La celebrity blacklist dei rider: spunti di riflessione GDPR

Se l’informazione è potere noi rider liberiano i dati“.

Continua la protesta dei rider contro i vip che non lasciano la mancia. Si torna a parlare dello scontro tra la #gigeconomy e la Data Economy e delle ripercussioni che tale vicenda ha assunto su scala globale con particolare riguardo alla protezione dei dati personali.

Lo scorso 25 Aprile sulla pagina Facebook di “Deliverance Milano”, Associazione creata e gestita dal collettivo di rider precari, è stato diffuso un elenco di tutte le star e i vip che regolarmente ordinano cibo a domicilio utilizzando app di food delivery (come Deliveroo, Foodora, JustEat, UberEats, Glovo).

Inizia così la storia della c.d. #blacklist dei #rider, una lista dove attualmente compaiono 25 nomi e cognomi tra “attori, presentatori, cantanti, calciatori, sportivi, musicisti, rapper, influencer” che “non lasciano la mancia a nessun fattorino, nemmeno in caso di pioggia!”. In buona sostanza, dunque, la lista non si limita a diffondere dei semplici nominativi di personaggi famosi, ma sembrerebbe associare a tali nominativi delle abitudini di acquisto legate “all’essere fedeli clienti” dei principali operatori nel settore del #food delivery. E’ evidente, peraltro, che associare il nominativo di un determinato personaggio ad un certo brand ha significative ripercussioni tanto sull’immagine del brand stesso, quanto sulla vita/sfera privata dell’interessato.

Se da un lato, la natura dei #dati personali diffusi (nome e cognome nella gran parte dei casi), non suscita di per sé grande impatto, dall’altro è significativo come lo sfruttamento di dati personali di soggetti (che per quanto “noti” sono pur sempre comuni consumatori) sia stato elevato ad arma nell’ambito di una battaglia sociale che vede da tempo attivi i rider al fine di veder riconosciuti i propri diritti quale autonoma categoria professionale.

In altri termini, la vicenda costituisce un chiaro esempio di come, ad oggi, è ormai comunemente radicata la consapevolezza del valore monetario dei dati personali nell’ambito della c.d. #Data Economy e del rilievo che questi hanno nel condizionare le scelte dei big del nuovo mercato globale.

Si assiste quindi alla “nascita sociale” del dato personale quale bene giuridico autonomo e di una nuova tipologia di “consumatore”, cioè l’“#interessato” (così come definito dal #GDPR) che conosce il valore dei propri dati e presta maggiore attenzione alla loro condivisione. Nello stesso post dei rider si evince chiaramente tale consapevolezza laddove si afferma come le realtà aziendali del settore generano “gran parte dei propri introiti, attraverso un enorme giro di affari che si basa sulla #profilazione dei nostri dati, prodotti in quanto utenti, da clienti e lavoratori […]”.

In tale contesto, è sicuramente utile domandarsi se e come questa situazione – abbastanza “cristallizzata” da un punto di vista “social” – sia stata gestita (o non gestita) dai big della food delivery con riferimento agli adempimenti imposti dalla normativa privacy attualmente vigente.

In particolar modo, dalla vicenda in questione emergono due criticità in ambito GDPR:
l’incertezza normativa legata alla natura del rapporto lavorativo (subordinato o autonomo) dei rider che si ripercuote sulla loro qualificazione lato privacy, in quanto soggetti che trattano per diverse finalità (profilazione inclusa) dati personali in nome e per conto dei #Titolari del Trattamento (ovvero i big della food delivery).
la presunta assenza di adeguate #misure tecniche e organizzative che i Titolari del Trattamento dovrebbero invece garantire ex art. 32 GDPR a tutti gli interessati (a prescindere dal fatto che gli stessi siano “personaggi” famosi o meno), direttamente e anche tramite i propri fornitori/provider di servizi, tra cui i rider stessi.

In assenza di un quadro documentale che consenta di fornire adeguate risposte a queste problematiche #privacy, viene spontaneo domandarsi quanto segue:

Questi “terzi fornitori di servizi con i quali condividiamo le tue informazioni” (come si legge ad esempio nell’informativa privacy pubblicata sul sito di Deliveroo), sono stati correttamente responsabilizzati prevedendo un’adeguata istruzione/formazione degli stessi da parte del Titolare del Trattamento? Quali clausole a presidio dei diritti degli interessati sono state inserite nel contratto (ove esistente) con i rider stessi?

