La sanzione comminata all’INPS nel 2018 (e confermata recentemente dal Tribunale di Roma, a seguito del ricorso presentato dall’Istituto) per l’utilizzo di un sistema automatizzato per la profilazione degli utenti al fine di scoprire le finte assenze per malattia ripropone alcuni temi di capitale importanza nella gestione della privacy degli utenti.
Un fine certamente più che condivisibile, ma le misure intraprese per perseguirlo non erano corrette.
La prima questione che emerge è che per affrontare gli adempimenti richiesti, ci possono essere tanti sistemi organizzativi diversi, ma la riprova dell’esattezza delle misure adottate c’è solo nel momento in cui si passa al vaglio delle attività di verifica del Garante poiché l’unico punto fermo del GDPR è che non ha punti fermi.
Questo tipo di impostazione è dovuto al principio di accountability che ribalta le responsabilità applicative sulla singola organizzazione, non essendoci una regola generale, ma valutando caso per caso e costruendo un vestito su misura.
Ad aumentare l’incertezza applicativa, sono in arrivo Linee Guida per i vari settori, regole deontologiche ed altre misure di garanzia che fanno sì che il lavoro di adeguamento del sistema organizzativo non abbia mai un termine in senso temporale, ma sia un processo in continuo divenire.
Questo comporta un’attenzione continua ad ogni aspetto di sicurezza, ma anche agli aspetti procedurali, documentali e di sistema, al fine di essere in regime di conformità ed evitare pesanti sanzioni.