Dopo oltre tre anni di applicazione del GDPR l’attenzione su casi specifici che possono incontrare i DPO e i privacy manager diventano sempre più complessi e articolati. Rispetto alla precedente normativa, l’introduzione del principio di accountability ha aperto nuove prospettive e un diverso approccio alla gestione della data protection. Un caso da considerare per riflessioni su come gestire questo tema è l’acquisizione di aziende.
L’acquisizione di aziende
Se consideriamo la definizione che il Regolamento europeo sulla protezione dei dati fornisce del titolare del trattamento dei dati personali:
“Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento.” (art.24 GDPR)
Notiamo come ogni impresa potrebbe avere una data protection con specificità che possono essere completamente diverse da un’altra azienda. Di fatto chi acquista potrebbe trovare misure di sicurezza tecniche, ma soprattutto organizzative, in quanto scelte su alcuni strumenti previsti dal GDPR, diversi dai propri.
Il primo passo è considerare la categoria o il settore industriale dove le aziende, acquirente e acquisito, operano. Un settore meramente produttivo potrebbe essere meno complesso, rispetto ad aziende di servizi o marketing.
Escludiamo per semplicità di trattazione che qualcuno abbia applicato male il GDPR, anche perché in questo caso la complessità delle attività da svolgere potrebbe creare non pochi problemi. Inoltre, ormai, nelle varie attività che compongono la due diligence non può mancare anche un audit sui dati presenti in azienda e la data protection, con diverse angolazioni e intensità di analisi in base al tipo di settore produttivo o di servizi delle aziende.
Bisogna inoltre considerare che una impresa può essere acquisita per diversi motivi, tra i quali:
- acquisizione del portafoglio clienti B2B
- accesso al database consumatori, B2C
- integrazione delle competenze professionali
e così via considerando casi specifici dove il dato è particolare rilevante.
La protezione dei diritti e delle libertà nei rapporti di lavoro
Adottando un approccio a spirale, il primo passo per uscirne è considerare i dati personali dei dipendenti e in generale l’applicazione del GDPR in questo contesto. L’art.88 del GDPR rimanda agli Stati membri che “possono prevedere, con legge o tramite contratti collettivi, norme più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro”.
In Italia dobbiamo ricordare due disposizioni normative importanti, lo Statuto dei Lavoratori e le Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati (docweb 1364099, Deliberazione 53 del 23 novembre 2006).
Il secondo contiene una ricca disamina di tutti gli aspetti riguardanti il trattamento dei dati dei dipendenti. In particolare, il Garante sottolinea nel paragrafo 3.2:
“Le società che appartengono a gruppi di imprese individuati in conformità alla
legge (art. 2359 cod. civ.; d.lg. 2 aprile 2002, n. 74) hanno di regola una distinta ed autonoma titolarità del trattamento in relazione ai dati personali dei propri dipendenti e collaboratori (artt. 4, comma 1, lett. f) e 28 del Codice).
Tuttavia, nell’ambito dei gruppi, le società controllate e collegate possono delegare la società capogruppo a svolgere adempimenti in materia di lavoro, previdenza ed assistenza sociale per i lavoratori indicati dalla legge 6: tale attività implica la designazione della società capogruppo quale responsabile del trattamento ai sensi dell’art. 29 del Codice.”
Il secondo paragrafo è un ottimo spunto per l’azienda che acquisisce per decidere, ovviamente in logica by design, di determinare quali aspetti della gestione del personale saranno gestiti dalla capofila o acquirente, e cosa viene lasciato alla gestione della vecchia azienda; sempre che invece l’acquisizione non comporti l’incorporazione.
Un primo passaggio metodologico nei casi di acquisizione è quello di avviare un inventario o censimento di tutte le misure di sicurezza tecniche e organizzative dell’azienda acquisita. Le informazioni possono essere raccolte:
- acquisendo la documentazione, come misure di sicurezza, regolamento aziendale, file log dei sistemi, un modello organizzativo privacy, l’informativa e ovviamente il registro del trattamento dei dati personali. Questo documento sarebbe la pietra angolare della data protection, ma sappiamo che molte aziende non lo hanno compilato quando non rientravano nelle condizioni previste dall’art.30 del GDPR
- raccolta dei dati sul campo, con interviste e verifiche campione dello stato dell’arte, fino anche a una serie di test sulla sicurezza, realizzati senza preavviso.
Questo tipo di informazioni consentono di identificare una serie di fattori, come:
- modalità di accesso alle postazioni di lavoro e agli uffici nel loro complesso
- sistemi di videosorveglianza
- politiche di lavoro agile (dal telelavoro allo smart working)
- intranet, software di gestione del lavoro, produttività, gestionali
- sistemi documentali, workflow
- procedura di lavoro
- governance dei dati
I lati deboli della data protection
Inoltre, esiste un responsabile protezione dei dati (DPO)? Nel caso specifico sarà utile accedere alle relazioni e audit svolti negli anni che possono aiutare a comprendere i lati deboli della data protection. Nel caso della presenza di due DPO, uno da entrambe le parti, la collaborazione di entrambi con un doppio controllo, rinforza la supervisione sulla protezione dei dati personali.
Tutto questo non può che portare a una armonizzazione della documentazione, e trasmettere di nuovo le informative aggiornate sia ai nuovi dipendenti e che ai vecchi, se l’informativa è stata modificata acquisendo contenuti derivanti dalla acquisita. Per esempio, se questa dispone di sistemi biometrici oppure sistemi documentali con un sistema di protocollo.
Le altre direzioni o dipartimenti coinvolti potranno essere l’ufficio commerciale e quello marketing. Il primo implica informative precise sul trattamento di dati personali presenti in documenti contrattuali e nei gestionali; nel secondo invece le implicazioni sono maggiori perché possono esserci database di consumatori, con una maggiore implicazione sulle modalità di raccolta del consenso per le diverse finalità previste nell’informativa, come attività di marketing, newsletter, profilazione, social network e così via. Una errata raccolta di questi elementi comporta una perdita di valore della acquisizione, ma soprattutto di rallentare fortemente le attività o l’integrazione dei dati.
Se per esempio l’acquirente non ha lo stesso schema di consensi, semmai ridotti non chiedendo la profilazione, bisognerà normalizzare i parametri secondo i principi base del nostro ordinamento. Se inoltre consideriamo che il principio opt-in regola la raccolta del consenso, bisognerà integrare le procedure e le attività di marketing per evitare violazioni del trattamento.
Un altro aspetto è quello dei fornitori nominati responsabili esterni del trattamento dei dati personali. Una criticità è quella dei contenuti delle nomine, in particolare come è stata concordata la gestione dei data breach, ma anche gli audit (verifiche periodiche), le nomine dei sub-responsabili ed eventuali clausole di responsabilità.
Non ho dimenticato l’amministratore di sistema, ma qui si aprirebbe un tema completamente nuovo.
Il tema meriterebbe un dettaglio maggiore e ogni lato di questo cubo magico andrebbe trattato separatamente. Ma senza dubbio se la spirale viene attivata dall’interno, partendo dai dipendenti, si avrà un quadro molto più puntuale di quanto si possa immaginare.
