Pillole di Privacy: Il Titolare del Trattamento dei Dati
Infografica di Dott.ssa Angelica Sonia Cosi
L’HR e la data retention
Il periodo di conservazione dei dati nel settore aziendale delle risorse umane
Un argomento ad oggi molto “caldo” nel settore della data protection è sicuramente quello della data retention, ossia il periodo di conservazione dei dati, rivisitato e meglio analizzato alla luce della nuova disciplina europea. Il concetto viene espresso con chiarezza e riportato nei vari articoli che compongono il Regolamento (UE) 2016/679, partendo dall’articolo 5, che enuncia i principi a cui l’intero strumento normativo comunitario si ispira, tra cui la c.d. limitazione della conservazione.
Essa comporta la necessità di trattare il dato “per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”, aggiungendo inoltre che “i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato”. Non è un caso che tale principio sia stato inserito all’interno di questo articolo, a fianco di criteri guida quali, a titolo esemplificativo, la minimizzazione e la responsabilizzazione, che sottendono l’impianto stesso del Regolamento costituendone il motore.
Scorrendo le pagine del GDPR si incontra tale concetto nell’informativa che viene resa all’interessato da parte del titolare del trattamento, nella quale vengono elencati gli elementi che sono indispensabili ai fini di una corretta comunicazione fra i due soggetti. Tanto quando i dati sono raccolti presso il diretto interessato, tanto quando sono raccolti presso terzi, rispettivamente ex art. 13 e 14 del suddetto Regolamento, il periodo di conservazione, o quanto meno, il criterio utilizzato in grado di poterlo determinare, è indispensabile per rendere il data controller effettivamente compliant alla normativa vigente.
Anche nell’ambito dell’esercizio del diritto di accesso, ai sensi dell’art. 15 del GDPR, viene sancito che lo stesso rientra tra gli elementi che l’interessato è in grado di ottenere al fine di avere “conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali”.
Inoltre il periodo di conservazione costituisce uno degli strumenti che devono essere costantemente monitorati dal titolare, in quanto costituente parte integrante, se attuato ovviamente in modo corretto, del sistema di privacy by default, ex art. 32 del GDPR. Tale articolo si manifesta infatti come una delle disposizioni chiave dell’intera disciplina sul trattamento dei dati, descrivendo al primo paragrafo il concetto di privacy fin dalla progettazione, e al secondo quello di privacy per impostazione predefinita, di cui per l’appunto il periodo di conservazione rappresenta uno degli elementi del quadro complessivo. Trattare il dato, anche solo conservarlo, per un periodo di tempo eccedente quelle che sono le ragioni per la quale è stato acquisito, corrisponde ad una violazione del Regolamento, che in termini di sanzione può arrivare “fino a 20 000 000 euro, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore”.
Una concreta applicazione dello stesso ha riguardato da vicino un settore fondamentale per le aziende, ossia quello delle risorse umane, che detengono banche dati spesso imponenti, soprattutto se trattasi di aziende come multinazionali, se non addirittura i c.d. OTT, e che inevitabilmente si sono scontrati con gli obblighi normativi. Infatti gli operatori del settore hanno a che fare quotidianamente con Curriculum Vitae di candidati che vengono ad oggi acquisiti in forma elettronica e confluiscono all’interno di database. L’aumento del rischio di attacchi informatici nel corso degli ultimi anni ha messo in luce quanta cautela sia necessaria nell’acquisire e detenere una quantità massiva di dati, aspetto che si ricollega strettamente con quello della conservazione del dato stesso, il quale, una volta terminata la finalità per cui era stato ottenuto, cessa, o per lo meno dovrebbe cessare, di esistere. Ma chi stabilisce le finalità? Per definizione, ex art. 4 del GDPR, essa è in capo al titolare del trattamento, che in quanto process-owner, è a conoscenza del flusso dei dati e pertanto della sorte dello stesso, dalla “nascita” alla “morte”. Sarà lui che, a fronte delle attività cui è preposto o a cui ha preposto una determinata Direzione o Unità Organizzativa nella sua azienda, manterrà il dato “attivo”. Ma ritornando agli HR Manager, i quali, come process-owner delle procedure di candidatura degli interessati si trovano a determinare il loro periodo di conservazione, quale giusta sorte dovrebbero riservare a tali dati? La tendenza ad oggi è quella di stabilire l’arco temporale attorno ai 12 mesi, ma ciò non senza riserve. Questo perchè, da un lato la creazione delle banche dati ha un certo costo dal punto di vista economico, oltre che di fatica e lavoro, e dall’altro è nell’interesse dello stesso candidato che invia il CV o che risponde ad un’offerta di lavoro, fare in modo che i suoi dati rimangano all’interno dell’azienda, che può richiamarlo successivamente, anche eventualmente per altre posizioni.
