Dark Pattern: tutto quello che (non) vedi

/in , , /da

Inutile negare che gran parte della nostra vita si svolge ormai su internet: lavoriamo e programmiamo le nostre vacanze, impariamo a cucinare e, addirittura, troviamo l’amore.

Tutto on line.

Il denominatore comune di tutte queste attività?  La comunicazione ad altri dei nostri dati personali, tema sensibilissimo e spesso ancora sottovalutato dai “non addetti ai lavori”: in molti casi ad essere importante – e particolarmente delicata – non è tanto la comunicazione in sé dei propri dati, quanto l’esigenza di assicurare che essa avvenga in maniera consapevole e responsabile.

La questione passa inevitabilmente anche attraverso l’interfaccia grafica che ogni sito web o piattaforma decide di offrire, in quanto strumento capace di indirizzare fortemente l’utente nella definizione delle proprie scelte – e, talvolta, nell’esecuzione di azioni inconsapevoli – in materia di dati personali.

L’attenzione è quindi rivolta ai dark pattern.

Definizione e compatibilità con il GDPR

Per dark pattern, letteralmente – e a buona ragione – “percorso oscuro”, si intendono tutte quelle interfacce grafiche implementate dai siti web allo scopo di spingere l’utente a compiere azioni non desiderate (e potenzialmente dannose), o a seguire delle procedure così complesse da scoraggiarlo a prestare la giusta attenzione al controllo e alla protezione effettiva dei suoi dati personali.

Una “x” poco visibile, un percorso informativo lungo e tortuoso, frasi fuorvianti: ecco che – 9 volte su 10 – finiamo per cliccare su “accetta tutto” pur di proseguire nella nostra navigazione, accedere alle informazioni che ci interessano o vedere lo status o le stories di un amico o una persona di interesse.

Il paradosso, fondato su bias cognitivi ben studiati, è che l’utente si sente perfettamente “padrone” delle proprie scelte, nonostante in realtà sia stato a tutti gli effetti vittima di una manipolazione volta a fargli prendere esattamente quella specifica, “autonoma” decisione.

Ma può essere questo un consenso validamente prestato?

La valutazione sulla compatibilità di tali pratiche col GDPR passa necessariamente attraverso un’attenta analisi dei principi dettati in materia dalla normativa.

L’art. 4, paragrafo 11 GDPR ci fornisce una definizione di consenso dell’interessato come “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.

Perché un consenso possa dirsi libero, specifico, informato e inequivocabile è chiaramente necessario che il titolare del trattamento si sia lasciato innanzitutto ispirare dai principi generali sanciti dall’art. 5 GDPR, primo fra tutti il principio di liceità, correttezza e trasparenza.

Solamente mediante una comunicazione chiara e trasparente, infatti, le informazioni relative al trattamento risulteranno accessibili e facilmente comprensibili per l’utente, così da consentirgli di prendere decisioni consapevoli in ordine alla protezione dei suoi dati personali.

Particolarmente rilevante è anche il concetto di privacy by design, consacrato nell’art. 25 GDPR, secondo il quale l’attenzione alla protezione dei dati da parte del Titolare del trattamento deve essere integrata in ogni fase del ciclo di vita della tecnologia, partendo già dalla fase di progettazione del prodotto attraverso la predisposizione di misure tecniche ed organizzative adeguate – quali ad esempio la minimizzazione dei dati – e l’integrazione nel trattamento di tutte le garanzie necessarie al fine di soddisfare i requisiti del GDPR.

