I blog riportano opinioni degli autori e non necessariamente notizie, in ossequio al pluralismo che caratterizza la nostra Testata.
A- A+
Compliance café
Un caffè con... Francesco Modafferi

Questa mattina abbiamo il piacere di ospitare per la rubrica “un caffè con…” il dott. Francesco Modafferi, Dirigente del Dipartimento realtà pubbliche e del Dipartimento sanità e ricerca del Garante per la protezione dei dati personali.

Il Dipartimento realtà pubbliche cura l’esame degli affari riguardanti i trattamenti di dati personali effettuati da autorità e organismi pubblici, compresi, l’istruzione e la formazione, l’attività degli ordini professionali, a esclusione dei trattamenti che ricadono nell’ambito di applicazione della Direttiva (UE) 2016/680.

Mentre il Dipartimento sanità e ricerca cura l’esame degli affari riguardanti i trattamenti di dati personali effettuati in ambito sanitario da esercenti le professioni sanitarie e organismi sanitari pubblici e privati, per finalità di cura e amministrative. Cura altresì i trattamenti di dati personali per fini di sanità pubblica, per tutela dei disabili e della maternità, nonché per l’applicazione della disciplina in materia di stupefacenti e i servizi per le dipendenze. 

Con questa intervista, Compliance café continua a dialogare con il mondo delle istituzioni e delle imprese, per offrire ai propri lettori un punto di osservazione privilegiato sui temi di più stretta attualità.

Dottor Modafferi l'emergenza dovuta alla diffusione del virus SARS-CoV-2  ha da subito imposto alle imprese nuove modalità di trattamento dei dati personali, in primo luogo dei lavoratori: lo smart working e la rilevazione della temperatura in azienda ne sono solo un esempio. Quali sono i rischi insiti in queste forme di trattamento e cosa possono fare le imprese per mettersi al riparo?

«Le norme sull’emergenza hanno richiesto ad amministrazioni e imprese di adottare in tempi rapidi numerose misure organizzative per il contenimento del contagio negli ambienti di lavoro, dando luogo, in molti casi, a nuovi trattamenti di dati personali che non erano tradizionalmente di competenza del datore di lavoro (quali ad es. la rilevazione della temperatura o lo stato di positività del dipendente al Covid-19). Similmente, tra le misure di contenimento e gestione dell'emergenza, amministrazioni e imprese hanno dovuto predisporre rapidamente soluzioni e strumenti per permettere un generalizzato ricorso al lavoro agile, al fine di limitare la presenza del personale tanto negli uffici quanto nei contesti produttivi (per le attività compatibili con tale modalità di prestazione lavorativa). 

Si è quindi determinato un inevitabile incremento dei rischi per le persone, sia in termini di possibili discriminazioni sul luogo di lavoro, a causa dell'essere stati vittima del contagio, sia per la possibilità che possano verificarsi violazioni di sicurezza dei dati, anche per effetto della improvvisa necessità di adottare soluzioni tecnologiche innovative, in assenza spesso di adeguata progettazione.

In questo scenario la disciplina di protezione dei dati personali contenuta nel Regolamento (UE) 2016/679 fornisce strumenti metodologici utili a mitigare tali rischi come la valutazione di impatto e i principi di protezione dei dati fin dalla progettazione (privacy by design) e della protezione dei dati per impostazione predefinita (privacy by default). Nell’ambito egli enti pubblici e dei soggetti privati dove è stato designato, un ruolo importante può svolgere anche il responsabile della protezione dei dati (RPD o DPO) elemento di garanzia che supporta il titolare del trattamento nelle decisioni più complesse».

Dal punto di osservazione dell'Autorità Garante, questa riorganizzazione delle procedure, così tempestiva e per molte realtà inaspettata, si sta svolgendo in maniera ordinata o se, al contrario, sono già emerse cattive prassi meritevoli di interventi correttivi?

«La necessità di modificare in breve tempo i propri modelli produttivi e organizzativi, nonché la difficoltà di adeguarsi a un quadro normativo in continuo divenire e di non sempre facile interpretazione, hanno inevitabilmente determinato alcune situazioni di non conformità alla normativa, sulle quali l’Autorità sta effettuando gli opportuni accertamenti. 

Per orientare le amministrazioni e le imprese nel complesso scenario che si è venuto a creare, il Garante ha intrapreso però anche una serie di iniziative di informazione e supporto nei confronti dei titolari del trattamento, con l’intento di prevenire eventuali illeciti.