Il bilanciamento tra le varie esigenze che intercorrono rappresenta e continua a rappresentare il dinamismo continuo su cui il diritto alla privacy si muove e progredisce, ferma restando l’esigenza di una responsabilizzazione sempre più intensa in capo al titolare, che ha il dovere di dotarsi delle misure organizzative e tecniche più adeguate rispetto ai trattamenti posti in essere.
Articolo di
Dott.ssa Chiara Romeo – Data Protection Specialist
Healthcare Rating
Le HEALTHCARE RATING e la SANITA’: un legame sotto controllo GDPR
Trattare di argomenti come la sanità, che sia essa privata o pubblica, è sempre difficile e complesso; e lo è ancora di più quando questa si interseca con le vicende legate alla privacy e alla protezione dei dati.
Tra le situazioni più attuali possiamo annoverare il legame proprio tra la sanità e i trattamenti di profilazione, ma soprattutto come le nuove tecnologie influenzano le decisioni dei pazienti. La profonda rivoluzione tecnologica e digitale che ha caratterizzato almeno l’ultimo ventennio, con la diffusione dei social network prima e di forum e portali poi, ha portato infatti la società a focalizzarsi sulle esperienze e sulle percezioni di altri utenti.
Sono cambiate, di conseguenza, anche le modalità con cui i pazienti si relazionano con medici e specialisti, rendendo il rapporto a volte meno professionale.
Le Healthcare Rating
Prodotti importantissimi della rivoluzione sociale e tecnologica sono le applicazioni e i portali di recensioni. Prima volte alla classificazione di hotel, viaggi e luoghi di interesse (TripAdvisor, etc…), negli ultimi anni si sono sviluppate anche in ambito sanitario, prendendo il nome di HEALTHCARE RATING, con lo scopo di recensire, votare e classificare visite specialistiche, professionisti sanitari e strutture. Il risultato è quindi una quantificazione del grado di soddisfazione di utenti e pazienti.
Tra le app più famose e comuni degli ultimi anni si possono trovare Mydott (la prima app italiana creata da medici e considerata quindi tra le più professionali), dottori.it, sceglieresalute e Ihealthyou. Mentre le prime due si focalizzano sulla recensione e classificazione di professionisti sanitari in particolare, le ultime due hanno come raggio di azione principalmente le strutture sanitarie.
Le recensioni possono riguardare ogni aspetto: dalla risoluzione o meno della problematica personale, all’attitudine del professionista; se la struttura sanitaria è situata più o meno vicina ad un parcheggio e così via; qualsiasi situazione quindi può essere considerata criterio di giudizio.
Pazienti e Professionisti a confronto
Ovviamente queste app possono essere analizzate e considerate da due punti di vista ben distanti e differenti: quello dei pazienti e degli utenti delle app da una parte e quello dei professionisti e delle strutture sanitarie dall’altro.
Per quanto riguarda i pazienti questo tipo di strumenti è estremamente importante. Attraverso internet infatti è sempre più facile reperire informazioni e risposte alle proprie curiosità o dubbi, anche nell’ambito della salute, ma soprattutto pareri e opinioni di altri utenti. Questo tipo di applicazioni infatti, fondandosi proprio su esperienze e giudizi estremamente personali dei pazienti, tendono ad incidono sulle percezioni e sulle decisioni degli altri utenti.
Secondo i dati del Journal of the American Medical Association più del 35% degli utenti di questi siti o app ha ammesso di scegliere il professionista da cui farsi seguire basandosi proprio su recensioni e giudizi positivi di altri pazienti; il 37% invece ha dichiarato di evitare i professionisti che hanno ricevuto recensioni negative.
