Dati personali e trattamenti verbali: gli impatti sulla tutela della privacy

Si discute ampiamente se tra le modalità di trattamento di dati personali siano anche da considerare i “trattamenti verbali”. Chi scrive ritiene che questa modalità di trattamento sia da considerare, al pari di quelli cartacei ed elettronici. Nell’articolo si desidera mettere in evidenza alcuni aspetti salienti di tali trattamenti.

In azienda è importante anche la privacy sui trattamenti verbali

Partiamo da un esempio: la responsabile delle risorse umane di una media azienda sta confrontandosi con una sua collaboratrice in merito alla sanzione disciplinare da irrogare ad un dipendente; siamo di fronte ad un trattamento di dati personali? Se qualcuno avesse dei dubbi, aggiungiamo un ulteriore elemento: un dipendente, appartenente ad un altro ufficio, entra nel locale senza bussare e le due signore, non accorgendosene, continuano per alcuni secondi la conversazione. Come la mettiamo con la tutela della privacy?

Ora, una cosa è certa: trattamento verbale sì o trattamento verbale no, delle misure vanno definite. Queste sono prevalentemente di carattere organizzativo, ma non vanno dimenticate anche quelle tecniche. In altri termini, vanno messe in atto misure per contrastare gli agenti di minaccia, ovvero quelle entità a cui va imputata una minaccia in questo caso un “trattamento verbale improprio”.

Tipi di trattamenti verbali impropri - Un trattamento verbale improprio può essere effettuato su base volontaria o involontaria, in modo diretto o indiretto. Nel caso di trattamenti diretti l’agente di minaccia è rappresentato da chi effettua il trattamento, mentre nel caso di trattamenti indiretti si ricorre ad un agente (persona/dispositivo) esterno. Di seguito una lista di esempi di trattamenti verbali impropri.

Fornire dati nei seguenti modi:

- senza assicurarsi dell’identità dell’interessato; a soggetti non autorizzati, i quali, tramite tecniche di ingegneria sociale, potrebbero accedere ad informazioni loro precluse; a seguito di minacce che possono essere esercitate in varie forme, ad esempio attraverso l’uso improprio di informazioni privilegiate, tecniche minatorie, sfruttamento della posizione gerarchica, ecc.;

- tramite il ricorso a terzi (persone apparentemente non interessate al trattamento in questione) o a dispositivi, per esempio gli smartphone, che possono essere anche attivati a distanza.

Ancora: diniego nel fornire informazioni (afferenti al trattamento dei dati); fornire dati parziali o errati (minando quindi l’integrità degli stessi); rifiutarsi di trattare delle informazioni/richieste dell’interessato; non permettere/ostacolare l’interessato di esercitare i propri diritti od ottenere informazioni.

Le misure organizzative

Ovviamente le misure organizzative sono quelle prevalenti e di norma sotto forma di istruzioni da fornire agli autorizzati. Le istruzioni possono essere supportate da attività di formazione, quando è necessario riferirsi a dei casi, per far comprendere quanto questa tipologia di trattamenti potrebbe influire sugli interessati.

Peraltro, questi trattamenti potrebbero riguardare anche dati aziendali e, quindi, le misure da mettere in campo sono volte a tutelare un insieme ben più ampio di informazioni.

Tra le misure organizzative va previsto anche il controllo ad intervalli della presenza di microspie o telecamere nascoste sia se effettuata internamente sia tramite il ricorso a società esterne che effettuano tali verifiche.

Il Codice Etico e le istruzioni - Ovviamente, in un sistema integrato, le indicazioni sulla gestione delle informazioni verbali, tra cui anche i trattamenti, dovrebbero essere fornite anche nel Codice Etico, ove, di norma, più che le istruzioni si dovrebbero indicare i principi a cui attenersi, lasciando alle istruzioni la descrizione, di taglio più operativo, delle misure da porre in atto. Tra le azioni, che possono essere esercitate dall’autorizzato per effettuare trattamenti impropri, alcune (si pensi al caso di “ottenere informazioni tramite minacce”), rientrano nel perimetro dei reati D.lgs 231/2001 e quindi sono già considerate da quest’ultimo.

Le istruzioni dovrebbero, se possibile, riportare una serie di casi ed esempi, riconducibili al contesto in cui operano gli autorizzati, attraverso i quali si possono dedurre, da un lato, le misure da applicare, e dall’altro i comportamenti vietati.

In ogni caso sia il Codice Etico che le istruzioni dovrebbero, sulla base di uno scadenziario, essere verificati ad intervalli per valutarne l’adeguatezza.

Le misure tecniche

Le misure tecniche sono di norma in capo al Titolare, che rende disponibile le risorse per metterle in pratica. Esempi di queste misure: pareti fonoassorbenti, quando il caso, per non lasciar trapelare il contenuto delle conversazioni; utilizzo di App che possano rilevare microspie; utilizzo di telecamere nascoste e di altri rilevatori di microspie

Conclusioni

Il tema del rispetto della privacy nell’ambito dei trattamenti verbali è più complesso di quanto possa risultare ad una prima analisi; le istruzioni possono supportare gli autorizzati, i quali devono prestare attenzione anche a segnali deboli, come un cellulare “dimenticato” da un collega, che potrebbe rilevarsi un agente di minaccia. Nel continuo aggiornamento e miglioramento della valutazione dell’efficacia delle misure, dovrebbero essere considerate anche quelle afferenti ai trattamenti verbali, laddove non già considerato.

(Testo di Monica Perego - Membro del Comitato Scientifico di Federprivacy, docente qualificato TÜV Italia e docente del Master Privacy Officer e Consulente della Privacy)