere il dipendente che non rispetterà le istruzioni contenute nel regolamento. Dopo tutto ciò è possibile allegare in fondo, se opportuno, le norme di legge e/o tecniche ritenute più idonee rispetto all’utente e all’impresa cui è destinato il regolamento che si ricorda deve essere sempre oggetto di revisione nonché di formazione per dipendenti e management.

Se hai domande o curiosità sull’articolo che hai appena letto scrivimi pure alla mia e-mail: s.familiari@lsclex.com

L’uso di algoritmi nella Pubblica Amministrazione

In data odierna è stato pubblicato il mio contributo per il sito d’informazione “Quotidiano giuridico” sul tema della controllabilità degli algoritmi quando a farne uso è la Pubblica Amministrazione. Di seguito un estratto:

“È dell’otto aprile scorso la pubblicazione della sentenza n. 2270/2019 emanata dalla sesta sezione del Consiglio di Stato, nella quale viene operato il sindacato della corte sul funzionamento di un algoritmo. Ecco quali sono le importanti implicazioni del provvedimento”.

Il resto del commento lo si può trovare al seguente link dell’editore.

E-commerce internazionale e digital Single Market

Digital Single Market Nel mese di febbraio 2019 ho avuto il piacere di essere invitato presso il Palacio de Cristal in Madrid per partecipare quale relatore alla serie di conferenze organizzate nell’ambito della fiera dedicata agli investimenti internazionali IMEX – Impulso Exterior.
IMEX-Impulso Exterior Fair è la principale fiera commerciale internazionale spagnola. Offre i prodotti più efficaci e innovativi per aiutare le PMI nel loro processo di uscita all’estero. Organizzato dalla rivista Moneda Única, si tiene a Madrid da 16 anni, con cinque edizioni in Andalusia e Barcellona, quattro nella Comunità Valenciana, due a Castilla-La Mancha e una nelle Asturie. L’evento ha contato con la sponsorizzazione tra i vari di Banco Santander, di ICEX (Instituto comercio exterior de España), Madrid City Council, Maersk e DHL, studio Legale Juarez Y Asociados. Più informazioni sull’evento al seguente link.
L’argomento sul quale ho effettuato il mio intervento è stato “mercato unico digitale e e-commerce (“mercado único digital e e-commerce”).
Nel corso della relazione ho ricordato brevemente il ruolo del Digital Single Market quale strumento di sviluppo dell’unione europea, ossia come questa sia la strategia volta a creare una mercato unico dei servizi digitali di respiro veramente europeo che spazi non solo sui beni di consumi ma che riguardi anche i servizi digitali, ed in buona sostanza la connessione digitale e lo sviluppo degli scambi di merci, servizi e informazioni trai vari soggetti attivi sul mercato in Europa.
Argomento non toccato ma che, invece, meriterebbe altrettanta attenzione è l’ambito e-governement, ovvero lo sviluppo degli strumenti di governo elettronico come ad esempio l’implementazione del regolamento eidas per unificare i sistemi di identificazione a livello europeo.
Tornando al contenuto dell’intervento ho evidenziato lo stato dell’arte attuale, con i passi già compiuti verso la realizzazione di un compiuto Digital Single Market, ad esempio la recente introduzione del nuovo Regolamento UE n. 302/2018 UE Geo-blocking, ovvero gli ulteriori passi ancora da fare nonché i margini di crescita dello stesso ancora possibili, infatti ancora oggi tolti i grossi player internazionali rimane esiguo il numero di imprenditori che usano il commercio elettronico per vendere al di fuori dei propri confini.
Questo ultimo dato deve veramente far riflettere, in quanto si parla di un potenziale inespresso a disposizione di quello che dovrebbe essere ormai riconosciuto dagli imprenditori come proprio mercato interno, ed invece rimane per l’appunto li a disposizione dei soli pochi in grado di sfruttarlo.
Certo le difficoltà nel comprendere i meccanismi del e-commerce internazionale non mancano, tuttavia una considerazione del genera confligge con quella che dovrebbe essere un’analisi completa della questione e cioè pesare le difficoltà con i possibili benefici.
Parlando dei benefici sembra quasi banale ricordare come commerciare all’interno della UE prima di tutto voglia dire commerciare all’interno di un mercato molto ricco compost da quasi 500 milioni di abitanti, sia in genere esente da costi doganali, ci sia un alto livello di servizi, inoltre grazie alle norme introdotte dalla Ue ci sia certezza nei rapporti giuridici tra i soggetti operanti all’interno del Digital Single Market in caso di problemi, nel senso che è chiaro dal punto di vista sostanziale e processuale individuare e quindi rispettivamente responsabilità, la legge applicabile ed il foro di competenza della lite senza dimenticare, infine, una delle cose più importante che è agevole recuperare un credito internazionale.
Tornando al contenuto del mio intervento, focalizzato su Ue e Spagna, tuttavia ho dovuto evidenziare i recenti dati pubblicati dalla Ue (DESI) in materia sviluppo digitale all’interno della Ue, ossia che da questo punto di vista purtroppo l’Italia nel 2018 non si è piazzata benissimo, anzi salvo alcuni punti positivi, connettività e servizi e-governement, il quadro generale vede l’Italia perdere un posto.
Detto ciò questa ricerca conferma tra le varie cose un aspetto già evidenziato sopra, cioè la difficolta nel comprendere i meccanismi del e-commerce internazionale che letto attraverso la ricerca in commento si traduce nel dato sulla scarsità di capitale umano formato nelle materia in discussione.
In altre parole questa ricerca evidenzia come ad oggi l’e-commerce a livello internazionale sia poco sfruttato per la mancanza di soggetti con le dovute competenze necessarie ad implementarlo nelle aziende, non solo dal punto di vista tecnico informatico ma anche e soprattutto strategico e, quindi, di sviluppo del business, ad esempio, l’adozione di una piattaforma e-commerce focalizzata su un determinato mercato può essere anche uno strumento rapido ed economico di condurre in proprio un test del mercato obbiettivo, in vista di una possibile espansione anche “fisica” e non solo digitale.
Premesso tutto ciò bisogna tuttavia evidenziare come si, gli altri paesi Ue abbiano un livello di sviluppo digitale più alto del nostro ma bisogna anche evidenziare come un uso poco esteso del e-commerce internazionale all’interno della Digital Single Market sia trasversale a tutti i paesi membri dell’Unione.