L’altra faccia della medaglia è quella dei professionisti sanitari in generale. Come in altri portali o applicazioni che si basano su un sistema di scoring e recensioni, ogni professionista cerca di ricevere una valutazione positiva e dei punteggi alti. Questo perché si viene a confondere il confine tra valutazione e percezione dell’utente con la competenza stessa del professionista; quando non si riceve una buona valutazione quindi il rischio per un professionista di aver rovinata la propria reputazione è molto alta.
La Soluzione
In questo tipo di portali e app si intersecano tre livelli differenti di interpretazione: la specifica etica, il diritto di espressione e informazione e la privacy.
Qual è dunque la soluzione per sbrogliare questa matassa? Il miglior strumento riconosciuto attualmente è la DPIA. L’autorità Garante ha sancito con l’Art. 35 del GDPR l’obbligo di effettuare la Valutazione d’Impatto sulla Protezione dei Dati (Data Protection Impact Assessment), << […Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali…] >>; in questo caso per trattamento si intendono proprio quelli valutativi o di scoring, compresa la profilazione (uno dei 9 criteri).
Responsabilità e Controversie
Infine, legata alle app di scoring e ai portali in generale, è la responsabilità dei commenti offensivi nei riguardi dei professionisti e dei servizi delle strutture sanitarie.
Si è discusso molto infatti sull’ipotesi che questa ricadesse sui gestori dei siti, che dovessero quindi munirsi di adatti sistemi di sicurezza che limitassero lo sviluppo di commenti diffamatori, come aveva sancito il Garante della privacy il 19 dicembre 2014.
Due anni dopo, con la Sentenza del Tar del Lazio, si cerca di trovare una nuova soluzione a questa querelle. La sentenza del 2016 ribalta completamente il giudizio del garante, asserendo che la responsabilità dei commenti denigratori sono da addebitare esclusivamente agli utenti di questi siti. Ribadendo quindi il diritto ad esprimersi e confrontarsi, il Tar sottolinea la necessità di utilizzare un linguaggio consono e l’educazione e il rispetto verso i professionisti, scagionando completamente i siti e i portali.
Attualmente quindi, mentre queste app prendono sempre più piede e importanza nella società multi-tecnologica odierna, manca ancora una normazione adatta e a tutela dei professionisti, delle strutture e degli utenti che le utilizzano.
Articolo di
Dott.ssa Carlotta Frasca – Data Protection Specialist
Avvocati & GDPR
Il provvedimento del Garante sul trattamento dei dati personali
Al fine di una corretta e concreta applicazione del Regolamento 679/2016, General Data Protection Regulation (ai più, il GDPR), nonché de Codice della privacy così come modificato dal d.lgs. 10 agosto 2018, n. 101, il Garante per la protezione dei dati personali, in qualità di Autorità di controllo dell’ordinamento italiano, sta emanando una serie di provvedimenti per le singole categorie professionali, di modo da avere un quadro giuridico più specifico per i diversi ambiti di applicazione.
Tali disposizioni hanno interessato anche la categoria professionale degli avvocati.
Con il provvedimento n. 512 del 1 dicembre 2018 (pubblicato sulla Gazzetta Ufficiale n. 12 del 15 gennaio 2019), rubricato “Regole deontologiche relative ai trattamenti di dati personali effettuati per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria”, l’Authority italiana ha stabilito una serie di norme al fine di definire più specificamente il trattamento dei dati personali da parte degli avvocati.
Prima di analizzare il provvedimento indicato, però, è opportuno richiamare qualche concetto di base sancito dalla normativa europea.
Ai sensi dell’art. 13 del GDPR, il professionista (in tal caso, l’avvocato, gli avvocati o lo studio associato) che ricopre il ruolo di titolare del trattamento deve informare il soggetto (cliente) mediante una comunicazione sulle finalità e le modalità del trattamento.
