Non ci stiamo nemmeno provando (a rispettare le regole) !
Premessa: un post che farà arrabbiare molti colleghi, preoccupare molti imprenditori, sobbalzare molti controllori.
Obbiettivo: lanciamo un altro sasso nello stagno e vediamo cosa succede. Magari qualcuno si sveglia
Previsione: non succederà proprio niente perchè nessuno vuole accettare la realtà
Esito finale: continueremo ad essere tutti molto fragili e ricattabili.
Lungo lungo lungo post che richiede un piccolo indice:
- Introduzione
- Il dilemma del DPO
- Non c'è solo il GDPR
- Cosa ci chiede lo statuto dei lavoratori?
- Il percorso di elaborazione del dolore
- La negazione
- La rabbia
- Il patteggiamento
- La depressione
- L'accettazione
- Il riscatto
Introduzione
Quando opero da consulente mi trovo spesso ad analizzare aziende che iniziano a mettersi in regola con il GDPR: si inizia pieni di entusiasmo ma con un velo di malinconia perchè si preconizza come andrà a finire.
Il lavoro è lungo e dipende molto dalle aspettative dell'azienda. Normalmente tutto parte dall'analisi dei trattamenti: un bell'inventario basato su ciò che accade in azienda, cosa si fa, da dove arrivano i dati, come vengono usati, dove vengono mandati, fino ad arrivare a cosa potremo voler fare in futuro. Quanto più si riesce ad essere precisi e analitici, tanto più sarà completo il lavoro finale. Il resto del lavoro dipende da questa analisi e si svilupperò di conseguenza.
Quando opero da DPO il discorso è molto simile, verifico i documenti, gli adempimenti e mi trovo di fronte a situazioni gestite con tanta buona volontà e con un livello di consapevolezza dei dettagli che varia molto tra le diverse imprese.
Per la cronaca... si, intendevo proprio dire questo: se faccio il consulente per un'azienda non posso essere il suo DPO e viceversa. Ma questa è un'altra storia.
In entrambi i casi, quando mi capita di affiancare ispettori durante le loro verifiche, osservo un livello di analisi decisamente leggero, compiacente, uno sguardo dall'alto, senza voler approfondire più di tanto e senza scoperchiare pentoloni che, forse, è meglio che rimangano chiusi. Non intendo dire che le verifiche siano all'acqua di rose, ma non posso fare a meno di concludere ogni ispezione con un giudizio che immancabilmente suona più o meno sempre nello stesso modo: "ci è andata veramente di lusso!"
Perchè lamentarsene quando la situazione va a proprio vantaggio? Non penso proprio che la fortuna possa giocare un ruolo in tutto questo e, forse, le cause vanno ricercate più che altro in un tacito patto tra persone che si trovano di fronte ad un nemico comune.
Penso che la stessa cosa capiti a ogni professionista, per quanto riguarda il proprio campo di specializzazione. Fin qui, dunque, nulla di speciale.
Il dilemma del DPO
Rimango spesso invischiato in pensieri che mi perplimono e che tratteggiano situazioni che non riesco ad accettare.
Non ci dormo la notte.
Ciò che mi turba è l'immenso ed ubiquitario il vaso di Pandora che nessuno vuole vedere, che nessuno vuole toccare e che, se aperto, avrebbe conseguenze dirompenti e devastanti un po' per tutti. Nessuno ne ammette l'esistenza ma il vaso c'è. Forse siamo tutti tacitamente d'accordo e fare finta di niente può essere la cosa giusta da fare di fronte a una faccenda troppo dolorosa, troppo complicata, troppo grossa per essere gestita.
E io non ci dormo la notte.
Probabilmente è vero che viviamo in un mondo sovrastrutturato, con norme molto stratificate che rendono complicato anche il solo fatto di respirare, dove tutto è potenzialmente vietato e che, spesso, frustra la volontà di chi desidera provare a fare le cose per bene.
