Dovendo classificare i 3 errori più comuni nell’adeguamento al GDPR in cui quotidianamente mi imbatto bazzicando per i comuni italiani come DPO o come consulente privacy, darei la medaglia di bronzo alla formazione, spesso bistrattata da docenti e discenti; la medaglia d’argento la riserverei invece all’abitudine di chiedere il consenso, anche quando questi non è assolutamente necessario.
La mia personalissima medaglia d’oro la vincerebbe in maniera indiscussa la riservatezza, che all’interno delle pubbliche amministrazioni, con cui fin qui mi sono relazionato, è abbondantemente disapplicata.
Come DPO il primo nodo che cerco di sciogliere incontrando un’amministrazione pubblica è colmare alcuni gap formativi, offrendo spunti pratici e facendo chiarezza su quelle aree di attrito in cui diverse normative collidono fra loro, come ad esempio la trasparenza (accesso agli atti o trasparenza sul sito web) con la privacy.
Quindi chiarisco quali siano le basi giuridiche redimendo due antitetiche tendenze, l’abusare della richiesta di consenso e sfatare la falsa credenza che “le finalità istituzionali dell’Ente” siano una base giuridica.
Di conseguenza mi preoccupo della riservatezza introducendo prassi per segregare le informazioni.
Ma vediamo in dettaglio queste tre criticità.
Indice degli argomenti
Il consenso
Nei comuni italiani sovente si commette l’errore di reiterare comportamenti acquisiti nel passato senza più metterli in discussione.
Nella prassi quotidiana, quando un cittadino si interfaccia con uno sportello comunale, compare di fronte a noi l’immancabile “Modulo” per la raccolta dati.
Nella mia quotidiana attività di consulente GDPR per enti pubblici ne ho visti di tutte le fogge, quasi sempre non conformi al Regolamento UE 679/2016.
Per esperienza, quello che operativamente vedo dietro lo sportello comunale è:
- compare l’esigenza di attivare un servizio per il quale servono i dati dell’utente;
- si pesca un modulo preesistente per un servizio analogo e lo si adatta alla nuova esigenza. Operazione anche accettabile se si usasse un template aggiornato alla nuova normativa e se ci fosse la necessaria attenzione per rivedere alcuni elementi peculiari di ogni trattamento (Finalità, Base giuridica ecc.);
- il modulo in questione sovente non riporta l’Informativa, nemmeno semplificata ma poche righe di testo a richiamare la normativa Privacy. Spesso, anche a 2 anni dall’entrata in vigore del GDPR, si cita solo il D.lgs. 196/2003;
- quasi sempre, quasi fosse il prezzemolo, c’è la richiesta di Consenso (GDPR – art. 6, comma 1 lettera b).
Solo pochi giorni fa, dovendo spiegare che la richiesta del consenso è quasi sempre sbagliata, essendo questa una base giuridica residuale, soprattutto negli Enti Pubblici, le persone di fronte a me, hanno strabuzzato gli occhi, quasi fossi un marziano.
Take away – (consiglio utile): se sei un dipendente comunale, se il DPO non te lo ha ancora fornito, fatti dare un template standard con evidenziate le parti peculiari di ogni trattamento, che di volta in volta andranno riviste.
Verifica che vi siano gli elementi essenziali dell’informativa semplificata e che vi sia il rimando all’informativa completa, richiedibile allo sportello in formato cartaceo o consultabile alla pagina Privacy del vostro sito web (è importante indicare il link alla pagina privacy e non alla homepage).
Ogni volta verifica dal registro dei trattamenti o consulta il DPO per identificare la corretta base giuridica del trattamento in questione. Raccogli e conserva il consenso solo quando questi è previsto.
Il Garante greco ci è andato piuttosto pesante sulla prassi della raccolta del consenso, quando questi non era necessario, essendo in quel caso la base giuridica il contratto (Art. 6, comma 1 lettera b).
La Hellenic Data Protection Authority, infatti, ha sanzionato per 150 mila euro, oltre a alcune misure correttive (Decisione n° 26/2019), Price Waterhouse Coopers per non aver individuato correttamente la base giuridica del trattamento dei dati personali dei propri dipendenti e non aver rispettato il principio di accountability. L’azienda raccoglieva il consenso del dipendente, il quale non può essere considerato come liberamente concesso nell’ambito del rapporto di lavoro a causa dell’evidente squilibrio tra le parti.
Il registro dei trattamenti dovrebbe definire, come richiesto dal “Manuale del DPO” promosso dal Garante, per ogni trattamento la corretta base giuridica.
Nell’operatività quotidiana si dovrebbe richiedere il consenso solo qualora il registro dei trattamenti lo espliciti.
La riservatezza
La necessità di riservatezza delle informazioni spesso è mal compresa e quindi non correttamente applicata.
Se concettualmente è ben chiaro a tutti noi cosa si intenda col termine riservatezza, nella quotidianità questo fondamentale principio viene bistrattato e sacrificato di fronte alle incombenze di tutti i giorni.
