Senza filtro – Le novità 2022 e la solita burocrazia Inps. METTI LA CERA, TOGLI LA CERA

di Alberto Borella – Consulente del lavoro in Chiavenna (So)

 

L’inizio 2022 ha portato molte novità in ambito lavoristico. E pure belle toste. La riforma dell’Irpef, quella degli ammortizzatori sociali oltre l’assegno unico universale, solo per citarne alcune.

Nessuna novità invece sul fronte legislativo dove, ancora una volta, ci tocca registrare la cronica incapacità di predisporre norme chiare ma soprattutto immediatamente applicabili, non solo sulla carta ma nella vita reale e del mondo del lavoro.

Nessuna novità anche riguardo ai nostri Enti che ancora una volta danno conferma che riuscire a dare istruzioni tecniche e operative, magari in un’unica circolare, in tempi idonei alle intenzioni del Legislatore è ormai una lontana chimera.

Certo, bisognerebbe operare dei distinguo ovvero capire quando è il primo a sovrastimare la capacità del secondo a rendere immediatamente operative le novità e quando invece è il secondo ad indugiare troppo senza capire il caos burocratico che comporta il minimo ritardo nel dare attuazione ai nuovi precetti. Ma vediamo di capire di cosa stiamo parlando analizzando alcune novità 2022.

 

LA RIFORMA DEGLI AMMORTIZZATORI SOCIALI: I NUOVI DESTINATARI DEL FIS

Dal 1° gennaio 2022 si è previsto l’allargamento della platea dei datori di lavoro che possono utilizzare gli strumenti del fondo di integrazione salariale (Fis). In sostanza non è più previsto alcun requisito dimensionale, il che comporta che anche le imprese con un solo dipendente accedono oggi all’ammortizzatore. La diretta conseguenza è che anche questi nuovi soggetti sono obbligati alla contribuzione prevista per il finanziamento di questi strumenti. Nello specifico è previsto che il Fis sia finanziato da un contributo ordinario, differenziato per le aziende che nel semestre precedente abbiano occupato mediamente fino a cinque dipendenti (lo 0,50% della retribuzione imponibile) o oltre i cinque dipendenti (lo 0,80%) e ripartito tra datori di lavoro e lavoratori nella misura, rispettivamente, di due terzi e di un terzo.

Su tali aspetti l’Inps ha diramato dapprima la circolare n. 18/2022 e poi i messaggi n. 637/2022 e n. 1403/2022, rimandando ad una ulteriore circolare le istruzioni per il corretto assolvimento degli obblighi informativi e contributivi. Arriveremo quindi a quattro “circolari” (sperando bastino) per un argomento che non pare poi nemmeno così complicato. Che bisogna pensare, che all’Inps c’è qualche premio di produttività ancorato al numero di circolari, messaggi, Faq e comunicati stampa pubblicati ogni anno? Il dubbio comincia ad insinuarsi. Vabbè, resta il fatto che, in attesa di conoscere le necessarie indicazioni operative, l’Istituto – bontà sua – consente ai datori di lavoro interessati di continuare ad attenersi, per i periodi di paga dal 1° gennaio 2022, alle disposizioni amministrative in uso al 31 dicembre 2021. Ma non fatevi troppe illusioni, non ci faranno alcuno sconto: le differenze contributive afferenti ai suddetti periodi di paga saranno pagate. Bisogna solo attendere la preannunciata quarta circolare.

Ora, è chiaro che siamo assuefatti a gestire i soliti arretrati e annessi conguagli. Qui pero’ il problema è diverso in quanto le predette differenze retributive potrebbero riguardare lavoratori licenziati o dimissionari nei primi tre mesi dell’anno.

La questione che si pone pertanto è come fare a recuperare la quota di un terzo del contributo a carico di un lavoratore che risulterà esser già licenziato. Inevitabilmente andrà elaborato un cedolino paga ad hoc, riaprendo la posizione del lavoratore, il che ha delle conseguenze di non poco conto. In primis, non essendoci ulteriori competenze da erogare al lavoratore, il cedolino paga risulterà negativo. Ve li immaginate i datori di lavoro correr dietro ai lavoratori non più in forza per farsi dare indietro quattro lire? E provate ad immaginare di dover far tutto questo nei confronti di lavoratori stagionali, magari extracomunitari, o di persone che nel frattempo risultassero decedute. Senza considerare che il contributo previdenziale da trattenere andrà ad abbassare l’imponibile fiscale del lavoratore. E questo comporta che, oltre alla elaborazione di un prospetto paga, andrà pure rifatto il conguaglio fiscale e redatta una nuova CU per quei lavoratori che nel frattempo ne avessero richiesto il rilascio per fruire del conguaglio previsto dal comma 4 dell’art. 23 del DPR n. 600/73.

E ovviamente anche il nuovo datore di lavoro dovrà reinserire nei propri archivi una nuova CU rivista e corretta. E non vorrei pensare a quelli che nel frattempo hanno avuto un terzo datore di lavoro.

“Fai il cedolino paga, rifai il cedolino … fai il conguaglio fiscale, rifai il conguaglio …” Credo che oggi nemmeno il maestro di karate Miyagi riuscirebbe a convincere un Consulente del lavoro in kimono che tutto questo ha un suo scopo.

E se qualcuno pensasse che la soluzione al problema possa essere la rinuncia dell’azienda al recupero presso il dipendente del credito pur di fronte ad un cedolino paga negativo se non addirittura la rinuncia ad elaborare un nuovo cedolino paga facendo versare al datore di lavoro anche la quota del lavoratore, non creda che la cosa sia tecnicamente e contabilmente così semplice.

L’ESONERO CONTRIBUTIVO DELLO 0,80% A FAVORE DEI LAVORATORI

Un problema analogo nasce dalla previsione dell’art. 1, comma 121, della Legge di Bilancio 2022 che prevede per i periodi di paga dal 1° gennaio 2022 al 31 dicembre 2022 un esonero sulla quota dei contributi previdenziali per l’invalidità, la vecchiaia e i superstiti a carico del lavoratore di 0,8 punti percentuali a condizione che la retribuzione imponibile, parametrata su base mensile per 13 mensilità, non ecceda l’importo mensile di 2.692 euro, maggiorato, nel mese di dicembre, del rateo di tredicesima.

Considerato il ritardo nell’emanazione della circolare n. 43 del 22 marzo 2022 l’Inps ci consente – sempre magnanimamente – di eseguire i conguagli per quanto dovuto dal mese di gennaio 2022 esclusivamente nei flussi Uniemens di competenza di marzo, aprile e maggio 2022. E si preoccupa invero anche dei datori di lavoro interessati all’esonero contributivo della contribuzione a carico del lavoratore, che hanno sospeso o cessato l’attività e vogliono fruire dell’esonero in trattazione, i quali dovranno avvalersi della procedura delle regolarizzazioni (Uniemens/vig).

Si dimentica però  – esattamente come accaduto per la quota di un terzo del contributo FIS – dei lavoratori che nel frattempo hanno già cessato il loro rapporto di lavoro, per i quali, e ve lo diciamo noi, si dovrà elaboratore un nuovo cedolino paga, inviare un Uniemens, pagare un F24, rifare il conguaglio fiscale e magari, per chi nel frattempo avesse anticipato la CU su richiesta del lavoratore, elaborarne e consegnarne una nuova. Qui l’unica fortuna è che il cedolino paga risulterà positivo in quanto si deve riconoscere un beneficio economico al lavoratore ovvero la differenza a credito dello stesso su quanto pagato in eccedenza. Certo, bisogna sperare che il lavoratore, nel frattempo, non sia deceduto perché ci sarebbe pure il problema di gestire il pagamento nei confronti di un tot di eredi. Problemi dunque? Ma no, che volete che sia. Basterà fare un bonifico, tanto a predisporlo ci si mette un nanosecondo e, per le spese dell’operazione, le banche ci faranno lo sconto. E poi per questi adempimenti, tutte queste rielaborazioni, noi Consulenti del lavoro mica li facciamo pagare ai clienti! Va tutto nel forfait, in tél buient n come si dice dalle mie parti.

Del resto, la superficialità con cui si trattano queste problematiche a certi livelli viene confermata dall’ennesima perla a firma Inps. Nella citata circolare n. 43/2022 l’Istituto – dopo aver giustamente riconosciuto che l’agevolazione rappresenta una riduzione contributiva per il lavoratore e che per questo non comporta benefici in capo al datore di lavoro – si contraddice sostenendo che

I datori di lavoro interessati all’esonero contributivo della contribuzione a carico del lavoratore, che hanno sospeso o cessato l’attività e vogliono fruire dell’esonero in trattazione, dovranno avvalersi della procedura delle regolarizzazioni (Uniemens/vig).

Abbiamo capito bene? Secondo l’Inps sarebbero i datori di lavoro a decidere se volere o non volere “ fruire” dell’esonero in questione?

Ora, sia ben chiaro che:

  • i datori non fruiscono di alcun esonero!
  • i datori riconoscono solo l’esonero, che spetta ai propri dipendenti!!
  • i datori sono obbligati a fare tutto questo verso gli ex-lavoratori!!!

LA RIFORMA DEGLI AMMORTIZZATORI SOCIALI: LE DOMANDE DI INTERVENTO FIS

E non crediate che sia finita qui.

