A seguire la rassegna con gli articoli più interessanti in tema privacy usciti durante il mese trascorso. Cliccate sull’indice per andare direttamente al contenuto.

Indice:

  1. Chi nomina gli incaricati al trattamento dei dati personali?
  2. Smart working, dispositivi utilizzati e responsabilità
  3. Denuncia delle illegalità e protezione dell’identità di chi denuncia
  4. Nessuno risponde in caso di problemi con i dispositivi personali utilizzati in smart working?
  5. Cancellazione dei dati personali dopo la scadenza del periodo di conservazione
  6. La situazione dei provvedimenti del Garante della privacy negli ultimi mesi
  7. Distinguere tra i diversi soggetti esterni deputati al trattamento dei dati personali
  8. Ultime sugli attacchi informatici
  9. Occhio alla privacy, anche per le vaccinazioni in azienda
  10. Viene aggiornato il trattato sulla protezione contro i trattamenti automatizzati
  11. No alla cultura del “sempre connesso”
  12. Scelta del Data Protection Officer
  13. Trappole da evitare per non perdere dati sensibili e denaro
  14. Un codice di condotta per i servizi su cloud a maggior garanzia dei dati personali degli utenti
  15. Gli interessati oggetto di decisioni automatiche devono prestare il loro consenso previa informazione sulla struttura dell’algoritmo
  16. Il Data Protection Officer: uomo o mito?
  17. Le vaccinazioni nei luoghi di lavoro ed il trattamento dei dati personali

 

Chi nomina gli incaricati al trattamento dei dati personali?

Si riportano, in sintesi, le informazioni e le considerazioni di cui all’articolo L’art. 28 del Gdpr e la disciplina del ricorso ai sub-responsabili: la Circolare 3-2021 di Federprivacy.

L’art. 29 del cosiddetto Codice Privacy (D.Lg. 196/2003), articolo abrogato con l’entrata in vigore del GDPR (Regolamento UE 279/2016), prevedeva la nomina degli incaricati al trattamento  di dati personali esclusivamente ad opera del titolare.

L’art. 28 del GDPR consente invece tale nomina anche al responsabile del trattamento (si parla di “altri responsabili”, ma la sostanza è la stessa). Devono essere rispettate però due condizioni alternative:

  1. consenso scritto del titolare, per la nomina  specifica,
  2. autorizzazione scritta generale del titolare per le nomina da parte del responsabile, con obbligo di preventiva informazione al titolare da parte del responsabile per ogni singola nomina, cui il titolare ha facoltà di opporsi .

Le nomine degli altri incaricati devono sempre soddisfare l’esigenza di garantire che saranno comunque messe in atto misure tecniche e organizzative adeguate al soddisfacimento dei requisiti del GDPR ed in particolare a tutelare i diritti degli interessati. E’ implicita poi la necessità che anche gli altri responsabili ricevano istruzioni adeguate relative al trattamento ed è chiaro che le nomine non liberano affatto il responsabile dalle responsabilità relative al trattamento dei dati.

 

Smart working, dispositivi utilizzati e responsabilità

Senza voler tornare ancora una volta sugli aspetti relativi alla tutela della privacy dei lavoratori, di fronte a possibili forme di controllo a distanza, e sui cyber risk incrementati dal lavoro a distanza, si cita l’articolo La Circolare 4-2021 su privacy e sicurezza informatica in ambito di smart working per la notizia che il decreto proroghe approvato dal CdM il 29 aprile 2021 ha eliminato dal mese di maggio la soglia minima del 50% per il lavoro (delle Pubbliche Amministrazioni) in smart working, nell’ottica di un ritorno graduale alla normalità post pandemia.

Tuttavia il lavoro agile rimane un’opportunità, ove ne sussistano le condizioni, purché questo recente approccio di lavoro e collaborazione all’interno di un’azienda si basi sulla fiducia nei lavoratori, sulla flessibilità spazio-temporale e su una strumentazione tecnologica [adeguata].

Il Ministero del Lavoro e delle Politiche Sociali ha fornito la seguente definizione: “il lavoro agile è una modalità di esecuzione del rapporto di lavoro subordinato caratterizzato dall’assenza di vincoli orari o spaziali e un’organizzazione per fasi, cicli e obiettivi, stabilita mediante accordo tra dipendente e datore di lavoro; una modalità che aiuta il lavoratore a conciliare i tempi di vita e lavoro e, al contempo, favorire la crescita della sua produttività”.