Altrettanto probabilmente il mondo della privacy è estremamente complesso e maledettamente serio, un mondo in cui le circostanze determinano il senso e la portata della norma nonchè la sua applicabilità ai singoli casi. È un mondo dalla dimensione frattale, dove ogni singolo elemento può essere oggetto di ulteriore analisi e scomposizione, ritrovando in ogni sua parte le stesse simmetrie che sono proprie dell'intero. Chiunque approfondisca un po' l'argomento si trova presto alle prese con il fatidico dilemma al quale tutti dobbiamo dare un risposta:
la domanda fondamentale sulla vita, l'universo e tutto quanto, in salsa Privacy...
"ma fino a che punto devo arrivare?"
Fino a che punto è giustificato analizzare, scandagliare, descrivere nel particolare e vivisezionare i trattamenti, i sistemi informativi, il ciclo produttivo, i fornitori ed ogni altro asset che concorre al trattamento dei dati personali?
Fino a che livello di analisi e di sofisticazione deve spingersi un DPO, un titolare del trattamento, un consulente, per spacchettare la realtà e per poterla, poi, gestire pezzo per pezzo, evidenziandone i rischi, rimediare ai guai e, in ultima analisi, adempiere al GDPR?
Si, perchè ci dev'essere un punto che, una volta raggiunto, mi consenta di dire "ok, va bene così, può bastare".
Deve esserci anche perché, se non ci fosse, saremmo di fonte ad un circolo vizioso, senza senso, che porterebbe a riscoprire che l'atomo è indivisibile per poi portarci a concludere che più avanti di così non si può andare, perdendo completamente di vista il quadro generale e il senso della realtà. Senza contare il fatto che, la natura frattale della protezione dei dati personali, potrebbe portare ad inviluppi senza fine degni dei cervellotici paradossi tipici delle antiche scuole filosofiche ateniesi.
Non ci dormo la notte, vedendo che l'approccio più comune consiste nell'allinearsi ad un livello di analisi così superficiale da non riuscire a vedere l'ovvio, così fumoso da trascurare rischi macroscopici e ignorare adempimenti cardine dell'intero sistema.
E dato che non ci dormo la notte, approfondisco volentieri.
Cercando questo punto di equilibrio, tra rigore e senso pratico, si finisce spesso a filosofeggiare tra DPO e divertirsi a portare il discorso alle sue estreme conseguenze. Questo è un esercizio utile per capire molti meccanismi, per esempio, è molto divertente analizzare un semplice browser per capire cosa implichi in termini di adempimenti GDPR. Cosa dobbiamo considerare per una analisi attenta?
- c'è il browser,
- ci sono dei trattamenti automatici che l'utente non vede nemmeno, come la tecnologia Google Instant
- ci sono i cookie del browser,
- ci sono i cookie di alcuni produttori o di tecnologie accessorie (es. ricordiamo quelli di Adobe Flash)
- ci sono i javascript che arrivano dalle pagine web visitate
- c'è la risoluzione degli indirizzi digitati tramite i DNS,
- ci sono utenti loggati e utenti non loggati, per esempio, a Google,
- ci sono utenti che salvano le password in locale nel browser,
- ci sono pagine web che memorizzano il dispositivo come attendibile,
- ci sono le estensioni che possono essere aggiunte al browser e che fanno entrare in gioco nuovi soggetti con i quali i dati sono condivisi,
- e ci sono tante altre cose sempre più tecniche, invisibili e sempre più complicate.
Adempiere al GDPR rispetto ad ogni singolo elemento riscontrato in un'analisi rigorosa e completa è estenuante. Non ho mai incontrato un'azienda che abbia nominato "responsabili del trattamento" tutti i soggetti che emergono da questa banale analisi di un ipotetico browser e tutti i produttori di tecnologia coinvolti, per esempio, dalle varie estensioni presenti nel browser.
Non sono un matto e capisco benissimo che, ad un certo punto, sia necessario fermarsi.
Il livello a cui porre l'asticella cambia ed è il titolare del trattamento, diciamo pure l'azienda, che deve decidere quando fermarsi e quando un'analisi è arrivata ad un livello di dettaglio adeguato e, quindi, sufficiente.
Ma io non ci dormo la notte.
Sì, perché non esiste solo il GDPR, esistono anche altre norme da rispettare, ben più risalenti, consolidate e severe. Esistono norme per le quali non si può fare spallucce liquidandole a una fisima o etichettandole come esagerazioni di un legislatore lontano dal mondo reale (si, ogni tanto me lo sento dire).
