Decreto trasparenza, GDPR, strumenti (e procedure!)

18 gennaio 2023Ultimo aggiornamento 02 febbraio 2023
Tempo di lettura stimato: 5'
Ormai lo sappiamo. È uscito anche il decreto trasparenza. Bene. Cosa cambia? Cosa succede adesso? C’è chi dice: “Ma quindi il badge non va più bene? Allora l’app che mi serve per calcolare quanto fatturare è fuori legge?” 

Ne ho parlato tante volte quando si trattava di GDPR – da poco anche a proposito di Google Analytics – e ora che è uscito questo nuovo decreto, torno a ribadirlo: il punto non è tanto quale strumento vai a utilizzare, ma è come lo usi e per quale finalità lo usi. 

Non solo nel GDPR, anche nel decreto trasparenza conta la finalità

Per chi è compliant col GDPR non ci sono grandi novità: sa già che la finalità è fondamentale! Bene. Questa cosa succede anche col decreto trasparenza, in particolare per quanto riguarda le finalità legate alla sorveglianza
Se hai letto gli articoli che abbiamo pubblicato su questo tema – sono quelli dell’Avvocato Barbara Sabellico “Decreto trasparenza: cosa prevede e cosa bisogna fare subito per adeguarsi” e “Decreto trasparenza, sistemi decisionali e di monitoraggio automatizzato: quando vale l’obbligo di comunicazione ai sindacati” – saprai già che se la finalità è una finalità di sorveglianza, che ti porta in maniera semiautomatica o automatica a decidere cose, allora entri nel contesto del decreto trasparenza. 

Facciamo degli esempi. 

L’azienda che fa vigilanza privata

Prendiamo l’azienda che fa vigilanza privata. Sulle macchine dei suoi metronotte mette su un GPS per assicurarsi – fra le altre cose - che i suoi dipendenti arrivino nelle varie sedi aziendali per fare la guardia notturna. Se col GPS l’azienda vede che la macchina di Peppino è ferma da troppo tempo in un posto, può decidere di fare un controllo per assicurarsi che non si sia addormentato o che non lo abbiano fatto fuori… 

Quindi l’azienda prende una decisione con uno strumento automatizzato (il GPS) che registra la posizione del metronotte. Poi la scelta di controllare che Peppino stia bene è manuale: vede che è fermo, strucca il bottone dell’allarme e manda qualcuno a controllare che sia tutto a posto. 

Di fatto, prende una decisione a fronte di un’informazione che arriva da un sistema automatico o semi automatico. Quindi, il punto non è quello di avere il sistema GPS oppure no, ma di prendere una decisione funzionale alla sorveglianza. 

Se è così, si rientra nel perimetro del decreto trasparenza e quindi dei vari obblighi che questo prevede, fra cui la comunicazione agli organi sindacali. 

Amministratori di sistema e sistemi che registrano gli accessi

Prendiamo un altro esempio: gli amministratori di sistema e i sistemi che registrano l'accesso del reparto IT alle varie macchine e ai vari database, che servono in caso di verifica o di attacco. 

Bene.

Un giorno l’azienda guarda nel sistema e vede che Peppino – che è autorizzato ad accedere - è entrato nel sistema alle 4 del mattino. Scatta l’allarme, il Responsabile della Sicurezza chiama Peppino e gli chiede se è stato davvero lui (che non si sa mai…). 

Anche questo tipo di sorveglianza – se avviene attraverso un sistema automatizzato o semiautomatizzato – ricade nel campo da gioco del decreto trasparenza e quindi da qui campiamo se questo tipo di comunicazione ai lavoratori e agli organi sindacali è da fare oppure no.

Attenzione. L’azienda non deve chiedere l’autorizzazione ai sindacati. Se informa nelle informative giuste, ha registrato tutto nel registro dei trattamenti, ha spiegato perché e determinato per quanto tempo e ha fatto l'analisi dei rischi, non devi farsi autorizzare. Deve informare. Punto. Il sindacato non può dire no. Dice “prendo atto”.

Bene. La cosa non finisce qui.

Ok le finalità. Ok che hai fatto tutto quello che dovevi fare. Ma le procedure in azienda ci sono? Perché è qui che si casca, attenzione…

Procedure e regolamento interno aziendale: il buco nero delle aziende

Procedure e regolamento interno sono il buco nero delle aziende. Non lo dico (solo) io. Lo dice l’Avvocato Barbara Sabellico che ho intervistato proprio su questo argomento. E sono completamente d’accordo con lei. 

Andrea Chiozzi: “Senza procedure non c’è controllo, non c’è trasparenza, non c’è – per riportare il discorso sul GDPR – accountability.”

Avvocato Sabellico: Te lo spiego con un esempio: lo spettro di ogni imprenditore. L’infedeltà aziendale. Soprattutto in tempi come questi, in cui c'è un'infedeltà del personale alta, spesso alle aziende viene la voglia di andare a guardare le mail, di controllare i PC... Quello che vedo però è che non hanno fatto un regolamento interno sull'utilizzo della strumentazione informatica, che nelle informative non c'è la questione del controllo del patrimonio aziendale. Di fatto, si trovano nell'impossibilità di poter utilizzare queste informazioni, che possono essere utilizzate solo nell'ipotesi in cui il comportamento rileva ai fini penali. Però l'infedeltà aziendale, anche se è una brutta roba, di penale ha poco... Mi sento di dare un consiglio ai consulenti privacy, ai consulenti del lavoro e agli HR: questo è il momento in cui bisogna dotarsi di regolamenti interni e di procedure. Altrimenti si rischia di avere le armi ma di non poterle usare.