[Due osservazioni (ndr): tra i fondamenti dello smart-working non andrebbero dimenticati anche la correttezza dei dipendenti e la loro consapevolezza circa le insidie derivanti da possibili attacchi informatici e, inoltre, l’assenza dei vincoli temporali potrà esserci solo quando non ci sia la necessità di interloquire con colleghi, responsabili aziendali, clienti, fornitori ed altri possibili interessati. D’altra parte, lo stesso articolo precisa che il lavoro agile non deve essere confuso con una nuova forma di welfare aziendale, per la semplice pratica di lavorare da casa, bensì si tratta di un’opportunità, al di là delle necessità di distanziamento anti contagio, per un incremento di efficienza.]

 

Denuncia delle illegalità e protezione dell’identità di chi denuncia

[Si premette che il “whistleblowing” è la segnalazione compiuta da un lavoratore che, nello svolgimento delle proprie mansioni, si accorge di una frode, un rischio o una situazione di pericolo che possa arrecare danno all’azienda/ente per cui lavora, nonché a clienti, colleghi, cittadini, e qualunque altra categoria di soggetti. Ndr.]

L’articolo Whistleblowing, cosa cambia con l’implementazione della Direttiva UE 2019/1937 informa che Il 23 ottobre 2019 l’UE ha emanato la Direttiva 2019/1937 sulla protezione delle persone che segnalano violazioni del diritto dell’Unione. Questa direttiva dovrà essere resa attuativa dagli Stati membri dell’unione, applicandola dal 17/12/2021 alle imprese con almeno 250 dipendenti e dal 17/12/2023 a quelle con un numero di dipendenti tra 50 e 249.

In Italia la direttiva dovrà essere armonizzata con la con la Legge 179/2017, in quanto sono presenti differenze che riguardano l’oggetto delle segnalazioni, l’applicazione tra settore pubblico e privato, i criteri per cui si applica la tutela dell’identità del segnalante. [Maggiori dettagli al link fornito].

 

Nessuno risponde in caso di problemi con i dispositivi personali utilizzati in smart working?

Tornando sull’argomento dello smart working, l’autore del servizio Smart working: se il dipendente usa il pc personale la p.a. non risponde riferisce dell’articolo 87 del decreto legge 18/2020, secondo cui quando il dipendente pubblico in lavoro agile usa il proprio computer o altri suoi dispositivi il datore di lavoro non è responsabile della sicurezza e del buon funzionamento degli strumenti tecnologici.

Omettendo di riportare il groviglio di commi, articoli di decreti e leggi sull’argomento, anche con limiti temporali di validità applicativa, la questione è chi sia il soggetto responsabile della sicurezza e del buon funzionamento dei computer di proprietà del lavoratore agile usati per la prestazione lavorativa, anche in relazione a possibili sanzioni da parte del Garante o di citazioni per danni a seguito, ad esempio, di violazione di dati personali. Nonostante l’esclusione di responsabilità del datore di lavoro, il parere personale dell’autore dell’articolo è che sia da escludersi anche quella del lavoratore stesso. Ne consegue la necessità di chiarimenti [inclusa l’applicabilità anche per le aziende private, ndr].

 

Cancellazione dei dati personali dopo la scadenza del periodo di conservazione

L’articolo Se la cancellazione dei dati è affidata a terzi serve il certificato di avvenuta distruzione ci ricorda che alla scadenza del periodo di conservazione dei dati personali (ad es. per revoca del consenso al loro utilizzo, o semplicemente perché non servono più [ed in assenza di vincoli legali o normativi, ndr]) è necessario procedere alla loro eliminazione.

Se sono su supporto cartaceo, devono essere distrutti preferibilmente con macchinari trita-documenti.

Se sono su supporto informatico, devono essere cancellati in modo permanente e non recuperabile. Nel caso in cui dati relativi a determinate finalità debbano essere mantenuti, può essere necessario ricorrere al blocco degli accessi non più autorizzati.

Qualora un’azienda affidi a ditte terze specializzate, l’eliminazione dei dati e lo smaltimento dei supporti, questi devono essere certificati attraverso il rilascio di un attestato di avvenuta distruzione.

