DATA PROTECTION

Il ruolo del DPO nell’emergenza coronavirus (e non solo): indicazioni operative

Nell’attuale condizione di emergenza sanitaria è importante definire il ruolo del DPO all’interno delle organizzazioni. Proviamo ad analizzare le misure e le indicazioni che il responsabile della protezione dati dovrebbe fornire o valutare relazionandosi con le aziende e i team crisi, se presenti

13 Mar 2020
P
Monica Perego

Ingegnere

P
Chiara Ponti

Avvocato, Legal Compliance e nuove tecnologie – Laureata anche in ISSR (TO)


Anche il DPO, nell’odierna condizione di emergenza sanitaria dovuta alla pandemia di coronavirus, è chiamato a fare la sua parte.

Tre sono i possibili scenari in cui egli potrebbe trovarsi:

  1. all’interno di un’organizzazione più consapevole che ha già interessato il DPO tenendolo in costante aggiornamento, chiedendogli indicazioni e pareri, coinvolgendolo, financo, nel team crisi azionato per l’occasione;
  2. in un’organizzazione virtuosa, il DPO coinvolto ed assunto nel team crisi dovrebbe, ancor meglio, coordinarsi con l’organismo di vigilanza – ODV ai sensi e per gli effetti di cui al D.lgs. 231/2001; con il medico competente di Medicina del Lavoro nonché con l’RSPP, in quanto una serie di misure e di valutazioni sono da considerare in modo anche congiunto;
  3. in un altro scenario, infine, meno consapevole e purtroppo nella maggior parte dei casi, in cui l’organizzazione non ha valutato la necessità di coinvolgerlo e di tenerlo aggiornato. In questo caso è il DPO che deve farsi carico di contattare l’Ente e di chiedere —con discrezione, tenuto conto del momento—informazioni in merito alle misure adottate al fine di fornire utili indicazioni.

Proviamo dunque ad analizzare le misure e le indicazioni che dovrebbe fornire il DPO o per lo meno valutarle, unitamente alle modalità di relazionarsi con l’organizzazione e con il team crisi allorché presente.

Tenendo in ogni caso sempre presente che, se ci chiedessimo quali siano le misure e indicazioni da doversi fornire in condizioni di acclarata emergenza, non potremmo dare una risposta completa ed esaustiva valevole per tutti i casi, poiché il contesto specifico può far valutare alcune misure e/o restrizioni piuttosto che altre.

In ogni caso ed in linea di principio un monito deve guidare il DPO: in una situazione di straordinaria emergenza, come quella che sta vivendo il nostro Paese in questi giorni, occorre pensare che “non si possono vincere tutte le battaglie e bisogna sacrificarne alcune” e la protezione dei dati personali, per quanto esso sia un diritto fondamentale non è certamente un diritto assoluto come la salute.

Merita anche rammentare che l’Autorità Garante Privacy, il Consiglio dei Ministri e altri Organi deputati hanno emesso, e continuano ad emettere, delle indicazioni tali da poter cambiare lo scenario. Si citi, ad esempio, l’ultima in ordine di tempo, impattante sulla protezione dei dati personali, il decreto-legge 9 marzo 2020, n.14 recante “Disposizioni urgenti per il potenziamento del servizio sanitario nazionale in relazione all’emergenza COVID-19.” e da ultimo, il DPCM dell’11.03.2020.

Tutte le misure e le valutazioni del DPO dovranno essere fornite tenendo conto di questi riferimenti e navigando a vista, poiché nel tempo misure e indicazioni potrebbero anche mutare, con la conseguenza che il DPO deve/dovrà considerare tali aspetti e, allorché necessario, rivedere le posizioni assunte.

Misure e indicazioni del DPO, lato organizzazione

Circa le indicazioni da tenere presente, dal punto di vista dell’organizzazione, è opportuno che il DPO si informi su:

