/ News / Mondo AiFOS / CFA e soci
Una rubrica di approfondimento per conoscere il punto di vista di chi la formazione la fa (e la vive) ogni giorno. A cura di Marco Michelli
Alla tre giorni AiFOS di Padenghe ha fatto un intervento dedicato al GDPR. Perché è consapevole di quanto sia rilevante per chi si occupa di salute e sicurezza comprenderne le indicazioni e saperle mettere in pratica in azienda. D’altronde Sebastiano opera sia nel settore della salute e sicurezza sul lavoro che nella protezione dati personali e ha spesso correlato i differenti punti di vista. In associazione lo definiscono “il nostro tecnico” per quanto attiene il trattamento dei dati personali. Ma dopo averci parlato è facile paragonarlo ironicamente al Mr. Wolf del film “Pulp Fiction”: perché lui non cerca di gestire il problema ma va direttamente alla ricerca della soluzione.
Alla Convention AiFOS 2018 di Padenghe il suo intervento era considerato tra i più particolari e attuali. Questo non solo per la recentissima entrata in vigore del GDPR 679/16 (meno di un mese), ma anche perché le sue proposte mirano a dare indicazioni operative alle varie figure che operano nel settore salute e sicurezza sul lavoro come consulenti ed RSPP per una varietà di aziende sul territorio.
Assolutamente sì. Ho visto una buona reattività e, soprattutto, una grande partecipazione all’iniziativa. Anche perché ho affrontato un argomento ostico in un panorama applicativo che è ancora tutto in divenire.
Ho presentato un intervento sul regolamento di protezione dei dati personali, ovvero quel regolamento meglio noto come dei dati GDPR 679/16. Questo perché in molti non hanno ancora compreso che per SPP ha un impatto decisamente importante. L’idea nasce da un precedente corso sull’introduzione del regolamento tenuto proprio in Associazione lo scorso novembre e che ha suscitato grande interesse e avuto un notevole richiamo di pubblico. Del resto, quando costituisco il servizio prevenzione e protezione devo pensare di inglobare informazioni da declinare nella organizzazione del lavoro: basta pensare a notizie riguardanti il genere, le malattie e lo stato di salute, la religione, così come i dati sulla gestione dell’infortunio o l’iter di inabilità. Tutelare questi dati personali dei lavoratori è l’elemento che viene richiesto con il GDPR, laddove la responsabilità del trattamento è diventata sanzionabile.
In un certo senso è vero. L’Unione Europea aveva dato due anni di tempo per approntare le regole all’interno di ogni nazione e la legge 163/17 diceva che entro il 30 marzo sarebbero usciti tutti i decreti attuativi (una sorta di evoluzione delle autorizzazioni generali ed altre indicazioni per la corretta contestualizzazione alla legislazione italiana). Poi però ci sono state diverse indicazioni, anche in contrasto tra loro che hanno determinato una situazione ancora fluida. La cosa da sottolineare è che, in attesa che il nuovo governo faccia uscire al più presto un “documento” che chiarisca le modalità operative, l’Autorità Garante ha indicato che interverrà solo se chiamato in causa da interessati. Questo significa che non ha avviato verifiche programmate per i prossimi sei mesi, consentendo, nei fatti, una sorta di “periodo di adattamento” (o tolleranza) in cui le imprese si devono organizzare il da farsi. Ricordo, peraltro, che in un intervento del 24 maggio a Bologna un funzionario dell’Autorità Garante ha detto che siamo in condizioni di cambiamento e che ci vorranno almeno due anni per mettere a punto un meccanismo legislativo che funzioni operativamente sulle peculiarità italiane. Ecco allora che i prossimi provvedimenti dell’Autorità Garante illustreranno la corretta declinazione di vari trattamenti.
L’indicazione dell’Autorità Garante è che ogni azienda dimostri di pensare a cosa deve fare (secondo il principio di accountability largamente citato nel GDPR). In pratica, bisogna “trovare un equilibrio” tra il rispetto dei dati delle persone interessate e le esigenze aziendali: avviare un percorso che sia figlio di organizzazione e pianificazione, di cosa si decide di fare e di come si opera. In questo percorso devono trovare giusta collocazione tutti i documenti la cui presenza è obbligatoria a termini di GDPR. Documenti che descrivono come il Titolare rispetta i diritti delle persone rispettando i dati personali che gli vengono affidati. Uno dei documenti obbligatori è il documento di gestione delle violazioni.
Se vogliamo fare un paragone, parliamo di un lavoro di organizzazione dell’intervento e della reazione che è simile alla procedura di gestione delle emergenze: le condizioni sono simili, ma la differenza è che le violazioni sono legate al trattamento dei dati, specialmente in ambito informatico.