Nota: non è ammessa revoca, da parte degli interessati, su un processo di cancellazione non ancora attuato, ma già definito: è necessario che l’interessato fornisca i suoi dati ex novo (caso della chiusura di un conto corrente con successiva apertura di un altro, nella stessa banca).

 

La situazione dei provvedimenti del Garante della privacy negli ultimi mesi

Dal 2020 al primo quadrimestre 2021 le sanzioni comminate per violazioni della privacy sono state di circa il 71% control le Pubbliche  Amministrazioni e di circa il 29% contro aziende private. D’altro canto, se le sanzioni contro le PA sono le più numerose, esse sono anche le più modeste, mentre quelle rivolte alle aziende raggiungono importi milionari.

L’autore dell’articolo PA in affanno sulla privacy: il 71% delle sanzioni per violazioni del Gdpr irrogate a enti pubblici tenta di interpretare i dati, tenendo presente che il GDPR rimane un regolamento obbligatori per gli stati membri dell’UE, ma troppo generico per l’applicazione pratica in paesi con differenti peculiarità. I fatti denunciano che è ancora difficile riuscire ad applicare appieno il GDPR, visto che anche le amministrazioni centrali e lo stesso governo stentano ad essere in regola. A farne le spese non sono solo realtà come le grandi società di telemarketing e telecomunicazioni ma anche soggetti più modesti, come gli operatori della ristorazione, dei trasporti e della distribuzione.

La critica dell’autore [e non è la prima volta, ndr] è rivolta al principio dell’accountability, o responsabilizzazione, che da una lato lascia al titolare del trattamento la facoltà di tradurre in termini pratici i principi del Regolamento e, dall’altro, lo lascia indifeso nei confronti di procedimenti e sanzioni proprio per l’ampio margine di interpretazione.

Ne è esempio quanto avvenuto nell’ufficio Gip di Roma, dove, a distanza di pochi giorni sono state fornite interpretazioni divergenti sull’acquisizione dei tabulati telefonici, così come illustra dettagliatamente l’articolo Tabulati telefonici, caos sulla data retention.

Si resta dunque nell’attesa e nella speranza di regole precise e specialmente di misure semplificative per le piccole e medie imprese.

 

Distinguere tra i diversi soggetti esterni deputati al trattamento dei dati personali

Per prima cosa chi sono i soggetti esterni destinatari dei dati personali? L’articolo La Circolare 5-2021 sulla corretta qualificazione dei soggetti esterni ‘destinatari’ dei dati personali prende a riferimento per questo direttamente l’Art. 4, punto 9, del GDPR: si tratta de “la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi.” Dove i “terzi” sono tutti i soggetti diversi dagli interessati, dal titolare, dal responsabile e dagli incaricati al trattamento.

L’autore evidenzia l’oggettiva difficoltà di interpretare situazioni complesse ai fini della definizione dei soggetti, interni o esterni all’organizzazione, destinatari dei dati personali, che devono essere correttamente qualificati in funzione del ruolo che assumono, di fatto, nel trattamento. Invita a consultare la Circolare N.5-2021 di Federprivacy “La corretta qualificazione dei soggetti esterni «destinatari» dei dati personali”, la quale peraltro è accessibile esclusivamente ai soci di Federprivacy.

[Si può far riferimento allora al lungo articolo La corretta qualificazione dei “destinatari” dei dati personali: problematiche e spunti di riflessione di NETWORK DIGITAL 360, di cui si riportano alcuni spunti. Ndr]

Premesso che non tutti i contratti e affidamento di dati coinvolgono i dati di tipo personale e quindi non sono interessati dall’applicazione del GDPR, quando invece ne ricorre l’applicabilità è necessario identificare le figure seguenti.

La qualifica di titolare del trattamento, deriva, secondo l’Opinion 1/2010 del WP2, da uno dei seguenti casi:

  • una legge o una disposizione di fonte esplicita competenza giuridica;
  • un contratto tra le parti, o una prassi giuridica consolidata di settore che consenta l’individuazione di una competenza implicita (ad. es il datore di lavoro è implicitamente il titolare del trattamento dei dati personali dei propri dipendenti);
  • la facoltà di determinare le finalità ed i mezzi del trattamento dei dati personali, sulla base di circostanze concrete ed elementi di fatto, come il disporre dell’autonomia nel trattamento o il trovarsi in “posizione di dominanza” rispetto ai dati acquisiti.