Privacy lavoratori GDPR

privacy lavoratori GDPRGDPR LAVORATORI – TRATTAMENTO DATI PERSONALI DIPENDENTI

Il trattamento dati dipendenti alla luce del nuovo GDPR è sicuramente una delle questioni sulla quale di più si sono interrogati gli imprenditori italiani, pertanto si ritiene opportuno spiegare cosa cambia il GDPR rispetto al vecchio codice privacy e cosa bisogna fare in concreto per l‘adeguamento GDPR lavoratori.

Prima di tutto bisogna dire che il GDPR  non contiene un disciplina specifica dedicata ai dati dei lavoratori, difatti l’art. 88 del GDPR lascia ai legislatori nazionali ampio margine di manovra, pur rispettando i principi base del GDPR per normare il trattamento dei dati personali nell’ambito del rapporto di lavoro.

Ma vediamo cosa dice l’art. 88 del GDPR:

Trattamento dei dati nell’ambito dei rapporti di lavoro 1.Gli Stati membri possono prevedere, con legge o tramite contratti collettivi, norme più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro, in particolare per finalità di assunzione, esecuzione del contratto di lavoro, compreso l’adempimento degli obblighi stabiliti dalla legge o da contratti collettivi, di gestione, pianificazione e organizzazione del lavoro, parità e diversità sul posto di lavoro, salute e sicurezza sul lavoro, protezione della proprietà del datore di lavoro o del cliente e ai fini dell’esercizio e del godimento, individuale o collettivo, dei diritti e dei vantaggi connessi al lavoro, nonché per finalità di cessazione del rapporto di lavoro.

2.Tali norme includono misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati, in particolare per quanto riguarda la trasparenza del trattamento, il trasferimento di dati personali nell’ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un’attività economica comune e i sistemi di monitoraggio sul posto di lavoro.

3.Ogni Stato membro notifica alla Commissione le disposizioni di legge adottate ai sensi del paragrafo 1 entro 25 maggio 2018 e comunica senza ritardo ogni successiva modifica.

