Con la prossima entrata in vigore, a partire dal 15 luglio, del decreto legislativo n. 24/2023 (DLWB24) di recepimento della normativa UE che aggiorna le disposizioni sulle segnalazioni whisteblowing (WB), entrerà in vigore anche una nuova forma di tutela per la privacy.

La nostra Costituzione considera (art. 32) la “tutela la salute come fondamentale diritto dell'individuo e interesse della collettività”; nell’ambito del mondo del lavoro, la principale norma di riferimento è il Dlgs. 9 aprile 2008, n. 81) “Testo unico sulla salute e sicurezza sul lavoro” (TUSSL); inoltre l’art. 2087 del Codice civile sulla “tutela delle condizioni di lavoro” che richiede all’imprenditore di adottare le misure necessarie a “tutelare l’integrità fisica e la personalità morale dei prestatori di lavoro”.

Per leggere questo articolo devi essere registrato ed effettuare il login!

Si può definire il rischio operativo l’insieme dei rischi che una organizzazione, pubblica o privata che sia, può trovarsi ad affrontare nei suoi processi operativi volti a realizzare, tramite la produzione di beni e servizi, i propri obiettivi. I rischi, possono derivare da diverse cause - come l’inadeguatezza dal design dei processi all’assetto dei sistemi operativi, alle connotazioni della compagine e eventi di origine esterna – dando luogo a impatti negativi sul patrimonio, sulla reputazione o sull'assolvimento dei compiti.

I documenti di riconoscimento delle persone riportano e costituiscono dei dati personali particolarmente delicati in quanto tramite di essi, soprattutto nel mondo digitale, dove le interazioni hanno effetti non meno reali di quelle del mondo fisico, possono essere utilizzati (trattati) in maniera non lecita se non fraudolenta, con rapidità immediata e in qualsiasi parte del globo. Infatti, la digitalizzazione dei servizi moltiplica le occasioni in cui occorre farsi riconoscere, rispetto al mondo reale, tramite documento di identità.

Fra poco il GDPR compirà i primi cinque anni di vigenza e molte esigenze, questioni, problematiche sono sorte e sono state affrontate dalle Autorità Garanti e dagli addetti del settore, per cercare di governare la complessità crescente che caratterizza il trattamento e la tutela dei dati personali.  In questa sede ci si sofferma sull’ articolazione dei ruoli privacy, per vagliare se la predetta complessità possa essere fronteggiata con un più ampio ventaglio di figure specialistiche rispetto alla triade titolare / responsabile del trattamento e persone da loro autorizzate al trattamento.

Nell’era dei big data e dell’intelligenza artificiale, la disponibilità di informazioni e di processarle è un fattore competitivo essenziale per le imprese private come per le organizzazioni pubbliche.  Ma gestire informazioni significa, come ben sa chi si occupa di data management, impegno di risorse per acquisire database o anche individuali, selezionare le informazioni forti da quelle che costituiscono rumore di fondo, processarle in maniera corretta.

L’affermazione armonizzata del GDPR nei vari Paesi dello Spazio Economico Europeo (SEE) è un percorso "in progress". La sezione VII del GDPR “Cooperazione e coerenza” prevede meccanismi di interazione fra le varie Autorità privacy nazionali”, con il coinvolgimento se del caso della Commissione europea; un ruolo importante è assegnato al Comitato europeo per la protezione dei dati (EDPB), di cui si rammenta la "Letter to EU Commission on procedural aspects" inviata alla Commissione il 7 ottobre dello scorso anno per proporre una “wishlist” finalizzata all’armonizzazione di procedure e pratiche delle Autorità garanti nazionali.

Nel 2008 Chris Anderson, l’allora direttore di Wired, scrisse un articolo intitolato “The End of Theory : The Data Deluge Makes the Scientific Method Obsolete”, che diede luogo a molte discussioni su questa fine, generata dai big data il cui sfruttamento avrebbe consentito di mettere da parte la ricerca basata sul metodo scientifico. La correlazione statistica viene celebrata come specchio della realtà, senza bisogno di alcun tipo di mediazione teorico-interpretativa per leggere i dati. Insomma: la morte della teoria, dell'interpretazione.

La tematica del whistleblowing sta rientrando nell’agenda delle organizzazioni pubbliche e private, delle società di consulenza e servizi e, last but not least, degli Responsabili della Protezione dei Dati (DPO) e di tutti gli altri soggetti che a diverso titolo si occupano di privacy, attesa la imminente entrata in vigore del decreto legislativo di recepimento della direttiva UE 2019/1937 “riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione”.

L’indagine sui rischi che le organizzazioni si trovano ad affrontare nel mutevole e turbolento contesto planetario, periodicamente condotta sotto l’egida dell’ECIIA (European Confederation of Institutes of Internal Auditing) registra il permanere, in prima posizione, di quello “Cybersecurity and data security”, anche nelle previsioni a tre anni. Continua, fra quelli censiti, a restare nelle posizioni più basse quello attinente a “Health, safety and security” (SSL), presumibilmente per la maggiore strutturazione normativa, governabilità e assetto dei controlli che lo connota.