Come si scelgono gli strumenti per fare lo Smart Working (e non solo!)

29 maggio 2020Ultimo aggiornamento 05 giugno 2020
Tempo di lettura stimato: 5'
Quali strumenti scegliere per fare Smart Working? Zoom, Google Meet, XYZ? Stop! 
La prima cosa da sapere, a monte della scelta dello strumento, è questa: l’azienda decide come vuol trattare i dati e di conseguenza viene scelto strumento. 
Non è il responsabile IT a scegliere cosa fare. È l’azienda che decide come vuole operare, che cosa possono fare le persone dello Human Resources, gli amministrativi, gli impiegati delle vendite e così via quando lavorano in Smart Working (ma anche dentro l’azienda). Il come farlo – cioè quali strumenti usare per lavorare a distanza - lo decide l’IT. 
Dopo che si è fatta questa disamina su cosa fare e su come fare lo Smart Working, il titolare o il DPO fanno l’analisi dei rischi per i trattamenti (decisi dall’azienda) con lo strumento (deciso dall’IT). 
Il rischio risulta basso?
Bene! Fantastico! 
Si va avanti e si guarda chi fornisce lo strumento, perché è un responsabile esterno
Quindi bisogna capire se è conforme al GDPR. 


Chi fornisce il servizio è responsabile esterno: occhio a come lo scegli

Se gli strumenti, come accade sempre più spesso, sono in Cloud o sono in streaming, chi eroga il servizio deve essere responsabile esterno al trattamento: Data Processor. 
Quindi il titolare e il DPO, insieme all’IT, valutano il fornitore.
Su questo punto io mi sono immaginato il dialogo fra i due (titolare e DPO):
Titolare: “Ma perché devo valutare il fornitore?”
DPO: “Uno, perché è obbligatorio. Il GDPR ti obbliga a verificare che il responsabile esterno sia conforme. Due, perché, se per esempio, usi uno strumento di meeting online con la possibilità di registrare le persone, corri un rischio. Metti che succede una cosa del genere: Peppino, Antonio e Francesco stanno lavorando da casa. Ad un certo punto la moglie di Antonio passa per sbaglio dietro di lui in mutande mentre è in riunione virtuale e Peppino entra in registrazione, copia un pezzettino e lo manda in giro. Antonio può cazziare Peppino per dirgli: “Oh! Guarda che quello che hai fatto non lo potevi fare!” Ma, per contro, viene a cazziare anche te che sei l’azienda dicendo: “Perché hai messo le registrazioni accessibili a tutti?” Ecco perché è bene che il fornitore lo nomini responsabile esterno.” 
Titolare: “Oddio… non ci avevo pensato!”
DPO: “Oppure metti che c’è un bombing e qualcuno dall’esterno riesce ad entrare nell’area di meeting e registra quello che viene detto. Diventa pericoloso… Il fornitore deve essere responsabile esterno e la scelta è obbligatoria! Se tu affidi dei dati di cui sei titolare, carissimo, devi valutare il responsabile esterno. E il responsabile esterno non può essere valutato in maniera superficiale.”
E qui, però, sulla scelta dello strumento da utilizzare – e quindi del responsabile esterno - ne ho sentite di tutti i colori! 


Scelta del responsabile esterno e pornografia tecnologica

Pornografia tecnologica

Io ho visto che, sempre di più, esiste una pornografia tecnologica, cioè la tecnologia eccita in una maniera non troppo corretta chi di tecnologia sa o si spaccia di sapere. Io li chiamo i pornografi della tecnologia. I pornografi della tecnologia sono quelli che, quando devono scegliere uno strumento, lo scelgono per dimensione. Se è grosso, allora sicuramente va bene, anzi è meglio!
Son quelli che dicono:
  • “L’azienda è enorme, capirai è Google, è Microsoft, è IBM… lo strumento va bene…”
No! Non è detto che tutti i servizi erogati siano GDPR compliant. 
E per legge si possono scegliere solo quelli GDPR compliant! Non puoi sceglierne altri. 
Te lo dico. È inutile fare i fenomeni, perché, a fronte di una scelta errata, qualcuno può contestarla - e le hanno già contestate queste scelte, il Garante le ha già contestate nel 2019 e tante… - ma soprattutto, è una scelta che va fatta bene perché può essere potenzialmente un motivo di causa civile, attenzione! 
Grosso è meglio, non è detto! Va verificato. 
  • “Tanto lo usano tutti… e se lo usano tutti va bene anche a me.” 
No! Non è detto che vada bene anche a te.
  • “È giovane, è una startup e usa le nuove tecnologie… le nuove tecnologie vanno benissimo.” Non è detto! Oppure: “È una tecnologia consolidata. C’è da 20 anni, questi hanno un’esperienza enorme...” Non è detto cha sia compliant GDPR. 
  • E poi ci sono quelli del si può fare solo così: “Guarda, è l’unico strumento che c’è per fare questa cosa..“ Io non ci credo! Se è l’unico strumento possibile e non è a norma, verifica se quel trattamento puoi farlo in un’altra maniera. 