Le Linee Guida EDPB

Le recenti Linee Guida emanate dallo European Data Protection Board (“EDPB”) – al momento solo in lingua inglese, e rese disponibili per consultazione pubblica sino al 2 maggio prossimo – ci forniscono una elencazione dettagliata di tutti i diversi tipi di dark pattern, raggruppati in sei macrocategorie:

  1. Overloading: gli utenti vengono sommersi da una grande quantità di informazioni, opzioni e richieste al fine di spingerli a fornire più dati personali di quelli effettivamente necessari;
  2. Skipping: l’interfaccia grafico del sito è strutturato in modo tale che l’utente non presti la giusta attenzione alla protezione dei propri dati personali;
  3. Stirring: viene fatta leva sull’emotività dell’utente per condizionarne le scelte, oppure si ricorre ai cd. visual nudges, strumenti cioè in grado di alterare i comportamenti delle persone senza proibire però la loro scelta di altre opzioni (è questo il caso della “x”: c’è, ma è difficilissima da trovare);
  4. Hindering: viene posto un ostacolo nel processo di informazione o gestione dei dati personali, attraverso azioni e procedure complicate o impossibili da portare a termine;
  5. Fickle: il design dell’interfaccia risulta poco chiaro, diventando così arduo per l’utente navigare tra i differenti strumenti di controllo dei dati;
  6. Left in the dark: l’interfaccia è strutturato in modo tale da nascondere le informazioni utili e gli strumenti di controllo o da lasciare l’utente incerto sulle concrete modalità di esercizio dei propri diritti.

Il caso Google

È proprio degli ultimi giorni la notizia per cui l’Associazione per la protezione dei consumatori (Consumer Advice Center) della Renania Settentrionale-Vestfalia ha annunciato di aver avviato una causa contro Google.

Le motivazioni riguardano l’uso da parte del colosso informatico di cookie banner strutturati in maniera tale da rendere oltremodo gravoso il rifiuto dei cookies da parte degli utenti nel corso della loro navigazione, in aperto contrasto dunque tanto con la normativa tedesca quanto con quella europea, non solo relativa al GDPR ma anche alla c.d. Direttiva ePrivacy di cui è in discussione, allo stato, un aggiornamento tramite lo strumento (come per il GDPR) del “Regolamento”.

Mentre per l’accettazione dei cookies basta un semplice click, insomma, per il rifiuto l’utente si trova costretto a dover deselezionare manualmente tre categorie di cookies, prima che Google gli consenta di procedere alle sue ricerche.

In proposito, anche l’Autorità Garante di Amburgo (Germania) ha recentemente assunto la medesima posizione, sia in riferimento al banner del motore di ricerca che a quello della piattaforma di video streaming YouTube, ponendosi nel solco di altre precedenti decisioni – e sanzioni salatissime – in materia, tra cui vanno ricordate soprattutto quelle erogate dal CNIL (Autorità francese) a inizio anno proprio contro Google oltre che verso Facebook.

Best practices: come disegnare un’interfaccia utente rispettosa della normativa

Di seguito riportiamo alcune delle raccomandazioni contenute nelle Linee Guida EDPB 3/2022 per strutturare le interfacce web (di siti e piattaforme) in maniera conforme a quanto previsto dalla normativa europea.

Per quanto riguarda la privacy policy:

  • aggiungere link ipertestuali diretti che reindirizzino gli utenti alle parti più importanti della privacy policy (la quale dovrebbe essere il più possibile chiara e sintetica);
  • consentire ad esempio mediante menù a tendina una overview della policy, in modo che gli utenti siano in grado di trovare facilmente la sezione di loro interesse;
  • fornire sempre, in caso di uso di termini tecnici o di linguaggio non comune, definizioni comprensibili;
  • in aggiunta alle informazioni obbligatorie, fare degli esempi per rendere i concetti più “tangibili” per gli utenti;
  • indicare espressamente e chiaramente l’Autorità Garante competente, aggiungendo al sito un link alla pagina ufficiale per eventuali lamentele;
  • se la privacy policy viene modificata, rendere accessibile di volta in volta la/le precedente/i versione/i.

Con riferimento invece alle meccaniche di relazione con gli utenti:

  • prevedere un sistema di iscrizione chiaro e semplice;
  • fornire un pannello utente che permetta una selezione immediata delle preferenze in materia privacy;
  • prevedere meccanismi di cancellazione dell’utente diretti e immediati, che comunichino le opzioni disponibili (sospensione, cancellazione, ecc.) e spieghino cosa avverrà dei dati in seguito.

