ALTRIMENTI SI VIOLA LA PRIVACY, AFFERMA PRONUNCIA DEL GARANTE
di Antonio Ciccia Messina
Algoritmi sotto il controllo umano. Altrimenti si viola la privacy. Il principio è stato applicato dal Garante a una società di consegna pasti a domicilio (provvedimento n. 285 del 22/7/2021). Si tratta di un’ingiunzione, che infligge la sanzione di 2,5 milioni di euro e che sottolinea la necessità che gli algoritmi siano trasparenti e siano usati azzerando il loro effetto discriminatorio. Nella pronuncia si considera anche la violazione della privacy quale effetto della violazione del divieto di controllo a distanza dei lavoratori (articolo 4 della legge 300/1970).
Algoritmi. La società di consegna cibi a domicilio usa un sistema di calcolo elettronico basato su algoritmi. Dall’uso di tali algoritmi deriva la profilazione degli addetti alla consegna (rider) e dalla profilazione deriva la possibilità per gli stessi vedersi assegnati gli ordini nonchè la prenotazione dei turni di lavoro. In sostanza la gestione del lavoro è affidata all’elaboratore elettronico. La legislazione sulla privacy (in particolare l’articolo 22 del regolamento Ue n. 2016/679 o Gdpr) limita le profilazioni e dà alle persone schedate alcuni diritti: sapere come funziona l’algoritmo, dire la propria e opporsi al risultato elaborato dalla macchina, chiedere l’intervento umano a correzione dei risultati del calcolo elettronico. Inoltre, l’algoritmo deve avere una sua coerenza interna e non deve applicare formule inique o sproporzionate. In mancanza l’algoritmo deve arretrare e chi lo usa viola il Gdpr. Ciò vale, ovviamente, per tutti i titolari di trattamento, comprese le piattaforme dei cosiddetti social network, che pure continuano a svolgere trattamenti profilativi su larga scala.
Controllo a distanza. Il garante sottolinea che la violazione delle norme sui controlli a distanza previste dallo Statuto dei lavoratori produce due illeciti e comporta due sanzioni: oltre a quella disposta dalla legge 300/1970, deve essere irrogata la sanzione prevista dall’articolo 83 del Gdpr.
Altre violazioni. Nello specifico la società di consegna cibo a domicilio ha inanellato una lunga serie di violazioni del Gdpr: non ha dato informazioni specifiche ai rider sulle profilazioni, non ha compilato correttamente il registro dei trattamenti, non ha redatto una valutazione di impatto privacy, non ha comunicato al garante il nome del responsabile della protezione dei dati. Sul punto, a prescindere dal provvedimento in esame, va sottolineato che tutte le disposizioni del Gdpr su adempimenti delle imprese, principi e diritti dell’interessato sono sostenuti da sanzione pecuniaria in caso di violazione.
Whistleblowing. Crittografia obbligata per tutelare l’identità del whistleblower (chi segnala episodi di corruzione in una pubblica amministrazione o in un’impresa). Il Garante lo ha ricordati sanzionando un ente (provvedimento n. 235 del 10/6/2021), il quale ha adottato un software che non garantiva la criptazione degli accessi alla piattaforma on line utilizzata per le segnalazioni. Inoltre, mediante i log (registrazioni informatiche), si conservavano informazioni sull’accesso all’applicativo da parte dei dipendenti connessi alla rete aziendale. Tradotto: chi doveva poter contare sull’anonimato per segnalare gli illeciti era riconoscibile. La conseguenza di tutto ciò è stata una sanzione di 40 mila euro per l’ente. E va aggiunta anche una sanzione di 20 mila euro per il fornitore dell’applicativo. Proprio i fornitori devono fare molta attenzione, perché non possono ribaltare la responsabilità in toto sull’utilizzatore del software.
Tabulati. Troppo lunghi i termini di conservazione dei tabulati telefonici e telematici a fini di giustizia (prevenzione e repressione reati). Il Garante ne ha chiesto la riduzione con una segnalazione (del 22/7/2021) al parlamento e al governo. Dopo la sentenza della Cgue del 2 marzo 2021, resa nella causa C-746/18, secondo il Garante, è eccessivo il termine di sei anni per la conservazione dei tabulati (legge 167/2017).
Fonte: 