Sarà capitato di certo pure a voi in questi primi mesi del 2022 di presentare una richiesta di assegno di integrazione salariale al Fondo di solidarietà. Immagino che la vostra pratica sia rimasta lì in sospeso, tecnicamente in istruttoria ma senza che la sede competente avanzasse alcuna richiesta di integrazione documentale. Una situazione a dir poco anomala dato che fin dal messaggio Inps n. 1856 del 3 maggio 2017 la costante indicazione

dell’Istituto è che L’istruttoria deve essere improntata a criteri di celerità e speditezza che consentano di definire l’istanza in tempi rapidi. Bene, se anche voi vi siete chiesti il perché di tutto ciò  e ancora non avete avuto una risposta, provo a darvela io. Problemi tecnici: questa la risposta dei responsabili di sede che confessano peraltro che, mentre le domande di Cigo sono state regolarmente lavorate, le istanze di Fis sono state sbloccate solo mercoledì 30 marzo 2022 e, quindi, solo da tale data risultano in stato di “in lavorazione”. Ora non si è capito bene a cosa ciò  sia dovuto ma è facilmente intuibile che la registrata impasse sia collegata alla recente riforma degli ammortizzatori sociali e al previsto ampliamento dei soggetti beneficiari. Oddio, a dire il vero, per quanto riguarda le mie istanze, queste interessavano un’azienda che, occupando più di 5 dipendenti, era già soggetta al Fis ma questo per l’Istituto è un dettaglio: per non far torto a nessuno le domande son state bloccate tutte. Nessun “favoritismo”. Non interessa se l’azienda ha anticipato il trattamento economico ai lavoratori. E che importa se aspetterà qualche mese prima di portare a conguaglio le somme in questione scontandole dalla contribuzione da versare alle scadenze previste. E qui la domanda sorge spontanea: ma possibile che il Legislatore, prima di emanare una norma di cui ne intende disporre l’immediata operatività, non si preoccupi di confrontarsi con gli Enti preposti per essere certo che siano in grado di gestire gli adempimenti in tempo reale senza creare disagi a lavoratori, alle aziende e ai loro consulenti? Evidentemente no. Si fan le norme ma per la loro attuazione si può  aspettare. Del resto, si sa, anche qualora venga previsto un termine per l’emanazione di qualche decreto attuativo i termini per la PA son sempre ordinatori. Quelli perentori, di decadenza valgono ovviamente solo per le aziende.

E FACCIAMOLA UNA PROTESTA

A fronte di questa ennesima mancanza di rispetto verso la Professione forse la risposta più adeguata sarebbe di dire:

E basta. Caro Inps, adesso basta.

 

Preleva l’articolo completo in pdf

“Storie di italica burocrazia” – Tito Boeri ha dato le dimissioni? Lo verifichiamo subito (Storie di ordinaria follia burocratica pubblica)

Un nuovo spazio a disposizione! Abbiamo deciso di accogliere le segnalazioni di inefficienza burocratica ed amministrativa che generano costi e fastidi per i cittadini e le imprese. Gli Autori che ci invieranno i loro contributi garantiscono l’adeguata verifica dei fatti e delle disfunzioni narrate sotto la loro responsabilità.


di Claudio Boller,  Consulente del lavoro in Treviso 

e Marco Militello, Consulente del lavoro in Roma

 

L’informazione data è falsa. Ma quello che si vuole sottolineare non è la fake news e le conseguenze che quotidianamente ogni notizia falsa arreca alla conoscenza comune e al sistema democratico. Quello che si vuole denunciare oggi è un gravissimo caso di data breach. Quale? Ora ve lo spieghiamo.

PREMESSA

Anno 2018, l’argomento del giorno è la digitalizzazione degli studi, la riorganizzazione del lavoro in ottica smart, il welfare aziendale ed il coworking, la fatturazione elettronica, la firma digitale qualificata, il regolamento del Garante europeo sulla privacy.

Costantemente ogni professionista deve affrontare miriadi di adempimenti, ben conscio che dietro ad ogni angolo si insinua l’errore e la conseguente famigerata sanzione.

Ed in questa grande rivoluzione organizzativa, il 25 maggio scorso tutti abbiamo visto, impotenti, sorgere l’era del GDPR 679/2016.

Per i più disattenti ricordiamo che si tratta di un regolamento europeo, applicabile a tutti gli stati membri, che cambia radicalmente l’approccio all’argomento privacy, spostando il fulcro della materia dal formalismo al sostanzialismo, dai rischi per l’azienda, ai rischi per l’interessato persona fisica.

Parole inglesi come accountability, privacy by design e by default, data breach o parole come diritto all’oblio, sono diventate improvvisamente di uso comune sia per gli addetti ai lavori ma anche per chiunque abbia a che fare con dei dati personali.

Quello che abbiamo subito imparato è che con il termine PRIVACY si intende “il diritto di ogni persona alla riservatezza dei dati che lo identificano, comprendendovi il diritto a controllare che le proprie informazioni vengano trattate o controllate da altri solo in caso di specifica necessità.

Parole che, se lette con molta attenzione, racchiudono in sé la grande sfida moderna, la sfida del singolo essere umano nei confronti della tecnologia sfuggita di mano e con essa delle informazioni che, nell’era della globalizzazione, si propagano in un millesimo di secondo, senza poterle realmente domare e conseguentemente controllare.

ADEMPIMENTI OBBLIGATORI E PRIVACY DEGLI ENTI PUBBLICI

L’introduzione a questo articolo è stata, volutamente, un po’ fumosa, vuoi per creare un minimo di suspense in merito ad un argomento particolarmente serio, vuoi per far capire che la gravità di quanto stiamo denunciando ha radici profonde.

A partire dal 12 marzo 2016, ai sensi dell’art. 26, D.lgs. 14 settembre 2015, n. 151, chiunque voglia rassegnare le proprie dimissioni, pena l’inefficacia delle stesse, deve procedere esclusivamente con modalità telematiche, tramite il portale Cliclavoro del Ministero del Lavoro e delle Politiche Sociali.

Tale comunicazione può essere effettuata direttamente dal cittadino, utilizzando il proprio pin, o tramite soggetti terzi espressamente autorizzati (consulenti del lavoro, patronati, organizzazioni sindacali, enti bilaterali, commissioni di certificazione, sedi territoriali dell’INL).

Tali soggetti procedono sempre in due fasi, la prima richiede l’identificazione univoca del lavoratore che vuole dimettersi, pertanto una raccolta documentale specifica: comunicazione scritta della volontà di dimettersi, copia della carta d’identità, mandato ad adempiere per il soggetto terzo autorizzato ed impegno alla trasmissione di quest’ultimo, nonché informativa sul trattamento dei dati del dimissionario; il tutto va conservato, secondo il regolamento GDPR, mantenendo la massima riservatezza e sotto la responsabilità totale del Titolare del trattamento (il soggetto inviante).

Attenzione a come viene conservata la documentazione del lavoratore dimissionario, in quanto l’eventuale violazione di sicurezza che comporta accidentalmente od in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati, comporta (art. 4, GDPR) un data breach.

La seconda fase, di tipo più tecnico, richiede l’accesso al portale Cliclavoro: una volta accreditatosi con le proprie credenziali e pin, l’operatore potrà inserire il codice fiscale dell’azienda, quello del lavoratore e procedere a compilare il modulo delle dimissioni.

Quindi, quello che sappiamo è che se il professionista o comunque il terzo autorizzato, subisce un data breach, nello specifico una distribuzione non autorizzata o impropria dei dati personali degli interessati verso terze parti, deve darne entro sole 72 ore notifica (autodenuncia) al Garante per la Privacy (art. 33, GDPR).

Non solo, lo sfortunato professionista od operatore, di fronte ad un data breach, dovrà subire le sanzioni amministrative fino a 10 milioni di euro o 2% del fatturato, eventuali sanzioni penali e, ciliegina sulla torta, gravissimi danni reputazionali.

Durante la seconda fase, accedendo all’indirizzo http://www.lavoro.gov.it/strumenti-e-servizi/Dimissioni-volontarie/Pagine/default.aspx, si legge espressamente che “La consultazione dei modelli telematici delle dimissioni volontarie/risoluzione consensuale e della loro revoca, è permessa, in sola lettura, ai datori di lavoro della propria azienda e alle sedi territoriali competenti dell’Ispettorato Nazionale del Lavoro”.

Ed ecco che entriamo nel vivo del fattaccio. Considerato fino ad adesso come deve comportarsi il singolo professionista/operatore privato, ed i rischi e le responsabilità che gravano su di lui, cosa si dovrebbe dire e fare quando a divulgare bellamente le informazioni è proprio il Ministero del Lavoro e delle Politiche Sociali?

Avete capito bene, cari lettori che siete giunti fino a qui, provate ora a collegarvi al sito www.cliclavoro.gov.it, inserite le vostre credenziali e nel campo Codice Fiscale inserite 00997670583.

Ve lo diciamo subito, abbiamo preso a caso il C.F. della Banca d’Italia, ma potete farlo con quello dell’Inps (80078750587), del Comune di Roma (02438750586), dello stesso Ministero del Lavoro (80237250586), o di qualsiasi azienda privata d’Italia, compreso anche il nostro Studio.