Come abbiamo visto sopra, quindi, secondo il GDPR gli stati possono decidere se con legge o attraverso contratti collettivi regolamentare il trattamento dati dipendenti, la scelta del legislatore italiano a tal riguardo con il D. lgs. 101/2018 è nel solco del vecchio codice privacy, con pochi cambiamenti.

Nel dettaglio i cambiamenti portati dal legislatore italiano riguardano la fase di selezione, cioè la gestione dei curricula ricevuti ed il relativo regime dei consensi. A tal proposito, cv consenso si o cv  consenso no?

A tal riguardo la novella codice privacy stabilisce all’art. Art. 111-bis (Informazioni in caso di ricezione di curriculum):

  1. Le informazioni di cui all’articolo 13 del Regolamento, nei casi di ricezione dei curricula spontaneamente trasmessi dagli interessati al fine della instaurazione di un rapporto di lavoro, vengono fornite al momento del primo contatto utile, successivo all’invio del curriculum medesimo. Nei limiti delle finalità di cui all’articolo 6, paragrafo 1, lettera b), del Regolamento, il consenso al trattamento dei dati personali presenti nei curricula non è dovuto.

A tal proposito quindi alla domanda consenso trattamento dati personali cv si o consenso trattamento dati personali cv no la risposta sembrerebbe negativa, tuttavia occorre sottolineare come però a parere di chi scrive questo possa essere pacifico per i cv che non contengano le categorie di dati particolari di cui all’art. 9 del GDPR, cioè i vecchi dati sensibili (ad esempio in presenza di disabilità o ammissione l beneficio L. 104/92), in  tal ultimo caso potrebbe essere necessario lasciare la famosa dicitura che potrebbe essere il seguente fac simile consenso “autorizzo al trattamento dei miei dati personali particolari ai sensi del combinato disposto del regolamento in materia di protezione dei dati personali (cd. GDPR) e del codice privacy come agg. dal D.lgs.101/2018”.

Altro aspetto cui dar conto è che rimangono in piedi tutte le considerazioni in materia di controllo dei lavoratori attraverso la concertazione sindacale o l’eventuale confronto con la direzione provinciale del lavoro, a parte ciò rileva evidenziare a tutti gli effetti l’affiancamento della normativa privacy di fianco a quella classica lavoristica, difatti una scorretta applicazione della normativa privacy può portare ad un uso illegittimo di tali dati ed il rischio di commettere il reato di trattamento illecito di dati personali di cui all’art. 167 del novellato codice privacy.

Fatta questa breve premesse squisitamente normativa vediamo in concreto cosa deve fare un imprenditore che si trovi a verificare la propria conformità alla nuova disciplina privacy.

creazione di un sistema di data governance, ovvero:

Nomina DPO. Discorso abbastanza complesso al quale ha dedicato una serie di di FAQ il garante italiano sia per i soggetti pubblici che privati.

Nomina responsabile (esterno). Ovvero i  soggetti esterni all’azienda ma che trattano i dati dei clienti o dei lavoratori (ad esempio consulente busta paga oppure gli agenti).

Nomina responsabile (interno). Figura scomparsa secondo il nuvo codice prviacy ma che tuttavia non è proibita ai infin di coordinamento interno nelle strutture complesse.

Nomina amministratore di sistema. Di solito è la figura IT che cura gli aspetti informatici relativi alle reti interne, questa nomina seppur non prevista dal GDPR  né dal nuovo codice privacy segue l’indicazione del provvedimento  del garante tutt’ora in vigore.

Registro dei trattamenti. Da questo punto di vista come detto in altro articolo presente su questo blog, il discrimine riguardo al dovere di compilare il registro dei trattamenti non è di tipo dimensionale ma legato al tipo di dati e di trattamento effettuati, dal punto di vista delle aziende, senza dilungarsi in discorsi teorici,  sappiano che avendo anche solo un dipendente dovranno dotarsi di un registro dei trattamenti, a tal proposito il garante italiano ha messo a disposizione un modello e delle FAQ per provare ad apporntarlo.

Informativa privacy lavoratori GDPR.