In ultimo, come già anticipato, la parte finale delle Linee Guida EDPB (sez. IV) scende nei dettagli delle pratiche da non seguire, a pena di violare i principi di accountability, trasparenza e data protection by design che possono poi comportare, a carico del Titolare del trattamento (quindi del sito web o della piattaforma) sanzioni economiche (anche pesanti) e il blocco dei dati ottenuti in violazione della normativa applicabile.

____________________________________________________

Photo by Dan Asaki on Unsplash

Lo Smart Working: nuova normalità

/2 Commenti/in , , /da

Il prossimo 31 marzo, salvo novità dell’ultima ora, terminerà lo “stato di emergenza” in vigore sin dall’inizio dell’epidemia Covid-19 (marzo 2020), che ha consentito – tra le altre cose – di svolgere le mansioni lavorative di milioni di persone “da remoto” e/o con modalità “agili”, senza tuttavia dover sottostare ai requisiti fissati dalla legge in materia (l. n. 81/2017, QUI un link diretto a Normattiva).

Dal 1 aprile 2022, pertanto, le aziende che intendono continuare a consentire lo svolgimento del lavoro da remoto dovranno implementare una delle opzioni concesse dalla normativa speciale, e pertanto implementare in alternativa (i) il c.d. “Lavoro Agile” (o smart working) o (ii) il c.d. “telelavoro”, di cui alla risalente normativa in materia.

In mancanza di accordo individuale – firmato dal lavoratore e relativo protocollo – redatto dall’azienda – e/o di altri strumenti normativi (es. telelavoro) non sarà più consentito il lavoro da remoto.

Concentriamoci allora su quali aspetti fondamentali deve valutare l’azienda e, in seguito, quali documenti deve predisporre, anche alla luce del Protocollo stipulato dalle parti sociali in data 7 dicembre 2021 (reperibile QUI).

Gli aspetti da valutare

Un primo tema, fondamentale, è l’organizzazione aziendale: in questa nostra “nuova normalità” non si può trascurare il fatto che le persone si siano ormai abituate a lavorare (anche) da remoto, in movimento, altrove. Al contempo, le esigenze – della struttura, dei clienti, ecc. – sono di fondamentale importanza per la riuscita del progetto.

Tale valutazione ha impatti, ad esempio, riguardo alla “finestra” giornaliera di esecuzione della prestazione (es. fascia oraria 8-19, nella quale svolgere le 8 ore).

Un altro tema fondamentale riguarda la c.d. “security” tecnologica delle informazioni: è posto in capo al datore di lavoro, anche dall’ultimo Protocollo stipulato tra le parti sociali (dicembre 2021), di garantire strumenti adeguati sia alla corretta resa della prestazione, che alla riservatezza e tutela delle informazioni aziendali.

Allo stesso modo non può mancare anche una riflessione in materia privacy, riguardante i dati personali dei lavoratori, quanto al loro trattamento ed alle possibili caratteristiche dei sistemi implementati in ottica di c.d. “controllo da remoto”.

Infine, fissate tutte le linee guida generali, è assolutamente opportuno effettuare un ragionamento di “flessibilità” sia sulle variazioni a livello individuale (es. meno giornate, diminuzione su richiesta, ecc.) che di tipo “organizzativo” (es. richiamo in sede per necessità imposte dall’attività svolta e/o da uno specifico cliente).

I documenti da predisporre

I requisiti di legge prevedono, in primo luogo, la stipula di un accordo individuale tra azienda e lavoratore, che contenga le indicazioni fondamentali del nuovo assetto del rapporto di lavoro e del suo svolgimento, tra cui:

  • giornate di lavoro agile assegnate (meglio se per “unità organizzative”);
  • finestra oraria giornaliera di esecuzione della prestazione;
  • le modalità di eventuale allontamento (durante la prestazione) e interruzione o disconnessione (al termine della prestazione);
  • strumenti forniti per la prestazione (con particolare attenzione agli aspetti di security);
  • la durata e le modalità di recesso da parte di ciascun attore coinvolto.