Ebbene sì, ogni operatore può conoscere l’elenco di tutti i lavoratori dimissionari di qualsiasi azienda, vederne i dati personali, le motivazioni (ad esempio giusta causa), chi ha effettuato la procedura on line e, ultimo ma non ultimo, può procedere alla loro revoca.

Piccola chiosa: conosciamo bene il nome Sogei, quello che identifica la società che da sempre predispone e gestisce i software dell’Agenzia delle Entrate; se andate a visitare il loro sito www.sogei.it vi accorgerete che in alto a sinistra non compare il lucchetto verde. Cosa significa? Che si tratta di un sito non sicuro, cioè le pagine che si stanno visitando includono una procedura di login, richiedono l’inserimento di informazioni personali o numeri di carte di credito senza usare alcun protocollo crittografico. A buon intenditor…

IL DATA BREACH DEL MINISTERO

Il data breach, messoci incomprensibilmente a disposizione dal Ministero del Lavoro, ci è stato segnalato da un collega che conosce la nostra malignità.

Dopo esserci divertiti a verificare l’effettiva possibilità di violare dati e archivi a cui non dovremmo poter accedere, siete invitati anche tutti voi a provare a fare lo stesso, raccomandandoci però di non modificare o revocare alcunché, guardare e non toccare insomma.

Riteniamo però doveroso prendere in considerazione di segnalare il caso al Garante per la Privacy, non solo in osservanza ai dettami dell’art. 33 del GDPR, quanto piuttosto perché giudichiamo inaccettabile che il controllore violi i principi elementari di sicurezza, violi cioè quelle regole che poi impone e per i quali sanziona pesantemente i controllati (studi professionali e operatori del settore nello specifico).

Per rendere ancora più palese l’assurdità di cui stiamo trattando, evidenziamo con un esempio la gravità del data breach di Cliclavoro: in termini di paragone è come se io dovessi fare un bonifico e, digitando semplicemente l’Iban del fornitore, potessi entrare nel suo estratto conto e visionare tutte le operazioni bancarie da lui effettuate, ma anche modificare e revocare i bonifici che gli sono entrati e farne di nuovi.

E se io subissi il furto delle mie password di Cliclavoro? È vero, dovrei rispondere della mancata sicurezza perché non le ho tutelate a sufficienza, ma poi?

Se chi ne entra in possesso dovesse divertirsi a giocare con Cliclavoro e prendere a caso gli archivi della Banca d’Italia, dell’Inps, della Plasmon, della Nestlè o di chi gli passa per la mente, e volesse sbizzarrirsi ad effettuare dimissioni di nomi famosi e a revocare tutte le vecchie, chi ne risponde?

La mia responsabilità dovrebbe essere limitata agli effetti relativi alla mia incuria, non ai successivi data breach resi possibili, seppure attraverso le password sottrattemi, da disattenzione di terzi, nel caso particolare quella del Ministero del Lavoro e delle Politiche Sociali.

Un caso simile era già successo a settembre del 2017 con lo spesometro.

Ogni professionista che doveva trasmettere i dati semestrali all’Agenzia delle Entrate, una volta inserite le proprie credenziali Entratel, si accorse che, digitando il codice fiscale di un contribuente, poteva accedere a tutti i dati del suo spesometro e alle sue liquidazioni IVA, perché l’ambiente “Fatture-Corrispettivi” era libero e consultabile a tutti.

La barzelletta però non finiva qui, se il codice fiscale che si andava ad inserire apparteneva ad un intermediario, era possibile visionare anche i dati della sua clientela.

Ricevuta la segnalazione, i vertici dell’Agenzia delle Entrate dovettero fare una relazione al Garante della Privacy e fare intervenire di corsa Sogei – partner “tecnologico” (le virgolette sono un obbligo stante la comicità della situazione) del Fisco – che, con un intervento di manutenzione straordinario, provvide a bloccare l’accesso al servizio e a mettere in sicurezza i dati.

Chi ha pagato per questo? In un paese normale sarebbero dovute saltare diverse teste; in un’azienda privata, neanche a dirlo, il responsabile sarebbe stato messo alla porta immediatamente con provvedimento disciplinare per giusta causa.

Nel sonno e buonismo che pervadono invece il nostro Stato, e parastato, tuttavia, non ci risulta che abbia pagato nessuno.

Spostiamoci ora su un altro piano e cerchiamo di alzare il nostro livello di perfidia, che dovrebbe essere sinonimo di giustizia, dal momento che nei tribunali ci fanno leggere che “La legge è uguale per tutti”, mentre non c’è nulla di più disatteso e calpestato di questo antico brocardo.

A dirla tutta, questa scritta è generalmente posta alle spalle del giudice, situata in alto dietro di lui o in basso, impressa sul bancone della Corte, facendo sì che la leggano (e ricordino) più il pubblico e gli imputati che non il giudice al quale dovrebbe invece essere rammentata ogni volta che sta per emettere una sentenza.

Se vogliamo, infatti, applicare il principio di giustizia che “la legge è uguale per tutti” dovrebbe essere prerogativa e impegno di ogni giudice, soprattutto nel momento applicativo della legge stessa, quindi perché metterla alle loro spalle?

Gli effetti sono quelli che talvolta subiamo e che, se vogliamo difendere anche l’articolo 3 della Costituzione e la dignità dei professionisti in questo caso specifico, dobbiamo denunciare e contrastare con forza e con un’azione comune questo ennesimo scivolone informatico dell’apparato statale.

Perché non chiedere, ad esempio, che il Ministero, resosi colpevole di non avere vigilato sufficientemente sulla privacy e violabilità dei dati personali in suo possesso, venga multato – come per tutte le aziende e professionisti soggetti al GDPR, dal momento che ci hanno obbligati a studiare tutta la normativa e ad adeguarci ad essa, al limite del terrorismo psicologico – con la sanzione massima di 10 milioni di euro.

Magari i soldi della sanzione poi vengono destinati a costituire un fondo da cui attingere per pagare le successive e future pene pecuniarie che dovranno subire gli studi professionali per il mancato rispetto di banali violazioni della privacy, scritte e pensate da persone che ci hanno imposto regole assurde e complicate all’inverosimile, quand’anche inapplicabili nella realtà perchè, invero, non hanno mai fatto gli imprenditori e non sanno conservare in sicurezza neanche il proprio 730?

Perché non salta la testa del responsabile di questo data breach ministeriale come avverrebbe in qualunque altro contesto?

Perché dobbiamo subire le inefficienze di una classe dirigenziale della pubblica amministrazione che pontifica sulla generalità dei cittadini, ma le cui responsabilità e incapacità manageriali trovano sempre copertura, comprensione, accondiscendenza e mostrano una disparità di trattamento inaccettabile rispetto alla generalità dei cittadini comuni?

Da ultimo, tante sono le domande che ci poniamo: chi sono gli informatici che rendono possibili le violazioni delle più elementari verifiche di sicurezza dei dati sensibili nelle mani dello Stato?

Ci facciamo del male da soli con dei tecnici a disposizione del Ministero e di Cliclavoro, o abbiamo concesso l’ennesimo appalto a società inadeguate che hanno personale e conoscenze non all’altezza dell’importante e delicato compito che devono gestire e garantire?

Come sono stati scelti e selezionati questi informatici? Quale è stato il criterio di valutazione? Quali garanzie hanno dato al Ministero del Lavoro e delle Politiche Sociali prima di essere messi a lavorare sul sistema delle dimissioni online?

Quali test sono stati fatti prima di mettere online il portale di Cliclavoro? Che certificazione è stata rilasciata? Quali esperienze pregresse avevano queste società? Vogliamo leggere i curricula di coloro ai quali è stata affidata la gestione informatica del sistema!

Ci piovono continuamente dall’alto adempimenti di dubbia utilità che impegnano le nostre vite e il nostro tempo per studiare norme mutevoli e contraddittorie, per lo più scritte anche male, che ci obbligano a lavorare sempre di più e sempre gratis per la pubblica amministrazione, che non solo non ci riconosce nulla ma ci vessa con sanzioni che essa stessa dovrebbe essere la prima a pagare, essendo palesemente colpevole della loro violazione.

Riteniamo che dare seguito a questa denuncia – con una azione comune di autotutela della nostra dignità professionale, chiedendo che vengano accertate le responsabilità in tempi rapidi del data breach di Cliclavoro -, sia un dovere di ogni professionista e, in qualità di intermediari autorizzati, ci offriamo volontari per aiutare il responsabile a rassegnare le dimissioni dal proprio incarico.

Gli studi di tutti i Consulenti del Lavoro restano a disposizione.

 

Preleva l’articolo completo in pdf 

GDPR – Aggiornamenti normativi, semplificazioni e inettitudini bloccanti

di Andrea Merati – Consulente sistemi di gestione aziendale

 

Tra il concludersi dell’estate e l’aprirsi dell’autunno, due atti unici si sono succeduti sul palcoscenico della protezione dei dati: il 19 settembre è entrato in vigore il decreto legislativo di armonizzazione della normativa nazionale al Regolamento EU 679/2016; poco meno di un mese dopo il Garante per la protezione dei dati personali (che poi è sempre lui, il Garante Privacy, che ancora vive la sua doppia identità, tra passato e presente) ha pubblicato le istruzioni riguardanti il registro dei trattamenti.