Sul sito web del Garante è stata creata una specifica sezione informativa dedicata al Covid-19 dove è stata pubblicata una raccolta delle principali disposizioni adottate in relazione allo stato di emergenza, aventi implicazioni in materia di protezione dei dati personali, nonché le risposte dell’Autorità alle domande frequenti (FAQ) formulate dai titolari del trattamento, anche con specifico riguardo al trattamento dei dati nel contesto lavorativo, pubblico e privato, nell’ambito dell’emergenza. Queste iniziative sono state molto apprezzate e seguite e continueranno a essere implementate.

Superata per ora la fase più drammatica e impellente dell’emergenza sanitaria, si apre una pagina nuova che richiede di mantenere molte delle precauzioni adottate in precedenza ma che consente, al contempo, un approccio più meditato e ordinato.

Proprio per questo, in un settore molto delicato come quello dell’istruzione, il Garante, dopo aver fornito nelle prime fasi dell’emergenza alcune prime indicazioni alle scuole per la didattica a distanza[1], ha avviato una proficua collaborazione con il Ministero dell’istruzione per individuare le soluzioni più efficaci e rispettose dei diritti degli interessati (studenti e loro famiglie) in vista della riapertura a settembre dell’anno scolastico, nella considerazione che l’utilizzo di sistemi di didattica a distanza possa diventare, ove opportunamente disciplinato, un utile ausilio alla didattica tradizionale[2]».

Anche il trattamento dei dati dei clienti e degli utenti sta registrando un sensibile incremento: molte imprese stanno investendo sull'e-commerce, sui sistemi di delivery e, di conseguenza su nuove strategie di marketing e comunicazione. Dietro la crisi, in definitiva, esistono alcuni virtuosi esempi di attività che sono riuscite a cogliere interessanti opportunità di business. Il futuro - anche dell'economia - appare quindi ruotare sempre di più intorno al trattamento dei dati. È una prospettiva da abbracciare, da respingere o da guardare con diffidenza?

«L’improvvisa diffusione del Covid-19 ha certamente favorito quei modelli di commercializzazione di beni e servizi, come l’e-commerce, che meglio possono rispondere alle restrizioni imposte dalla normativa emergenziale, alla logica del distanziamento interpersonale e alle mutate esigenze dei consumatori.

L’epidemia ha di fatto ulteriormente accelerato un processo già in atto da molto tempo, mettendo ciascuno di fronte all’inesorabilità della conversione al digitale di molti processi economici e amministrativi.

La possibilità di affermarsi sul mercato dipende sempre di più dalla quantità e dalla qualità di dati di cui si dispone e dalla capacità di estrarre dagli stessi informazioni. È un fenomeno con il quale, a prescindere da ogni giudizio di valore, è necessario misurarsi, consapevoli che la “datizzazione” della nostra vita (cioè la trasformazione istantanea in formato digitale di ogni nostra azione, pensiero, interesse, gusto personale determinata dall’interazione con dispositivi connessi) può determinare una progressiva spoliazione delle nostre esistenze finendo con l’incidere anche su quello che, nella nostra cultura, siamo stati abituati a considerare uno degli elementi costitutivi dell’essere umano: il libero arbitrio. 

Sempre più spesso la tecnologia ci affranca dalla fatica di scegliere, decide per noi. Dobbiamo essere consapevoli che il compito che oggi viene affidato alla tecnologia non è più soltanto quello di raccogliere dati e organizzarli in modo efficiente ma quello di rivelare, in modo automatizzato, la verità dei fenomeni, al di là della loro apparenza.

Se la rivoluzione digitale di cui tanto oggi si parla in una chiave spesso ingenuamente entusiastica promette grandi potenzialità di sviluppo economico e sociale, non possono tuttavia essere ignorati anche i gravi pericoli che l’accompagnano. Come rilevato da Ulrich Beck, l’evoluzione tecnologica va di pari passo con la produzione sociale di rischi; per questo uno degli obiettivi di fondo della regolazione è proprio quello di gestire i cosiddetti “effetti collaterali latenti” di questa evoluzione per “limitarli e diluirli distribuendoli in modo che non ostacolino il processo di modernizzazione né travalichino i confini di ciò che è considerato tollerabile”[3].

Considerati i processi di concentrazione monopolistica in atto a livello globale nel settore della raccolta e dell’analisi dei dati è dunque sempre più essenziale l’attività di vigilanza e regolazione delle autorità di protezione dati a tutela dei diritti, delle libertà e della dignità delle persone che fruiscono dei servizi, pubblici e privati, della società dell’informazione». 

Quando cesserà l'emergenza sanitaria, che fine faranno tutti i dati che SARS-CoV-2 ha imposto di raccogliere?

«Il Regolamento europeo generale sulla protezione dei dati sancisce l’importante principio di limitazione della conservazione, in base al quale i dati personali devono essere conservati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati.

