Anno 2018, l’argomento del giorno è la digitalizzazione degli studi, la riorganizzazione del lavoro in ottica smart, il welfare aziendale ed il coworking, la fatturazione elettronica, la firma digitale qualificata, il regolamento del Garante europeo sulla privacy.
Costantemente ogni professionista deve affrontare miriadi di adempimenti, ben conscio che dietro ad ogni angolo si insinua l’errore e la conseguente famigerata sanzione.
Ed in questa grande rivoluzione organizzativa, il 25 maggio scorso tutti abbiamo visto, impotenti, sorgere l’era del GDPR 679/2016.
Per i più disattenti ricordiamo che si tratta di un regolamento europeo, applicabile a tutti gli stati membri, che cambia radicalmente l’approccio all’argomento privacy, spostando il fulcro della materia dal formalismo al sostanzialismo, dai rischi per l’azienda, ai rischi per l’interessato persona fisica.
Parole inglesi come accountability, privacy by design e by default, data breach o parole come diritto all’oblio, sono diventate improvvisamente di uso comune sia per gli addetti ai lavori ma anche per chiunque abbia a che fare con dei dati personali.
Quello che abbiamo subito imparato è che con il termine PRIVACY si intende “il diritto di ogni persona alla riservatezza dei dati che lo identificano, comprendendovi il diritto a controllare che le proprie informazioni vengano trattate o controllate da altri solo in caso di specifica necessità.”
Parole che, se lette con molta attenzione, racchiudono in sé la grande sfida moderna, la sfida del singolo essere umano nei confronti della tecnologia sfuggita di mano e con essa delle informazioni che, nell’era della globalizzazione, si propagano in un millesimo di secondo, senza poterle realmente domare e conseguentemente controllare.
L’introduzione a questo articolo è stata, volutamente, un po’ fumosa, vuoi per creare un minimo di suspense in merito ad un argomento particolarmente serio, vuoi per far capire che la gravità di quanto stiamo denunciando ha radici profonde.
A partire dal 12 marzo 2016, ai sensi dell’art. 26, D.lgs. 14 settembre 2015, n. 151, chiunque voglia rassegnare le proprie dimissioni, pena l’inefficacia delle stesse, deve procedere esclusivamente con modalità telematiche, tramite il portale Cliclavoro del Ministero del Lavoro e delle Politiche Sociali.
Tale comunicazione può essere effettuata direttamente dal cittadino, utilizzando il proprio pin, o tramite soggetti terzi espressamente autorizzati (consulenti del lavoro, patronati, organizzazioni sindacali, enti bilaterali, commissioni di certificazione, sedi territoriali dell’INL).
Tali soggetti procedono sempre in due fasi, la prima richiede l’identificazione univoca del lavoratore che vuole dimettersi, pertanto una raccolta documentale specifica: comunicazione scritta della volontà di dimettersi, copia della carta d’identità, mandato ad adempiere per il soggetto terzo autorizzato ed impegno alla trasmissione di quest’ultimo, nonché informativa sul trattamento dei dati del dimissionario; il tutto va conservato, secondo il regolamento GDPR, mantenendo la massima riservatezza e sotto la responsabilità totale del Titolare del trattamento (il soggetto inviante).
Attenzione a come viene conservata la documentazione del lavoratore dimissionario, in quanto l’eventuale violazione di sicurezza che comporta accidentalmente od in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati, comporta (art. 4, GDPR) un data breach.
La seconda fase, di tipo più tecnico, richiede l’accesso al portale Cliclavoro: una volta accreditatosi con le proprie credenziali e pin, l’operatore potrà inserire il codice fiscale dell’azienda, quello del lavoratore e procedere a compilare il modulo delle dimissioni.
Quindi, quello che sappiamo è che se il professionista o comunque il terzo autorizzato, subisce un data breach, nello specifico una distribuzione non autorizzata o impropria dei dati personali degli interessati verso terze parti, deve darne entro sole 72 ore notifica (autodenuncia) al Garante per la Privacy (art. 33, GDPR).
Non solo, lo sfortunato professionista od operatore, di fronte ad un data breach, dovrà subire le sanzioni amministrative fino a 10 milioni di euro o 2% del fatturato, eventuali sanzioni penali e, ciliegina sulla torta, gravissimi danni reputazionali.
Durante la seconda fase, accedendo all’indirizzo http://www.lavoro.gov.it/strumenti-e-servizi/Dimissioni-volontarie/Pagine/default.aspx, si legge espressamente che “La consultazione dei modelli telematici delle dimissioni volontarie/risoluzione consensuale e della loro revoca, è permessa, in sola lettura, ai datori di lavoro della propria azienda e alle sedi territoriali competenti dell’Ispettorato Nazionale del Lavoro”.