Il Codice Privacy ammodernato

Premessa: il D.lgs. n. 101/2018, di per sé illeggibile, se volete seguirne le vicende normative, appassionarvi per le sue coraggiose avventure e allietarvi con la sua prosa colta e leggiadra, vi consiglio di scaricare il testo coordinato dal sito del Garante (conquistabile agilmente in internet tramite digitazione di “codice coordinato garante”).

La parte generale del Codice Privacy viene ampiamente abrogata per lasciar spazio alle disposizioni del Regolamento, in questo modo le norme su: principi, basi giuridiche del trattamento, informativa e consenso, vengono sostituite da quelle contenute nel GDPR.

Nella parte speciale invece si trova la regolamentazione di alcune questioni di un certo rilievo:

  • Per i controlli a distanza viene recepita pedissequamente la legge n. 300 del 1970 (sia per l’art. 4, sia per l’art. 38), come modificata nel 2015 dal D. lgs. n. 151. Niente di nuovo, quindi, ma un’ennesima conferma che, per affrontare questo tema, è necessario:
    • analizzare quali e quanti dati vengono raccolti, non fermandosi alla videosorveglianza (o, ancor peggio, sulla disquisizione dell’esatto angolo di visuale del videocitofono) ma pensando a localizzazione, log informatici, dispositivi mobili;
    • fissare esattamente la finalità per la quale questi dati vengono raccolti;
    • informare gli interessati dei due punti qui sopra esposti.
  • Nella gestione dei curricula vitae, il D.lgs. n. 101/2018 stabilisce che l’informativa ex 13 del GDPR, può essere fornita al momento del primo contatto utile, successivo all’invio del curriculum; fermo restando il rispetto delle finalità stabilite dall’articolo 6, paragrafo 1) lettera b) del Regolamento UE, il consenso al trattamento dei dati personali non è richiesto. Quindi i CV si possono ricevere, tenere per un tempo determinato e utilizzare per selezionare il personale, senza dover inviare nulla, né chiedere niente ai candidati (in questo paese manca solo che ci si metta a cestinare i lavoratori ancora prima di assumerli, per incrementare le quote divano).
  • Per continuità mantengono il loro valore i provvedimenti e le autorizzazioni del Garante fino al completamento del loro riesame e adattamento (da compiersi entro novanta giorni dalla data di entrata in vigore del decreto).
  • Il Garante è chiamato a promuovere l’emanazione di regole deontologiche per taluni settori (lavoro, giornalismo, statistica e ricerca scientifica) tramite coinvolgimento dei soggetti interessati e pubbliche consultazioni. Grandi speranze dickensiane vengono riposte in ordini e collegi professionali.
  • Il nuovo articolo 154 bis, co. 4 del Codice Privacy prevede: “In considerazione delle esigenze di semplificazione delle micro, piccole e medie imprese, […] il Garante per la protezione dei dati personali, […], promuove, […], modalità semplificate di adempimento degli obblighi del titolare del trattamento”. Anche in questo caso ampie aspettative, sperando che non si tramutino in miraggi sahariani, un avviso di mobilitazione c’è, ne scrivo più avanti.
  • Si prevedono sanzioni penali per alcune violazioni della normativa, che vanno ad aggiungersi alle note sanzioni amministrative previste dal Regolamento (fino a 20 milioni di euro o al 4% del fatturato mondiale annuale lordo) che hanno atterrito uomini e donne di buona volontà.

Vengono penalmente sanzionati: il trattamento illecito di dati personali; l’acquisizione fraudolenta, la comunicazione e la diffusione illecita di dati personali oggetto di trattamento su larga scala; le false dichiarazioni rese al Garante; l’inosservanza dei provvedimenti del Garante; la violazione del comma 1 dell’art. 4 dello Statuto dei Lavoratori.

  • I diritti riferiti ai dati personali delle persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario o per ragioni familiari meritevoli di protezione. Qui forse ci vorrà un po’ di giurisprudenza per capirne contorni e pietanze.
  • Ai sensi dell’art. 22, co. 13, “Per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali tiene conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie”. Questo l’ho riportato testualmente perché non ci possa essere fraintendimento: non si tratta di proroga ma di un invito alla bontà d’animo del controllore che, certamente seguirà la richiesta di amabili sentimenti ma non significa che si può aspettare maggio 2019 per adeguarsi, si cadrebbe nella diabolica perseveranza.

La semplificazione sospirata

L’otto ottobre, il Garante per la protezione dei dati personali ha pubblicato (basta cercare in internet “faq registro garante” e vi si sbarca agevolmente) alcune istruzioni sul Registro delle attività di trattamento ma, soprattutto, due modelli, semplificati e scaricabili, uno per il Titolare e l’altro per il Responsabile del trattamento, sia in pdf sia in Excel, rivolti alle piccole e medie imprese.

I documenti sono utili per semplificare il percorso di adempimento, perché riducono all’essenziale la fase di analisi e di compilazione, permettendo di creare due strumenti (i consulenti del lavoro dovrebbero tenerli entrambi: da Titolare, per i trattamenti da datore di lavoro, e da Responsabile, per i dati dei clienti) che diventano solida base per la redazione della documentazione e l’analisi dei rischi.

Chiudo insistendo: un sistema informatico contemporaneo – l’antico si sposa bene con gli arredi e il rosa, per nulla con la tecnologia – e una seria formazione delle persone – l’ignoranza invece fa pendant col fallimento – possono evitarci di restare mezza giornata in osservazione di un tecnico, che ci ripristina il sistema marmorizzato da un attacco informatico, mentre, per far passare il tempo, costruiamo aeroplanini di carta con i documenti privacy.

Preleva l’articolo completo in pdf 

GDPR – Complessi marmorei e perdite di tempo

di Andrea Merati – Consulente sistemi di gestione aziendale

 

Il nostro sembra un paese in cui le persone abbiano acquistato, chissà da che fornitore, del tempo da perdere: vedo seri professionisti e capaci imprenditori che inseguono soluzioni complesse e cervellotiche, complicandosi vita ed economia finanziaria senza fermarsi un momento a pensare.

Premessa

Un bel giorno (il 24 gennaio 2018 per chi tiene alla precisione) una comunicazione della Commissione al Parlamento Europeo e al Consiglio recita (in piedi sulla sedia): “La grande maggioranza dei titolari del trattamento e dei responsabili del trattamento che rispettano già le attuali disposizioni dell’UE non dovrà quindi introdurre importanti modifiche nelle proprie operazioni di trattamento dei dati per conformarsi al regolamento” [par. 3.4].

Orientamenti

Il Regolamento Europeo n. 679/2016 non è stato scritto per creare standard ma esattamente con scopo contrario. Pensieri e soluzioni devono essere progettate e mantenute (by design e by default):

  • secondo una precisa analisi delle proprie caratteristiche;

  • cogliendo potenzialità e criticità tecnologiche, gestionali e comportamentali della propria organizzazione;

  • trovando soluzioni tecniche e organizzative da applicare con modalità e tempi congrui, con lo scopo di eliminare o limitare l’insorgere di un danno (tenendo saldi i principi imprenditoriali universali: avere un sistema informatico perfetto ma dover chiudere a causa del debito contratto per acquistarlo non è precisamente geniale);

  • mantenendo costantemente l’attenzione perché tutto ciò che ho scritto sopra sia effettivamente attuato e migliorato nel tempo.

Benvenuti nel magico mondo della valutazione del rischio. Che non ha niente di standardizzato o unificato (vero, esiste la norma tecnica ISO 31000 sul Risk Management, che molti citano ma pochissimi hanno letto davvero – forse perché scritta con una prosa scarsamente emozionale – ma è generica, non introduce nessun concetto di privacy, mai; guida il metodo, non indica un risultato).

Casi della vita

Cerchiamo di usare il cervello o, almeno il buon senso. Girando per aziende ogni tanto qualcuno mi racconta: un serissimo e luminoso professionista mi ha detto che in azienda non bisogna più usare gli indirizzi mail che riportano il nome e il cognome del dipendente.

Non voglio entrare in conflitto con nessun esperto perché non ho tempo, immagino che questo consiglio circolante sia nato in un contesto particolare e che, nella trasmissione orale, abbia avuto delle mutazioni simili a quelle che hanno trasformato il termine latino inutilis nell’italiano inutile; quindi mi limito a pensare oziosamente al caso.

L’azienda introduce l’uso dell’indirizzo inostribegliuffici@meraplastic.it, che verrà utilizzata dai quattro addetti alle vendite: in questo caso si dovrà tener conto del tempo che impiegherà ciascuno degli sventurati a dirimere quali siano le missive di propria competenza, semplice magari in caso di clienti noti, meno facile per quelli incontrati alla Grande Fiera del tubo in PVC di due mesi prima. Poi mi chiedo se questi addetti possano firmare le mail con nome e cognome, perché in questo caso mi verrebbe il dubbio che ci possa essere una pericolosa esposizione di dati personali.