L’informativa non si configura solamente come il diritto del soggetto (magari ancora neanche nella qualità di interessato) ad essere informato, ma prima di tutto risponde al dovere in capo al titolare di assicurare la trasparenza e correttezza dei trattamenti fin dal principio, ovverosia dal primo contatto che il soggetto ha con il professionista-titolare.
Considerata la peculiarità dell’attività legale, il Garante ha previsto delle regole ben precise per la categoria di professionisti richiamata.
In merito all’informativa, l’Authority riconosce la possibilità di un’unica informativa: “l’avvocato può fornire in un unico contesto, anche mediante affissione nei locali dello Studio e, se ne dispone, pubblicazione sul proprio sito Internet, anche utilizzando formule sintetiche e colloquiali, l’informativa sul trattamento dei dati personali (art. 13 del Regolamento) e le notizie che deve indicare ai sensi della disciplina sulle indagini difensive”.
Ciò al fine di bilanciare, per un verso, il diritto del cliente di essere informato riguardo le modalità e finalità del trattamento, per l’altro di non rallentare quelle necessità (alcune volte anche urgenti) dell’attività di patrocinio e difesa dello stesso.
Ulteriore principio generale tra i pilastri della nuova normativa europea è il principio di minimizzazione, che sancisce la raccolta (e di conseguenza il trattamento) dei dati solo strettamente necessari alle finalità.
Tale fattispecie, invero, viene ribadito dallo stesso Garante nel caso che ci occupa, che sottolinea la specifica attenzione che deve tenere il professionista nella raccolta dati, il quale dovrà adottare le più idonee cautele per prevenire in primis l’ingiustificata raccolta dei dati stessi, ed ancor di più la utilizzazione o conoscenza dei medesimi.
Il Garante stesso afferma che tale principio non deve esser interpretato esclusivamente in linee di concetto generale a cui aspirarsi, ma piuttosto deve essere concretamente applicato al singolo caso di specie: il professionista dovrà organizzare il trattamento (sia esso automatizzato o meno) secondo le modalità che per quel singolo caso risulteranno più adeguate “a favorire in concreto l’effettivo rispetto dei diritti, delle libertà e della dignità degli interessati, applicando i principi di finalità, proporzionalità e minimizzazione dei dati sulla base di un’attenta valutazione sostanziale e non formalistica delle garanzie previste, nonché di un’analisi della quantità e qualità delle informazioni che utilizza e dei possibili rischi”.
L’Authority, altresì, individua le possibili categorie di titolari del trattamento. A seconda dei casi concreti e della struttura giuridica dello studio legale, titolare del trattamento può essere il singolo avvocato, più avvocati (si pensi ad esempio al caso di codifensori della medesima parte assistita, o il caso di colleghi domiciliatari), la associazione o la società di professionisti. A questi si aggiunge anche il praticante abilitato.
Nel medesimo provvedimento il Garante detta anche le modalità per la dismissione dei dati, sia nel caso della naturale conclusione del procedimento (sia esso giudiziale che stragiudiziale), sia anche nel caso di interruzione del rapporto (revoca o rinuncia del mandato).
Primo punto fermo è che “la definizione di un grado di giudizio o la cessazione dello svolgimento di un incarico non comportano un’automatica dismissione dei dati”.
Tutti gli atti e i documenti relativi ad un determinato procedimento, possono (e per certi aspetti, devono) essere conservati in formato cartaceo e/o elettronico qualora risultino necessari per un’eventuale ulteriore attività o per altre esigenze del professionista.
In ogni caso, devono essere conservati esclusivamente quei documenti – e dati – inerenti a tali scopi (si pensi ad esempio, la conservazione per l’adempimento di un obbligo normativo: in tal caso il professionista conserverà i soli dati personali effettivamente necessari per tale adempimento).
Infine, è consentito “previa comunicazione alla parte assistita, distruggere, cancellare o consegnare all’avente diritto o ai suoi eredi o aventi causa la documentazione integrale dei fascicoli degli affari trattati e le relative copie”.
Identiche e medesime regole valgono per il professionista nell’esperimento delle investigazioni difensive, ai sensi degli artt. 391-bis e ss. c.p.p.