Per esempio, esiste la L.300 del 1970, nota alle masse come "statuto dei lavoratori". Una legge fondamentale e profondamente ancorata al nostro contesto sociale e produttivo. Difficile pensare ad una Italia senza tale norma.
Forse a causa dell'età anagrafica della norma, ho sentito dire che sarebbe, secondo alcuni, una legge anacronistica e non adatta ad un contesto fatto di computer, smartphone ed email. Ogni volta che lo sento sorrido e taccio perchè ci sarebbero troppe cose da dire e non vorrei seppellire l'interlocutore sotto una montagna di parole e di vergogna.
È un fatto che dagli anni 70 ad oggi sono cambiate tante cose, è vero, ma è cambiata anche la norma e il suo articolo 4 non è sfuggito alle novelle e al maquillage operato da recenti governi.
Al contrario del GDPR, l'articolo 4 dello Statuto dei lavoratori è una norma molto rigida, che non lascia all'interprete margini per giustificare le proprie scelte e che, se violata, comporta unicamente una sanzione penale, immediata, diretta. Questo elemento, da solo, testimonia tutta l'austerità della norma, l'importanza che ha nel nostro ordinamento e la sua posizione in cima alla lista delle norme che non possono essere trascurate o applicate in modo distratto.
Eppure, non ci domo la notte quanto mi accorgo che, normalmente, questa norma viene presa in considerazione solo con riferimento ai sistemi di videosorveglianza. E a volte nemmeno per quelli!
Cosa ci dice lo statuto? In realtà una cosa molto semplice:
Se hai un sistema di videosorveglianza o un qualsiasi altro sistema, dal quale è teoricamente possibile effettuare un controllo a distanza dell'attività dei lavoratori... hai dei limiti e devi fare determinate cose. Se sbagli sei un malfattore. L'unica deroga riguarda i sistemi utilizzati dal lavoratore per rendere la prestazione lavorativa. (parafrasi molto libera e sgarzullina)
Dispositivo dell'art. 4 Statuto dei lavoratori
1. Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell'attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali. In alternativa, nel caso di imprese con unità produttive ubicate in diverse province della stessa regione ovvero in più regioni, tale accordo può essere stipulato dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale. In mancanza di accordo, gli impianti e gli strumenti di cui al primo periodo possono essere installati previa autorizzazione delle sede territoriale dell'Ispettorato nazionale del lavoro o, in alternativa, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più sedi territoriali, della sede centrale dell'Ispettorato nazionale del lavoro. I provvedimenti di cui al terzo periodo sono definitivi.
2. La disposizione di cui al comma 1 non si applica agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze.
3. Le informazioni raccolte ai sensi dei commi 1 e 2 sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d'uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196.
Dietro a questa "cosa molto semplice" c'è un universo di sentenze, interpretazioni, fatti e misfatti che rendono il tema scottante e difficile da maneggiare. Si può facilmente trovare tutto ed il suo contrario nelle sentenze dei tanti tribunali che hanno deciso su vicende legate all'articolo 4 dello statuto. Facendo i dovuti approfondimenti si nota tuttavia una prevalenza netta di determinate applicazioni e si delinea una giurisprudenza prevalente e chiara.
Senza addentrarci nell'esegesi del diritto e nei complessi ragionamenti sugli orientamenti giurisprudenziali, ci limitiamo ad alcune semplici considerazioni, in salsa GDPR che, tuttavia, svelano un mondo di inadempienze.
PRIMA CONGETTURA: siamo nel penale. Per arrivare al penale con il GDPR bisogna impegnarsi veramente tanto, combinarne di tutti i colori e non è facile. Al contrario, violare l'articolo 4 dello statuto costituisce una violazione con una unica sanzione di tipo penale. Si, è vero che esiste l'istituto dell'oblazione, ma non sempre può essere esercitato e non è certo uno strumento per ricondurre tutto ad una burla. Ho visto personalmente datori di lavoro dover affrontare il tribunale per aver pagato il bollettino dell'oblazione in ritardo!
SECONDA CONGETTURA: quando la norma cita "gli altri strumenti" amplia enormemente il proprio campo di applicazione. Che i sistemi di videosorveglianza siano richiamati espressamente non li rende diversi da ogni altro sistema che possa essere ricondotto alla fattispecie prevista dall'articolo 4.