L’Haga Hospital, (L’Aia) si è beccato 460 mila di euro di sanzione dal Garante olandese “Autoriteit Persoonsgegevens”. Le cartelle sanitarie di una star di un reality televisivo erano state consultate impropriamente da 85 dipendenti un po’ troppo curiosi.
Il Presidente del Garante olandese Aleid Wolfsen, ha sottolineato: “La relazione tra un operatore sanitario e il paziente deve essere completamente riservata. Questo dovrebbe essere lo stesso all’interno delle mura di un ospedale. Non importa chi sei.”
L’errore comune è pensare che la riservatezza abbia come proprio perimetro le mura dell’edificio.
Ho rilevato le situazioni più bizzarre lavorando quotidianamente preso organizzazioni sia pubbliche che private.
In un comune dove mi sono recato per un audit, gli uffici comunali erano stati posti all’interno di un ex cotonificio ristrutturato in modo brillante. L’architetto, per conservare gli spazi e l’effetto scenico della struttura, ha preservato gli enormi spazi originali, creando un enorme open space, dove a separare i diversi uffici vi erano solo gli arredi.
La struttura perfetta per una agenzia creativa è palesemente non conforme al rispetto del principio di riservatezza e al GDPR.
Per di più, l’area relativa ai servizi sociali è prospicente l’ingresso. Le persone discutono dei propri problemi, dell’accesso ai servizi sociali, di agevolazioni economiche, nel pieno via vai di personale comunale e visitatori.
Come ben detto dal Presidente dell’Autority olandese per la privacy, la riservatezza dovrebbe persistere anche all’interno delle mura dell’organizzazione.
Andando oltre il caso limite poc’anzi descritto, sovente non vi è una corretta segregazione funzionale delle informazioni.
Un importante player nazionale quotato in borsa di cui ho supervisionato gli adempimenti al GDPR aveva un software gestionale con un’inadeguata policy delle autorizzazioni, con dipendenti che potevano accedere a informazioni che non erano di loro competenza.
Attraverso la “Lettera di nomina dell’autorizzato”, ogni singola persona dovrebbe essere autorizzata a trattare una limitata porzione di dati necessari all’espletamento della propria mansione, fornendole al contempo le dovute istruzioni operative, attraverso un apposito disciplinare.
Il disciplinare è un elenco di indicazioni operative su cosa possa o non possa fare con i dati, cui di volta in volta può accedere. Talvolta è una vera e propria policy estremamente dettagliata, talvolta è un elenco di macro aspetti, portati all’attenzione dell’autorizzato.
Per le amministrazioni comunali talvolta il Protocollo è una delle area più critiche in termini di riservatezza.
La riservatezza nell’ufficio Protocollo
Il servizio di Protocollo è una delle attività più delicate dell’intera amministrazione comunale. Attraverso il Protocollo i dati entrano all’interno dell’organizzazione (Protocollo in entrata) e vi escono (Protocollo in uscita).
Spesso il primo è centralizzato mentre il secondo è delegato per singolo ufficio.
La riservatezza è fondamentale in fase di protocollazione e spesso è messa a rischio.
In tempi andati, quando la P.A. era solo analogica, un solerte impiegato raccoglieva la documentazione cartacea e la distribuiva personalmente presso i rispettivi uffici. Oggi carica a sistema la documentazione.
Il sistema ovviamente può essere personalizzato sulle esigenze interne dell’ente, predisponendo i diversi livelli di autorizzazione.
Tali logiche di personalizzazione sono spesso progettate senza considerare i precetti del GDPR.
Sovente, in qualità di DPO, sono dovuto intervenire a modificare i livelli autorizzativi segregando le informazioni.
Spesso ho incontrato situazioni in cui “tutti vedevano tutto”; altri dove i livelli di autorizzazione all’accesso delle informazioni non era funzionale alle attività di trattamento svolte; altre volte dove per ottemperanze a possibili assenze si duplicavano o triplicavano le utenze abilitate a ricevere l’informazione; altre ancora dove in situazioni di mobilità interna del personale l’utente continuava a usufruire degli accessi relativi alla mansione precedente.
In un comune di media grandezza il responsabile al Protocollo aveva richiesto una specifica modifica alla software house erogante il servizio, affinché le autorizzazioni non fossero per persona ma per ufficio.
Il risultato di un’operazione effettuata nelle migliori intenzioni possibili è stato di creare incredibili inefficienze economiche e di essere in palese violazione della privacy, poiché plurimi soggetti facenti parte dell’ufficio ricevevano nella propria casella di posta in entrata comunicazioni, di cui non necessitava di avere conoscenza.
Il comune qui in oggetto, a protocollo ha mediamente 35.000 comunicazioni annue, ognuna delle quali contiene dati, molte delle quali dati particolari. Ognuna di questa viene aperta e letta mediamente da circa una decina di persone.
Lato GDPR, la domanda alla base di un corretto sistema dovrebbe essere: “Per espletare l’attività specifica, dell’atto protocollato, chi e solo chi dovrebbe essere autorizzato a prenderne visione?”