L’ultima condizione può portare a interpretazioni divergenti. In ogni caso, un organismo che non ha un’influenza, né giuridica né di fatto, per determinare le finalità ed i mezzi del trattamento dei dati non può in effetti essere considerato il titolare del trattamento.

Il GDPR (Art. 26) prevede anche la qualifica dei contitolari del trattamento, quando vengono determinati congiuntamente le finalità ed i mezzi del trattamento stesso. E si intendono

  • per “finalità”, il perché debba essere effettuato un trattamento di dati;
  • per “mezzi”, non solo gli strumenti tecnici utilizzati, ma anche come deve essere effettuato il trattamento, quali dati trattare, chi può avere accesso ai dati, per quanto tempo devono essere conservarli i dati.

La contitolarità può assumere varie forme e può non essere necessariamente ripartita in modo uguale, per cui è opportuno un accordo tra le parti in cui siano definite le rispettive responsabilità.

Ricorre la qualifica del responsabile del trattamento quando il titolare affida ad un soggetto esterno i dati personali da trattare, a fronte delle istruzioni sulle finalità e sulle modalità di utilizzazione dei dati, nonostante una parziale autonomia circa la concreta configurazione del servizio e possibili specifiche scelte tecnico-operative. Il rapporto tra titolare e responsabile deve essere regolato da un contratto, o da altro atto giuridico scritto che preveda nel dettaglio quale sia la materia disciplinata, la natura, la finalità e la durata del trattamento, il tipo di dati personali e le categorie di interessati, nonché gli obblighi e i diritti di entrambe le parti (GDPR, Art.28).

Ove sia prevista un’attività di assistenza e manutenzione di sistemi o servizi di tipo applicativo o infrastrutturale, entra in gioco la figura dell’amministratore di sistema. Questo, se non già coincidente con il responsabile del trattamento, è comunque un soggetto incaricato agente sotto l’autorità, e mediante le istruzioni, del titolare o del responsabile del trattamento (GDPR, Art.29)

Le “EDPS Guidelines on the concepts of controller, processor and joint controllership under Regulation (EU) 2018/1725“, pur essendo specificamente rivolte agli organismi comunitari, contengono indicazioni comunque utili per l’individuazione di tutti i ruoli relativi al trattamento dei dati personali ed offrono il flowchart qua riportato, nella versione liberamente tradotta dagli autori dell’articolo sul sito CYBERSECURITY360.

 

Ultime sugli attacchi informatici

L’articolo Cyber attacchi nel I° trimestre 2020 +612% rispetto allo scorso anno, ma in flessione quelli riusciti ci informa che il trend degli attacchi informatici in Italia continua a crescere e la maggior parte delle minacce informatiche è di nuovo tipo, tale da rende inefficaci i metodi di cyber-difesa non aggiornati, sebbene gli attacchi non riusciti risultino diminuiti di quasi il 20%.

Sono da rilevare alcuni aspetti.

Le multe comminate dal Garante per la privacy a seguito di data breach regolarmente denunciati sono aumentate del 55%. I settori maggiormente presi di mira dagli hacker, in ambito di dati personali, sono il banking online e la didattica a distanza.

Tra le tecniche più sfruttate per portare gli attacchi vi sono il phishing-social engineering, che consiste nell’adescare gli utenti di email e social network, il malware, per la sottrazione di informazioni sensibili, e lo sfruttamento di vulnerabilità già conosciute della cybersecurity. Il ransomware (cifratura dei dati per renderli indisponibili e relativa richiesta di riscatto) rappresenta poi una finalità predominante degli attacchi informatici.

 

Occhio alla privacy, anche per le vaccinazioni in azienda

Per le aziende che avessero dato disponibilità per le vaccinazioni sul luogo di lavoro, l’articolo Vaccinazioni sul luogo di lavoro: le indicazioni del Garante Privacy indica la necessità di rispettare precisi requisiti in ambito privacy.

Viene premesso che l’utilizzo di punti straordinari di vaccinazione anti Covid-19 nei luoghi di lavoro costituisce un’iniziativa di sanità pubblica, la cui la responsabilità è del Servizio sanitario regionale.