Tale principio deve essere declinato in concreto secondo il paradigma della responsabilizzazione (accountability) da ogni titolare del trattamento, pubblico o privato, tenendo presente che, di regola, tutti i dati raccolti e trattati finalità di prevenzione dal contagio nel periodo dell’emergenza sanitaria dovranno essere cancellati o resi anonimi al termine di tale periodo, salvo che la legge non ne consenta la conservazione per periodi più lunghi. 

Questo principio è stato esplicitamente declinato in diversi provvedimenti adottati nell’emergenza.

Mi riferisco in particolare all’art, 17-bis, comma 6 della legge 30 aprile 2020 nel quale si prevede espressamente che, al termine dello stato di emergenza di cui alla delibera del Consiglio dei ministri del 31 gennaio 2020, tutti i soggetti del Servizio nazionale di protezione civile e del Sistema sanitario nazionale che sono stati autorizzati eccezionalmente a trattare i dati per finalità di interesse pubblico e di sanità pubblica adottino misure idonee a ricondurre tali trattamenti nell'ambito delle ordinarie competenze e delle regole che disciplinano il loro trattamento. 

Analogamente la norma che ha introdotto il sistema di allerta Covid-19 per il tracciamento digitale dei contatti[4], ha previsto, al comma 6, che ogni trattamento di dati personali effettuato tramite l’app IMMUNI debba essere interrotto alla data di cessazione dello stato di emergenza e comunque non oltre il 31 dicembre 2020.

Al di là del contesto pubblico, non può tuttavia essere sottovalutato il rischio che sul mercato operatori poco scrupolosi possano mettere in atto comportamenti opportunistici traendo vantaggio dall’enorme quantità di dati acquisiti nell’emergenza per trarne profitto. 

Spetterà quindi ancora una volta all’Autorità intervenire in questi casi utilizzando tutti i poteri conferiti dal Regolamento (UE) 2016/679, ivi compresi quelli sanzionatori, per impedire che ai danni derivanti dal Covid-19 si aggiungano quelli derivanti dagli usi illeciti dei dati».

 

*Per l’intervista si ringrazia il dott. Francesco Modafferi per la disponibilità e il Dipartimento realtà pubbliche e il Dipartimento sanità e ricerca del Garante per la protezione dei dati personali.

 

[1] Provvedimento del 26 marzo 2020 - "Didattica a distanza: prime indicazioni" doc. web [9300784].

[2] Vedi lettera del Presidente del Garante, Antonello Soro, alla Signora Ministro dell’Istruzione, al Signor Ministro dell’Università e della ricerca e alla Signora Ministro per le pari opportunità e la famiglia in tema di didattica a distanza, pubblicata su www.garanteprivacy.it.

[3] Ulrich Beck, La società del rischio. Verso una seconda modernità, Carocci editore.

[4] Il Decreto legge 30 aprile 2020 n. 28, art. 6.

Loading...
Commenti
    Tags:
    privacygarante privacy
    Loading...
    in evidenza
    Smart working, soft skills Ripensare il lavoro post-Covid

    Il rigoletto

    Smart working, soft skills
    Ripensare il lavoro post-Covid

    i più visti
    in vetrina
    Previsioni meteo: da lunedì nuova fiammata africana, punte massime fino a 38°C

    Previsioni meteo: da lunedì nuova fiammata africana, punte massime fino a 38°C


    Zurich Connect

    Zurich Connect ti permette di risparmiare sull'assicurazione auto senza compromessi sulla qualità del servizio. Scopri la polizza auto e fai un preventivo

    casa, immobiliare
    motori
    Citroen Berlingo, la soluzione ideale per le vacanze estive

    Citroen Berlingo, la soluzione ideale per le vacanze estive


    RICHIEDI ONLINE IL TUO MUTUO
    Finalità del mutuo
    Importo del mutuo
    Euro
    Durata del mutuo
    anni
    in collaborazione con
    logo MutuiOnline.it
    Testata giornalistica registrata - Direttore responsabile Angelo Maria Perrino - Reg. Trib. di Milano n° 210 dell'11 aprile 1996 - P.I. 11321290154

    © 1996 - 2020 Uomini & Affari S.r.l. Tutti i diritti sono riservati

    Per la tua pubblicità sul sito: Clicca qui

    Contatti

    Cookie Policy Privacy Policy

    Affaritaliani, prima di pubblicare foto, video o testi da internet, compie tutte le opportune verifiche al fine di accertarne il libero regime di circolazione e non violare i diritti di autore o altri diritti esclusivi di terzi. Per segnalare alla redazione eventuali errori nell'uso del materiale riservato, scriveteci a segnalafoto@affaritaliani.it: provvederemo prontamente alla rimozione del materiale lesivo di diritti di terzi.