Ma forse ho sbagliato strada, ne provo una diversa. L’azienda introduce l’uso di quattro indirizzi Commerciale1@meracake.com, Commerciale2@meracake.com… (nel mentre, la società, a un passo dal fallimento, ha dovuto convertirsi alla pasticceria, perché perdeva clienti nel campo dei tubi), perfetto, confusione gestionale risolta ma rimane il dubbio se permettere al venditore di firmare con il proprio nome e cognome, per non parlare del problema di cosa scrivere sui biglietti da visita. E non oso immaginare il caos al centralino, quando il cliente vorrà lamentarsi perché il Signor Commerciale non mi ricordo il numero mi ha mandato trecento babà anziché duecento bignè.

Secondo me sarebbe molto più interessante impiegare il tempo per pensare (verbo doloroso) e introdurre una seria politica per l’uso della mail aziendali, che regoli i casi di assenze prolungate, dimissioni, emergenze, salvaguardando la continuità operativa e l’economia societaria, chiarendo l’uso dei sistemi aziendali anche a tutela dei dati personali dei lavoratori.

Proibizionismo

Qualche Titolare sta proibendo l’uso di WhatsApp sui telefoni aziendali, o dei vari Cloud Storage gratuiti (Google Drive, Dropbox…) perché non sono sicuri, perché ci possono essere delle divulgazioni occulte di dati, perché i dipendenti possono memorizzare dati di natura personale non professionale e interrompo la lista perché se no si arriva al rosso di sera che perde il pelo e ci lascia lo zampino.

Non sarebbe meglio pensare a una seria formazione (che tra l’altro è obbligatoria come si evince dal termine istruito inserito negli art. 29 e 32 del Regolamento) sui rischi dei comportamenti errati, nonché sull’uso corretto degli strumenti informatici? Non sarebbe il caso di fare un’attenta analisi dell’uso degli smartphone personali utilizzati dai lavoratori sui quali finisco dati aziendali senza nessuna cognizione o controllo: certo, è comodo e conveniente che il lavoratore o il collaboratore possa leggere le mail sul suo telefono, però significa che tutti i dati aziendali finiscono su di uno strumento che non è di proprietà del titolare.

Conclusioni

Siamo in ardente attesa del decreto di adeguamento che dovrà sorgere entro il 21 agosto (di quest’anno) e pare che la calma sia tornata negli animi ma il regolamento è attivo, tra qualche mese tutto andrà a regime (Garante, GdF, ex dipendenti arrabbiati e clienti scontenti, rinvigoriti dalle vacanze, potranno operare ognuno per i propri scopi) e credo sia tempo di mettere mano agli adempimenti; sfruttiamo questo periodo illuminato dal sole per far luce sulla nostra organizzazione:

  • Sicurezza informatica. Il regolamento è normativo ma non basta aver precisamente individuato le basi giuridiche, è necessario poi andare a vedere che la memoria del computer non sia come la piazza del mercato del pesce al sabato, dove chiunque entra, prende e se ne va, senza neanche qualificarsi e, magari, se è poco serio ruba anche una triglia.

  • Sicurezza organizzativa. Nelle aziende i dati non sono solo nei computer ma anche negli armadi e sulle scrivanie o, magari, abbandonati sul vassoio d’uscita di una stampante in corridoio; proviamo a istruire gli autorizzati (incaricati) perché non abbiano comportamenti fuori controllo o del tutto sbagliati, potrebbe essere salutare anche per i dati non personali, quelli che è meglio che non escano a favore di qualche concorrente.

  • Valutazione del rischio. Diamo vita al Registro dei trattamenti senza copiarlo da altri, inserendo nelle caselline delle scritte reali e ragionate, già questo ci impone di analizzare la situazione, capire cosa potrebbe non andare e darci la possibilità di immaginare un miglioramento, alla fine avremo già tutti gli elementi per verbalizzare una valutazione del rischio.

  • Finito tutto andiamo a spolverare il faldone 196/03, stacchiamo i documenti dalle cartelline di plastica a cui sono rimasti appiccicati e mettiamoli a posto, probabilmente, se ce li avevano scritti bene, necessitano solo di una buona manutenzione.

  • Se avevamo saltato un giro e non ci eravamo accordi che esisteva un Codice Privacy, è questo il momento di darsi delle regole, sia perché c’è un regolamento, sia perché la modernità sta prendendo una strada piuttosto complessa dal punto di vista dell’uso e della protezione dei dati: sapere chi sono i nostri clienti, fornitori, collaboratori, dipendenti e tutto ciò che gravita loro intorno ha un valore economico in elevazione (e intendo proprio quello del Conto, quello dei costi e dei ricavi).

Ma cosa c’entrano i complessi marmorei del titolo?

Mi limito a immaginare lo scenario in cui qualcuno metta insieme cedolini paga, Modelli Redditi PF SC SP ENC, fotocopie di passaporti, dati di carte di credito e spostamenti su Waze, distribuiti su diversi computer italiani e no: potremmo diventare improvvisamente i finanziatori delle serate danzanti di un abbronzato malvivente sdraiato a Bora Bora. Forse è meglio pensare decentemente alla protezione dei dati, senza complicare per cupidigia o irrigidirsi per superbia.

 

Preleva l’articolo completo in pdf 

Senza filtro – Il grande bluff della tutela alla Privacy delle persone fisiche

di Alberto Borella – Consulente del lavoro in Chiavenna

 

Il 25 maggio 2018 è entrato in vigore il nuovo Regolamento Europeo per la Protezione dei Dati Personali (GDPR – General Data Protection Regulation) che, stando a quanto esplicitato nell’art. 1, si propone una duplice finalità ovvero la protezione delle persone fisiche con riguardo al trattamento dei loro dati personali, nonché la creazione di norme relative alla libera circolazione di tali dati, partendo, e lo si dice a chiare lettere, dal fatto che il Regolamento:

protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali.

Non si vuole qui disquisire dell’articolato meccanismo di regole e adempimenti previsti dal Regolamento, ma vogliamo invece soffermarci su quella che appare, quantomeno a chi scrive, una palese contraddizione, sia nei termini che nei fatti, di uno degli adempimenti base della normativa rispetto alle sue nobilissime finalità.

Ci riferiamo all’informativa che deve essere fornita al titolare dei dati personali e per la quale l’art. 12 del GDPR stabilisce peculiari caratteristiche – il regolamento le chiama “modalità trasparenti” – che permettano all’interessato una cosciente presa d’atto dei diritti garantitigli dal Regolamento:

1. Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato.

Chiaro l’intento del legislatore di fare sì che l’informativa raggiunga l’interessato non solo in senso materiale ossia tramite la sua mera consegna, ma che sia da costui pienamente compresa, permettendogli quindi scelte autenticamente libere in relazione ad un eventuale consenso all’utilizzo dei propri dati per le finalità dichiarate dal richiedente.

In quest’ottica interessanti risultano alcune delle caratteristiche previste per questo documento:

– in primis l’obbligo di concisione dell’informativa, che, Treccani alla mano, dovrebbe esplicitarsi in uno scritto breve e in una esposizione essenziale, sintetica, stringata e succinta. Come dire: concentratevi sull’essenziale ed eliminate tutti i fronzoli, compresi i richiami agli articoli di legge;

– il secondo requisito è quello della intelligibilità dell’informativa che presuppone, sempre dizionario alla mano, la possibilità di essere compresa e correttamente interpretata dal destinatario. Come dire: attenzione a chi vi trovate di fronte.

Fondamentale a tale scopo sarà quindi, stando alla norma, l’utilizzo da parte di chi raccoglie e tratta questi dati di un linguaggio semplice e chiaro.

Le informazioni da fornire all’interessato, nel caso della contestuale raccolta presso il medesimo dei dati che lo riguardano, sono individuate dall’art. 13 del GDPR e sono

a) l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;

b) i dati di contatto del responsabile della protezione dei dati, ove applicabile;

c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;

d) qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f ), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;

e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;

f ) ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’articolo 46 o 47, o all’articolo 49, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.

2. In aggiunta alle informazioni di cui al paragrafo 1, nel momento in cui i dati personali sono ottenuti, il titolare del trattamento fornisce all’interessato le seguenti ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente:

a) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;

b) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;

c) qualora il trattamento sia basato sull’articolo 6, paragrafo 1, lettera a), oppure sull’articolo 9, paragrafo 2, lettera a), l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;

d) il diritto di proporre reclamo a un’autorità di controllo;

e) se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;

f ) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

3. Qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati raccolti, prima di tale ulteriore trattamento fornisce all’interessato informazioni in merito a tale diversa finalità e ogni ulteriore informazione pertinente di cui al paragrafo 2.

Da sottolineare peraltro che il Considerando 26 del GDPR stabilisce anche che

È opportuno che le persone fisiche siano sensibilizzate ai rischi, alle norme, alle garanzie e ai diritti relativi al trattamento dei dati personali, nonché alle modalità di esercizio dei loro diritti relativi a tale trattamento.

Abbiamo sopra già evidenziato come tutte queste informazioni – su titolari e responsabili, interessi e diritti, finalità e modalità del trattamento, rischi e procedure – dovranno rispettare le caratteristiche, sostanzialmente di completezza e trasparenza, previste dall’art. 12 del GDPR.

Non sembra proprio un giochetto da ragazzi.

Ed infatti a causa della mole di informazioni da fornire all’interessato – va anche detto giustamente, considerati i diritti in gioco – ci stiamo inevitabilmente imbattendo nei primi fac-simili di informative redatte su più pagine in un impeccabile linguaggio tecnico-giuridico, all’evidente scopo di porre il titolare del trattamento al riparo dalla pesanti sanzioni previste dal GDPR.

