“Aziende e data protection nella fase 2 dell’emergenza COVID-19”, questo il tema trattato nel corso di un interessante webinar organizzato lo scorso 14 maggio da Federprivacy in collaborazione con l’Università di Padova. Gli interventi, coordinati dall’avvocato Messina, presidente dell’Associazione Persone & Privacy e seguiti da circa 250 partecipanti on-line, hanno visto alternarsi al microfono, nelle oltre 2 ore di conference, diversi “testimoni”, con ruoli volutamente svariati (accademici, legali, parti sociali, ruoli privacy), a rappresentare un panorama il più ampio possibile dello stato dell’arte, in termini di normativa, interpretazioni, adempimenti e costi effettivi, linee guida e soluzioni concrete da applicare nel prossimo futuro, per affrontare al meglio la protezione dei dati nelle aziende che ripartono.
“Lo straordinario diventa ordinario” ha esordito il presidente di Federprivacy Nicola Bernardi, a voler sottolineare la situazione emergenziale attuale che rischia purtroppo di assumere carattere di ordinarietà, con tutte le implicazioni organizzative, sociali ed economiche che ne derivano.
E, in effetti, la prima domanda posta ha riguardato la misura e la tempestività di coinvolgimento dei ruoli privacy aziendali (in sostanza DPO e consulenti) nell’attivazione delle misure più rispondenti alle prescrizioni: un primo calcolo indica che solo un terzo di queste figure sarebbe stato consultato dai titolari, salvo poi attivarsi di propria iniziativa, in virtù del mandato attribuito, principalmente per l’attivazione delle termorilevazioni e la conseguente valutazione d’impatto. Troppo poco e troppo tardi…
Parlando di costi è poi emerso che l’essere già a norma privacy dovrebbe aver limitato il valore degli impegni aggiuntivi per le imprese, la realtà sembra dire tuttavia che le misure, a tutto tondo, richieste dai vari dpcm hanno comportato il ricorso a consulenti esterni cui riconoscere compensi imprevisti. In linea generale si può anche affermare che il grosso della spesa risulta a carico delle aziende più grandi, piuttosto che le PMI.
Interessante il contributo del Dott. Panella, Responsabile Privacy di Credit Agricole, che ha evidenziato addirittura il beneficio ottenuto dalle pratiche avviate, elencando una sorta di decalogo per le funzioni privacy: dalla partecipazione ai tavoli organizzativi, all’obiettivo dell’accountability, dall’aggiornamento di registro trattamenti e valutazioni d’impatto alla redazione di informative specifiche, dall’informazione alla formazione del personale, dal controllo dei processi introdotti alla pianificazione del post COVID-19, passando per la consultazione quotidiana delle pubblicazioni in materia (sito Garante e Federprivacy, ad es.).
La sensazione, riportata dall’avv. Messina, è comunque che si assista ad un eccessivo traffico di dati personali, in un contesto normativo che, in conseguenza della continua successione di decreti, ordinanze, prescrizioni, dettami e revisioni, ha ottenuto probabilmente soprattutto il risultato di generare confusione, ansia e immobilismo, per una troppo libera interpretazione e quindi facoltà di comportamenti soggettivi ora non più accettabili. Servono regole chiare, univoche e applicabili per ottenere il dovuto rispetto delle normative.
E in questo ragionamento si inserisce il bilanciamento doveroso tra salute della collettività, da una parte, e rispetto per Privacy e Statuto dei Lavoratori, dall’altra. La Dr.ssa Frascheri di CISL ha osservato che, se le parti sociali si sono mosse con sollecitudine, non altrettanto sembrerebbe potersi dire per le istituzioni, con buona pace del bilanciamento che resta davvero molto difficile da raggiungere. La sola accountability non può bastare in circostanze come le attuali.
Ma allora quali prospettive organizzative si aprono per le aziende? L’intervento della Prof.ssa Righettini di Unipd ha evidenziato l’importanza di valutare l’impatto della privacy in azienda nel contesto attuale e, viceversa e reciprocamente, della mutata organizzazione aziendale sul trattamento dei dati, auspicando procedure standard e purtroppo sollevando il problema di costi non sostenibili, derivanti dall’esecuzione di controllo, comunicazione, sanificazione, prevenzione e assicurazione del rischio.
E quali problematiche in futuro potrebbero assumere maggiore valenza? Una recente indagine condotta dalla stessa Federprivacy rivela che smartworking e impiego di tecnologie invasive sono le più temute, rispettivamente per la difficoltà di garantire le idonee misure di sicurezza e per il rischio di utilizzi non corretti con risultati fuorvianti e conseguenti azioni inutili o peggio controproducenti.
Come ha proseguito il Prof. Sitzia di Unipd, si tratta di complessità che potranno essere limitate o risolte, ancora una volta, solo tramite l’adozione di regole chiare e condivise, per evitare i tanti contenziosi che potranno nascere in misura dei dati tracciati e delle responsabilità da attribuire. In questo senso, disporre di adeguati Codici di Condotta potrebbe costituire una valida soluzione che resta tuttavia molto lontana dal concretizzarsi, per la difficoltà di definirne perimetro e contenuti e per il fatto stesso di risultare da una discussione “unilaterale” che vede spesso assenti tutte le parti sociali che dovrebbero essere coinvolte.
Il webinar si è concluso con la sintesi della Prof.ssa Righettini che, nel definire il confronto ricco e stimolante, ha ribadito il tema centrale della privacy nell’organizzazione aziendale privata e pubblica, l’importanza dell’interfacciamento dei ruoli privacy con parti sociali e IT, la necessità di semplificazione e trasparenza nella definizione normativa da parte delle istituzioni, l’obbligo di rivedere le prassi di gestione e valutazione del personale per favorire le migliori condizioni lavorative nel rispetto dei diritti alla riservatezza.
L’ultima considerazione condivisa, rappresentata simbolicamente come il disagio di Alice nel paese delle meraviglie che chiede indicazioni allo Stregatto pur senza una precisa destinazione e la di lui risposta: “Vai abbastanza lontano e da qualche parte arriverai” – ha ribadito, con un pizzico di amarezza, che, fin quando non sarà posto con chiarezza l’obiettivo a cui tendere, sarà difficile definire una strategia e le azioni attraverso le quali raggiungerlo.
In ogni caso, uno stimolo collettivo a condividere sempre più situazioni, dubbi, incertezze ma anche riflessioni, proposte e soluzioni concrete, anche tramite strumenti e iniziative ricche e stimolanti quali il webinar in questione, or ora raccontato.