Articolo di
Avv. Michele Monti – Data Protection Specialist
Diversity Manager: una professione a contatto con il mondo dei dati sensibili
1. Il Diversity Manager
Il Diversity Manager è una figura professionale che sta prendendo piede all’interno delle aziende che vogliono attivare una politica inclusiva. Da sottolineare che un’azienda attenta all’inclusione migliora la sua immagine aziendale, crea un clima collaborativo e una responsabilità verso il sociale
Il Diversity Management è lo sviluppo attivo e cosciente di un processo manageriale lungimirante, orientato al valore, strategico e comunicativo di accettazione delle diferenze e uso di alcune diferenze e somiglianze come un potenziale dell’organizzazione, un processo che crea valore aggiunto per l’impresa.
Elemento connotativo è la diversità, non come debolezza ma come forza!
Si riconosce la diversità della persona per saperla sfruttare al meglio, non più come una scriminante l’essere donna, etero, gay, avere un deficit che sia più o meno visibile o un orientamento religioso non riconosciuto nella nostra cultura occidentale, ma fare in modo che queste possano essere degli elementi caratterizzanti di una persona all’interno di un contesto lavorativo.
Il diversity manager è chiamato proprio a questo, creare delle opportunità, fare in modo che la persona possa essere integrata ed avere una sensibilità su questo tema.
2. Privacy
Il tema della privacy è sensibile al Diversity Manager, proprio perché operando nel campo dei dati sensibili è chiamato ad attivare una politica tale da non divulgare verso terzi, che possono essere anche gli altri lavoratori della disabilità di un soggetto se questi ne è a conoscenza.
Infatti in un contesto lavorativo meno soggetti sono a conoscenza di una patologia di un lavoratore meglio è. Questo perché la privacy è a tutela dei dati della persona, tanto che il GDPR ha introdotto delle nuove categorie che rientrano nella fattispecie dei “vecchi” dati sensibili, così da assicurare la massima protezione per quei dati che caratterizzano una persona nel proprio intimo.
È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona
Art. 9
Inoltre non tutte le disabilità sono visibili, ad esempio una persona sorda o un malato di HIV non ha una disabilità visibile agli occhi del collega, ciò crea dei problemi nel caso della curiosità impellente dei colleghi di lavoro, i quali possono cercare di carpire più informazioni sul disabile creando anche questioni di discriminazione sul posto di lavoro.
3. Il Diversity Manager e la privacy
Nel rispetto della normativa della privacy, adottando le buone pratiche affinchè la condizione del lavoratore non venga divulgata, pertanto, il Diversity Manager non dovrà chiedere o influenzare il lavoratore a dichiarare e a soddisfare eventuali pettegolezzi nel contesto aziendale, a meno che non sia egli stesso di sua spontanea volontà far presente della sua condizione psico-fisica.
Il Diversity Manager sapendo la condizione del soggetto deve fare in modo di consigliare alle aziende soluzioni innovative, in modo tale da avere sia un riscontro sull’attività produttiva tuttavia mantenendo il rispetto e il riserbo del lavoratore disabile.
Il Diversity Manager cerca di attuare nuove soluzioni affinché non vi siano discriminazioni sul posto di lavoro.
Le idee innovative adottate da questa figura non agevolano solo il disabile lavoratore, ma anche il normodotato, infatti un esempio sono le righe bicolore antiscivolo poste sui gradini delle scale, non aiutano solo a chi ha un deficit visivo grave, ma anche una persona che con l’avanzare dell’età non ha più la corretta visione delle cose. In conclusione il Diversity Manager interviene nelle categorie particolari di dati personali, sfruttandoli affinché vi sia un’evoluzione sul posto di lavoro, trovando nuove soluzioni che possano migliorare il clima lavorativo e produttivo, rinforzando il brand, tuttavia proprio in forza di questa conoscenza, in particolare sulle disabilità del lavoratore, non deve dimenticarsi di tutelare la posizione di quest’ultimo proprio perché si rientra in una normativa rafforzata.
Articolo di
Dott.ssa Angelica Sonia Cosi – Data Protection Specialist
Fonti :
http://docenti.unimc.it/maria.zifaro/teaching/2017/17858/files/presentazione-lavori-di-gruppo-diversity-management
https://www.garanteprivacy.it/regolamentoue