Via al GDPR

Via al GDPR

Il regolamento europeo introduce nuovi principi e modalità di tutela della privacy. Per i provider che operano nel mercato welfare è stata un’occasione per rivedere e approfondire le procedure ma  non una rivoluzione. Anche se non mancano le criticità.

 

Il 25 maggio è entrato in vigore anche in Italia il nuovo Regolamento Europeo in materia di Protezione dei dati personali (GDPR, General Data Protection Regulation) che introduce cambiamenti e nuovi principi sulla tutela della privacy.
Come indicato dalla stessa Commissione Ue, il GDPR, nasce da precise esigenze di “certezza giuridica, armonizzazione e maggiore semplicità” delle norme riguardanti il trasferimento di dati personali dall’Ue verso altre parti del mondo. Ma allo stesso tempo affronta e tenta di dare una risposta, oramai necessaria e urgente, alle sfide poste dagli sviluppi tecnologici.
In estrema sintesi in nuovo Regolamento, fissa regole più chiare su informativa e consenso; definisce i limiti al trattamento automatizzato dei dati personali; stabilisce criteri più rigorosi per il trasferimento degli stessi dati al di fuori dell’Unione europea; fissa norme rigorose per i casi di violazione dei dati (i temutissimi “data breach”) e pone le basi per l’esercizio di nuovi diritti.

 

Per le società che si sono mosse per tempo cambia poco o nulla

 

Le nuove norme, si applicano immediatamente anche alle imprese situate fuori dall’ Unione europea che offrono servizi o prodotti all’interno del mercato Ue e quindi tutte le aziende, ovunque stabilite, dovranno rispettarle e avranno più responsabilità. E in caso di inosservanza delle regole si rischiano pesanti sanzioni.
Ma la sensazione è che, in vista dell’applicazione delle nuove regole, le imprese che già si erano adeguate al Codice Privacy, alle linee guida e ai vari provvedimenti emanati dal Garante nel corso degli anni e che quindi avevano già assunto una condotta “responsabile” rispetto al trattamento dei dati dati, non dovranno cambiare poi così tanto le loro policy. Basterà verificare che le azioni intraprese a suo tempo su informative, richieste di consensi, policy, misure di sicurezza, portabilità dei dati, permessi sui dati, misure di verifica, monitoraggio, ecc., siano conformi a quanto oggi richiesto dal Regolamento.
È il caso di DAY (gruppo UP), come spiega Paolo Gardenghi, Responsabile dell’Area Welfare Aziendale della società di cui è anche referente per la certificazione SA8000 e per la responsabilità sociale d’impresa (CSR): «In Italia siamo partiti da tempo e siamo nel Gruppo quelli più avanti, abbiamo già messo in sicurezza tutto, ma non è che ci fosse molto da fare rispetto a quanto avessimo già fatto. Sulla sicurezza e sulla valutazione e mitigazione dei rischi informatici, infatti, abbiamo già lavorato molto in passato, partendo proprio dagli aspetti “fisici”, logici, di software di sicurezza informatica (firewall, protezioni di virus e intrusioni)».  Un’operazione facilitata dal fatto, «che già da un anno a mezzo avevamo fatto la scelta di passare sul cloud, per cui adesso tutti i nostri server sono in Wind, il che ci dà delle garanzie, dal punto di vista fisico e strutturale, molto più importanti».
Non segnala particolari difficoltà di adeguamento alla nuova normativa anche Davide Bertolasi, direttore marketing di Easy Welfare, che conferma la messa in opera da parte della sua società degli adempimenti relativi all’adeguamento al Nuovo Regolamento GDPR. Un’operazione che ha richiesto, tra le altre cose, «l’aggiornamento e la conseguente accettazione delle informative privacy da parte di tutti gli utenti effettuata tramite il portale». Pure quest’ultimo è stato  adeguato e ora «su ogni pagina in corrispondenza del footer è riportata la privacy policy accettata e a disposizione per la visione da parte degli interessati in qualsiasi momento», spiega Bertolasi.  Inoltre, tutte «le piattaforme e i sistemi di interfaccia (siti istituzionali, siti welfare ecc), sono stati resi compliance alla normativa GDPR». Quindi, per quanto riguarda la privacy, i dati degli utenti sono considerati «strettamente riservati», ai sensi del Regolamento UE 679/2016 e di conseguenza il loro trattamento avviene secondo i principi della normativa europea.