Al di là dell’accordo, è consigliato – quasi necessario – stilare anche un regolamento interno che riporti le logiche aziendali poste alla base dell’organizzazione “smart”.

Accanto agli aspetti strettamente inerenti il lavoro agile, inoltre, la funzione RSPP è opportuno che condivida una informativa in materia di salute e sicurezza sul lavoro inerente le tematiche di operatività da casa, postazione di lavoro, infortuni in itinere ed altro.

In aggiunta, si suggerisce la predisposizione e/o revisione di un regolamento dell’uso degli strumenti aziendali e del codice disciplinare per riscontrare le novità operative introdotte dall’assetto organizzativo aggiornato.

Suggerimenti operativi

Un primo aspetto che ha impatto sulla ricezione, da parte dei dipendenti, di un progetto di smart working è la comunicazione: è importante avvisare i lavoratori che il progetto è in sviluppo, fissando incontri di approfondimento o raccogliendo informazioni tramite survey per capire – tra le tante cose – se ad esempio le persone preferiscono 3, 4 o 5 giorni di lavoro agile rispetto a quello in azienda.

Allo stesso modo, va gestita con grande attenzione la contrattazione individuale, con cui si arriva alla firma dell’accordo con il singolo lavoratore: ciascuna persona può avere esigenze o desideri diversi (tra i tanti, una abitazione personale non adeguata o, invece, delle esigenze familiari particolari) che hanno grandi impatti sulla riuscita del progetto.

Gli aspetti normativi sono infine numerosi, e derivano non solo dalla normativa strettamente in materia di smart working, ma anche – ad esempio – in ambito privacy e sicurezza sul lavoro: per questa ragione è sempre opportuno coinvolgere, sin dall’inizio, tutti i consulenti e referenti aziendali interessati dall’ambito di innovazione e variazione derivante dal lavoro agile, per rendere questa “nuova normalità” sempre più una quotidianità ordinaria e conforme alla normativa non emergenziale.

________________________________________

Photo by Kevin Bhagat on Unsplash

Adozione del modello 231 come deterrente per l’infiltrazione mafiosa occasionale

/in , /da

Dotarsi di un modello 231 è sempre più importante: il nuovo Codice Antimafia – approvato in via definitiva mediante l’emanazione del Decreto Legge per l’attuazione del Pnrr – stabilisce infatti che, in presenza di tentativi di infiltrazione mafiosa nell’impresa riconducibili a situazioni di agevolazione occasionale, il Prefetto potrà imporre l’adozione di un Modello di organizzazione, gestione e controllo di cui al D. Lgs. 231/2001, con relativa nomina dell’Organismo di Vigilanza.

La pagina informativa si trova al seguente link.

Il rilascio dell’informazione antimafia da parte del Prefetto.

Il Prefetto è il soggetto competente a rilasciare l’informazione antimafia.

In particolare egli è chiamato ad esperire l’istruttoria relativa all’impresa richiedente (ivi compresa la consultazione della Banca dati nazionale unica) e ad effettuare all’esito la sua valutazione. Qualora il Prefetto rilevi l’assenza dei presupposti per il rilascio di una informazione c.d. “liberatoria” (dunque positiva), viene ora stabilito che egli comunichi quanto rilevato all’ente interessato, assegnando al contempo un termine non superiore a venti giorni per la presentazione di eventuali osservazioni.

Valutati tali rilievi, all’esito del contraddittorio, il Prefetto potrà sciogliere la riserva in senso positivo, oppure con informazione c.d. “interdittiva” (dunque negativa), oppure ancora prescrivendo l’obbligo per l’interessato di seguire determinate misure per un periodo non inferiore a sei mesi e non superiore a dodici mesi.