  • team crisi che l’organizzazione ha eventualmente costituito;
  • misure adottate nei confronti dei lavoratori in ordine agli aspetti della prevenzione, salute e sicurezza, ricordando che comunque egli può essere soltanto informato; con la conseguenza che le misure da adottare ed i DPI (dispositivi di protezione individuale) da utilizzare e quant’altro, restano esclusivamente in capo al medico competente di Medicina del lavoro nominato, non potendosi né dovendosi il DPO intromettere nelle scelte (altrui) effettuate. Eventualmente può limitarsi a contattare il medico competente, senza ingerenza alcuna in quanto il di lui ruolo non è certamente quello di sindacare le misure individuate (da altri).
  • misure nei confronti degli altri soggetti che possono essere coinvolti nell’ambito dell’organizzazione: visitatori, fornitori e quant’altri. Fermo restando che, in alcuni casi, per tali soggetti sono state fornite indicazioni (si pensi al caso dei visitatori nelle RSA (Residenze per anziani), per cui la Regione Lombardia ha fornito indicazioni per la chiusura completa dell’accesso delle visite ai parenti, oppure sempre nello stesso contesto delle RSA, le misure nei confronti degli ospiti sono definiti a cura della Direzione Sanitaria della struttura, è opportuno che il DPO si informi in merito alle misure che sono state prese soprattutto per l’eventuale raccolta di dati personali. Al riguardo, si citi per esempio la registrazione dei visitatori potendo valutare tempi e luoghi di conservazione dei medesimi nonché il rispetto del principio di minimizzazione, o l’informativa fornita. Al contempo, deve considerare che questi dati possono essere raccolti, comunicati ed eventualmente diffusi per segnalare i casi di dipendenti o altri soggetti che hanno avuto contatto con l’organizzazione, specificatamente di positività al COVID-19, ovvero di quarantena, presenti all’interno dell’Organizzazione, e viceversa. Ancora una volta, il DPO non potrà sindacare sulle misure di protezione adottate in questo caso, non tanto a capo del Medico competente, quanto piuttosto dell’RSPP.
  • il DPO dovrebbe anche prendere visione, sempre per quanto di sua competenza, in ordine alle comunicazioni dalla Direzione verso i lavoratori, o le direttive /indicazioni provenienti da Enti quali: la Regione, il Comune in cui ha sede l’organizzazione, ovvero ancora l’associazione di settore che potrebbero formulare indicazioni in merito alle misure da prendere ed i dati da trattare. In altri termini, il contesto è talmente ampio, variegato ed in continua evoluzione, che risulta molto difficile proporre un elenco esaustivo dei documenti devono essere analizzati dal DPO.

Sarebbe inoltre opportuno che, indipendentemente dall’adozione (anche pregressa) di modalità esecutive alternative dell’attività lavorativi in smart working o in telelavoro (applicate), il DPO si interfacciasse con l’area IT per valutare se sussistono delle problematiche specifiche; come sia organizzato il presidio degli aspetti relativi alla sicurezza informatica e la capacità da parte degli apparati IT di reggere l’eventuale accesso contemporaneo dei lavoratori operanti da remoto.

Circa gli aspetti data breach, ricordandosi che in momenti difficili come questi, le persone sono più vulnerabili e meno attente perché preoccupate dall’evolversi di una situazione ormai purtroppo incontenibile se non con la restrizione del “restare tutti a casa”, paradossalmente sarebbe più facile e non remota l’ipotesi che si verificasse un attacco di data breach.

WHITEPAPER
La guida per scegliere il miglior antivirus gratuito per il tuo PC
Personal Computing
Privacy

Al riguardo, sarebbe da considerare che le caselle di posta elettronica, attraverso cui segnalare un evento di tale fatta, il costante presidio del DPO ovvero da qualche altro soggetto autorizzato all’interno dell’Organizzazione pur operando da remoto in forma agile.

Non solo.

Il DPO dovrebbe valutare/potenziare altresì le procedure di backup — misura che peraltro sarebbe bene usare sempre, al netto della situazione contingentata — nonché valutare chi sono i soggetti dell’area IT deputati e in grado di sostituirsi l’uno con l’altro in ordine anche alle vulnerabilità dei fornitori. Quest’ultimo aspetto merita ragguardevole attenzione nella misura in cui tali fornitori fossero pochi ovvero in condizioni di impossibilità di operare, a seguito delle proprie condizioni di salute compromesse (dalla SARS-Cov.2).

Col che, suggeriamo di effettuare tale valutazione su quei fornitori realmente considerati critici per la protezione dei dati aziendali ed al fine di poter fornire supporti tecnologici per il lavoro agile.

Il DPO deve documentare tutto e deve chiedere che, qualora l’Organizzazione non si fosse già attivata in tal senso, tutte le azioni e le misure prese vengano documentate e motivate in modo tale da permettere in una fase successiva, quando torneranno i tempi normali, una valutazione ponderata sulle misure adottate e delle azioni intraprese per poterle anche motivare in caso di richiesta o eventuale visita ispettiva.