Ho mostrato come bisogna fare un’informativa e cosa deve contenere, così come ho fatto vedere un registro e come si dovrebbe declinare per i Servizi di Prevenzione e Protezione. Inoltre ho spiegato come si fa una nomina e proposto un minimo di procedura grafica di gestione delle violazioni. Diciamo che l’intervento voleva essere un aiuto, mostrando un percorso ma non certo risolvendo i problemi. Ripeto; nemmeno il Garante lo chiede, ma si aspetta la definizione di un percorso, ricordando che i dati personali, rappresentando la persona, sono semplicemente affidati ad un titolare e questi, a prescindere dal contesto sanzionatorio, deve trattarli come scrigni da tutelare.
Già dagli articoli iniziali il GDPR stabilisce di fare un disegno corretto dell’azienda con rischi e trattamenti in essere e sulle modalità di tutela da adottare. Come ho accennato bisogna progettare un percorso. Questo significa che l’azienda deve capire quali sono i rischi a cui si è sottoposti. Per fare questo, l’impresa deve guardare al suo interno scegliere un dpo, ove necessario, che conosca i processi interni, oltre a creare un gruppo di lavoro interno che sia in grado di coprire tutti gli aspetti, dalla 231/2001, all’antiriciclaggio, dai sistemi di gestione alla privacy, per approcciare correttamente tutti i rischi fra cui quelli relativi ai dati personali trattati e ipotizzando soluzioni da adottare che permettano di ridurre i rischi. A mio avviso non è necessario un nuovo approccio, ma bisogna seguire come “girano” i dati personali all’interno dell’azienda e come questi dati si muovono da e verso l’esterno dell’azienda: chi lavora nel settore questo meccanismo lo ha cablato nella testa. Questo significa informare con trasparenza e essere pronti al costante miglioramento, utilizzare le critiche come spunto di crescita. Poi diventa normale procedere.
In modo inconsueto, visto che sono laureato in fisica. Dopo la laurea per 20 anni sono stato responsabile dei sistemi informativi gestionali, mi sono interessato di standard dell’ingegneria, per 5 anni, e di project management per un altro quinquennio, operando in paesi esteri mi sono interessato alle tematiche della sicurezza sia in ambito safety che security (tra l’altro ha realizzato uno dei primi progetti di DVR in ambito estero già nel 2008). Dopo 30 anni all’interno di contesti aziendali fortemente organizzati, mi sono dedicato alla consulenza dove mi sono specializzato sui sistemi di gestione: leggere il Regolamento (GDPR) e vederci un Sistema di Gestione mi è sembrato illuminante visti i tanti punti di similitudine.
Ogni problema ha una soluzione, se non la ha o non la vedo, o non la si vede lo tratto come vincolo e cerco strade alternative. La prontezza al cambiamento è essenziale. Nell’ambito della protezione dati prediligo la parte progettuale, l’analisi dei rischi e la data protection impact analysis per definire cosa non va e cosa fare per superarlo. D’altronde sono un consulente che chiamano quando c’è qualcosa di complesso a cui trovare una soluzione. Sempre nel rispetto delle regole anche legislative, ma anche nel rispetto dei vincoli, anche economici, richiesti dal Titolare. Non so gestire il problema, ma cercare la soluzione magari battendo strade alternative.
Troppo vecchio. Mi piacerebbe che la struttura della Pubblica Amministrazione comprendesse il modo di vivere delle aziende perché possa aiutarle ad affrontare e risolvere i problemi non farli diventare burocraticamente insormontabili. Perché ho sempre creduto che il cambiamento sia continuo e costante.
PrivacyinChiaro nasce dalla collaborazione di professionisti della privacy per offrire soluzioni personalizzate sul tema della gestione dei dati personali.
I suoi componenti provengono da settori produttivi diversi, sia pubblici che privati, ed hanno operato in realtà di varie dimensioni, dalle multinazionali alle piccole aziende.
Le professionalità e le esperienze diversificate dei propri partner (maturate in ambito legale, tecnologico, security, gestione del rischio, processi di business, marketing, sales, sistemi di gestione, ecc.) permettono di garantire tutte le competenze necessarie per affrontare il mondo privacy.
Per questo PrivacyinChiaro è in grado di accompagnare ogni organizzazione nell’identificare ed implementare la soluzione più idonea al proprio contesto ed alla propria esigenza.
Per info www.privacyinchiaro.it.
AiFOS - Associazione Italiana Formatori ed Operatori della Sicurezza sul Lavoro
25123 Brescia, c/o CSMT Università degli Studi di Brescia - Via Branze, 45
Tel 030.6595031 - Fax 030.6595040 | C.F. 97341160154 - P. Iva 03042120984
Privacy - Cookies Policy - Gestione segnalazioni-whistleblowing
Il sito utilizza cookie tecnici, ci preme tuttavia informarti che, dietro tuo esplicito consenso espresso attraverso cliccando sul pulsante "Accetto", potranno essere installati cookie analitici o cookie collegati a plugin di terze parti che potrebbero essere attivi sul sito.