Andrea Chiozzi: Chiaro. Anzi, su questa cosa – e parlo da auditor e da uomo ISO – mi permetto anch’io di dare qualche consiglio: il regolamento interno, anche se scritto su carta di formaggio, poco importa, deve esserci e deve essere semplice e chiaro

Devono esserci riportate le reali procedure, le reali attività, le cose effettive che si fanno. Deve essere scritto con un linguaggio che sia comprensibile e che sia applicabile. Altrimenti abbiamo la distonia tra il Regolamento e quello che in effetti viene fatto in azienda. Se le due cose non combaciano, sei in difetto. 

Crea un regolamento che sia applicabile. È inutile copiare dei regolamenti già fatti con delle procedure folli per gestire delle robe che tanto non si fanno…

Avvocato Sabellico: Ogni azienda ha un regolamento. È come un nome. Lo stampone non va bene. Bisogna andare in azienda, capire quello che si fa, come viene fatto e scrivere il regolamento. Non è un ciclostile. Farlo così non serve a niente. Aggiungo anche che le procedure si possono cominciare a scrivere. Non è mica obbligatorio fare tutto in un botto solo. Consiglio di cominciare a farle in maniera coerente con l'effettiva attività dell'azienda, soprattutto per le procedure informatiche.

 Attraverso il regolamento io riesco a essere protetto da comportamenti negligenti o dolosi.
Andrea Chiozzi: Chiaro. Così non ti ritrovi Peppino che ti dice: “Ma io non sapevo che, lavorando col computer aziendale, non devo guardare i film pornografici…”. 

Avvocato Sabellico: Ti faccio un altro esempio. Prendi l’azienda che fa un controllo e scopre che alle 3 di notte un lavoratore si mette a lavorare. “Va be', che problema c'è?” si potrebbe dire. E invece, se questa cosa viene a saperla il consulente del lavoro o l'HR, la prospettiva è completamente ribaltata. Perché potrebbero pensare che se Tizio lavora alle 3 di notte, in orario notturno, domani chiede la maggiorazione… Quindi, in questo caso, non solo l’azienda non ha controllato, ma se la prenderebbe anche nei denti... A maggior ragione bisogna avere dei regolamenti reali. 

I ciclostilati si vedono lontano un miglio…
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Biografia dell'autore

Andrea Chiozzi è nato a Reggio Emilia il 4 Agosto del 1969, reggiano “testaquadra” DOC come il lambrusco, ed è sposato con Luisa che lo sopporta da più di vent’anni.
Imprenditore e consulente, da più di 12 anni è l’Evangelist del GDPR.

Attività professionali:
Andrea Chiozzi è socio fondatore e CEO di PRIVACYLAB SRL, azienda che si occupa della produzione di PRIVACYLAB GDPR per la gestione avanzata delle attività legate alla compliance per il Regolamento Europeo 679/2016.
Esperto di GDPR e protezione dei dati personali (soprattutto nelle aree più problematiche quali il marketing digitale e i social network, il digital advertising, l’Internet of Things, i Big Data, il cloud computing),
Andrea presta consulenza per la media e la grande industria italiana e si occupa di organizzare e condurre i consulenti aziendali ad un approccio ottimizzato alla gestione della Compliance GDPR.
È ideatore del sistema Privacylab e della metodologia applicata ai consulenti certificati GDPR. 
Nel 2003 dà vita alla figura di “Privacy Evangelist” e comincia a girare l’Italia come relatore in vari convegni e corsi in tema di protezione dei dati personali arrivando a evangelizzare più di 10.000 persone.

È commissario d’esame per:

UNICERT per lo schema DSC_12/30 per Consulenti Certificati GDPR
TÜV dello schema CDP_ 201 Privacy Officer, Bureau Veritas
CEPAS Bureau Veritas DATA PROTECTION OFFICER per lo schema SCH73 norma Uni 11697:2017 (Accredia) 
ACS ITALIA DATA PROTECTION OFFICER per lo schema SCH01 norma Uni 11697:2017 (Accredia)
UNIVERSAL Gmbh DAKKS per lo schema ISO/IEC 17024:2012 "DATA PROTECTION OFFICER"

E' certificato con:
Unicert come "Consulente Certificato GDPR" n. 18203RE22
TÜV come “Privacy Officer e Consulente Privacy” n. CDP_196.
Cepas Bureau Veritas "Data protection Officer" n. DPO0206
UNICERT DAKKS " Data Protection Officer" n. DPO 0818 010012

Fa parte del Comitato Scientifico Privacy di Torino Wireless, GDPR Academy e di Agile DPO .

Le categorie

Gli argomenti dei nostri articoli

La guida di PrivacyLab

Per orientarti tra i nostri articoli

Resta informato su quello che succede.

Lasciaci la tua email e riceverai le nostre comunicazioni informative e commerciali

informativa sulla privacy