Tra le misure previste, al fine di far venir meno le cause di agevolazione occasionale dell’infiltrazione mafiosa, vi è l’obbligo di seguire quanto prescritto dal D. Lgs. 231/2001.

Ne deriva, pertanto, che l’ente interessato – qualora ne sia privo – dovrà dotarsi al più presto di un Modello organizzativo, di gestione e di controllo nonché prevedere che venga nominato un Organismo di vigilanza atto a controllare che l’impianto procedurale venga seguito e attuato in concreto.

Ricadute pratico – operative sull’attività di compliance.

Uno degli strumenti di prevenzione dalle infiltrazioni mafiose richiesto dalla normativa antimafia viene dunque individuato, per l’appunto, nel Modello 231, dalla cui applicazione deriveranno benefici di organizzazione aziendale, di economicità, nonché di reputazione rispetto a terzi soggetti che hanno a che fare con l’ente.

L’adozione di un Modello di organizzazione, gestione e controllo ex D. Lgs. 231/2001 assume allora due importanti valenze: una interna ed una esterna.

Verso l’esterno, si avrà certamente ampio beneficio di immagine, spendibile nei rapporti commerciali ed istituzionali.

All’interno dell’azienda, il Modello risulterà utile ad introdurre etica e legalità nei processi aziendali: si pensi, in particolare, al Codice Etico e alla sua diffusione tra i dipendenti dell’azienda.

Inoltre, il Modello non si occuperà esclusivamente di disciplinare al meglio la protezione dai reati di cui all’art. 24 del D. Lgs. 231/2001, ma dovrà anche riferirsi alle modalità di organizzazione dell’ente volte ad evitare attività di criminalità organizzata. In particolare, occorrerà porre attenzione alle attività pratiche che comportano pagamenti ed incassi predisponendo, se del caso, un conto corrente dedicato esclusivamente a tali operazioni.

Il Modello 231 dovrà determinare – a monte e con piena trasparenza – precisi criteri di selezione di fornitori, consulenti, clienti, partners, personale, nonché i criteri di valutazione delle offerte e verificare l’attendibilità commerciale degli stessi. Nei contratti con fornitori, consulenti, partners, soci, dipendenti e altri terzi – anche esteri – dovrà essere contenuta apposita clausola che regoli le conseguenze derivanti dalla violazione delle disposizioni previste.

Altrettanto importante sarà il dovere di comunicare all’Organismo di Vigilanza dell’ente eventuali irregolarità inerenti richieste di qualsiasi tipo contrarie alla Legge o, comunque, qualsiasi elemento da cui possa desumersi il pericolo di interferenze criminali in relazione all’attività di impresa.

Infine, preciso compito dell’Organismo di Vigilanza – per tutelare prima di tutto l’ente stesso – sarà quello di svolgere verifiche periodiche al fine di prevenire la commissione dei reati di stampo mafioso, elencati anche all’art. 24-ter del D. Lgs. 231/2001, verificando che le procedure aziendali siano adeguate ed efficacemente adottate.

______________________________________

Photo by Aditya Joshi on Unsplash

Raccolta di spunti in materia Green Pass (14 ottobre 2021)

/1 Commento/in , , /da

*articolo ora aggiornato, qui*

Riassumo qui i ragionamenti svolti nelle ultime ore, e pubblicati rapidamente su LinkedIn – oltre che inviati ai poveri clienti che navigano a vista, e che ringrazio sempre per la pazienza dimostrata in queste giornate turbolente!

Riporto qui la personale linea guida seguita: buonsenso, conoscenza delle norme (almeno, per come sono scritte), e interpretazione secondo l’obiettivo che ciascuna regola mira a raggiungere. Se non serve per tale scopo, una attività è superflua e inutile.

