Il dubbio non è piacevole, ma la certezza è ridicola. Solo gli imbecilli son sicuri di ciò che dicono. (Voltaire)
Le aziende stanno adottando in GDPR in modi che travalicano anche la più fervida fantasia.
Ho sempre trovato uno specifico aspetto del GDPR critico e temo che ora sia visto come cruciale anche dalla gran parte delle aziende: il rapporto tra titolare e fornitore (data owner - data processor) presenta uno scenario estremamente variopinto e poliedrico. In tutta questa varietà, non si può fare a meno di lasciarsi sfuggire un sorriso.
Ecco un caso concreto, che coinvolge nomi blasonati ed importanti firme legali, che mi ha lasciato senza parole:
- Attore principale: azienda titanica, enorme, con migliaia di dipendenti e centinaia di collaborazioni...
- Comparsa: un servizio esternalizzato di formazione in materia di sicurezza del lavoro.
Come noto, la formazione in materia di sicurezza del lavoro è un adempimento a cui deve pensare il datore di lavoro (che è anche il titolare del trattamento) e che lui deve gestire. Ovviamente, ogni datore di lavoro affida ad altri questo compito, in alcuni casi a funzioni interne, in altri casi in outsourcing. In ogni caso, la formazione che viene erogata riporta al datore di lavoro e, chiunque sia coinvolto, opera sempre in nome di costui che, peraltro, finanzia le attività di formazione.
Date queste premesse, il GDPR non riserva troppe sorprese perchè l'azienda esterna che eroga la formazione lo fa PER CONTO del datore di lavoro originario. Da costui riceve le liste dei lavoratori, riceve il dettaglio di quale formazione effettuare ecc. Chiaramente, il lavoratore è informato dal proprio datore di lavoro circa questo trattamento e non ha bisogno di alcuna autorizzazione o consenso per trasferire, ad esempio, le liste dei dati dei lavoratori all'ente che eroga la formazione. E' il datore di lavoro che determina le FINALITA' di questo trattamento e questo elemento è dirimente per applicare il GDPR e attribuire il corretto ruolo ai soggetti coinvolti.
Ci si aseptterebbe che il Protagonista, l'azienda datore di lavoro, in qualità di TITOLARE DEL TRATTAMENTO, provveda a nominare il fornitore quale responsabile del trattamento.
Eppure... eppure in alcuni casi ci sono delle sorprese.
Dopo aver chiesto di ricevere una nomina a responsabile del trattamento, dando forse per scontato troppo, mi vedo inviare questa illuminante risposta dal Protagonista:
Riscontro la Vs. cortese richiesta al fine di rilevare che nessuna nomina quale di Responsabile del Trattamento dovrà essere predisposta in favore Christian Bernieri e ciò in ragione del servizio (formazione on line del personale) che egli andrà ad erogare in favore della scrivente.
Tale categoria di soggetti, infatti, come espressamente indicato all'interno dell'informativa resa ai lavoratori, è stata fatta rientrare nel novero dei Terzi Titolari Autonomi (e non dei Responsabili), affinchè l’Interessato nel caso di errato o non conforme trattamento dei suoi dati personali o in ipotesi di “data breach” nulla possa rivendicare nei confronti della scrivente.
Chiaramente, come fornitore, sono ben lieto di accettare questo parere, per me autorevole, sul quale posso solo meglio riflettere, nella speranza di imparare i fini meccanismi delle politiche di attuazione del GDPR.
Uscendo però dalla logica cliente-fornitore e ragionando da consulente privacy, non posso fare a meno di pensare che, al posto della applicazione di una norma, siamo di fronte alla personalizzazione della norma stessa, al suo allontanamento dalla realtà e del suo assoggettamento ad interessi di parte o a politiche aziendali accuratamente studiate. Leggere termini come "è stata fatta rientrare" mi fa pensare ad una azione deliberata, una lettura appositamente orientata piuttosto che alla descrizione di una realtà fattuale.
Penso che sia difficile sostenere una posizione simile.
Dal canto mio, ho la ferma intenzione di trattare i dati che mi verranno consegnati con la massima diligenza, proteggerli, ed utilizzarli unicamente per le finalità per le quali mi sono stati consegnati. Chiaramente ora dovrò pensare all'informativa che devo dare ai lavoratori coinvolti, ma questo è marginale: avevo già predisposto una informativa integrativa, a beneficio dell'azienda mia cliente.
Tuttavia, forse con eccesso di zelo, mi sorge un dubbio e inizio a scavare su un aspetto particolare: se è vera la posizione sostenuta del mio cliente, in ragione dell'informativa citata, quei dati sono, di fatto, usciti dal controllo del titolare originario e sono oggetto di un data breach che si è consumato nel momento stesso in cui mi sono stati consegnati. Io sono libero come l'aria rispetto al titolare originario, sono svincolato da ogni dovere nei confronti degli interessati e posso trattare quei dati senza alcun ulteriore preoccupazione, se non il mero adempimento dei miei obblighi di legge in materia di protezione dei dati... un fosco scenario!
Forse il GDPR non permette una simile interpretazione, una così estrema applicazione... mi sembra di poterla definire addirittura una manipolazione.
Forse, questa applicazione della norma, è in realtà una violazione della norma stessa. Un data Breach in termini.
Forse, l'azienda ha incontrato il proprio destino proprio sulla strada presa per evitarlo...
Speriamo di no.
CB