E quali sarebbero gli altri sistemi citati? Beh, mettiamola così: questo è esattamente ciò che mi toglie il sonno.
Volendo vedere la portata esatta dell'articolo 4, in modo oggettivo e non capzioso, bisogna leggerlo in questi termini: ogni altro sistema dal quale sia possibile effettuare un controllo a distanza e che non sia necessario al lavoratore per rendere la prestazione lavorativa.
E a questo punto, anche i migliori trasecolano davanti al dolore.
-fase della negazione-
"Non è possibile. "
"Stai scherzano... "
"Ma figurati, è roba da talebani della privacy"
Chiunque inizia a preoccuparsi seriamente e ad elaborare l'orrore che si delinea cupo all'orizzonte e che è troppo doloroso per essere vero. Non si può accettare una sconfitta così clamorosa e ci si rende conto che, se le cose stessero veramente in questi termini, la situazione sarebbe veramente grave... non può essere possibile! Non deve esserlo!
-fase della rabbia-
"questa è una norma scritta da chi non ha mai lavorato"
"così le aziende chiudono"
"voglio proprio vedere quale ispettore ha il coraggio di venirmi a dire una cosa del genere"
Dopo la negazione si inizia a prendere in considerazione il fatto che, effettivamente, la norma esista e dalla negazione si passa alla rabbia. Il pensiero di non poterla gestire e di non poter accettare un cambiamento di questa portata genera ostilità e porta le persone a dire cose poco gradite al clero.
È in questi momenti che i DPO vengono spesso presi a maleparole e, nei casi più pittoreschi, anche licenziati. Per fortuna la maggior parte dei titolari si limita a dare al DPO tutte le colpe di un sistema fatto unicamente per dare da vivere ai DPO... ma questa è tutta un'altra storia.
-fase del patteggiamento-
"presto, chiama il consulente, deve esserci una soluzione"
(quello appena mandato via perchè era tutta colpa sua - n.d.r.)
"avremo capito male, deve esserci una soluzione"
"chiamo mio cugino, vediamo come hanno fatto dalle loro parti"
Dopo aver placato i bollenti spiriti, la mente ricomincia a funzionare in modo razionale ma è ancora intontita dal forte shock. A questo punto si cerca una strada alternativa, si pensa che possano esistere deroghe, eccezioni, che si possa fare qualcosa per non doversi tuffare nella valle di lacrime che, ora, si vede chiaramente all'orizzonte.
È in questa fase che arriva uno dei passaggi più insidiosi del percorso perchè, a questo punto, arriva sempre, immancabilmente, chi suggerisce di leggere bene e interpretare pro domo sua l'unica eccezione presente nella regola: "utilizzato per rendere la prestazione lavorativa"
Vogliamo essere meno furbi degli altri? La domanda è legittima e, nella cupa disperazione, fioriscono variopinte interpretazioni.
Sicchè, incuranti della giurisprudenza accumulata negli anni, nel totale disprezzo dei numerosi provvedimenti del Garante che chiariscono bene la postata di questo inciso, dopo tanta angoscia, si vuole a tutti i costi intravedere un barlume di speranza... forse c'è una soluzione, forse abbiamo trovato l'escamotage.
Ma la luce in fondo al tunnel non è l'uscita, ma un treno che arriva in senso contrario!
-fase della depressione-
Ed è qui che il dolore lascia il segno più profondo, quando il DPO, di nuovo, chiarisce al titolare che quel lumicino di speranza deve confrontarsi con l'evidenza del concetto di necessità, così come interpretato dal Garante.