Checklist del 14/10 (pomeriggio)

Devo aver completato (e firmato o reso comunque ufficiale!) il mio protocollo utile sia sul fronte requisiti dell’art. 9-septies DL 52/2021 che per gestire gli aspetti privacy (non pochi). Uno fra tanti, tutto il flusso di comunicazione in caso di verifiche negative (tra verificatore, direzione, HR, consulente del lavoro per le paghe, referenti di funzione che gestiranno le assenze, e altri).

Devo aver dato le istruzioni ai “verificatori” che da domani inizieranno le attività di controllo, come organizzate su carta all’interno del protocollo: mi sono anche accertato che gli sia tutto chiaro, e che i loro nomi siano inseriti in una lista che potrei dover fornire all’autorità che viene a controllarmi.

Ho messo a disposizione di tutti i verificatori la informativa privacy in merito al trattamento dei dati (possibilmente, un documento snello – si può fare su una facciata: sono poche le informazioni essenziali, dato che ad es. ai dipendenti ho già fornito una precedente informativa generale!)

Se mi voglio sentire sicuro, ho previsto un verbalino da far compilare ai verificatori con dati SOLO STATISTICI sui controlli svolti: niente dati personali (tranne il loro nome e firma..)

Ho infine nominato e istruito i miei fornitori a supporto per gli specifici trattamenti previsti (consulente del lavoro per le paghe, vigilanza, altri)

Sono a posto? Forse.

Se non l’ho già fatto, potrei mandare una mail a tutti, lavoratori consulenti e fornitori, per ricordargli che domani entra in vigore l’obbligo? Si, per trasparenza (soprattutto verso i lavoratori), ma state certi che ciascun fornitore ne avrà ricevute molte, e sarà informato di sicuro della cosa.

Le fonti sono i Decreti Legge (ancora da convertire), i DPCM come da ultimo aggiornati (e non ancora interamente pubblicati), le FAQ del Governo (non ancora fonte di legge, almeno per ora!) e le posizioni espresse dall’Autorità Garante.

Spunti di mercoledì 13/10

A poche ore dall’entrata in vigore della obbligatorietà del possesso della certificazione verde Covid-19 per l’accesso ai luoghi di lavoro, arrivano gli ultimi aggiornamenti (e qualche cantonata, a cui siamo tutti esposti in questo periodo convulso)

FAQ del Governo, in cui si legge che “il datore di lavoro deve (…) effettuare una segnalazione alla Prefettura ai fini dell’applicazione della sanzione amministrativa” in caso di verifica di un lavoratore sprovvisto del Green Pass. In che modo? E poi, sempre o solo se il lavoratore è entrato (e non se lo si respinge all’ingresso)? Non è chiaro, nè chiarito. Ma si “colora” l’art. 9-septies ultimo comma di una lettura che prima veniva considerata esclusa (quella del “soggetto incaricato dell’accertamento” individuato – inizialmente – solo nella forza pubblica).

Il Garante Privacy a approvato lo schema di DPCM di aggiornamento dell’uso di VerificaC19 e app complementari: SI ai totem e altri meccanismi automatizzati, nel rispetto del GDPR, SI alla piattaforma unica per la verifica massiva ma sempre con determinate cautele e con minimizzazione dei dati trattati. Nuovamente un chiaro NO alla conservazione dei dati estratti dalla verifica del Green Pass, per “schedature” del personale.

Confindustria ha pubblicato diverse (interessanti) note di aggiornamento e modelli, che hanno però creato una certa confusione, insieme a qualche passaggio di un articolo del Sole24ore. Chiariamoci: NO alla conservazione dei dati personali dei verificati, SOLO annotazione di eventuali situazioni di assenza del Green Pass per la finalità – esclusivamente – di gestione delle conseguenze lavoristiche e organizzative. Quindi i diversi “verbali” circolati come modelli vanno depurati delle colonne relative ai dati personali (la finalità di questi report è, in effetti, solo quella di comprovare la consistenza delle verifiche, se svolte a campione).

Nuove linee guida di Confindustria: focus sull’Organismo di Vigilanza

/in , , /da

Ecco come sono cambiate le indicazioni di Confindustria, approvate dal Ministero, dal 2014 ad oggi.

