Prendo spunto da un articolo del quotidiano Alto Adige che dà notizia di una indagine condotta dai NAS e dall’Autorità Garante Privacy su un test sierologico COVID condotto ad Ortisei (mia seconda casa) ed offerto da un noto albergatore a circa 1000 concittadini.
L’indagine è tesa ad approfondire i temi legati alla corretta informativa e base giuridica GDPR utilizzata a fini della liceità nel trattamento dati.
Tralasciando lo sviluppo dell’app di Stato IMMUNI, il tema fondamentale è analizzare come molte organizzazioni ed imprese che si stanno avvicinando alla Fase 2, cercando di fare il massimo possibile per garantire lavoratori e clienti sul tema sicurezza del lavoro e della salute, utilizzano strumenti quali termocamere, test sierologici ed app di tracciamento.
Il punto focale è che se nella filiera della scelta di questi strumenti non viene coinvolto un consulente privacy o un Data Protection Officer (DPO), il rischio sanzionatorio per le aziende cresce esponenzialmente.
In questa seconda fase dell’emergenza COVID-19 è quindi necessario un coinvolgimento dei professionisti della privacy da parte delle aziende che sviluppano, commercializzano ed acquistano questi strumenti che trattano direttamente o indirettamente dati personali, sanitari e biometrici.
Infatti la parola chiave deve essere accountability, che in questo caso rende molto anche nella sua accezione italiana: responsabilizzazione.
Sviluppatori
Non si può sviluppare una app senza aver progettato sin dall’inizio questo sistema, tenendo conto dei principi fondamentali della privacy by design e privacy by default; quindi se sviluppo una app dovrò pensare a come minimizzare l’impatto, a dove vengono tenuti i dati, alla profondità di accesso ai dati permessa dal sistema, ai log di verifica degli accessi, ai contratti con la filiera del trattamento dati, alle misure di sicurezza applicate, alla cancellazione del dato, alla pseudonimizzazione ed altro ancora.
Fondamentale per questi attori della filiera del trattamento sarà la massima trasparenza in termini contrattuali; difficile credere a chi dice che i dati sono trattati in modo anonimo o senza impatto per l’interessato.
Commercianti ed installatori
Chi commercia o installa telecamere o app di tracciamento contatti dovrà verificare con un esperto in data protection la bontà del prodotto offerto. Infatti, in questi momenti di emergenza, il mercato è una vera “giungla” e si stanno moltiplicando offerte di soluzioni che provengono da mercati americani o orientali, dove l’attenzione a i temi privacy non è sugli standard richiesti dal GDPR.
Gli installatori dovranno anche definire il loro ruolo privacy nell’assistenza post vendita, fornire le caratteristiche tecniche e di minimizzazione dei trattamenti incluse nel sistema commercializzato per non vedersi coinvolti in una azione risarcitoria attraverso la risalita nella filiera di trattamento (pensate ad un evento di data breach che veda come elemento debole le misure di sicurezza monitorate dall’installatore).
Aziende Titolari del trattamento
Primo elemento di attenzione: le eventuali sanzioni delle Autorità vedranno come soggetto principale di indagine, insieme ai responsabili, chi avrà definito finalità e modalità del trattamento ovvero le aziende Titolari del trattamento.
Se un’azienda deciderà di installare una termocamera per regolare i flussi di ingresso di dipendenti o clienti dovrà analizzare, fra l’altro:
- le caratteristiche tecniche dello strumento
- verificare eventuali elementi che il fornitore mette a disposizione per la DPIA
- analizzare quale base giuridica utilizzare
- coinvolgere ed informare i rappresentanti dei lavoratori nelle scelte
- aggiornare il registro dei trattamenti
- effettuare una DPIA effettuando una corretta analisi dei rischi
- individuare gli incaricati ad accedere alle informazioni raccolte in caso di superamento della temperatura
- definire con una procedura il processo di trattamento e ruoli e responsabilità
- formare e/o istruire i soggetti coinvolti
- nominare i responsabili addetti alla manutenzione e aggiornamento degli strumenti
- fornire un’informativa adeguata.
Dimenticavo…coinvolgere il Data Protection Officer, se nominato.
In un trattamento relativo ad un test sierologico andrà altresì ben definita la volontarietà del test e la disponibilità del dato al solo servizio di medicina del lavoro o ad un medico.
Il ruolo del DPO e dei professionisti della privacy
Quale ruolo quindi giocare come DPO e professionisti della privacy? Come visto nei paragrafi precedenti, non stiamo parlando di un’attività residuale ma tutt’altro: di un ruolo in prima linea che il DPO o il professionista della Privacy devono avere, al pari dell’RSPP nella gestione dell’emergenza sanitaria in azienda.
Ma tutto questo funziona se le organizzazioni e le imprese ci coinvolgeranno nelle filiere decisorie in modo preventivo, prima di fare le loro scelte di sviluppo o di acquisto di strumenti di prevenzione COVID-19, perché altrimenti il rischio è un rincorrere le situazioni, un “mettere una pezza” e una volta dato avvio al trattamento non è detto che questo sia efficace per regolarizzare il tema privacy.
Un primo passo sarebbe quello di coinvolgere i DPO o i Manager Privacy interni nel Comitato aziendale per l’applicazione e la verifica delle regole del protocollo COVID-19.
A tal proposito credo che sia di fondamentale importanza un ultimo aspetto: la proattività dei DPO e dei consulenti privacy che attraverso newsletter, mail, contatti telefonici, riunioni in modalità smart working devono sensibilizzare i propri clienti, siano essi interni o esterni, all’applicazione della norma privacy e all’attenzione che devono sempre porre nelle decisioni che comportino l’installazione di applicazioni e soluzioni tecnologiche.
Il modello privacy deve rimanere aggiornato e deve essere costantemente monitorato; con un’attenzione particolare alle linee guida dell’EDPB ed alle indicazioni del Garante Privacy della nazione dove operiamo.
Quindi il messaggio che mi sento di dare è che, oggi più che mai, il ruolo del Data Protection Officer è centrale nella costruzione di un nuovo mondo post COVID-19 che dovrà essere più sostenibile sia da un punto di vista sanitario e ambientale sia di trattamento dei nostri dati. Be part of something bigger.