Così, recentissimo il Garante con Ordinanza di ingiunzione nei confronti di Regione Lazio - 1 dicembre 2022
Sebbene la gestione dei dati esteriori relativi all’utilizzo dei sistemi di posta elettronica, contenuti nella cosiddetta "envelope" del messaggio, e la conservazione degli stessi per un arco temporale limitato, di regola non superiore a sette giorni, si possano considerare necessarie ad assicurare il corretto funzionamento e il regolare utilizzo del sistema di posta elettronica, comprese le essenziali garanzie di sicurezza informatica (v. provv.ti nn. 303 del 13 luglio 2016, doc. web n. 5408460, confermato dal Tribunale di Chieti con sent. n. 672 del 24 ottobre 2019; 1° febbraio 2018, n. 53, doc. web n. 8159221; 29 ottobre 2020, n. 214, doc. web n. 9518890; 29 settembre 2021, n. 353, doc. web n. 9719914), la conservazione di tali metadati, per un lasso di tempo più esteso, non può, invece, ricondursi all’ambito di applicazione dell’art. 4, comma 2, della predetta l. n. 300/1970. Infatti, per scelta espressa del legislatore, solo gli strumenti preordinati, anche in ragione delle caratteristiche tecniche di configurazione, alla “registrazione degli accessi e delle presenze” e allo “svolgimento della prestazione” non soggiacciono ai limiti e alle garanzie di cui al primo comma, in quanto funzionali a consentire l’assolvimento degli obblighi che discendono direttamente dal contratto di lavoro, vale a dire, la presenza in servizio e l’esecuzione della prestazione lavorativa.
In tale quadro, la generalizzata raccolta e la conservazione, per un periodo più esteso (rispetto ai predetti 7 giorni), dei metadati relativi all’utilizzo della posta elettronica da parte dei dipendenti non possono, invece, essere ricondotte all’ambito di applicazione del comma 2 dell’art. 4 della l. n. 300/1970, rientrando, piuttosto, tra gli strumenti funzionali alla tutela dell’integrità del patrimonio informativo del titolare nel suo complesso, di cui al comma 1 del medesimo art. 4.
Così il Garante in audizione il 13 maggio 2020
Va, in particolare, inteso in modo rigoroso il vincolo finalistico alla prestazione lavorativa che, rispetto ai controlli mediante strumenti utilizzati appunto per rendere la prestazione, legittima l’esenzione dalla procedura concertativa o autorizzativa (art. 4, c.2, l.300).
Non sarebbe, ad esempio, legittimo fornire per lo smart working un computer dotato di funzionalità che consentano al datore di lavoro di esercitare un monitoraggio sistematico e pervasivo dell’attività compiuta dal dipendente tramite, appunto, questo dispositivo.
Garante in Newsletter 21/12/2017
Il Garante ha osservato inoltre che ai sensi della disciplina di settore, il sistema non poteva configurarsi quale mero "strumento di lavoro" indispensabile per rendere la prestazione, potendo consentire, anche indirettamente, il controllo a distanza del lavoratore.
Garante in Newsletter 15/09/2016
L´infrastruttura adottata dall´Ateneo, diversamente da quanto affermato, consentiva poi la verifica costante e indiscriminata degli accessi degli utenti alla rete e all´e-mail, utilizzando sistemi e software che non possono essere considerati, in base alla normativa, "strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa". Tali software, infatti, non erano necessari per lo svolgimento della predetta attività ed operavano, peraltro, in background, con modalità non percepibili dall´utente. E´ stato così violato lo Statuto dei lavoratori - anche nella nuova versione modificata dal cosiddetto "Jobs Act" – che in caso di controllo a distanza prevede l´adozione di specifiche garanzie per il lavoratore.
Garante in Newsletter 29/03/2018
Il sistema, contrariamente a quanto affermato dalla società, non può essere considerato uno "strumento di lavoro" per la sola gestione del contatto con il cliente e dunque utilizzato dall´operatore per rendere la prestazione, perché rientra piuttosto - a parere del Garante - tra gli "strumenti organizzativi" per soddisfare esigenze organizzative e produttive del datore di lavoro dai quali può derivare il controllo a distanza dei lavoratori. E, data la loro invasività, prima di impiegare questi strumenti la società avrebbe dovuto attivare tutte le procedure previste dallo Statuto dei lavoratori
Addirittura sul tema: Audizione del Presidente Antonello Soro sugli schemi di decreti legislativi attuativi del c.d. Jobs Act - 9 e 14 luglio 2015
Espressa esclusione, dalla procedura concertativo-autorizzativa, dei controlli realizzati mediante gli "strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa" (es. computer, smartphone) e gli strumenti di registrazione degli accessi e delle presenze" (ad es. i badge).
