Stretta dell’Ue sulla privacy. Ma le aziende non si adeguano

Di Paolo Baroni per lastampa.it del 29/04/2018

Il regolamento in vigore fra un mese, miliardi di dati sensibili senza scudo Sindacati preoccupati: il confronto destinato a diventare più complicato

Allarme privacy per le imprese italiane. Fra un mese entrano in vigore le nuove norme Ue sulla tutela dei dati personali (e relative maximulte) ma una bella fetta di aziende arriva impreparata a questa scadenza. E lo stesso vale per tanti liberi professionisti e soprattutto per la pubblica amministrazione. Col risultato di lasciare «scoperta» una quantità infinita di dati ben più sensibili di quelli che affidiamo ai social.

Non solo, ma nel campo del lavoro la novità creerà nuovi problemi ai rapporti spesso già tesi tra aziende e sindacati alla prese coi braccialetti di Amazon e tutte le altre novità figlie delle nuove tecnologie. «La legge sulla Privacy 2.0 risale a due anni fa ed entrerà in vigore il 25 maggio – ricorda presidente di Privacy Italia Raffaele Barberio -. Fino a pochi mesi fa nessuno ci pensava perché si scommetteva sulla solita soluzione all’italiana, visto che siamo il Paese del milleproroghe. E invece niente: questa volta non ci sono proroghe». Già a fine febbraio, secondo una indagine sulla protezione dati fatta da Ernst & Young in 19 Paesi meno metà delle imprese italiane (48%) aveva provveduto ad attrezzarsi contro l’80% della Germania ed una media Ue del 60%.

Conto alla rovescia

«Sia nel pubblico che nel privato – spiega Barberio – sono tutti in grandissimo ritardo, dalle piccole imprese alle multinazionali, comprese quelle americane che operano in Europa e devono a loro volta adeguarsi. Se poi guardiamo alla pubblica amministrazione il ritardo è ancora più grave: basti pensare alla scuola. Detiene i dati delicati di ben 8 milioni di studenti (e dei rispettivi genitori) e ad oggi nessun preside ha ancora ricevuto indicazioni su come comportarsi. Poi non parliamo delle Regioni e di tutti i dati sanitari che detengono e che in assoluto sono i più appetibili. Anche qui si è fatto poco o nulla. Cosa fare prima del 24? A questo punto nulla, però dal 25 maggio bisognerà mettersi a correre ventre a terra per adeguarsi alle nuove regole, un processo che durerà almeno 2-3 anni perché in molti casi le imprese dovranno cambiare tante procedure». E poi «si dovrà diffidare di tutti quelli che fiutando l’affare si stanno inventando esperi di privacy pur non comprendendo magari nulla di protezione dei dati». Il nuovo Gdpr, che in sigla significa General Data Protection Regulation, è certamente «molto forte». Tant’è che nei giorni scorsi anche un gigante come Facebook ha deciso di battere in ritirata svuotando il suo data center irlandese e trasferendo ad una controlla americana 1,5 miliardi di utenti non europei. «Cambia completamente l’approccio al problema privacy. D’ora in poi spetterà ad ogni singolo imprenditore fare una valutazione di impatto privacy sulle procedure che intende adottare e a noi dovrà rivolgersi solamente nel caso che sussista un rischio elevato», ricorda di continuo il Garante Antonello Soro. Insomma, è la fine del Garante che fa da balia, che dice (e spiega) quello che si può fare e quello che non si può fare. «Adesso i compiti si fanno a casa». Le norme di base ovviamente non cambiano, cambiano invece le procedure e soprattutto gli strumenti. E altra cosa non meno importante le nuove regole sono uguali per tutti i 28 i Paesi dell’Unione (compreso il Regno Unito che nonostante la Brexit ha deciso di uniformarsi alla Ue).

Valutare i rischi

Raccolta del consenso, diritto di accesso ai dati e diritto all’oblio da parte dei cittadini/consumatori non cambiano, ma anzi vengono rafforzati. Ma la vera novità del Gdpr riguarda l’introduzione del principio di responsabilizzazione a carico di tutti i soggetti che gestiscono dati: occorrerà infatti sapere bene con che cosa si ha a che fare e quindi valutare attentamente i possibili rischi che si corrono e in caso di incidente segnalare la violazione dati nel giro di 72 ore. Andrà tenuta traccia e documentazione di tutti i trattamenti effettuati in un apposito Registro, unica eccezione le strutture con meno di 250 dipendenti a patto che non effettuino trattamenti a rischio. Ogni azienda, con l’esclusione di autonomi e ditte individuali, dovrà poi individuare un responsabile per la protezione dei dati, il Data protection officer (Dpo) cui spetterà effettuare le valutazioni d’impatto privacy.

Lavoro, braccialetti e Gps

Anche nel campo del lavoro la novità avrà un impatto «importante», segnala Tania Scacchetti della segreteria nazionale della Cgil. Dopo le modifiche introdotte col Jobs act, e subito contestate dai sindacati, solo nel 2017 il Garante ha ricevuto 210 segnalazioni e trattato 29 ricorsi su temi che vanno dalla videosorveglianza alla geolocalizzazione (veicoli aziendali, smartphone, tablet), dall’accesso alla posta elettronica alla navigazione in Internet dei dipendenti. In misura minore sono stati trattati anche casi inerenti il rapporto di lavoro, dalla consegna in busta chiusa dei cedolini dello stipendio all’affissione dei turni in bacheca con le assenze per malattia o i permessi sindacali, sino a voci non pertinenti sulla busta paga sino all’uso dei dati biometrici. «I recenti pronunciamenti del Garante su queste materia, che in diversi casi hanno attribuito la necessità di accordi sindacali per regolare questa materia anche su questioni che il Jobs act ha negato, e le nuove regole che stanno per entrare in vigore – spiega Scacchetti – rafforzano il diritto alla protezione ed alla riservatezza dei lavoratori nei luoghi di lavoro. Che è il tema importante che poi ci guida nell’analizzare tutte le novità, dal braccialetto tipo Amazon a quello di Leroy Merlin all’utilizzo del Gps per localizzare i mezzi aziendali. Noi manteniamo delle preoccupazioni e delle contrarietà rispetto alla liberalizzazione della disciplina giuridica fatta col Jobs act e quindi chiediamo che siamo rafforzati gli strumenti di tutela dei lavoratori. Certo d’ora in poi sarà un po’ tutto più complicato e con la responsabilità sulla protezione dei dati che va tutta in capo alle aziende certamente incontreremo nuove difficoltà. La strada per noi è quella di affrontare questi temi nell’ambito della contrattazione aziendale – conclude la sindacalista -. Ben sapendo che accentuare il controllo sul personale attraverso questi strumenti di certo non aiuta il clima aziendale e soprattutto non incrementa la produttività come spesso si dice».