In merito alla protezione dei dati personali, devono essere rispettate le diverse competenze tra il medico competente e il datore di lavoro.

Così come indicato nel documento “Il ruolo del medico competente in materia di sicurezza sul luogo di lavoro, anche con riferimento al contesto emergenziale“, predisposto dall’Autorità Garante, le principali attività di trattamento dati, dalla raccolta delle adesioni, alla somministrazione, alla registrazione nei sistemi regionali dell’avvenuta vaccinazione, devono essere effettuate dal medico competente o da altro personale sanitario appositamente individuato. Infatti, il datore di lavoro, così come non può raccogliere direttamente dai dipendenti, né dal medico competente, o da altre strutture sanitarie, informazioni sullo stato di salute dei suoi dipendenti, non può neppure recepire informazioni sull’adesione dei lavoratore alla campagna vaccinale o alla avvenuta somministrazione del vaccino. E questo neppure a fronte del consenso del lavoratore, in ragione dello squilibrio nel rapporto tra datore di lavoratore e dipendente, che pone il primo in una posizione di maggior forza.

 

Viene aggiornato il trattato sulla protezione contro i trattamenti automatizzati

Riportiamo l’articolo Convenzione 108: pubblicata in Gazzetta Ufficiale la legge che ratifica in Italia il Protocollo di modifica più che altro per far presente l’esistenza (ben dal 1981) del Trattato n° 108 del Consiglio d’Europa “Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale”.

Nello specifico, la legge 60 del 22/04/2021 ratifica il Protocollo di modifica alla Convenzione 108, con il quale si aggiorna la convenzione stessa ai nuovi strumenti tecnologici, come Internet.

Vengono recepiti i requisiti del GDPR, quali la liceità del trattamento, il consenso, la tutela dei dati personali di categoria particolare, la valutazione di impatto, le misure tecnico-organizzative, i diritti per gli interessati, le limitazioni alle decisioni automatizzate, designazione di un’autorità di controllo (il Garante per la privacy, in Italia).

[In sostanza: non poteva bastare il GDPR ?, Ndr]

 

No alla cultura del “sempre connesso”

L’ articolo Il diritto alla disconnessione va regolato nell’accordo informa che una norma della legge 61/2021 prevede il diritto alla disconnessione dagli strumenti tecnologici per i lavoratori agili.

In sostanza, è sancito il fatto che, al di fuori delle fasce orarie (lavorative o di reperibilità) previste da accordo sindacale o individuale, il lavoratore in smart working non ha l’obbligo di rimanere connesso agli strumenti e ai sistemi aziendali, né, quindi, di rispondere alle telefonate, alle email, eccetera.

Parallelamente è fatto divieto per sanzioni di qualsiasi tipo nei confronti del lavoratore che esercita il diritto alla disconnessione.

Ciò va nella direzione di tutelare il diritto alla salute ed al riposo.

 

Scelta del Data Protection Officer

Il Garante per la Privacy ha pubblicato il documento “Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati in ambito pubblico“. L’articolo Garante Privacy, le linee di indirizzo sul Responsabile della Protezione dei Dati nella pubblica amministrazione di Federprivacy ne fornisce le linee principali.

In questo stralcio si riportano solo gli aspetti che possono interessare le aziende private, adattandoli eventualmente alla specificità di queste ed escludendo quelli per esse non pertinenti (come l’obbligatorietà a prescindere della nomina del DPO) [Ndr].

Cumuli di incarichi – interno od esterno che sia, il DPO non deve avere una quantità tale di incarichi da pregiudicare l’efficienza e la completezza nello svolgimento dei suoi compiti.

Difensore – la figura del DPO non dovrebbe, preferibilmente (secondo l’indicazione del Garante), coincidere con quella del difensore in giudizio.

Fornitore IT –  Il DPO non dovrebbe essere un soggetto esterno che già fornisce servizi all’ente, con particolare riferimento al settore IT.

Conflitti di interesse – Si deve garantire che il DPO, interno od esterno, non abbia anche altri incarichi che possano interferire con le scelte relative alla sua mansione.

Gerarchia –  Il DPO, se interno all’azienda, deve trovarsi in una posizione subordinata solo ai massimi vertici, affinché sia garantita la sua autonomia.