Un altro step molto importante da porre in essere è l’aggiornamento dell’informativa avendo particolare riguardo a darla nel momento giusto durante la fase di selezione, alla conservazione dei dati, sia dei non selezionati che dei soggetti in uscita dall’azienda, eventuale condivisione dati con società controllanti ed eventuale strumenti di sicurezza che possano configurare ipotesi di monitoraggio.

Adozione protocolli in materia:

di uso device e posta aziendale

Ovvero scrivere delle istruzioni di uso interno dove i dipendenti devono essere avvisati circa i limiti e doveri di diligenza sia nell’usare i dispositivi aziendali che maneggiare informazioni aziendali con i propri dispositivi. Molta attenzione va dedicata al discorso della e-mail aziendale, uno dei punti più delicati nella fase di chiusura del rapporto di lavoro.

conservazione dati

Anche qui opportuno redigere delle regole interne con le quali individuare le tempistiche nonché i criteri e le modalità di conservazione dei dati oltre che prevedere le modalità di cancellazione dei dati

esercizio diritti da parte interessati

Risulta opportuno altresì adottare un protocollo che detti le regole nel caso in cui un interessato, sia lavoratore che cliente, intenda esercitare uno dei diritti previsti dagli artt. 15-22 del GDPR.

data breach

Altro protocollo da adottare è quello relativo alla gestione dei data breach che si ricorda essere non solo il caso dell’hacker di turno che ruba o cripta i dati ma qualunque perdita di dati anche accidentale (ad esempio lo smarrimento di un pc aziendale portatile senza password)

Misure di sicurezza (adeguate)

Opportuno altresì redigere una documentazione relativa alle misure di sicurezza adeguate, in tal caso qualora questo aspetto (ad esempio a livello informatico) sia demandato ad altri è necessario farsi inviare documentazione attestante le misure adottate.

DPIA (Data Protection Impact Assessment)

Questa valutazione al momento è dovuta solo nel caso in cui I ricorra una tecnologia che possa sfociare nel controllo dell’attività lavorativa, tuttavia il garante ha già presentato nell’ambito delle proprie competenze al board dei garanti europei la proposta di inserire il trattamento dei dati dei lavoratori nella lista dei trattamenti soggetti a DPIA.

Videosorveglianza

Al momento rimane ancora  in vigore il vecchio provvedimento del garante emanato sotto la vigenza del vecchio codice privacy, quindi obbligo informativa, concertazione con sindacati o con direzione provinciale lavoro, uso finalizzato a sicurezza persone e stabilimento-produzione e non a controllo lavoratori, tuttavia oggi va applicato compatibilmente con i nuovi precetti inseriti nel GDPR.

Formazione.

Secondo il GDPR il titolare del trattamento dati ha l’obbligo di formare i propri dipendenti sull’uso dei dati.

Come si vede da questo breve articolo gli adempimenti da porre in essere sono diversi e di non facile esecuzione, tuttavia con il corretto affiancamento da parte di un professionista ferrato in materia possano essere tutti rispettati.

Per consulenze sul tema potete contattare l’autore del post all’indirizzo salvatore.familiari@data protection4eu.eu oppure agli altri recapiti indicati alla pagina contatti.

Data breach Marriott hotel – spunti di riflessione

data breachHo deciso di partire dall’analisi del data breach subito dalla catena di hotel Marriott, in quanto il settore alberghiero rispetto ad altri è quello forse che riesce a rendere meglio l’idea di come chiunque di noi possa essere vittima di un data breach, difatti chi non ha mai dormito in albergo?

Premesso ciò il data breach della catena Marriott in esame, definito da alcuni del secolo, dalle ricostruzioni fino ad adesso svolte sembra andasse avanti da qualche tempo e riguarda tutti i dati dei clienti registrati sulle piattaforme della catena quali nome, cognome, documenti d’identità, carte di credito con relativi codici, date di check-in e check-out.

I pericoli potenziali rispetto al furto di questi dati sono diversi, si parte dal furto d’identità vero e proprio, alla clonazione della carta di credito e dei documenti quali ad esempio i passaporti.