In questo articolo riportiamo:

  • i riferimenti delle nuove Linee Guida;
  • le principali novità del documento;
  • un focus sugli aspetti di rilievo per l’Organismo di Vigilanza (“OdV”).

La recente pubblicazione

L’8 giugno 2021 il Ministero delle Attività produttive ha approvato le nuove ed aggiornate “Linee Guida per la costruzione dei modelli di organizzazione, gestione e controllo ai sensi del D. Lgs 8 giugno 2001 n. 231”, redatte e presentate da Confindustria Nazionale, in adeguamento di quelle già esistenti e frequentemente utilizzate come parametro per la predisposizione di idonei Modelli.

La pagina informativa è raggiungibile a questo link, dove è possibile scaricare sia il position paper generale che quello relativo alla c.d. “Parte Speciale” del Modello di Organizzazione, Gestione e Controllo (“MOGC”), ovvero dove sono solitamente inseriti i protocolli e le procedure operative aziendali.

Le novità

Il documento, anche grazie al patrimonio di giurisprudenza e dottrina maturato dal 2014 ad oggi (con frequenti richiami nel testo), si è arricchito di novità puntuali e interessanti, che trovano origine sia in modifiche normative che in aspetti prettamente operativi.

In particolare, sono stati introdotti dei “case studies” per i nuovi reati presupposto, come aggiunti dalla data di redazione delle precedenti Linee Guida (2014) ad oggi, e una trattazione approfondita della materia del whistleblowing, che sarà peraltro oggetto di riforma a breve, vista l’emanazione della Direttiva UE n. 2019/1937 a cui farà seguito – in forza della Legge di Delegazione Europea n. 53/2021 – un Decreto Legislativo di recepimento.

Sono altresì presenti importanti chiarimenti in merito ad aspetti operativi, tra cui:

  • l’adeguamento del Codice Etico,
  • l’approfondimento delle modalità dei flussi informativi da e verso il Collegio Sindacale,
  • le modalità formative/informative del personale, e
  • il rapporto con i sistemi certificativi ISO.

Diverse sono, infine, le indicazioni “aggiornate” che riguardano l’Organismo di Vigilanza o OdV, anche a fronte della ben nota carenza di indicazioni puntuali in materia, da parte del Legislatore.

Ricadute pratiche in tema di Organismo di Vigilanza

Le Linee Guida, prima di tutto, sottolineano e meglio definiscono i requisiti di autonomia e indipendenza, di professionalità e di continuità di azione che devono caratterizzare l’OdV.

A tal fine, viene fatta notare l’opportunità di tenere rigorosamente distinti i compiti di controllore (l’OdV) e controllata (l’organizzazione aziendale), evitando sovrapposizioni rischiose in caso di componenti dell’Organismo che appartengano all’azienda, come c.d. membri interni.

In proposito, il paper sottolinea piuttosto come possibile l’opzione di investire delle funzioni di OdV il Collegio Sindacale, o – in caso di funzioni interne già esistenti – si ricorda la compatibilità (anzi, per certi versi l’opportunità) tra il richiamato ruolo di membro OdV e “Comitato Controllo e Rischi” o Internal Audit.

Le Linee Guida ricordano poi di garantire costantemente, e nel modo più efficace (pur senza duplicazioni) un razionale e costante flusso di informazioni proprio tra il Collegio Sindacale e l’OdV, in quanto entrambi accomunati – almeno in parte – da compiti di controllo e vigilanza.

Infine, giova sottolineare come le nuove indicazioni di Confindustria contengano una importante puntualizzazione sulla (insussistenza di) responsabilità penale dell’OdV, derivante dalla sua natura di organo non titolare di obblighi di controllo, quanto piuttosto di poteri di verifica, e così ben lontana dal rivestire posizione di garanzia azionabile in sede di giudizio.