Ed ecco che entriamo nel vivo del fattaccio. Considerato fino ad adesso come deve comportarsi il singolo professionista/operatore privato, ed i rischi e le responsabilità che gravano su di lui, cosa si dovrebbe dire e fare quando a divulgare bellamente le informazioni è proprio il Ministero del Lavoro e delle Politiche Sociali?
Avete capito bene, cari lettori che siete giunti fino a qui, provate ora a collegarvi al sito www.cliclavoro.gov.it, inserite le vostre credenziali e nel campo Codice Fiscale inserite 00997670583.
Ve lo diciamo subito, abbiamo preso a caso il C.F. della Banca d’Italia, ma potete farlo con quello dell’Inps (80078750587), del Comune di Roma (02438750586), dello stesso Ministero del Lavoro (80237250586), o di qualsiasi azienda privata d’Italia, compreso anche il nostro Studio.
Ebbene sì, ogni operatore può conoscere l’elenco di tutti i lavoratori dimissionari di qualsiasi azienda, vederne i dati personali, le motivazioni (ad esempio giusta causa), chi ha effettuato la procedura on line e, ultimo ma non ultimo, può procedere alla loro revoca.
Piccola chiosa: conosciamo bene il nome Sogei, quello che identifica la società che da sempre predispone e gestisce i software dell’Agenzia delle Entrate; se andate a visitare il loro sito www.sogei.it vi accorgerete che in alto a sinistra non compare il lucchetto verde. Cosa significa? Che si tratta di un sito non sicuro, cioè le pagine che si stanno visitando includono una procedura di login, richiedono l’inserimento di informazioni personali o numeri di carte di credito senza usare alcun protocollo crittografico. A buon intenditor…
Il data breach, messoci incomprensibilmente a disposizione dal Ministero del Lavoro, ci è stato segnalato da un collega che conosce la nostra malignità.
Dopo esserci divertiti a verificare l’effettiva possibilità di violare dati e archivi a cui non dovremmo poter accedere, siete invitati anche tutti voi a provare a fare lo stesso, raccomandandoci però di non modificare o revocare alcunché, guardare e non toccare insomma.
Riteniamo però doveroso prendere in considerazione di segnalare il caso al Garante per la Privacy, non solo in osservanza ai dettami dell’art. 33 del GDPR, quanto piuttosto perché giudichiamo inaccettabile che il controllore violi i principi elementari di sicurezza, violi cioè quelle regole che poi impone e per i quali sanziona pesantemente i controllati (studi professionali e operatori del settore nello specifico).
Per rendere ancora più palese l’assurdità di cui stiamo trattando, evidenziamo con un esempio la gravità del data breach di Cliclavoro: in termini di paragone è come se io dovessi fare un bonifico e, digitando semplicemente l’Iban del fornitore, potessi entrare nel suo estratto conto e visionare tutte le operazioni bancarie da lui effettuate, ma anche modificare e revocare i bonifici che gli sono entrati e farne di nuovi.
E se io subissi il furto delle mie password di Cliclavoro? È vero, dovrei rispondere della mancata sicurezza perché non le ho tutelate a sufficienza, ma poi?
Se chi ne entra in possesso dovesse divertirsi a giocare con Cliclavoro e prendere a caso gli archivi della Banca d’Italia, dell’Inps, della Plasmon, della Nestlè o di chi gli passa per la mente, e volesse sbizzarrirsi ad effettuare dimissioni di nomi famosi e a revocare tutte le vecchie, chi ne risponde?
La mia responsabilità dovrebbe essere limitata agli effetti relativi alla mia incuria, non ai successivi data breach resi possibili, seppure attraverso le password sottrattemi, da disattenzione di terzi, nel caso particolare quella del Ministero del Lavoro e delle Politiche Sociali.
Un caso simile era già successo a settembre del 2017 con lo spesometro.
Ogni professionista che doveva trasmettere i dati semestrali all’Agenzia delle Entrate, una volta inserite le proprie credenziali Entratel, si accorse che, digitando il codice fiscale di un contribuente, poteva accedere a tutti i dati del suo spesometro e alle sue liquidazioni IVA, perché l’ambiente “Fatture-Corrispettivi” era libero e consultabile a tutti.
La barzelletta però non finiva qui, se il codice fiscale che si andava ad inserire apparteneva ad un intermediario, era possibile visionare anche i dati della sua clientela.
Ricevuta la segnalazione, i vertici dell’Agenzia delle Entrate dovettero fare una relazione al Garante della Privacy e fare intervenire di corsa Sogei – partner “tecnologico” (le virgolette sono un obbligo stante la comicità della situazione) del Fisco – che, con un intervento di manutenzione straordinario, provvide a bloccare l’accesso al servizio e a mettere in sicurezza i dati.