Come precisato dallo stesso Ministro, tuttavia, i controlli realizzati mediante tali strumenti beneficiano dell´esonero dalla procedura autorizzativa solo nella misura in cui siano effettuati utilizzando le normali funzionalità degli apparecchi forniti in dotazione, appunto, per rendere la prestazione e non inserendo specifici sistemi modificativi dei dispositivi, finalizzati al controllo personale del lavoratore.
Non dovrebbe, dunque, avvalersi dell´esonero il datore di lavoro che intenda dotare di particolari software atti al monitoraggio del lavoratore i dispositivi (il pc o il telefono) forniti al dipendente per ragioni di servizio.
Provvedimento sul trattamento di dati personali dei dipendenti mediante posta elettronica e altri strumenti di lavoro - 13 luglio 2016
Tali software non possono essere considerati "strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa" (ai sensi e per gli effetti dell´art. 4, comma 2, l. n. 300/1970, come modificato dall´art. 23 del d.lg. n. 151/2015; sul punto, cfr. nota del Ministero del Lavoro e delle Politiche Sociali, del 18 giugno 2015; v. altresì la definizione di "attrezzatura" e "post[azione] di lavoro" di cui all´art. 173 d.lg. n. 81/2008).
Questa breve e approssimativa ricerca, purtroppo, spegne il lumicino di speranza, riportando il titolare nell'oscurità che precede la genesi.
-fase dell'accettazione-
L'accettazione della situazione si fa largo nel buio e si offre ai titolari rincuorandoli, come una strada sicura da percorrere per uscire dalle tenebre.
Avendo superato questo dolente percorso, il titolare riconsidera la propria situazione, ammette la possibilità di adempiere e inizia persino a intravedere alcuni aspetti positivi; si rende conto che ora sa cosa fare per scongiurare i rischi che incombevano sulla sua attività e di cui non era nemmeno consapevole. Il titolare si sente più padrone della propria impresa, vede un modo concreto per poterla proteggere e, soprattutto, inizia a guardare con occhi nuovi il DPO.
Forse non gli chiederà mai scusa per le brutte cose dette in precedenza, ma il titolare incomincia a capire che il DPO sta dalla sua stessa parte, che ha sofferto anche lui per l'angosciante situazione e che lui per primo si è personalmente esposto cercando di spiegare la situazione, senza passioni né pregiudizi.
E dunque?
Questo percorso ci porta ad una nuova consapevolezza: in azienda utilizziamo quotidianamente moltissimi strumenti che rientrano nel campo di applicazione dell'art 4 dello statuto, che quindi sono limitati nelle finalità, che sono assoggettati ad un regime autorizzativo (con i sindacati o con la Direzione Territoriale del Lavoro) e che, in ultima analisi, abbiano fortemente sottovalutato e volontariamente ignorato.
Qui cambia tutto
Primo Passo per il riscatto
Riprendendo il metodo ideale, si deve ripartire dalla mappatura, dall'inventario di tutte le tecnologie presenti in azienda che possono comportare il monitoraggio a distanza dei lavoratori. Questa volta, però, cercando di includerle tutte, anche se ci sembra assurdo che possano, in astratto, essere comprese tra gli strumenti di controllo a distanza.
Con questo elenco sarà possibile, caso per caso, stabilire quali siano le modalità corrette di esercizio del sistema, le misure di prevenzione, i tempi di conservazione dei dati e ogni altro elemento necessario ai fini del GDPR. Sarà inoltre possibile predisporre il necessario ai fini della regolarità e dell'adempimento autorizzativo previsto dallo statuto dei lavoratori.
L'elenco è lungo e cambia rispetto ad ogni organizzazione, non è certamente possibile provare ad essere esaustivi e sarebbe già un grande risultato riuscire ad essere vagamente utili. Per puro diletto, solo per dare un'idea della tipologia di strumenti e trattamenti da elencare, provo ad immaginare una azeinda ipotetica e la sua lista di trattamenti che possono ricadere nel campo di applicazione dell'articolo 4 dello statuto:
- rendicontazione transiti telepass o viacard
- black box di assicurazioni o di sistemi antifurto
- sistemi di pagamento elettronico, incluse le tessere carburante, carte di credito aziendali ecc
- smartphone e tablet per il personale viaggiante
- badge o codice per apertura porte, sblocco sistemi, cancelli e box con apertura a badge o a codice personale
- mailbox o sistemi di deposito e prelievo oggetti
- centralino telefonico digitale (che registra localmente le chiamate entranti, uscenti, durata, interni utilizzati, ecc.). Ovviamente anche i centralini che registrano le conversazioni effettuate.