La presente vicenda sembrerebbe suggerire una risposta negativa ad entrambi i quesiti. La stessa consente però di riflettere sulla duplice importanza della normativa GDPR: lato azienda, come processo da inglobare nell’organizzazione aziendale per massimizzare il profitto (e non semplice adempimento legislativo e/o burocratico); lato interessato, come strumento utile per tutelare i diritti personali in un mercato globale in costante cambiamento.

Codici di condotta: il punto di vista di Insurance Europe | Federazione europea delle assicurazioni

Ribadita la grande opportunità di poter fornire un feedback specifico relativo ai primi 10 mesi di applicazione del GDPR, Insurance Europe risponde ai #progetti di #linee guida sui codici di #condotta ed al questionario della Commissione europea, sottolineando in primo luogo l’onerosità finanziaria ed organizzativa per lo sviluppo dei codici in questione e per l’individuazione ed il mantenimento degli organismi di #controllo, superiori addirittura, a loro dire, ai vantaggi ottenibili dall’avere un codice.

Entrando un pochino nel dettaglio delle risposte date al questionario, sottoposto dalla Commissione europea e volto a capire le opinioni e le preoccupazioni del settore, sono emerse alcune criticità per gli addetti al settore, tra cui:

– le #sfide per le compagnie assicuratrici relativamente al trattamento di dati di natura #sanitaria stante la presenza di basi giuridiche diverse negli Stati membri legittimanti il trattamento stesso
– la difficoltà di aggiornare i sistemi informatici in modo tale che gli stessi rispondano ai criteri di #Privacy by #Design e by Default
– la difficoltà, alcune volte, di classificare un fornitore come #Processor o #Controller

Alla domanda su quali fossero le sfide del settore in termini di compliance al GDPR, interessante la risposta fornita, secondo la quale molte riguarderebbero la data #retention, relativamente a:
– corretta identificazione delle tempistiche, tenuto conto delle particolari situazioni che nel settore richiederebbero una maggiore conservazione;
– implementazione di misure di #cancellazione, sul presupposto di una centralità di sistemi e di data base per applicazione e di una possibile non corrispondenza a seguito di cancellazione;
– durata del #processo di cancellazione determinato dall’elevato numero di dati da cancellare, dalla capacità di cui deve essere fornito il sistema e dalla necessità che ciò avvenga solo nel momento in cui l’applicazione su cui deve avvenire la cancellazione non sia in uso;
– necessità di avere a disposizione dati storici per i calcoli attuariali cosa che determina un processo di salvataggio e trasformazione dei dati prima della cancellazione.

Per saperne di più e rimanere aggiornato chiedi ai nostri esperti, #AssoDPO.
Fonte: DataGuidance; Insuranceeurope;

L’uso improprio dei dati personali nelle #campagne politiche europee

In vista delle prossime elezioni europee, il 13 marzo scorso l’EDPB ha adottato la “Dichiarazione 2/2019 sull’uso di dati personali nel corso di campagne politiche”.

È infatti ormai noto, soprattutto a seguito dello scandalo cha ha coinvolto Cambridge Analytica, come i partiti politici, le coalizioni politiche e i candidati ricorrano in misura crescente all’impiego di dati personali e di tecniche sofisticate di #profilazione per monitorare e indirizzare gli elettori e gli opinion leader. Gli elettori sono esposti a #messaggi e informazioni altamente personalizzati, in particolare sulle piattaforme dei social media, in base ai rispettivi interessi, abitudini e valori.

Al fine di tutelare i diritti fondamentali, quali la #libertà di espressione e di opinione e #la libera manifestazione del pensiero senza manipolazioni, l’EDPB – premesso che i dati personali che rivelano opinioni politiche costituiscono #una categoria particolare di dati il cui trattamento è in linea di principio vietato salvo specifiche eccezioni –  ha indicato una serie di elementi essenziali da rispettare nel trattamento di dati personali nel corso delle attività elettorali:

1. il trattamento deve essere lecito, quindi deve essere, ad esempio, autorizzato da un #consenso esplicito, specifico, pienamente informato e libero dell’interessato o deve riguardare dati personali che sono stati #resi pubblici o altrimenti condivisi dai singoli elettori;

2. deve essere rispettato l’obbligo di garantire #trasparenza e informazioni sufficienti alle persone che sono oggetto di analisi e i cui dati personali vengono trattati;

3. in caso di campagne mirate, è necessario fornire agli elettori #informazioni adeguate che spieghino per quale motivo ricevono un messaggio particolare, chi ne sia responsabile e come possano esercitare i loro diritti in qualità di interessati.