Chi ha pagato per questo? In un paese normale sarebbero dovute saltare diverse teste; in un’azienda privata, neanche a dirlo, il responsabile sarebbe stato messo alla porta immediatamente con provvedimento disciplinare per giusta causa.
Nel sonno e buonismo che pervadono invece il nostro Stato, e parastato, tuttavia, non ci risulta che abbia pagato nessuno.
Spostiamoci ora su un altro piano e cerchiamo di alzare il nostro livello di perfidia, che dovrebbe essere sinonimo di giustizia, dal momento che nei tribunali ci fanno leggere che “La legge è uguale per tutti”, mentre non c’è nulla di più disatteso e calpestato di questo antico brocardo.
A dirla tutta, questa scritta è generalmente posta alle spalle del giudice, situata in alto dietro di lui o in basso, impressa sul bancone della Corte, facendo sì che la leggano (e ricordino) più il pubblico e gli imputati che non il giudice al quale dovrebbe invece essere rammentata ogni volta che sta per emettere una sentenza.
Se vogliamo, infatti, applicare il principio di giustizia che “la legge è uguale per tutti” dovrebbe essere prerogativa e impegno di ogni giudice, soprattutto nel momento applicativo della legge stessa, quindi perché metterla alle loro spalle?
Gli effetti sono quelli che talvolta subiamo e che, se vogliamo difendere anche l’articolo 3 della Costituzione e la dignità dei professionisti in questo caso specifico, dobbiamo denunciare e contrastare con forza e con un’azione comune questo ennesimo scivolone informatico dell’apparato statale.
Perché non chiedere, ad esempio, che il Ministero, resosi colpevole di non avere vigilato sufficientemente sulla privacy e violabilità dei dati personali in suo possesso, venga multato – come per tutte le aziende e professionisti soggetti al GDPR, dal momento che ci hanno obbligati a studiare tutta la normativa e ad adeguarci ad essa, al limite del terrorismo psicologico – con la sanzione massima di 10 milioni di euro.
Magari i soldi della sanzione poi vengono destinati a costituire un fondo da cui attingere per pagare le successive e future pene pecuniarie che dovranno subire gli studi professionali per il mancato rispetto di banali violazioni della privacy, scritte e pensate da persone che ci hanno imposto regole assurde e complicate all’inverosimile, quand’anche inapplicabili nella realtà perchè, invero, non hanno mai fatto gli imprenditori e non sanno conservare in sicurezza neanche il proprio 730?
Perché non salta la testa del responsabile di questo data breach ministeriale come avverrebbe in qualunque altro contesto?
Perché dobbiamo subire le inefficienze di una classe dirigenziale della pubblica amministrazione che pontifica sulla generalità dei cittadini, ma le cui responsabilità e incapacità manageriali trovano sempre copertura, comprensione, accondiscendenza e mostrano una disparità di trattamento inaccettabile rispetto alla generalità dei cittadini comuni?
Da ultimo, tante sono le domande che ci poniamo: chi sono gli informatici che rendono possibili le violazioni delle più elementari verifiche di sicurezza dei dati sensibili nelle mani dello Stato?
Ci facciamo del male da soli con dei tecnici a disposizione del Ministero e di Cliclavoro, o abbiamo concesso l’ennesimo appalto a società inadeguate che hanno personale e conoscenze non all’altezza dell’importante e delicato compito che devono gestire e garantire?
Come sono stati scelti e selezionati questi informatici? Quale è stato il criterio di valutazione? Quali garanzie hanno dato al Ministero del Lavoro e delle Politiche Sociali prima di essere messi a lavorare sul sistema delle dimissioni online?
Quali test sono stati fatti prima di mettere online il portale di Cliclavoro? Che certificazione è stata rilasciata? Quali esperienze pregresse avevano queste società? Vogliamo leggere i curricula di coloro ai quali è stata affidata la gestione informatica del sistema!
Ci piovono continuamente dall’alto adempimenti di dubbia utilità che impegnano le nostre vite e il nostro tempo per studiare norme mutevoli e contraddittorie, per lo più scritte anche male, che ci obbligano a lavorare sempre di più e sempre gratis per la pubblica amministrazione, che non solo non ci riconosce nulla ma ci vessa con sanzioni che essa stessa dovrebbe essere la prima a pagare, essendo palesemente colpevole della loro violazione.
Riteniamo che dare seguito a questa denuncia – con una azione comune di autotutela della nostra dignità professionale, chiedendo che vengano accertate le responsabilità in tempi rapidi del data breach di Cliclavoro -, sia un dovere di ogni professionista e, in qualità di intermediari autorizzati, ci offriamo volontari per aiutare il responsabile a rassegnare le dimissioni dal proprio incarico.
Gli studi di tutti i Consulenti del Lavoro restano a disposizione.