- sistemi di registrazione audio/video dell'attività lavorativa (es. centralini di callcenter, verifica identità dei clienti o utenti, stipula o attivazioni a distanza)
- codici o badge individuali per inserimento comande (tipici dei terminali nei ristoranti)
A questi sistemi deve essere aggiunta l'intera categoria dei gestionali, ogni gestionale, che permetta di tracciare le operazioni compiute dai singoli terminali o dai singoli operatori.
- Gestionali che tracciano l'attività di ogni operatore scrivendo una riga di dati in un log e registrino anche solo i metadati per ogni operazione effettuata anche se riguarda movimentazione di merci o prodotti
- CRM (come Salesforce), ERP (come SAP), PIM, AMS, TMS, ecc
- Piattaforme operative web based con logging degli accessi e delle operazioni compiute: CMS, LMS e sistemi Elearning, MAP, ecc
Ok, qualcuno potrebbe pensare... mi è andata bene, non facciamo nulla di simile, ma la lista non è ancora terminata. Nella più assoluta banalità e nelle operazioni più comuni troviamo comunque molti trattamenti che meritano attenzione e che meritano di essere riconsiderate alla luce dell'obbligo previsto dallo statuto dei lavoratori:
- qualsiasi file di office automation con journaling (MS Word, tanto per fare un esempio, ma vale per la maggior parte dei word processors e dei software che permettono gli "undo", le revisioni o che storicizzano le modifiche)
- sistemi di lavoro collaborativo (che tracciano le modifiche e le revisioni per poterle integrare)
Non di solo software parliamo. Esistono anche elementi dell'infrastruttura di comunicazione da mettere nella lista:
- router che instradano il traffico internet e che, ovviamente, possono registrare le pagine visitate
- sistemi di sicurezza che filtrano i contenuti indesiderati e che, necessariamente, verificano i contenuti in transito sulla rete e verso internet
- fotocopiatrici, stampanti scanner multifunzione con codice utente individuale o con reportistica d'uso
- sistemi di reportistica dell'attività lavorativa
L'unico sistema di reportistica escluso è il sistema di timbratura di inizio e fine turno. Trattandosi di norma penale diventa difficile pensare ad una applicazione analogica tale da estendere l'esclusione ad altro che non sia strettamente collegato al tracciamento dell'orario di inizio e di fine lavoro.
Proseguendo con la lista non posso omettere altri sistemi di uso frequente che, per quanto incredibile, devono essere autorizzati e gestiti nei modi previsti dallo statuto:
- Veicoli connessi, gestiti con app o con portale o con telemetria. Sono veicoli di ultima generazione, auto elettriche e simili.
- Gestione flotte, sistemi di sicurezza antirapina, sistemi di chiamata soccorso con localizzazione, ecc
- Sistemi di assistenza in caso di guasto o incidente e localizzazione di veicoli in generale.
- Parcheggi o posti auto con rilevazione presenza o accesso controllato
- Sistemi di allarme anti intrusione con codici identificativi personali, chiavi personali e log degli eventi
- Strumenti di lavoro e diagnostica connessi, predisposti per invio di dati in remoto, tipico del settore medicale per l’effettuazione di analisi con refertazione a distanza e del settore dell'assistenza tecnica per la diagnostica o reportistica.
- Macchinette con chiavette elettroniche come distributori di caffè, merende e bibite
- Macchina fotografica digitale, se in dotazione per registrare fatti eventi lavori ecc. se registra metadati inclusa la localizzazione della foto
- Tutti i sistemi di messaggistica che gestiscono condivisione posizione o ricevute lettura e generano metadati. Ricordo sempre volentieri che usare whatsapp o telegram per lavoro è veramente una pessima idea.