Titoli – Il possesso di un determinato titolo di studio, iscrizione ad un albo professionale, e/o certificazione volontaria sono elementi utili per la scelta del DPO, ma non devono costituire una limitazione.

Referente – Se l’incarico è affidato a una società esterna deve essere specificata la persona fisica che assume il ruolo di DPO.

Compenso – L’invito del Garante è di non scegliere il DPO solo in ragione del prezzo più basso.

Pubblicazione – Il riferimento del DPO deve essere fornito nelle informative privacy, a partire da quella sul sito web aziendale; non necessariamente con il nome, è sufficiente l’email. Deve anche essere indicato nell’organigramma aziendale.

Comunicazione al Garante – La comunicazione al Garante dei dati di contatto del DPO (e delle eventuali successive variazioni) è obbligatoria. In difetto, è prevista una sanzione amministrativa, come pure nel caso della mancata o non aggiornata pubblicazione.

 

Trappole da evitare per non perdere dati sensibili e denaro

Il lungo articolo Lo Spoofing e la corresponsabilità della banca nelle frodi ai sistemi di home banking descrive nei dettagli un caso di frode nei confronti di un correntista bancario, che è sfociato poi in una controversia giudiziaria tra questo e la propria banca, con attribuzione del 50% di concorso di colpa all’intermediario, per insufficienti misure di sicurezza.

Senza scendere nei particolari, viene ricordato che, nella maggioranza dei casi, la perdita delle credenziali (codice titolare e PIN) avviene per ingenui comportamenti degli utenti. Non devono, poi, essere comunicati ad altri neppure i codici dispositivi, relativi alle singole operazioni bancarie, e neanche nel caso in cui la richiesta avvenga dallo stesso numero verde della banca (che dovrebbe essere un numero abilitato solo alla ricezione e non all’inoltro di chiamate).

Vengono riportati i significati di tre termini afferenti la sfera degli attacchi perpetrati per carpire informazioni riservate, ne avevamo anche parlato in un nostro precedente articolo.

phishing – truffa informatica effettuata tramite invio di un’email con il logo contraffatto di un istituto di credito o di una società di commercio elettronico, in cui si invita il destinatario a fornire dati riservati.

vishing – truffa effettuata tramite servizi di telefonia, in particolare, sfruttando la tecnologia VoIP, ad es. con una telefonata che simula l’esistenza di un call center e chiede alla vittima di fornire i propri dati ad un operatore.

spoofing – manipolazione dei dati trasmessi in una rete telematica, mediante la falsificazione del proprio indirizzo IP, oppure nell’utilizzo abusivo di username e password di altri utenti. In particolare, lo spoofing dell’ID chiamante fa sì che la rete telefonica indichi al destinatario un numero chiamante diverso da quello effettivo (come nel caso del numero verde, di cui sopra).

 

Un codice di condotta per i servizi su cloud a maggior garanzia dei dati personali degli utenti

Un articolo di Federprivacy, ci informa che l’European Data Protection Board (EDPB) ha approvato il l Codice di Condotta CISPE (Cloud Infrastructure Services Providers in Europe), nato per uniformare la regolamentazione dei servizi cloud e garantire la protezione dei dati personali all’interno dello Spazio economico europeo.

Il codice  CISPE definisce procedure e  linee guida concrete affinché i cloud provider possano migliorare la protezione dei dati e fornire stabilire chiaramente il ruolo e le responsabilità sia per i provider che per i clienti.

Gli utenti che sceglieranno servizi dichiarati conformi al codice CISPE, avranno la garanzia di accedere ad infrastrutture cloud affidabili, aderenti in pieno al GDPR, e di vedere trattati i propri dati all’interno della UE.

 

Gli interessati oggetto di decisioni automatiche devono prestare il loro consenso previa informazione sulla struttura dell’algoritmo

L’articolo Il diritto a capire come funziona l’algoritmo prima di dire di sì riferisce che una recentissima sentenza della Corte di Cassazione ha stabilito che il consenso degli interessati al trattamento automatizzato dei propri dati, ai fini di una qualche decisione in merito, non è sufficiente. Essi devono essere adeguatamente informati circa le logiche logiche alla base dell’algoritmo decisionale.

