Il Gdpr è finalmente realtà. Nelle ultime settimane tra le Pmi italiane c’è stata una vera e propria corsa alla compliance, tra nomine di titolari e responsabili del trattamento, valutazioni d’impatto e soprattutto caterve di mail che recano le informative aggiornate. Un bailamme che ha costretto persino i più disinformati tra gli utenti a domandarsi cosa fosse tutto questo fermento intorno al tema della privacy. Eppure l’applicazione del General Data Protection Regulation (Reg. UE 2016/679) non è un traguardo, bensì un punto di partenza. E per diverse organizzazioni sono ancora molti i passi da compiere per ottemperare ai nuovi obblighi di legge. Il problema è che spesso manca la consapevolezza dell’effettiva portata del regolamento, che coinvolge i dati generati o processati da tecnologie, strumenti e prassi sottovalutati o non compresi a fondo da molte imprese.
“Il rischio riguarda soprattutto il corretto trattamento dei dati relativi ai lavoratori”, spiega Matteo Colombo, Amministratore Delegato di Labor Project, realtà specializzata nell’assistenza e nella formazione sui temi della privacy e della compliance normativa, oltre che Presidente di AssoDpo, l’associazione nazionale che tutela e promuove la professione del Data Protection Officer. “Basti pensare ai black box installati nei veicoli aziendali, che possono essere concessi in fringe benefit ai dipendenti anche al di fuori degli orari e delle mansioni professionali. Le scatole nere danno alle organizzazioni la facoltà di controllare in qualsiasi istante la movimentazione del parco auto. Se il direttore acquisti non si è coordinato con il Dpo per verificare l’effettiva compliance rispetto al Gdpr, si potrebbe venire a configurare un accesso indebito a informazioni personali e quindi una lesione della privacy dei collaboratori. Essere compliant, in questo caso, significa affrontare la questione sia sotto il profilo degli accordi sindacali, sia effettuando una valutazione d’impatto. “Occorre poi somministrare al lavoratore l’informativa sul trattamento dei dati, che va minimizzato, e il lavoratore deve poter disporre di un sistema per disattivare l’apparato di geolocalizzazione nelle situazioni di uso personale del veicolo”.
Un discorso simile vale per i muletti usati nei magazzini per le operazioni di logistica. Ormai tutti i mezzi sono dotati di GPS e spesso sono collegati alle reti aziendali tramite Wi-Fi. I dati raccolti possono essere potenzialmente utilizzati per verificare i movimenti e i comportamenti degli operatori, ricostruendone i percorsi e persino misurandone le performance. “In questo caso, probabilmente non sarà necessario un nuovo accordo sindacale, in quanto si tratta di strumenti in dotazione al lavoratore, ma a seconda dell’uso che si intende fare dei dati, vanno valutate azioni simili a quelle richieste per l’installazione del black box sulle auto aziendali”, dice Colombo.
Ci sono poi device, tag Rfid e wearable che vengono applicati direttamente ai lavoratori. “Il braccialetto di Amazon ha fatto scalpore a livello mediatico, ma all’atto pratico si tratta di sistemi già usati da molte imprese per ottimizzare la logistica oppure, in ambito retail, per creare mappature di calore che evidenziano le aree dello store più frequentate, dai clienti come dagli assistenti alle vendite”, precisa il numero uno di Labor Project. “È necessario che chi sceglie di adottarli definisca attentamente cosa intende monitorare, in quanto esistono algoritmi in grado di stabilire, a partire dai suoi movimenti, l’effettiva produttività del collaboratore, da cui può dipendere a sua volta il prolungamento del contratto. A seconda dei casi, bisogna capire se sono sufficienti gli accordi sindacali in essere, se occorre una valutazione di impatto o se è addirittura necessario consultare l’Autorità garante”.
Anche gli strumenti di cybersecurity di ultima generazione, se non opportunamente inquadrati nelle prescrizioni del Gdpr, possono essere lesivi della privacy. Passando da una logica di protezione perimetrale a un approccio che predilige l’analisi dei flussi informativi per mettere in luce attività malevoli, il monitoraggio della navigazione degli utenti può rappresentare, se non anonimizzato e soggetto a minimizzazione dei dati, un illecito.
“L’equivoco in cui tendono a cadere molte aziende è quello della privacy by design delle nuove tecnologie”, aggiunge Colombo. “È vero che le soluzioni offerte dai vendor che recano la dicitura ‘conforme al Gdpr’ trattano dati crittografati e anonimizzati, ma le imprese, attraverso il lavoro congiunto di Dpo, responsabile IT e divisione HR devono provvedere a propria volta ad analizzare e a governare il trattamento secondo i principi della data protection enunciati nel regolamento e calati sulle specificità dell’organizzazione. Fidarsi di ciò che garantiscono i fornitori non basta più per risultare compliant, è questa la rivoluzione dell’accountability. Ma serve anche un nuovo approccio nei confronti della tecnologia, che a volte offre molto più di quanto serva effettivamente, comportando maggiori oneri nella gestione dei trattamenti. Spesso le aziende dispongono a loro insaputa di siti Web dotati di cookie analytics o programmi di profilazione profonda, strumenti che magari non vengono nemmeno utilizzati ma che presuppongono la nomina di un Dpo. Oppure vengono implementati sistemi di videosorveglianza che oltre a sfruttare il riconoscimento facciale sono anche dotati di microfoni, hardware che all’atto pratico non può essere adoperato al suo massimo potenziale perché rischia di costituire un illecito in termini di intercettazione. Dunque anche l’eccesso di complessità è un elemento importantissimo da valutare nell’ottica di risultare conformi al regolamento: oggi più che circondarsi di tecnologia, bisogna imparare a sceglierla e soprattutto a governarla”.