Dpo con voce in capitolo al tavolo della dirigenza con il Covid-19
Con le numerose criticità sui temi della privacy che sono emerse negli ambienti di lavoro durante l’emergenza sanitaria da Covid-19, una figura che si è rivelata particolarmente proattiva e che ha fatto sentire il suo peso è quella del Data Protection Officer. Ad evidenziarlo è un sondaggio condotto dall’Osservatorio di Federprivacy che ha già raccolto i feedback da un campione di quasi 1.000 Dpo e altri addetti ai lavori che in questo periodo vivono quotidianamente in prima persona tutte le difficoltà che le aziende stanno affrontando per cercare di conciliare la sicurezza con la protezione dei dati personali.
Non mancano infatti trattamenti di dati personali del tutto atipici rispetto alla norma, e per rispettare le misure prescritte dal Governo, il 71% delle imprese in cui operano i professionisti intervistati ha introdotto il rilevamento della temperatura corporea all’ingresso del luogo di lavoro, il 59% è ricorso alla richiesta di autocertificazioni da far compilare a dipendenti e collaboratori, il 18% ha installato termoscanner e altri dispositivi automatici, e qualcuna (circa un 4%) si è pure avventurata all’utilizzo di specifiche app che implicano trattamenti di dati dei dipendenti.
Se l’art.38 del Gdpr richiede che “il responsabile della protezione dei dati sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali”, il 68% dei professionisti della privacy che sono stati intervistati hanno risposto di non essere stati subito coinvolti dalla direzione, e nel 39% dei casi non sono rimasti a girarsi i pollici ma è stato lo stesso Dpo a prendere l’iniziativa interessandosi personalmente dei problemi legati alla tutela della privacy, mentre tre volte su dieci (29%) è stato il management a renderlo partecipe dei problemi in un secondo momento.
Il contributo dei Dpo non è stato incisivo solo nella pura consulenza, ma anche nella revisione ed il controllo della documentazione per verificare l’eventuale necessità di aggiornare moduli e informative (85% dei casi), nel dare istruzioni e formazione agli autorizzati al trattamento di dati in base al mutato fabbisogno dell’emergenza (65%), mentre ha rilevato poco (28%) o niente (29%) nella gestione delle istanze da parte di lavoratori ed altri interessati, e ancor meno ha influito nella gestione dei rapporti con il Garante per la privacy, rimanendone del tutto fuori nel 61% dei casi.
(Nella foto: Nicola Bernardi, presidente di Federprivacy)
Se trai compiti attributi dall’art.39 del Regolamento UE 2016/679 rientra anche quello di fornire pareri al titolare del trattamento, a quanto pare una volta seduti al tavolo della dirigenza, il 63% dei Data Protection Officer non sono stati solo in silenzio ad ascoltare, ma hanno fatto sentire anche la loro voce, infatti uno su quattro afferma che le sue opinioni hanno avuto molto peso sulle decisioni riguardanti le misure da adottare e agli interventi necessari per conformarsi alla normativa, e circa il 39% di essi ha dichiarato di essere stato ascoltato quanto serviva.
Tra gli interventi suggeriti dai Dpo per rispettare il Gdpr anche nella Fase-2, nel 56% dei casi si è resa necessaria la modifica o l’integrazione di atti e documenti previsti dal proprio modello organizzativo di gestione della privacy, il 51% delle aziende è intervenuto per integrare il Documento di Valutazione dei Rischio (DVR), una su tre (30%) ha elaborato o integrato la valutazione di impatto privacy richiesta dal Gdpr, e nel 47% dei casi è stato necessario dare nuove autorizzazioni agli incaricati del trattamento dei dati personali. Solo nel 13% delle aziende è stato deciso di non effettuare alcun intervento specifico.
Nota positiva che denota il mantenimento del controllo della situazione anche grazie al contributo di Dpo e responsabili privacy, è il fatto che nella maggioranza delle realtà aziendali nel periodo critico dell’emergenza sanitaria non sono aumentate le richieste di accesso ai dati da parte dei lavoratori ed altri interessati (85%), come non sono cresciute le opposizioni al trattamento dei dati e le richieste di cancellazione (88%), e neppure i reclami presentati al Garante per la privacy (92%).
Ciò che invece preoccupa di più gli addetti ai lavori nel prosieguo della "fase 2" sono principalmente l'impiego di tecnologie intelligenti invasive per la privacy dei lavoratori (62%), e le criticità dello smart working riguardo alla protezione dei dati personali (67%) , ma la metà di essi (52%) risente anche della poca chiarezza e delle incertezze sull'applicazione della normativa in materia nel contesto dell'emergenza, e il 62% è anche scettico nel fare previsioni sui tempi necessari per un auspicato ritorno alla normalità rispetto alla riduzione del diritto alla privacy degli individui osservata dall'inizio della pandemia.
Nicola Bernardi, presidente di Federprivacy (Nòva Il Sole 24 Ore)