Misure e indicazioni del DPO, lato lavoratore

Circa i lavoratori, ed in particolare quelli messi — vista lo stato attuale di emergenza che rende tutta l’Italia in “zona rossa” — in smart working, in forza della deroga prevista dall’art. 2 del DPCM del 25.02.2020, il DPO che si trovi in organizzazione che abbia già sperimentato l’applicazione dello smart working, in condizioni normali ai sensi e per gli effetti di cui agli artt. 18 e ss. della Legge 81/2017 che ne disciplina la materia, si troverà in una situazione evidentemente più favorevole, rispetto al caso, non affatto infrequente, (anzi quasi ricorrente) in cui non c’è era un’abitudine di questo genere.

In questi casi, il DPO potrebbe essere chiamato a fornire delle precise e chiare linee guida che l’azienda dovrebbe diffondere ai lavoratori, se già così non avesse effettuato in passato, coerenti con la situazione di emergenza, le quali ovviamente sacrificheranno alcuni aspetti legati alla protezione dei dati ed alla sicurezza informatica, accordandosi per quanto possibile con il Responsabile dell’area IT e con la funzione HR.

Ulteriori misure e indicazioni

Oltre alle rappresentate misure, in relazione al contesto specifico in cui opera l’organizzazione, il DPO dovrà, inoltre, valutare ulteriori misure che dovrebbero essere adottate o che l’Organizzazione propone di adottare.

Ogni caso deve essere poi valutato in modo specifico, ad esempio in una RSA (residenza sanitaria assistenziale) nella quale, da diversi giorni sono inibite le visite dei parenti, molti anziani soffrono di un’inevitabile condizione di solitudine.

Una misura potrebbe essere proprio quella che la Residenza organizzi un filmato in cui vengono ripresi gli anziani i quali salutano i propri cari, a distanza.

Tali riprese verrebbero poi comunicate ai familiari, senza particolari restrizioni o procedure da incardinare (tipo la conservazione dei dati/immagini) pur nella consapevolezza dell’importanza della protezione dei dati che tuttavia, in una situazione che non riscontra precedenti, negli ultimi anni, occorre necessariamente bilanciare gli interessi propendendo per misure di tutela a favore della sicurezza della salute piuttosto che della sicurezza dei dati.

Il tutto si riassume, di conseguenza, in una valutazione fatta anche di implicazioni etiche.

La continuità del servizio di DPO

Il DPO deve altresì considerare l’eventualità che potrebbe essere lui stesso un soggetto che si deve porre in stato di quarantena. In tale scongiurato caso, tuttavia, la situazione sarebbe ragionevolmente affrontabile/sostenibile in quanto tutte le sopra dette attività non richiedono la sua presenza fisica.

Diverso è il caso invece in cui il DPO non fosse più in grado di operare; qui sarebbe opportuno che egli fornisse preventivamente riferimenti di una persona di sua fiducia la quale, attraverso un atto di “delega” sia in grado di operare, in modo adeguato.

A priori dunque, il DPO deve individuare una soluzione di back-up e condividerlo con l’organizzazione, quale extrema ratio; pur rendendoci perfettamente conto che, quest’ultima soluzione, sia un po’ ardita — potendo far sì “… storcere il naso” a qualche collega— ma torniamo a quanto detto fin da principio: in una condizione di emergenza bisogna fare dei sacrifici ed individuare le priorità.

Considerazioni conclusive

La raccolta dei dati e la valutazione delle misure finora prospettate e che si consiglia caldamente di adottare, possono essere svolte da parte del DPO, e dallo stesso, in remoto evitando di esporsi o di esporre l’organizzazione ad inutili rischi, sfruttando le molte tecnologie, ad oggi presenti, con le quali l’attuale situazione di emergenza, volente o nolente ci impone di famigliarizzare, ad ogni livello.

Tutto quanto detto finora, intendiamoci, può valere benissimo anche per il Privacy Officer il quale potrebbe, in mancanza del DPO, essere coinvolto e fornire analoghe indicazioni.

Una volta ritornata la normalità, sarà necessario:

  • stabilizzare le misure individuate tra cui lo smart working rivalutandone l’opportunità e conseguentemente attivarne l’iter ordinario (progetto, accordo ecc.);
  • aggiornare l’analisi dei rischi; mettere a frutto le “lessons learned” che questa impattante esperienza ha lasciato, segnando la vita di ciascuno, nessuno escluso.
WEBINAR
AI, protezione dei dati e flessibilità: anche questo è Storage
Intelligenza Artificiale
Storage

@RIPRODUZIONE RISERVATA

Articolo 1 di 5