Come valutare un responsabile esterno?

Devi rispondere a 3 domande:
1) DOVE: dove stanno i dati? 
Non dov’è il fornitore, attenzione! 
Guarda il contratto di servizio: il fornitore indica dove sono fisicamente i dati
Se non è indicato, non va bene, lo devi scartare. 
Se è indicato e dice che sono in America, quindi fuori dall’UE, devi andare a verificare se l’azienda è in Privacy Shield o se rispetta i Security Standard Closing
Perché i dati devono essere trattati all’interno dell’Europa, se non sono trattati all’interno dell’Europa o non è indicato dove sono trattati, ti devi fermare e guardare se sono in Privacy Shield o in Security Standard Closing. 

2) COME: si auto nomina responsabile esterno?
Nel contratto di fornitura del servizio deve essere indicato che il fornitore è un Data Processor: si autonomina Data Processor. Quindi nel contratto deve esserci scritto “Io azienda XYZ, sono Data Processor.”
Se non c’è scritto: no buono! Perché dovresti nominarlo tu… e buona notte al secchio e ai suonatori! E poi verifica se esiste in Europa una sede legale dell’azienda perché, se succede un impippo, qualcuno che gli tira le orecchie e che gli bussa i denari lo trovi.  
Se la sede è in America: buona notte!


3) COSA: perché fa il trattamento?
Nel contratto devono essere indicate le finalità per cui il fornitore fa il trattamento. Erogazione del servizio di streaming, erogazione dello spazio sul web, erogazione del servizio intranet… 
E nel contratto, deve essere indicata la DPA: Data Policy Agreement. Se non c’è, occhio!
Queste sono le 3 condizioni di base, minime, per valutare il responsabile esterno per fare lo Smart Working.
Se il fornitore non rientra in queste condizioni: non lo puoi usare. 
Se lo usi, lo usi a tuo rischio e pericolo!
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Biografia dell'autore

Andrea Chiozzi è nato a Reggio Emilia il 4 Agosto del 1969, reggiano “testaquadra” DOC come il lambrusco, ed è sposato con Luisa che lo sopporta da più di vent’anni.
Imprenditore e consulente, da più di 12 anni è l’Evangelist del GDPR.

Attività professionali:
Andrea Chiozzi è socio fondatore e CEO di PRIVACYLAB SRL, azienda che si occupa della produzione di PRIVACYLAB GDPR per la gestione avanzata delle attività legate alla compliance per il Regolamento Europeo 679/2016.
Esperto di GDPR e protezione dei dati personali (soprattutto nelle aree più problematiche quali il marketing digitale e i social network, il digital advertising, l’Internet of Things, i Big Data, il cloud computing),
Andrea presta consulenza per la media e la grande industria italiana e si occupa di organizzare e condurre i consulenti aziendali ad un approccio ottimizzato alla gestione della Compliance GDPR.
È ideatore del sistema Privacylab e della metodologia applicata ai consulenti certificati GDPR. 
Nel 2003 dà vita alla figura di “Privacy Evangelist” e comincia a girare l’Italia come relatore in vari convegni e corsi in tema di protezione dei dati personali arrivando a evangelizzare più di 10.000 persone.

È commissario d’esame per:

UNICERT per lo schema DSC_12/30 per Consulenti Certificati GDPR
TÜV dello schema CDP_ 201 Privacy Officer, Bureau Veritas
CEPAS Bureau Veritas DATA PROTECTION OFFICER per lo schema SCH73 norma Uni 11697:2017 (Accredia) 
ACS ITALIA DATA PROTECTION OFFICER per lo schema SCH01 norma Uni 11697:2017 (Accredia)
UNIVERSAL Gmbh DAKKS per lo schema ISO/IEC 17024:2012 "DATA PROTECTION OFFICER"

E' certificato con:
Unicert come "Consulente Certificato GDPR" n. 18203RE22
TÜV come “Privacy Officer e Consulente Privacy” n. CDP_196.
Cepas Bureau Veritas "Data protection Officer" n. DPO0206
UNICERT DAKKS " Data Protection Officer" n. DPO 0818 010012

Fa parte del Comitato Scientifico Privacy di Torino Wireless, GDPR Academy e di Agile DPO .

Le categorie

Gli argomenti dei nostri articoli

La guida di PrivacyLab

Per orientarti tra i nostri articoli

Resta informato su quello che succede.

Lasciaci la tua email e riceverai le nostre comunicazioni informative e commerciali

informativa sulla privacy