Facciamo l’esempio del passaporto, in questo caso il soggetto cui i dati del passaporto sono stati rubati con un data breach si troverà davanti alla scelta (ma direi meglio obbligo) di dover denunciare il fatto e richiedere l’emissione di un documento nuovo, con tutti i problemi relativi non solo ai costi ma ai tempi burocratici per ottenere un documento nuovo. Quanto alle carte di credito? Anche qui i danni possono essere ingenti e il dimostrare di non essere stato colui il quale ha effettuato eventuali pagamenti può essere lungo e costoso oltre che una grande perdita di tempo.

Da questi brevi esempi tratti da un caso reale si evince come l’attenzione alla diffusione dei propri dati personali debba essere ormai un aspetto imprescindibile di ogni transazione on line, qualunque essa sia, come prenotare un albergo o acquistare un prodotto o un servizio. In tutti questi casi bisognerà sviluppare un personale protocollo di sicurezza per tenere al sicuro i propri dati e in definitiva se stessi.

In altre parole bisogna porsi le domande sulla necessità e non ridondanza dei dati richiesti, la loro retention, lo scopo, la loro condivisione, l’affidabilità del soggetto richiedente, ed alla luce di ciò adeguare le misure di sicurezza (come ad esempio munirsi di carta di credito prepagata o utilizzare portafogli elettronici come paypal per evitare di diffondere i dati della propria carta di credito in ogni dove, etc..).

Quanto visto per quel che riguarda il punto di vista user, che ricordiamo essere il punto focale del nuovo GDPR, mentre passando al lato business questo esempio  porta all’attenzione delle imprese i danni che possono provocare le loro mancanze da cui possono derivare oltre le sanzioni dei vari garanti anche le richieste di risarcimento danno dai soggetti vittime dei data breach.

Premesso ciò le imprese non dovranno concentrarsi solo sull’aspetto tecnico per prevenire i data breach, ciò sarebbe un’ottica parziale se non monca di quello che è un buon approccio al trattamento dei dati, ma devono adottare una revisione totale dei processi in atto secondo i dettami del GDPR al fine di mitigare il più possibile i rischi per gli utenti. Detto in altre parole come prescritto dal GDPR oltre l’approccio tecnico sulle famose misure di sicurezza adeguate è necessario svolgere costantemente un mappatura del trattamento dati in essere, ponendosi domande sulla finalità della raccolta dati, sulla sua necessarietà, il tempo di conservazione, la scelta dei partner tecnici, etc..

In definitiva questo esempio come altri che verranno analizzati in futuro dimostra sempre di più come la data protection sia per le imprese un adempimento dinamico e soggetto a revisione da inserire un processo di tipi iterativo mentre dal lato utenti/cittadini un aspetto su cui informarsi e porre sempre più la massima attenzione.

INFORMATIVA GDPR

INFORMATIVA GDPRINFORMATIVA GDPR

Come fare un’informativa GDPR corretta?

On line ormai sull’argomento si trova di tutto, la prova ne sono le migliaia di informative scritte nelle maniere più disparate, tralasciando quelle totalmente sbagliate, molte hanno però hanno il difetto di essere state scritte seguendo opinioni più che il dettato della normativa relativa all’informativa GDPR.

Prima passo da fare quando si deve applicare una norma nuova, ancora prima di correre su google e digitare “informativa privacy fac-simile” o modello informativa privacy”, è quello di trovare magari un contributo autorevole che dica quale siano le norme di riferimento e leggerle.

Riguardo all’informativa GDPR le norme di riferimento sono gli artt. da 12 a 14 del GDPR, dove l’art. 12 primo comma prescrive: “Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato”.

Come si vede dall’art. 12 l’informativa GDPR serve per fornire le informazioni prescritte dagli art.13 e 14 di cui si dirà a breve, ed  il punto su cui personalmente si batte chi scrive il presente articolo è quello della scrittura in maniera concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare quando destinate ai minori. Questo cosa vuol dire? Che la maggior parte dei papiri che si trovano in giro sui siti o nelle informative consegnate brevi manu (manualmente) ai cittadini non sono a norma, detto in altre parole quelle “belle” informative GDPR di pagine e pagine zeppe di riferimento normativi dove a volte non viene riportato neanche la rubrica dell’articolo non sono a norma, mentre con riferimento a quelle che riportano informazioni ridondanti, ovvero in eccesso, qualora nel complesso rendano non facile o chiara né tantomeno intelligibile l’informativa GDPR anche queste dovranno essere tacciate come documenti non a norma.