Con il medesimo obiettivo, il Parlamento europeo e il Consiglio dell’Unione europea hanno adottato il 19 marzo scorso alcune norme tese a prevenire l’uso improprio dei dati personali da parte dei partiti politici, che modificano il Regolamento n. 1141/2014 relativo allo statuto e al finanziamento dei partiti politici europei e delle fondazioni politiche europee. Tali norme consentiranno di imporre #sanzioni finanziarie ai partiti politici europei e alle fondazioni politiche europee che influenzano deliberatamente, o tentano di influenzare, i risultati delle elezioni del Parlamento europeo approfittando di violazioni delle norme in materia di protezione dei dati attraverso una preventiva procedura di verifica.

Fonte: EDPB & Consiglio dell’Unione Europea

Task force americana sulla sicurezza nelle scuole e la privacy degli studenti

Gli sforzi da porre in essere per mantenere gli istituti scolastici al sicuro devono mirare a tutelare sia la #privacy che la dignità di tutti gli studenti, così come il loro diritto ad un’educazione egualitaria.”

Questo quanto dichiarato martedì 26 marzo da quaranta organizzazioni americane appartenenti al mondo dell’istruzione, della privacy, dei diritti dei disabili e dei diritti civili, che hanno individuato dieci principi finalizzati ad orientare le scelte del mondo politico e dell’istruzione circa le misure di sicurezza da implementare negli istituti scolastici.

Di fronte ai governi di diversi Stati d’America, che implementano misure di #sicurezza sempre più invasive della #riservatezza degli studenti, lo scopo è quello di porre l’attenzione su soluzioni che siano sicure, ma al contempo tutelanti della privacy sia degli #studenti che delle loro famiglie.

Le organizzazioni americane pongono maggiore attenzione su quei sistemi che implicano un vero e proprio #monitoraggio degli studenti, non solo fisico ma anche digitale, tra cui i sistemi di #videosorveglianza, i quali sono sempre più usati nelle scuole americane ma senza adeguate garanzie per gli interessati al trattamento.

In particolare, le organizzazioni rivendicano una necessità di chiarezza circa le tipologie di dati personali raccolti, i soggetti che avranno accesso a quei dati, per quanto tempo gli stessi saranno conservati, come e/o con chi i dati verranno condivisi, e sottolineano necessità di #trasparenza nei confronti non solo degli studenti, ma anche dei loro famigliari e degli stessi educatori scolastici.

Le organizzazioni insistono infine sul fatto che non possono essere utilizzati esclusivamente #algoritmi per decidere se lo studente possa essere classificato come una minaccia all’interno della realtà scolastica, ma che debba essere garantito l’intervento umano dei dirigenti scolastici, e che le famiglie dovrebbero avere l’opportunità di accedere alle informazioni che hanno permesso di catalogare i propri figli come pericolosi.

Fonte: www.linkedin.com

Matteo Colombo, presidente di ASSO DPO: “I Data Protection Officer italiani pronti per l’Europa”

Ecco un estratto dell’intervista di Key4biz al presidente dell’Associazione ASSO DPO:

Key4biz. L’8 e il 9 maggio 2019 si terrà a Milano il quinto congresso annuale di ASSO DPO. Un appuntamento di rito e di networking per i DPO italiani ed europei sul futuro del Data Protection Officer?
Matteo Colombo. Il congresso è l’evento più importante a livello associativo, perché riunisce tutti gli stakeholder: dalle Autorità Garanti Ue per la protezione dei dati personali alle associazioni privacy europee fino ai Data Protection Officer delle multinazionali e delle PA. Insieme affronteremo i principali problemi di Data Protection in Italia e in Europa per trovare soluzioni con una normativa condivisa, il GDPR.

Key4biz. Torniamo al DPO e al suo il profilo. Formazione giuridica, formazione tecnico-informatica o multidisciplinarità?
Matteo Colombo. Prima di tutto occorre la passione e, immediatamente, a seguire la formazione multidisciplinare, perché per la gestione e la protezione dei dati è fondamentale sia la preparazione giuridica che quello tecnico-informatica, senza trascurare le conoscenze dei processi aziendali. Sono questi i tre requisiti imprescindibili, nel loro complesso.

Leggi l’intervista completa di Key4biz >