_____________________________________________

Photo by Unknown for Enfold Theme

Green Pass e gestione dei dati personali

/in , , /da

Il 6 settembre scorso è stata pubblicata dal Garante la Nota oggetto di questa news, di cui riportiamo:

  • i riferimenti in tema di gestione del c.d. “Green Pass”,
  • le principali indicazioni fornite dal Garante italiano, e
  • le modalità operative di gestione delle verifiche demandate alle aziende.

Le novità di settembre 2021

Nella giornata di ieri, 6 settembre 2021, il Garante italiano ha pubblicato una Nota Istituzionale, raggiungibile a questo link, in relazione ad “alcuni quesiti” presentati all’Autorità nel corso delle ultime settimane in relazione agli aspetti pratici e operativi di quanto previsto dal D.L. 105 del 2021, che ha introdotto l’obbligatorietà di verifica del c.d. “Green Pass” (o certificazione verde a carattere sanitario).

Appare evidente l’interesse generale di tali quesiti, e soprattutto delle relative risposte dell’Autorità (che, per quanto non aventi forza di legge, restano comunque di assoluta rilevanza interpretativa): per tale ragione, è utile riportarne di seguito una sintesi.

Il contenuto della Nota pubblicata

In primo luogo, il Garante ricorda la legittimità del trattamento di dati personali (anche, eventualmente, di tipo sanitario e quindi “particolari”) qualora si resti nel perimetro fissato dalla normativa di volta in volta vigente: ad esempio, alla data di redazione della Nota, gli artt. 9 e 9-bis del D.L. 52/2021 (convertito con modificazioni dalla legge n. 87/2021) che riportato i casi in cui è prevista l’obbligatorietà di controllo del Green Pass.

Il Garante procede altresì a ricordare – prima di tutto, al Legislatore – che dovrà essere a brevissimo oggetto di ulteriore produzione normativa la regolamentazione dell’uso e verifica delle certificazioni alternative al Green Pass, per i soggetti cui è impedita la vaccinazione e/o che sono comunque esentati dal presentare la certificazione verde nei casi di controllo obbligatorio.

In generale, il Garante conclude ricordando a ogni soggetto qualificabile come “Titolare del trattamento” (e quindi a ogni esercizio e/o attività che ricade nell’onere di verificare il Green Pass) che la normativa si regge – anche in materia di sanzioni – su principi come quello di c.d. “minimizzazione“, e quindi di riduzione ove possibile e al massimo dei dati personali trattati (consultati, salvati o anche solo brevemente visualizzati): il rispetto dello spirito della normativa dovrebbe nella maggior parte dei casi porre al riparo l’esercente (come detto, “Titolare” del trattamento) dalle sanzioni pecuniarie, astrattamente molto salate, previsto dal Reg. UE 2016/679 o “GDPR”.

Le modalità operative di rispetto delle indicazioni del Garante

In primo luogo, vale quindi la pena ricordare che il controllo del Green Pass è previsto solo e soltanto nei casi previsti dalla legge: per questa ragione, sarà necessario confrontare sempre l’evento o la situazione in cui ci si trova con l’elencazione sopra individuata, per poter stabilire se è (o meno) lecito procedere alla verifica.

Inoltre, la verifica dovrà necessariamente essere effettuata tramite l’app ufficiale “VerificaC19”, e non a mezzo di altre applicazioni – pure presenti sugli store iOS e Android – che permettono invece di “salvare” i Green Pass scansionati: tali diverse applicazioni – ferma la loro discutibile liceità – dovranno esclusivamente essere usate qualora un privato ritenga di voler memorizzare il proprio QR Code e/o quello di familiari, per praticità e solo per uso personalissimo.

Infine, sono importantissime le istruzioni fornite ai dipendenti e/o incaricati della verifica: opportuno che esse siano scritte, semplici e possibilmente soggette a dimostrazione della loro chiara sottoposizione all’operatore incaricato.

_____________________________________

Photo by sentidos humanos on Unsplash