[Si tratta di un parere cui difficilmente si può non aderire, tuttavia si può anche immaginare come sia arduo, e forse impossibile, poter illustrare in modo semplice, chiaro e conciso il funzionamento di un algoritmo, specie poi se affidato all’intelligenza artificiale. Lo stesso autore dell’articolo pare sia di questo parere, a fronte della sottostante affermazione Ndr]

“Un principio che, se applicato rigorosamente, forse, metterebbe fuori legge molti dei trattamenti di dati personali realizzati già oggi attraverso sistemi diversamente intelligenti”.

Un altro articolo (Rating reputazionale su internet: l’algoritmo deve essere conosciuto e serve un consenso specifico dell’utente) offre un esempio pratico reale. Infatti cita che la Corte di Cassazione si è pronunciata a riguardo di un’associazione che si propone di calcolare il cosiddetto “rating reputazione”, in modo da consentire a terzi una verifica di reale credibilità dei soggetti aderenti ad una piattaforma. Il pronunciamento è stato che la semplice adesione da parte dei consociati non può comprendere automaticamente anche l’accettazione di un algoritmo, per la valutazione oggettiva di dati personali, se non sono resi noti lo schema di elaborazione ed i dati utilizzati.

 

Il Data Protection Officer: uomo o mito?

L’autore dell’articolo Ecco perché il Data Protection Officer deve essere anche resiliente e assertivo pone l’accento sul fatto che il DPO, oltre a possedere le competenze giuridiche, informatiche e organizzative (quali quelle illustrate in un precedente articolo di Federprivacy), deve possedere un profilo psicologico tale da manifestare sicurezza e fermezza nelle proprie opinioni e capacità di reagire in modo positivo agli eventi critici, per essere in grado di interfacciarsi con autorevolezza e competenza sia con il vertice aziendale, che con agli addetti al trattamento, nonché eventualmente direttamente con gli interessati. Deve essere in grado di mantenere calma e lucidità all’occorrenza di situazioni impreviste e snervanti; deve avere la disponibilità per accorrere al verificarsi di eventi improvvisi quali un data breach ed essere presente per incontri programmati da altri, come nel caso di interventi dell’Autorità Garante.

Viene pertanto raccomandato di effettuare la scelta del Responsabile per la Protezione dei Dati non solo in base alle competenze professionali o tantomeno ad un curriculum magari autoreferenziale, ma anche attraverso la valutazione di precedenti referenze, test attitudinali e ripetuti colloqui conoscitivi.

[Ed è possibile, purtroppo, che tutto questo si scontri con il budget previsto dall’azienda in ragione delle sue dimensioni. Ndt]

 

Le vaccinazioni nei luoghi di lavoro ed il trattamento dei dati personali

L’articolo Il ruolo del datore di lavoro e del medico competente nell’ambito del Covid-19 offre qualche precisazione in merito.

In regime emergenziale pandemico, il Garante per la Privacy ha concesso ai datori di lavoro deroghe sul trattamento dei dati personali, anche di categoria particolare, dei propri dipendenti: autodichiarazioni circa contatti stretti con positivi o soggiorni in Paesi a rischio negli ultimi 14 giorni, dati sulla temperatura corporea (pur senza annotazione del valore).

Tuttavia, in relazione all’eventuale disponibilità dell’azienda a fungere da centro vaccinale per i propri dipendenti, è il Medico Competente l’unico soggetto legittimato al trattamento dei dati: adesione alla campagna di vaccinazione, registrazione dell’avvenuta somministrazione del vaccino o altri dati relativi alla salute dei lavoratori.

Il datore di lavoro, nell’ambito delle finalità di medicina preventiva e di medicina del lavoro, ha comunque il compito di promuovere l’iniziativa della vaccinazione fornendo, anche con il supporto del Medico Competente, le indicazioni relative al servizio di vaccinazione in azienda.

In relazione al trattamento dei dati personali, il medico competente deve:

– istituire un registro dei trattamenti (art. 30 del GDPR);

– rendere l’informativa agli interessati (art. 14 del GDPR);

– implementare le misure di sicurezza (artt. 32-34 del GDPR).

Non necessita invece di nominare un Responsabile della protezione dei dati (artt. 37-39 del GDPR).

[Per approfondimenti si può far riferimento al “Documento di indirizzo” del Garante per la Protezione dei Dati Personali Vaccinazione nei luoghi di lavoro: indicazioni generali per il trattamento dei dati personali. Ndr]