Metodologie per una corretta gestione della tutela della privacy

di Roberto Berruti

scritto il

Il Responsabile della Privacy è la figura che ha la funzione di apportare miglioramenti o cambiamenti all'impianto normativo in materia di tutela dei dati personali

Perché in Italia si verificano frequenti violazioni della privacy? L’Italia è stata uno degli ultimi membri della Comunità Europea, se non proprio l’ultimo, a recepire le Direttive Comunitarie in materia di tutela della privacy. L’aggiornamento normativo ha prodotto effetti paradossali su una materia dal forte impatto concreto: non si è creata alcuna “cultura” sulla materia e si sono introdotti sostanzialmente una pletora di pesanti adempimenti burocratici dai costi elevati che anche i soggetti “tutelati” hanno percepito come un fastidio.

L’impianto normativo ispirato dal Legislatore Europeo prevede la figura del titolare, del responsabile, degli incaricati e introduce l’obbligo della redazione di documenti annuali, l’informativa a dipendenti/clienti/fornitori, la richiesta di consenso, ecc. Come si vede, un impianto normativo complesso cui – dopo la riedizione della legge nazionale (evento tipicamente italiano) – ha fatto seguito una densa attività ispettiva e sanzionatoria che ha evidenziato parecchi casi di uso illegittimo di dati personali. E in questa sede è opportuno chiedersi se e come la realtà possa essere mutata in meglio dall’azione del Responsabile della “Privacy”.

Al di là, infatti, dei casi in cui Titolare e Responsabile coincidano, la figura di front office è quella del Responsabile.
Queste figure, all’inizio dell’applicazione delle leggi in questione sono state interpretate, in parte, come ruoli formali da ricoprire per ottemperare a obblighi, in parte, come soggetti in grado di sollevare il Titolare dalla preoccupazione delle sanzioni.
In realtà, né l’una né l’altra linea soddisfano le esigenze.

La pratica applicazione delle normative in materia di privacy comporta innanzitutto che sul Titolare ricadono inevitabilmente concrete e ineludibili responsabilità di carattere “ordinamentale”, delineate dall’art. 4 lettera f) del D.Lgs. 196/2003 nelle indicazioni di scopo e modalità del trattamento. Nessuna delega di responsabilità è possibile al riguardo, perché tali attività ineriscono specificamente allo scopo per cui si agisce la stessa attività dell’impresa.

Quanto al Responsabile, esso è il soggetto che realizza materialmente il trattamento dei dati personali di clienti, dipendenti, collaboratori e fornitori per le finalità indicate dal Titolare. La pecca fondamentale della legge 196/2003 è la totale mancanza di norme che prevedano obblighi di formazione per il Titolare ma, soprattutto, per il Responsabile e gli Incaricati. È vero che anche i contratti collettivi nazionali di lavoro prevedono norme sul segreto d’ufficio ma si tratta di previsioni che nella maggior parte dei casi sono ancora formulate come nella prima stesura risalente a decenni or sono.

Forse in altri Paesi più tradizionalmente sensibili alla tutela della privacy la formazione sulla natura della “tutela” non sarebbe stata utile; in Italia invece si è persa una grande occasione, peraltro ancora recuperabile. La formazione da progettare dovrebbe vedere in prima linea l’azione delle associazioni imprenditoriali delle varie categorie e andrebbe indirizzata verso la creazione di un’etica del trattamento dei dati che, superando la disinvolta spregiudicatezza che troppo spesso si manifesta, si concentri sullo sviluppo di una mentalità operativa consapevole del valore dei dati trattati.

Si tratterebbe di strutturare un intervento formativo snello, direi non più di una giornata, con un programma orientato all’analisi dell’approccio con i dati oggetto di trattamento a vario titolo che valorizzi la consapevolezza etica di tutti gli interessati. Ciò potrebbe costituire anche un valido elemento da inserire nel bilancio sociale d’impresa che, al caso, si sia scelto di redigere. L’intervento formativo dovrebbe riguardare tutte le figure aziendali coinvolte fino ai singoli incaricati, in modo tale che l’Azienda tutta possa spendere poi questa cresciuta sensibilità per migliorare il proprio marketing.

Sul fronte interno, invece, una particolare attenzione va posta su alcuni aspetti. Innanzitutto i fascicoli dei dipendenti/collaboratori. Non si dimentichi mai che la custodia dei dati ivi raccolti prima del 1° luglio 2004 può essere contestata in sede di ispezione da parte del Garante. Il consiglio, pertanto, è di avviare una dimostrabile attività di revisione del contenuto dei fascicoli iniziando dai certificati medici che contengano una diagnosi. Infatti, la tracciabilità del passato patologico dei singoli costituisce senz’altro una violazione delle norme che regolano il trattamento dei dati sensibili.