Sul punto mi permetto di sottolineare ulteriormente la ratio di tutto ciò, ovvero che l’obbligo di chiarezza ed intelligibilità dell’informativa GDPR trae origine dalla necessità di aiutare il cittadino, l’uomo comune, compresi i soggetti meno istruiti, a comprendere i propri diritti, anzi possiamo dire che questo tipo di obblighi (obbligo informativo da una parte e corrispondente diritto ad averla dall’altra) esistono proprio per tutelare i soggetti deboli del rapporto, quindi una informativa GDPR che possa essere compresa solo da un avvocato manca totalmente il suo scopo, viola la ratio della norma, cioè informare la parte più debole del rapporto, in questo caso l’interessato.

Premesso ciò quindi che fare per scrivere una informativa GDPR  norma?

Come detto all’inizio questo articolo andando a leggere la norma di riferimento, ovvero gli artt. 13-14 si avrà la risposta, dove il primo dei due prescrive la lista obbligatoria di informazioni che l’informativa GDPR  deve contenere, quando i dati si raccolgono presso l’interessato, vediamola di seguito:

a) l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;

b) i dati di contatto del responsabile della protezione dei dati, ove applicabile;

c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;

d) qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;

e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;

f)ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’articolo 46 o 47, o all’articolo 49, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.

2.In aggiunta alle informazioni di cui al paragrafo 1, nel momento in cui i dati personali sono ottenuti, il titolare del trattamento fornisce all’interessato le seguenti ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente:

a) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;

b) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;

c) qualora il trattamento sia basato sull’articolo 6, paragrafo 1, lettera a), oppure sull’articolo 9, paragrafo 2, lettera a), l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;

d) il diritto di proporre reclamo a un’autorità di controllo;

e) se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati; f) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

Questa è la lista da rispettare per scrivere un’informativa corretta, niente di più niente di meno, anche il troppo come detto sopra rischia di essere nemico della semplicità e chiarezza in merito alla quale si segnala la chiarezza dell’informativa Apple ad esempio, la quale grazie all’uso sapiente delle icone rende facilmente comprensibile i vari argomenti trattati dall’informativa GDPR.

Quanto invece all’articolo 14 riprende il contenuto suddetto però con riferimento alla raccolta dati effettuata non presso l’interessato, che detto in altre parole riguarda i casi di acquisto di database oppure dati inviati da altri soggetti, o ancora di database talmente vecchi di cui non si riesce a capire l’origine con esatta certezza (motivo per il quale il 25 maggio scorso il mondo è stato inondato da una marea di spam GDPR).

Riassumendo, la maniera migliore per scrivere una informativa GDPR a norma sotto tutti i punti di vista deve contenere tutte le informazioni indicati nella lista  sopra in maniera chiara, semplice ed intelligibile lasciando stare tecnicismi e virtuosismi giuridici che a volte sembrano più essere scritti con l’intento di compiacere chi la scrive (il consulente di turno) piuttosto che agevolare l’interessato nella comprensione  (obbligo di legge).

Se hai trovato interessante questo articolo metti like oppure condividilo sui social. Grazie!
Se hai bisogno di consulenza sull’argomento, scrivimi, sarò lieto di aiutarti.

 

GDPR – Il registro dei trattamenti

GDPR – IL REGISTRO DEI TRATTAMENTI
Il registro dei trattamenti istituto con il nuovo regolamento privacy ex art 30 GDPR è una delle più grandi novità previste dal testo della norma.
A tal proposito sono molte le domande e i dubbi delle imprese e degli enti riguardo alla sua redazione in maniera conforme al GDPR.

Cominciamo con il sottolineare che esistono due tipi di registro per il GDPR, quello del titolare del trattamento e quello del responsabile del trattamento, mentre con riferimento al soggetto obbligato alla sua tenuta l’ultimo paragrafo dell’art. 30 GDPR stabilisce che gli obblighi di cui ai primi due paragrafi (cioè obbligo alla tenuta del registro rispettivamente da parte del titolare e del responsabile), non si applicano alle imprese o organizzazioni con meno di 250 dipendenti.
Tuttavia, in seguito tale norma pone le seguenti eccezioni, ovvero che il registro è obbligatorio a meno che il trattamento:

i. possa presentare un rischio per i diritti e le libertà dell’interessato,
ii. non sia occasionale o
iii. includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o
iv. i dati personali relativi a condanne penali e a reati di cui all’articolo 10.