Su questo fatto andrebbe sviluppata una prima, seria, considerazione. Una informativa che, utilizzando un linguaggio semplice e chiaro, volesse essere concisa, trasparente, intelligibile e facilmente accessibile e al contempo prevedere tutte le informazioni richieste, potrà mai raggiungere effettivamente il proprio scopo?

E qui non stiamo parlando del caso di un interessato analfabeta o straniero – aspetto che meriterebbe ulteriori considerazioni – ma dell’utente comune, quello per intenderci da social network i cui dati, gusti e abitudini, oggi rappresentano una grandissima ricchezza per ogni azienda che fa business.

Abbiamo tutti ben presente cosa succede con le varie corpose informative privacy allegate ai moduli contrattuali delle agenzie telefoniche o di istituti bancari. Ce li sbattono sotto il naso e senza avere il tempo di leggerli (anche se in tutta onestà spesso ci manca proprio la voglia) mettiamo una decina di firme in modo meccanico, inconsapevoli del contenuto e delle possibili conseguenze di quanto stiamo accettando e sottoscrivendo.

E siamo tutti altrettanto consapevoli che nei contratti online, di fronte alle informative privacy che propongono un link che conduce direttamente al testo dell’informativa oppure l’apertura di un pop-up (con l’obbligo di scorrerlo tutto prima di trovare la spunta di consenso) nessuno si prenda la briga di leggere alcunché.

Del resto è un dato di fatto che una informativa contrattuale che supera la mezza pagina diventi inevitabilmente indigesta alla maggioranza degli utenti finali, quelli italiani di certo.

A questa considerazione consegue una prima domanda: a cosa serve tutto questo? Alla protezione delle persone fisiche, con specifico riguardo al trattamento dei loro dati personali, oppure alla libera circolazione di tali dati?

Ripensiamo bene al sistema Privacy: il titolare del trattamento che utilizza, per legge o per contratto, i dati di una persona fisica ha l’obbligo di informarla; se desidera utilizzare questi dati per altre finalità, anche “commerciali,” deve acquisirne il libero consenso; una volta acquisiti, i dati devono comunque essere protetti dal rischio di perdita o di furto.

Personalmente si nutrono forti dubbi che tutto funzioni sempre così. Anzi, il più delle volte questo sistema – proprio in ragione della promiscuità tra informative, consensi obbligatori e consensi facoltativi – costringe l’utente ad accettare, senza attentamente leggerle, tutte le clausole contrattuali proposte, spesso anche a causa della ineluttabilità della scelta nel trovarsi davanti al classico “pacchetto prendere o lasciare”.

E per i medesimi motivi, altrettanto di sovente, accade che il “furto” dei nostri dati avvenga molto prima, sotto i nostri occhi, in sede di richiesta e acquisizione del consenso al trattamento.

Ed eccoci giunti così alla domanda conclusiva: il nuovo Regolamento potrà mai creare un impianto volto alla reale tutela, di rango costituzionale, dei diritti e delle libertà fondamentali delle persone fisiche oltre che dei loro dati personali?

O forse è più verosimile ritenere che questo sistema serve più a parare le spalle ai grandi centri di potere che i dati li “trattano” ovvero li raccolgono, li gestiscono ma, soprattutto, li vendono?

Non sarà che proprio grazie all’informativa e agli annessi consensi – rispettosa, la prima, certamente dei contenuti e dei requisiti richiesti dalla legge, ma si dubita fortemente di quelli di concisione e di intelligibilità – le grandi aziende potranno sempre giustificare ogni loro operato a fronte di eventuali contestazioni di utilizzo illecito dei dati?

Chi scrive non ha esitazione alcuna su quale sia la risposta corretta.

 

Preleva l’articolo completo in pdf 

Regolamento Europeo per la protezione dei dati: ruoli, nomine, contratti e mandati

di Merati Andrea – Consulente sistemi di gestione aziendale 

 

Il Regolamento europeo (GDPR n. 679/2016) già di suo ha qualche difetto: i temi sono affrontati in articoli diversi e approfonditi nei considerando, rendendo scarsamente omogenea l’interpretazione di principi e indicazioni; inoltre la traduzione in italiano è densa di errori, alcuni trascurabili, altri no (su tutti la scelta discutibile – anche l’Accademia della Crusca l’ha accettato – di tradurre il termine audit in tre modi diversi, dei quali due sicuramente sbagliati dal punto di vista tecnico).

Parlamento e Governo aggiungono confusione: il primo ha dato tempo al secondo di emettere il Decreto di adeguamento fino al 20 maggio 2018, immaginando che le organizzazioni possano leggerlo, comprenderlo e applicarlo in quattro giorni; il secondo emette una bozza di decreto il 21 marzo 2018 che, contrariamente a ciò che il Parlamento ha richiesto, abroga il Codice Privacy n. 196/2003, a favore di una soluzione che non sembra risolvere la maggior parte degli interrogativi e qualcuno vede come incostituzionale.

Per completare il quadro, il Garante, che avrebbe dovuto emettere le linee guida inerenti i diritti del Titolare del trattamento dei dati entro febbraio 2018, ancora non le ha emanate.

Tutto ciò per ribadire che alcune parti mancano ma questo non può essere il presupposto del non fare o l’alibi per procrastinare, perché il 25 maggio, nonostante tutto, il GDPR entrerà in vigore e la maggior parte degli adempimenti è possibile.

Titolare o Responsabile?

Molte volte mi è stata posta questa domanda dai Consulenti del Lavoro (ma anche da Commercialisti, Avvocati e professionisti che offrono servizi alle imprese) e partirei col chiarire che il GDPR, con l’art. 28, insieme al suo bel considerando n. 81, indica che il Responsabile è figura distinta e diversa dal Titolare, nonché esterna e separata dall’organizzazione del Titolare, infatti al punto 3 si parla esplicitamente di contratto che disciplina i rapporti tra Titolare e Responsabile.

Quindi se un’azienda affida dati personali a un Consulente, questi assume il ruolo di Responsabile del trattamento dei dati (attenzione NON di Responsabile della Protezione dei Dati, traduzione di Data Protection Officer – DPO – che è tutt’altra posizione).

Contemporaneamente il Consulente sarà Titolare del trattamento per i dati dei propri dipendenti.

Designazioni e nomine

Ricordiamo che:

  • Il titolare – È la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali (art 4, n. 7).
  • Il responsabile – È la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento (art 4, n. 8).
  • L’autorizzato – È la persona fisica a cui è permesso di compiere operazioni di trattamento sotto l’autorità diretta del titolare o del responsabile.

Per la realizzazione dell’accountability (cioè essere in grado di dimostrare che le operazioni di trattamento vengano effettuate in conformità alla nuova disciplina – art. 24) è bene che per ciascun ruolo ci sia una designazione o una nomina formale.

Cosa deve fare il Responsabile del trattamento

Riprendendo in parte l’articolo pubblicato sul numero precedente di questa rivista, con modalità di valutazione del rischio e accountability il Responsabile dovrà necessariamente:

  1. tenere un registro delle attività di trattamento svolte sotto la propria responsabilità (art. 30);
  2. formare e istruire i soggetti autorizzati al trattamento dei dati (art. 29);
  3. adottare misure tecniche e organizzative appropriate a garantire un livello di sicurezza adeguato al rischio, tenendo conto di probabilità e gravità per i diritti e le libertà delle persone fisiche (art. 32);
  4. notificare tempestivamente l’eventuale perdita o furto dei dati (Data Breach) all’Autorità garante e all’interessato (artt. 33 e 34);adeguare tutti i documenti (informative, consensi e nomine) al Regolamento;
  5. nominare un DPO (solo se necessario);
  6. effettuare la Valutazione d’impatto sulla protezione dei dati e la Consultazione preventiva (artt. 35 e 36 – solo se necessarie).

Inoltre, il contratto tra Titolare e Responsabile è regolato dal paragrafo 3 dell’art. 28, qui si richiede che siano garantite le misure sopra descritte, nonché l’obbligo di assistere il Titolare del trattamento nel garantire il rispetto degli obblighi di cui dagli artt. da 32 a 36.

Contratti e mandati

Il Titolare che si avvale di Responsabili del trattamento, per compiere un’adeguata valutazione del rischio e adempiere efficacemente al Regolamento europeo deve impartire le istruzioni che il Responsabile dovrà seguire, ma anche essere a conoscenza delle modalità che, concretamente, questi adotterà, nonché delle misure che implementerà per garantire che il trattamento dei dati affidatigli dal Titolare abbia le caratteristiche richieste dal GDPR.

In pratica Il Consulente dovrà ricevere istruzioni dall’azienda cliente e condividere con la stessa le sue modalità di attuazione del Regolamento europeo, tramite un contratto ad hoc oppure con indicazioni inserite nel contratto, incarico o mandato professionale di consulenza.

Per questa problematica non esistono indicazioni determinanti, e molto è legato alle modalità di attuazione del Regolamento da parte di aziende e Consulenti; sicuramente ogni professionista potrà determinare le dinamiche sottostanti a seconda del grado di influenza che ha sui propri clienti, perché possa rendere il più possibile omogenea la modalità di trattamento per tutti i clienti, magari con poche eccezioni per le aziende con esigenze particolari per tipologia di attività o per appartenenza a grandi gruppi o a multinazionali (soprattutto se avessero emanato un Codice di condotta – art. 40 – o un meccanismo di certificazione – art. 42).