A mio avviso, si dovrebbe mettere a disposizione degli interessati tutta la documentazione in questione, richiedendo espressamente agli stessi di esprimere un nuovo consenso per essere legittimati a proseguirne la custodia. In caso di mancato consenso consiglio vivamente di restituire i relativi documenti agli interessati, visto – oltretutto – che gli stessi sono inutilizzabili a qualsiasi scopo lecito (essendo detenuti illecitamente). Tale operazione dovrebbe essere compiuta informandone anche le Organizzazioni Sindacali eventualmente presenti in Azienda, allo scopo di aumentarne l’impatto positivo sul personale.

Un altro aspetto è la tenuta e l’aggiornamento continuo di un file, magari generato in Access, con i consensi rilasciati dai dipendenti/clienti/fornitori. Lo scopo, in particolare per i dipendenti/collaboratori, è di essere sempre in grado di verificare chi, ad esempio, non abbia dato il consenso al trattamento dei dati sensibili, in modo tale da bloccare l’erogazione di eventuali provvidenze aziendali legate agli stessi (nel caso del contributo per un figlio portatore di handicap).

Sussiste poi il problema dei mancati consensi dati dai familiari dei dipendenti. Nel caso in cui qualche normativa comporti la spendita dei dati di qualche familiare (provvidenze per i figli studenti; permessi per l’assistenza agli anziani infermi, ecc.) a questa esigenza non vi è alcun rimedio normativo, per cui è compito del Responsabile Privacy curare un periodico sollecito affinché tale lacuna sia colmata. A questo riguardo può tornare utile la formazione di cui si è parlato sopra, perché chiarisce i motivi delle richieste di consenso e integra le argomentazioni a sostegno che possono essere dispiegate. Nella realtà, infatti, si sono registrati moltissimi casi di mancata espressione di alcun consenso da parte di tali soggetti, la cui volontà – ripeto – non è in alcun modo surrogabile.

Un altro aspetto è quello concernente la tenuta degli archivi cartacei. Qualsiasi evidenza cartacea costituisce trattamento di dati. Si pensi alle cartelline di documenti che giacciono quotidianamente sulle scrivanie dei dipendenti, alle evidenze riassuntive che ne vangano ricavate a mano o su personal computer in archivi locali.
A tale riguardo, il Responsabile deve intervenire dettando corrette disposizioni che garantiscano dalla perdita di dati contenuti in tali supporti non informatici e fare obbligo di riporli sotto chiave al termine della giornata lavorativa.

Questi accorgimenti realizzano un’efficace misura di sicurezza che pone al riparo da inconvenienti assai fastidiosi. Al riguardo, un’iniziativa utile può essere quella di dotare almeno ogni reparto di una macchina per distruggere i documenti, con cui eliminare le copie che proliferano nella quotidiana operatività. Di tutto questo il Responsabile Privacy può fare oggetto di una periodica comunicazione, che consiglio di ripetere ogni anno, per richiamare l’attenzione degli incaricati su questi semplici ma essenziali aspetti operativi.

Il paradosso, infatti, è dato dal fatto che si siano adottati costosi programmi informativi per la gestione della privacy e poi si “cada” su cose basilari. Capita addirittura di vedere in molte filiali di banche cartelli sulla privacy che si riferiscono ancora alla precedente legge 675 e magari indicando nomi di Responsabili che non sono più in servizio. Su quest’aspetto, consiglio di individuare una funzione specifica all’interno dell’Azienda (qualora non si nomini un consulente esterno) e indicare come Responsabile colui che riveste pro-tempore tale posizione.

La diramazione della comunicazione scritta di cui sopra è consigliabile sia rinnovata ogni 12 mesi, per coprire tutte le sostituzioni e gli avvicendamenti di personale che inevitabilmente si saranno succeduti nel tempo e anche questa, come la lettera formale prevista dalla legge per la nomina degli “incaricati” deve essere fatta firmare per ricezione da ognuno. In alternativa, ma è meno efficace sul piano probatorio, potrebbe essere diffusa con posta elettronica ma non tutti dipendenti potrebbero essere raggiungibili, quindi è preferibile il supporto cartaceo, da conservare nel fascicolo personale.

Gli accorgimenti di cui sopra, come si vede, non sono previsti da norme di legge ma rappresentano l’applicazione del generale concetto civilistico di normale diligenza nell’esecuzione di un compito formalmente previsto e possono costituire un elemento di qualificazione in più dell’azione aziendale nei confronti di tutti i suoi stakeholders.