Detto in altre parole basta avere un dipendente che l’obbligo di tenuta di tenuto del registro dei trattamenti ricompare, difatti è sufficiente la presenza ad esempio dei certificati di malattia o infortuni per riconfigurare l’obbligo.
Quanto al soggetto tenuto a gestirlo sia il titolare che il responsabile qualora abbiano provveduto alla sua nomina possono affidare la gestione al DPO.
Quanto alla sua conformazione è un documento con un contenuto minimo indicato dal regolamento (art.30), tuttavia nulla impedisce, anzi è consigliato, provvedere ad arricchirlo con altre informazioni.
Ciò perché l’istituzione di un registro ben fatto può costituire non solo la dimostrazione di quell’accountability richiesta dal GDPR, ma costituisce un’ottima base per procedere alla redazione del documento di valutazione d’impatto sul trattamento dei dati (DPIA).
Difatti, qualora il registro venisse arricchito con tutte le informazioni relative ai trattamenti dati effettuati, procedere con la loro analisi ai fini della valutazione del rischio, risulterebbe molto più agevole.
Fatte le dovute considerazioni di carattere generale, vediamo il contenuto minimo che il registro del titolare (o quello de rappresentante ove applicabile) deve avere:
a)il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
b) le finalità del trattamento;
c) una descrizione delle categorie di interessati e delle categorie di dati personali;
d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.
Mentre il contenuto minimo del registro del responsabile (o quello de rappresentante ove applicabile) deve prevedere:
a) il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati;
b) le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
c) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
d) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.

Quanto agli strumenti da usare, oltre ai software più o meno validi presenti sul mercato, esistono delle utilità gratuite messe a disposizione da autorità garanti straniere oppure da varie associazioni.
A questo proposito si riporta come l’autorità belga abbia provveduto a pubblicare un modello che si sostanzia in un foglio Excel in cui incasellare, secondo i criteri di classificazione ritenuti più opportuni al caso dal titolare, i contenuti minimi obbligatori richiesti dalla norma.
Altra precisazione doverosa, il registro come detto è il primo strumento dì accountability, pertanto, in caso d’ispezione da parte dell’autorità competente (ad esempio in seguito a una segnalazione), sarà il primo documento che chiederà di visionare.
Sempre rimanendo nel campo dell’accountability si ritiene che questa non vada considerata solo come principio imposto dal legislatore europeo foriero di nuovi adempimenti e responsabilità ma possa essere, ribaltandone l’accezione negativa che certi soggetti al momento gli stanno attribuendo (l’ennesimo adempimento burocratico!) un vantaggio competitivo nei confronti dei concorrenti se sapientemente comunicato.
Salvatore Familiari

Benvenuti su DP4EU

Benvenuti su DP4EU

Il sito che che andrete a consultare mira a fornire informazioni e chiarimenti sul complesso mondo della data protection.

Perche DP4EU?

Con l’entrata in vigore del nuovo GDPR  è diventato evidente anche ai più scettici che la nuova dimensione della privacy è europea, non si può fare a meno che guardarla da un punto di vista internazionale, quindi non sarà più possibile creare de microcosmi normativi, la disciplina si svilupperà da ora in poi su base europea, lasciando agli stati nazionali solo alcuni aspetti (difesa, particolari categorie di dati, definizione interessi legittimi, etc..), però a parte ciò il grosso della discliplina e di best practice avrà un respiro europeo.

Tutto ciò non solo è il vantaggio perseguito dalla UE nell’emanare il Regolamento n. 679/2016, ma è un vantaggio per imprese e interpreti, infatti le prime se con proiezione europea non dovranno più confrontarsi con decine di discipline nazionali differenti, i secondi potranno usufruire delle esperienze degli altri paesi.

il blog è aperto a qualunque contributo costruttivo utile ad approfindire sia la materia della privacy, argomento del momento, sia delle nuove tecnologie (come Blockchain, Smart Contract, Intelligenza Artificiale, Smart Cities..).