Rimane da dirimere il dubbio se il Consulente sia tenuto a far firmare un nuovo contratto o mandato a tutti i suoi clienti con i quali ha un rapporto già in essere e a rivedere i contratti per i servizi di cui fruisce (es. Software in cloud). Qui la risposta dipende da quanto i contratti pregressi siano in grado di soddisfare le richieste del Regolamento europeo: nel caso in cui mandati e contratti siano adeguati, sarà sufficiente inviare ai clienti e ricevere dai fornitori di servizi, l’informativa dettagliata sulle modalità di trattamento dei dati redatta in ottemperanza al GDPR.

 

Preleva l’articolo completo in pdf 

Privacy: il nuovo GDPR

di Andrea Merati – Consulente sistemi di gestione aziendali

 

Il 25 maggio 2018 entrerà in vigore il nuovo regolamento europeo generale sulla protezione dei dati, denominato GDPR: General Data Protection Regulation (2016/679). Sarà applicato a tutti i tipi di organizzazione che offra servizi o prodotti a persone che si trovino nel territorio dell’Unione Europea.

Non ci saranno proroghe, la scadenza infatti è tassativa, perché trattandosi di un Regolamento dell’Unione Europea, il nuovo testo e le sanzioni da esso previste, saranno direttamente applicabili dal 25 maggio 2018 senza alcuna necessità di recepimento, o altro atto formale, da parte dello Stato italiano.

Questa normativa obbliga le organizzazioni ad assumersi maggiori responsabilità rispetto al trattamento dei dati personali raccolti e conservati per qualsiasi finalità.

Mettendo da parte l’atteggiamento destabilizzante e terroristico che piace molto all’uomo moderno e connesso, volto alla lettura delle conseguenze, prima di preoccuparsi dei presupposti (sanzioni sino al 4% del fatturato globale, ispezioni della Guardia di Finanza…), il cambiamento per gli studi professionali può essere costoso, sia in termini di tempo speso per le attività di adeguamento, sia per l’eventuale esborso economico in caso di affidamento delle attività a risorse esterne.

Per questo motivo il presente intervento, e quelli che seguiranno, saranno volti alla massima semplificazione, nonché alla raccolta di buone prassi e indicazioni che raccoglieremo sia dai professionisti della materia, sia dalle analisi che scaturiranno durante i percorsi di formazione che sono in svolgimento presso ANCL Milano: già il prossimo mese proporremo domande e risposte proprio a partire dai quesiti nati durante gli incontri di febbraio e marzo.

Nostro scopo primario è rendere autonomi gli studi e semplificarne il processo di adeguamento. Passiamo quindi a esaminare principi giuridici e a presentare qualche considerazione.

Il dato personale

È qualunque informazione riguardante una persona fisica, identificata o identificabile tramite:

  • nome e cognome;

  • numero o codice di identificazione;

  • dati relativi all’ubicazione;

  • identificativo online;

  • uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale (GDPR Art. 4 n. 1).

Il dato personale può essere inserito in tre aree:

  1. Dati comuni. Sono quelli che non afferiscono alle altre due tipologie, essenzialmente si tratta delle informazioni generiche di identificazione della persona (nome, cognome, indirizzo, numero di telefono, e-mail…)

  2. Dati particolari. Rientrano in quest’area: i dati che rivelino l’origine etnica, l’orientamento politico, l’appartenenza sindacale, il credo religioso o filosofico; i dati genetici; i dati biometrici che permettano l’identificazione; i dati relativi alla salute o alla sessualità (GDPR Art. 9).

  3. Dati relativi a condanne penali o reati (GDPR Art. 10).

Il trattamento dei dati personali

È qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione (GDPR Art. 4 n. 2).

I ruoli principali coinvolti

Il titolare. È la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali (GDPR ART 4 n. 7).

Il responsabile. La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento (GDPR ART 4 n. 8).

L’autorizzato. Le persone autorizzate a compiere operazioni di trattamento sotto l’autorità diretta del titolare o del responsabile.

Il DPO (Data Protection Officer). Il titolare del trattamento e il responsabile del trattamento designano un Responsabile della Protezione dei Dati (o RDP, traduzione italiana di DPO) ogniqualvolta (vedi fig. 1):

  • il trattamento viene effettuato da un’autorità pubblica o da un organismo pubblico;

  • le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;

  • le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’art. 9 o di dati relativi a condanne penali e a reati di cui all’art. 10.

Nuovi oneri e adempimenti per titolare e responsabile

Con modalità di valutazione del rischio e accountability (cioè mettere in atto – nonché riesaminare e aggiornare – adeguate misure tecniche e organizzative, per garantire ed essere in grado di dimostrare che le operazioni di trattamento vengano effettuate in conformità alla nuova disciplina – art. 24), sarà necessario:

  1. Tenere un registro delle attività di trattamento svolte sotto la propria responsabilità (art. 30);

  2. Formare e istruire i soggetti autorizzati al trattamento dei dati (art. 29);

  3. Adottare misure tecniche e organizzative appropriate a garantire un livello di sicurezza adeguato al rischio, tenendo conto di probabilità e gravità per i diritti e le libertà delle persone fisiche (art. 32);

  4. Notificare tempestivamente l’eventuale perdita o furto dei dati (Data Breach) all’Autorità garante e all’interessato (art. 33 e 34);

  5. Adeguare tutti i documenti (informative, consensi e nomine) al Regolamento.

Conclusioni (per ora)

Per quanto riguarda i dati non personali non ci saranno sostanziali cambiamenti, il precedente D.lgs. n. 196/2003 rimarrà in vigore o, comunque, sarà armonizzato al Regolamento Europeo. Per i dati personali, invece, si prospetta un periodo di adeguamento che, per gli studi professionali, significherà principalmente tornare a identificare i processi e gli incarichi che riguardano:

  1. Le attività di trattamento interne, per i propri dipendenti;

  2. Le modalità e i ruoli che sottendono all’attività con i clienti, rispetto ai dati raccolti dalle aziende e trasferiti agli studi per adempimenti di legge o contrattuali.

In seguito sarà necessario:

  • descrivere il processo di valutazione del rischio rispetto a tali trattamenti posti in essere;

  • rivedere la propria documentazione informativa e di consenso;

  • creare i registri dei trattamenti;

  • nominare un DPO (solo se necessario – vedi fig. 1)

  • formare i dipendenti autorizzati al trattamento;

  • mantenere tutto aggiornato nel tempo (per l’art. 24 è necessario dimostrare una continua attività di valutazione e attuazione perché gli adempimenti siano dirimenti).

Nei prossimi interventi entreremo negli aspetti operativi che sottendono al GDPR, sia rispetto alla documentazione sia in ordine all’organizzazione che gli studi dovranno assumere per sottostare al Regolamento.

 

Preleva l’articolo completo in pdf 

Senza filtro – Le nebbie di… Amazon, ovvero cose che si vedono e non si vedono (anche solo in un braccialetto)

di Andrea Asnaghi – Consulente del lavoro in Paderno Dugnano

 

Si è già spenta l’eco, accesasi ad inizio mese, del braccialetto elettronico di Amazon, che ha destato scandalo e ludibrio in una parte dell’opinione pubblica italiana. D’altronde, succede sempre così: l’attenzione sui fatti – se non servono per portare avanti una campagna elettorale povera di idee o per raccattare fondi – dura meno della vita di una mosca e viene seppellita in fretta e furia sulla scorta della più usata di tutte le espressioni da talk show: ”e passiamo ad un nuovo argomento…” . Passare ad altro vuol dire spesso non approfondire mai, avere una vaga infarinatura (ovviamente, quella più utile a chi te la sta raccontando) su cui però scattano le più trancianti prese di posizione (che talvolta, purtroppo, diventano anche iniziative parlamentari, e, quel che è peggio, leggi – quando a farsene carico è un nostro politico medio).

La sfortuna (stiamo parlando di questa rubrica e di questa Rivista) di uscire una volta al mese, e quindi di non essere immediatamente sul pezzo, è al tempo stesso la fortuna di poter mettere insieme idee e riflessioni che vanno un po’ più a fondo, o almeno cercano di farlo.

Sul braccialetto di Amazon si sono sentite prospettazioni di ogni genere, dal nuovo schiavismo alla trasformazione dell’uomo in robot. Per chi non si è occupato minimamente della cosa, ricordiamo molto succintamente che la famosa azienda di commercio elettronico ha comunicato di aver brevettato (nel 2016 ma la notizia è stata diffusa solo ora) uno strumento elettronico da mettere al polso dei lavoratori, in modo da aiutarli nella ricerca, catalogazione e scarico della merce negli enormi magazzini, pare anche con un sistema di rilevazione che riscontri l’esattezza o meno dell’azione di un lavoratore riscontrandola già dal movimento del braccio o del corpo.

Mettiamo assieme alcuni concetti, partendo da due fuori tema e da un quasi fuori tema; i fuori tema sono cose che supportano discorsi senza però essere particolarmente pertinenti sul punto.