Non posso esimermi dal citare i chiacchierati sistemi di monitoraggio presenze:
- analisi dei segnali wifi e bluetooth che permettono la localizzazione dei dispositivi
- rfid (tessere, bottoni, ecc) per gestire l'accesso o localizzazione in edifici, siti lavorativi, cantieri
- contapersone intelligenti
Infine, per i soli stoici che sono arrivati a leggere fino a qui, voglio citare l'emblematico caso della posta elettronica aziendale. Penso che ogni azienda italiana abbia un sistema di posta elettronica, fatico a immaginare attività che possono farne a meno, non fosse altro perchè è obbligatorio registrare un indirizzo PEC. Naturalmente la posta che più mi interessa è quella affidata ai lavoratori. Il panorama è molto vario e si va da mailbox individuali (paperino@paperopoli.it) ad email generiche (amministratione@paperopoli.it).
Il Garante Privacy ha appena sanzionato in modo molto pesante Regione Lazio proprio per aver violato le regole applicabili alle email e ai metadati generati dai loro server. Nello specifico (riassumendo molto) i metadati degli scambi delle email sono stati raccolti in modo indiscriminato per tutti gli account di posta, conservati per 6 mesi e utilizzati a posteriori per attività difensive rispetto a presunti illeciti comportamenti dei lavoratori. Nonostante sembri giusto poter perseguire condotte illecite, ci sono dei vincoli di legittimità, primo fra tutti il fatto che quei dati rientrano nel campo di applicazione del articolo 4 dello statuto. Serve una autorizzazione ministeriale o un accordo sindacale per trattarli lecitamente, Inoltre l'uso è limitato alle finalità indicate dallo statuto.
Per maggiori dettagli sulla sanzione a Regione Lazio si può leggere il mio thread su twitter: https://twitter.com/prevenzione/status/1604911740847808513?s=20&t=cGZhJJv3INmwESxbC2lPFw
Volendo imparare qualcosa da questo importante provvedimento si arriva a questa conclusione:
chiunque abbia in casa dati grazie ai quali è possibile verificare l'attività lavorativa di un dipendente deve ottenere una autorizzazione ministeriale oppure un accordo sindacale. Deve cancellarli appena semttono di essere tecnicamente necessari (7 giorni nel caso dei metadati delle email)
Dopodiché, il titolare deve limitarsi agli unici usi possibili e questi sono pochi pochi:
- esigenze organizzative,
- esigenze produttive,
- esigenze di sicurezza del lavoro e
- esigenze di tutela del patrimonio aziendale.
Infine devono essere rispettati i principi di minimizzazione del trattamento e di limitazione della conservazione, nonché di trasparenza, di privacy by design e ogni altro principio previsto dal GDPR.
Tutto questo per ogni singolo trattamento, sistema, tecnologia e aggeggio dal quale è possibile, anche solo astrattamente, raccogliere dati che permettono il controllo a distanza del lavoratore! La lista è lunga.
La particolarità di questa lista di trattamenti sta nel fatto che alcuni di essi sono pensati per utenti, clienti, passati o altre categorie di persone, diverse dai lavoratori dipendenti che, magari incidentalmente, possono rientrare comunque nel trattamento.
L'articolo 4 si applica infatti unicamente ai dati dei propri dipendenti, si, ma effettuato da qualsiasi sistema che, anche solo incidentalmente, tratti quei dati e dal quale sia possibile, anche solo astrattamente, realizzare una forma di controllo a distanza.
Ricordiamolo... non conta il fatto che questi strumenti siano effettivamente utilizzati per il controllo a distanza o in modo deteriore, né ci aiuta il fatto che siano configurati in modo da evitare il tracciamento. Ciò che conta è la teorica possibilità che un monitoraggio a distanza possa avvenire!
Forse questo panegirico farà perdere un po di serenità ad amici titolari del trattamento, a colleghi DPO, agli ispettori di vari enti... oppure possiamo continuare tutti a fare finta di niente, allegramente, all'italiana.
Attenzione però, ogni azienda con DPO silenti che non sollevano il problema o titolari spensierati corrono un rischio enorme: vivono con la spada di Damocle sulla testa e sono, in una parola, ricattabili da tutti, ispettori, lavoratori, competitor.
Dovevo dirlo perchè non ci dormo la notte.
Ora non veglierò più da solo.
Prosit.
CB