Aumentata l’attenzione sui dati sensibili

 

Per quanto riguarda la gestione della privacy, quindi, per chi aveva già raggiunto una piena compliance, la situazione non cambia molto: «Per quello che riguarda il trattamento dei dati e la privacy, rimangono valide le regole fissate per regolare i rapporti tra datore di lavoro e lavoratori, per cui continuiamo su questa linea», continua Gardenghi, che ammette: «c’è però molta più attenzione per i dati sensibili, in particolare trattandosi di welfare, su quelli sanitari. In questo caso Day ha fatto la scelta di affidarsi a Casse esterne, che cambiano in base alla scelta del cliente». In questo modo «noi non vediamo e non gestiamo i dati sensibili». E quindi «l’unica incombenza importante che ci è derivata dall’entrata in vigore del GDPR è che abbiamo dovuto formalizzare molto severamente la gestione delle interfacce. Questo è stato l’elemento più critico a livello sistemico: la questione è che non siamo i soli a trattare queste informazioni, ma ci sono più soggetti che intervengono sullo stesso dato: il datore di lavoro, noi che facciamo da intermediari, ma anche chi eroga il servizio fino ai partner come i laboratori e gli ambulatori scelti dal lavoratore. E la mansione più complessa è stata proprio garantire la riservatezza del dato su tutta la catena, considerato che alcuni passaggi sono due o tre livelli “a valle” del nostro. Tanto che su tutti i dati sanitari non abbiamo “ritorno”: sappiamo che un lavoratore ha fatto una richiesta di rimborso, per esempio, ma non sappiamo per quale tipo di prestazione o in base a quale tipologia di polizza. Né tantomeno, lo sa il datore di lavoro».

 

Restano alcune criticità

 

Dunque, l’entrata in vigore del GDPR è stata «un’occasione per rivedere e approfondire le procedure, riscrivere il manuale», ma di certo non una rivoluzione per i provider in ambito welfare. Certo, alcune criticità restano.  Per esempio Gardenghi racconta che in Day «avevano preso il via alcuni progetti di smart-working, di lavoro a domicilio, che abbiamo dovuto interrompere perché le procedure in fatto di privacy sono così severe che non permettono ai dipendenti di intervenire sui dati dal loro computer da casa».
Fatto, quest’ultimo, che ha portato un ulteriore «appesantimento» di lavoro. Gardenghi elenca: «Abbiamo dovuto rivedere tutti i contratti e modificare tutte le interfacce e la condivisione dei dati tra più soggetti. Una condizione che ci limita soprattutto nei rapporti con le imprese più piccole e meno strutturate. E il limite più grande lo abbiamo sul fronte commerciale e sulla parte marketing, dove tutte le iniziative devono essere ripensate. Anche qui però abbiamo fatto la scelta di appoggiarci a società esterne in grado di garantirci che le comunicazioni siano fatte nei termini di legge, gli indirizzi siano verificati, ecc., con la conseguente lievitazione dei costi, anche se certo con maggiore garanzie di professionalità e riservatezza».
Sull’elenco delle problematiche interviene anche Bertolasi di Easy Welfare che aggiunge.  «Nella gestione operativa della piattaforma va sottolineata la resilienza a possibili fault di sistema», anche grazie ad «azioni quali: la cifratura data at-rest (ogni singolo dato anagrafico è diviso a livello logico e crittografato a destinazione); e al fatto che l’utente può richiedere la cancellazione del proprio profilo dalla piattaforma e ottenere tutte le informazioni in formato standard riguardanti il suo utilizzo della piattaforma».

 

Rapporti con gli utenti più complessi

 

C’è poi un altro fronte di criticità, quello dei “rapporti umani”:  «La comunicazione diretta con l’utente che utilizza le nostre piattaforme viene a mancare. Quest’ultima, infatti, è in fase di ripensamento e non solo per quanto riguarda la privacy. Per migliorare il servizio abbiamo infatti la necessità di poter contattare direttamente l’utente, ma spesso l’azienda cliente non lo desidera», afferma Gardenghi. «Un esempio banale: se rifiuto una richiesta di rimborso a un lavoratore, vorrei contattarlo per spiegargli bene il perché non è possibile procedere in questa direzione, ma non posso farlo. Per un’azienda che si occupa del benessere delle persone, non poter parlare di persona con gli utenti, anche solo per valutare il grado di soddisfazione, è un grosso limite. Soprattutto per una società come la nostra che vorrebbe essere sempre vicina al cliente», chiosa il manager di Day.

 

 

About the Author /

03@mediainteractive.it