Fuori tema 1 – “È solo un brevetto, non è ancora successo niente, non è il caso di agitarsi”.

L’osservazione è vera, indubbiamente: chi già prospettava sit-in fuori dalle sedi dei magazzini di Amazon (neanche fosse la veglia all’entrata dell’ultimo concerto di Vasco Rossi) ha davvero esagerato. Però un brevetto del 2016 è una realizzazione annunciata. Parlarne si può e, se il tema è sensibile, si deve. E con tutta l’importanza che un concetto ha (perché quando diventa realtà, a volte è un po’ tardi).

Fuori tema 2 – Amazon rovina il commercio tradizionale ed è causa di disastri occupazionali, pertanto tutto ciò che fa Amazon va boicottato a prescindere.

Amazon si può amare oppure no (chi scrive non è tendenzialmente contrario, anche se appartiene più alla seconda categoria) ma a chi volesse boicottare Amazon basterebbe fare delle consapevoli scelte nei propri consumi e stili di vita/acquisto. Bocciare acriticamente tutto ciò che viene da una parte è manicheismo, farlo solo perché viene da quella parte è pregiudizio, il quale, come diceva Voltaire, è il modo di ragionare degli sciocchi.

Quasi-fuori tema – Amazon utilizza metodi di sfruttamento intensivo e disumano della forza lavoro, quindi dobbiamo iscrivere anche questa novità nel calderone delle nequizie lavorative del colosso del consumo on line.

La base di partenza di tale affermazione è quella del pregiudizio precedente, ma con una preoccupazione che, fosse retta su basi veritiere, avrebbe almeno una giustificazione: chi ha un vizietto tende a replicarlo in ogni cosa che fa. Di solito ad affermazioni di questo tipo seguono commenti a grappolo (come la peggiore cefalea, che infatti provocano) che si dividono fra chi denuncia le peggiori malefatte interne e chi dice che è un posto di lavoro come un altro, o magari ne parla anche in modo positivo. Insomma, niente di palese ed inconfutabile, al più giustificante un livello di attenzione in più.

Il vero cuore della critica riveste però due aspetti , per così dire ideologici, che a nostro avviso sono più che altro degli pseudo-problemi.

Psedo-problema 1 La robotizzazione porta ad una riduzione della manodopera e ad un conseguente calo occupazionale e Amazon sta spingendo molto in questa direzione.

Curiosamente, chi avanza questo argomento accusa anche Amazon di far fare un lavoro disumano, causa mansioni ripetitive ed assillanti, al proprio personale di magazzino, ma al contempo di lamenta se a tale personale vengono affiancate, proprio nello svolgimento di tali mansioni, delle macchine-robot.

Però ora qui dobbiamo deciderci: se un lavoro è disumano, meglio che lo facciano delle macchine, ma poi non possiamo lamentarci che le macchine sostituiscano l’uomo creando disoccupazione.

Il classico circolo vizioso dell’ideologia, di qualsiasi ideologia, che vorrebbe la botte piena e la moglie ubriaca.

Pseudo-problema n. 2 – Gli apparati di lavoro sofisticati creati dall’ingegneria, si reggono su sistemi informatici in grado di captare, conservare e trasmettere una serie di informazioni che consentono il terribile controllo a distanza dei lavoratori. Il quale controllo viola la dignità dei lavoratori e deve quindi essere combattuto senza se e senza ma. Da qui lo stracciamento delle vesti populista di questo e quel politico, tanti proclami alla “no pasaran” che, in fondo, fanno tanto (e solo) propaganda, e Dio sa quanto alcuni ne hanno bisogno di questi tempi pre-elettorali.

Noi sul tema ci siamo già pronunciati più volte su questa Rivista, arrivando a confessare che non troviamo per nulla disdicevole un equilibrato controllo, anche a distanza, sull’attività dei lavoratori, purché vengano garantiti alcuni aspetti di fondo. Ma su questo tema, per non tediarvi, rimandiamo alle considerazioni dell’articolo su Sintesi di dicembre 2016 1 e diremo qualcosa nella trattazione che segue.

Su questi pseudo-problemi verrebbe comunque in prima battuta da dire ai commentatori che li hanno sollevati: benvenuti in industry 4.0, benvenuti nel presente!

Ma di tutto ciò probabilmente avete già sentito parlare.

A nostro avviso si aprono invece quattro spunti di riflessione che pochi hanno colto.

Problema n. 1 Il futuro vedrà sempre di più, anche nel campo del lavoro, interazioni complesse nel rapporto uomo-macchine. Se ciò è inevitabile quali problemi comporterà nella rappresentazione dell’individuo e nel suo vissuto? Non è tanto un problema di disoccupazione quanto di possibile “disumanizzazione” del lavoro e del suo significato. Ciò anche rispetto ai tempi ed alla qualità del lavoro. La sfida di coniugare efficienza e riduzione delle fatica con tempi e modalità umane di vita sarà la chiave di volta per un’evoluzione verso un mondo migliore e diversamente antropico o, al contrario, per scenari apocalittici alla Blade Runner.

Problema n. 2 Ma il benessere di questa riduzione della fatica a chi andrà in tasca? Ancora una volta e soltanto a chi deterrà i mezzi di realizzazione tecnologica? Senza voler essere comunisti (tale idea ci pare abbia già ampiamente mostrato tutti i suoi lati deboli), ci chiediamo quale modello di benessere sociale ci si prospetta con un aumentato potere della meccanizzazione, anzi ormai della intelligenza artificiale quasi antropomorfa. Da un diffuso benessere (con qualche scompenso) stiamo andando verso una società dove, sia territorialmente che socialmente, il divario fra ricchi e poveri aumenta. Fino a che punto? Dove mettere un fermo? Cosa progettare per il futuro?

Problema n. 3 Torniamo al controllo a distanza. Qui il focus ci sembra che si debba spostare non tanto sulla raccolta dei dati (su cui, come detto, non proviamo alcuno scandalo) ma sulla messa a disposizione dei dati raccolti. Chi e come vi ha accesso? Con quali finalità? Perché, vista proprio la loro facilità di raccolta non possono essere condivisi in maniera seria e controllata? Abbiamo la sensazione di logiche di facciata per cui tutti ormai raccolgono dati e controllano, in maniera non trasparente, moltissimo e facilmente, ma formalmente non si può, non si dice, non si ammette. Occhio non vede, cuore non sente. Una società di sepolcri imbiancati. Con tutto il male che ne può derivare.

Problema n. 4 È strettamente collegato al precedente: socialmente, ma anche – per quel che qui ci interessa – lavorativamente, una volta raccolti ed anche condivisi, magari anche legalmente, cosa ce ne facciamo dei dati, che finalità diamo loro?

Mettiamo la questione sotto un altro aspetto: come si risolve nelle aziende e nella società il problema della devianza, dell’imperfezione, o anche solo del “low performer” per vari motivi (età, disabilità, problemi di salute, impegni familiari)? Una volta che abbiamo dei dati incontrovertibili a disposizione, che succede? Facciamo una bella classifica e chi è sotto la sufficienza è out? E chi stabilisce la sufficienza? Dove finisce la meritocrazia e dove comincia la disumanità?

Proviamo a ragionare su questo: per difendere gli pseudo-diritti di qualche fannullone o di qualche imbroglione immatricolato (tipo i furbetti del cartellino) inneschiamo una guerra dei poveri (e verso i poveri) di cui fanno le spese fasce più deboli ma non per questo automaticamente meno meritevoli, della società e del contesto lavorativo? E, al contrario, se un’azienda volesse diversamente ragionare, nell’attuale contesto giuslavoristico, che strumenti avrebbe? Come distinguiamo ed incoraggiamo la (vera, non di facciata o per convenienza fiscale) impresa etica? Perché l’azienda che volesse prendersi la briga di trattare la devianza e la debolezza, disposta a spendersi invece che a defilarsi, non solo non avrebbe supporti economico-normativi seri ma si esporrebbe oggi ad una serie di rischi e sospetti tali da far passare la voglia ad un santo?

Ora noi di una cosa possiamo esser certi, che quando parliamo di Amazon la santità non è certo dietro l’angolo. Ma o continuiamo a strillare come galline impazzite dietro concetti di privacy e di dignità del lavoro – che vanno difesi (sempre) ma con strumenti nuovi ed evoluti (e non coi divieti “anni 70”) – e continuiamo ad abbeverarci a modelli ormai inesistenti, oppure cominciamo a porci i nuovi problemi che una società in continua evoluzione ci sta mettendo di fronte (magari anche con soluzioni “antiche”, ma comprensive del nuovo). Uomo tecnologico, sostenibilità sociale del progresso, uso e controllo dei dati, impresa con responsabilità sociale; diradata la nebbia, anzi il fumo, di discorsi un tanto al chilo, le questioni che emergono, magari anche occasionalmente, da un semplice braccialetto appaiono abbastanza cruciali. È meglio che li affrontiamo con coscienza e li risolviamo con coerenza e realismo, tali problemi, prima che arrivi qualcun altro a scavalcarli con un sorpasso a destra (nel senso di illecito e spavaldo).

1 Asnaghi A. “Perché vietare in modo assoluto il controllo a distanza dei lavoratori?”, Sintesi, dicembre 2016, pag 50.

 

Preleva l’articolo completo in pdf