Spesso la domanda su cui si struttura un servizio di Protocollo è: “Per essere sicuri, che qualcuno prenda in carico la pratica, a chi ne diamo evidenza?”.
Risulta immediatamente chiaro che un approccio minimizza l’accesso all’atto mentre l’atro lo moltiplica.
Un dirigente del citato comune in un accalorata riunione per revisionare il sistema di protocollazione emblematicamente disse: “Qui, troppi vedono troppo”.
In un altro comune, a imbastire un sistema di autorizzazione alle informazioni non vi avevano neppure provato, avendo io stesso rilevato la totale assenza di un sistema di segregazione della informazioni. Ogni dipendente, effettuando una ricerca per parole chiave, poteva accedere a qualunque documento protocollato.
Il Segretario comunale, scettico sull’effettiva utilità di procedere alla segregazione delle informazioni, volle verificare se effettivamente qualche dipendente avesse abusato della possibilità di accedere illimitatamente alle informazioni, per finalità diverse da quelle funzionali alla mansione. Si scopri che alcuni dipendenti accedevano a documenti relativi ad altri uffici senza alcuna motivazione, con grave danno della riservatezza delle informazioni.
In quell’occasione io mi limitai a dire: “Qui, tutti vedono tutto”.
La segregazione delle informazioni dovrebbe divenire prioritaria.
La formazione
La formazione è spesso un problema nella pubblica amministrazione.
Il problema è dovuto sia alla scarsa applicazione dei contenuti formativi acquisiti dai discenti sia dalla scarsa trasversalità dei docenti.
Innanzitutto, un buon consulente potrebbe essere un pessimo formatore, il miglior DPO potrebbe essere un comunicatore mediocre, il professore pluripremiato non essere in grado di trasmette le informazioni in modo efficace. L’arte dell’insegnare è complessa e non alberga in tuti noi.
Spesso il primo problema risiede nel formatore, che se pur padrone della materia, non ha le qualità per diffonderle al proprio auditorio.
Ne consegue che alla fine della sezione formativa i partecipanti avranno le idee confuse, sviluppando magari un rigetto verso le materia in questione.
Quanti di noi amiamo o odiamo una specifica materia a distanza di decenni per colpa o merito dell’insegnante?
In secondo luogo, il docente anche se ha sviluppato ottime capacità comunicative e di formazione, spesso eroga contenuti troppo verticali e quasi decontestualizzati dalla loro reale applicazione.
Talvolta trascura la compresenza di altre normative, che non conosce sufficientemente.
Il messaggio al partecipante al corso risulta essere quasi antitetico generando nell’immaginario di molti dipendenti pubblici, che ho incontrato, il paradosso che “quello della privacy” vieti qualsiasi comunicazione/pubblicazione e “quello della trasparenza” che dia luce verde a tutto.
Ne consegue che l’accumularsi di informazioni distoniche crei un senso di scoramento nel personale pubblico, e che questi si affidi a pratiche consuetudinarie, talvolta errate.
Infine, vi è il grosso problema dell’attitudine dei discenti.
Fortunatamente non è sempre così ma talvolta la partecipazione alle sezioni formative è fatta con un atteggiamento distratto e di superficialità.
Le informazioni acquisite durante gli incontri formativi rimangono disapplicate quasi che la tenacia delle cattive abitudini voglia resistere a teoriche nozioni.
Molte volte, correggendo quotidianamente i comportamenti errati, mi viene detto: “è vero ma” oppure “sì lo so, ma qui da noi non si può fare per…” adducendo le più strane e strampalate motivazioni.
La formazione, in realtà, dovrebbe essere un precetto, non solo nel suo ricevimento ma soprattutto nella sua applicazione.
L’art. 12 del D.lgs. 217/2017 riportante le modifiche all’articolo 13 del CAD afferma: (Formazione informatica dei dipendenti pubblici) Le pubbliche amministrazioni […] attuano politiche di reclutamento e formazione del personale finalizzate alla conoscenza e all’uso delle tecnologie dell’informazione e della comunicazione, nonché dei temi relativi all’accessibilità e alle tecnologie […].
Le politiche di formazione di cui al comma 1 sono altresì volte allo sviluppo delle competenze tecnologiche, di informatica giuridica e manageriali dei dirigenti, per la transizione alla modalità operativa digitale.
L’art. 32 GDPR relativo alla “Sicurezza delle informazioni” al comma 4 afferma:
Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.
Conclusione
Espletati i classici formalismi tipici del GDPR, il consiglio che mi permetto di dare, è di verificare sempre le prassi operative che divergono sempre, talvolta di molto, dal castello cartaceo e documentale, che viene redatto nel tentativo di rendere l’organizzazione compliance al GDPR.
La formazione è fondamentale affinché le informazioni divengano prassi operative e con il tempo comportamenti.
Attraverso la formazione e un’attenta verifica della modulistica presente presso ogni sportello la gestione dei consensi, dovrebbe essere un problema di non difficile risoluzione.
La segregazione delle informazioni è un elemento chiave. Essa va progettata e continuamente supervisionata.
