L’uso delle piattaforme web per meeting, videoconferenze, motivi di smart working e didattica a distanza presenta notevoli impatti sul trattamento dei dati personali. Occorre consapevolezza riguardo ai rischi, alle norme e ai diritti in relazione ai trattamenti.

L’emergenza Covid-19 ha determinato la necessità di rinunciare alle riunioni in presenza fisica e personale e privilegiare il ricorso a strumenti quali le piattaforme web per meeting, webinar e collaborazione da remoto. In questo periodo è diventato uno strumento essenziale per i team di piccole, medie e grandi dimensioni – si tratti di PMI o studio professionale – che hanno la necessità di garantire e continuare i flussi di lavoro quotidiani con possibilità di tenere videoconferenze, lezioni online e corsi didattici di ogni genere senza che ci sia bisogno di essere contemporaneamente e contestualmente presenti all’interno dei rispettivi uffici.

L’intenso utilizzo di qualunque piattaforma da un lato permette una comunicazione rapida e facile da utilizzare, dall’altro introduce la necessità di adottare quelle cautele che normalmente venivano utilizzate nella normale attività lavorativa ovvero quelle opportune se non necessarie “misure di sicurezza” che normalmente si osservano in un normale contesto lavorativo e/o quotidiano.

Il singolo utente – si tratti di PMI o studio professionale – si trova a dover gestire due tipologie di relazione che presentano ricadute su aspetti e questioni privacy. Prima di tutto dovrà disciplinare i rapporti con il soggetto fornitore del servizio di piattaforma web per meeting, webinar e collaborazione da remoto; successivamente deve informare i propri interlocutori degli aspetti legati all’utilizzo di detti strumenti.

Riguardo il primo aspetto, l’utente dovrà scegliere tra i diversi profili di utilizzo (e costo), individuando il prodotto che meglio si adatta alle proprie esigenze e alle tipologie di utilizzo. È quindi necessario ricorrere ad uno strumento contrattuale che preveda e disciplini le rispettive prestazioni compresi gli aspetti di sicurezza e privacy relativi al trattamento dei dati personali sia dell’utente che acquista il servizio, sia degli utenti – clienti o fornitori – che utilizzeranno le funzionalità del servizio medesimo in base al rapporto con il primo. La piattaforma consente di creare uno spazio virtuale in sostituzione e alternativo rispetto a quello reale. In tale spazio si svolgono quelle attività che fino a poco meno di 3 mesi fa avvenivano con la contemporanea e contestuale presenza degli interessati, mentre ora devono, prima ancora che possono, avvenire a distanza e da remoto. L’utente che fornisce la prestazione lavorativa, il servizio o l’attività di formazione a distanza, agisce quale “titolare del trattamento dei dati personali” e il fornitore del “servizio di piattaforma web per meeting, webinar e collaborazione da remoto” interviene quale “responsabile del trattamento dei dati” in base all’art. 28 del Reg.UE 679/2016. Il fornitore deve garantire che si limiterà a quanto strettamente necessario per la fornitura dei servizi richiesti, senza l’effettuazione di operazioni ulteriori, preordinate al perseguimento di finalità proprie del fornitore stesso.

L’utente titolare del trattamento dei dati deve informare i propri interlocutori e fornire loro indicazioni circa l’utilizzare degli strumenti e delle funzionalità del “servizio di piattaforma web per meeting, webinar e collaborazione da remoto”. Deve infatti rappresentare e descrivere le attività di trattamento dei dati personali compiute per effetto del rapporto instaurato, analogamente a quanto avviene durante lo svolgimento delle medesime attività in presenza fisica delle persone.

Riguardo entrambi gli aspetti l’utente è chiamato ad adottare adeguate precauzioni per la tutela della propria privacy e la sicurezza dei dati personali di tutti i soggetti interessati e coinvolti nelle attività svolte mediante gli strumenti e le funzionalità offerte da tale servizio. Il trattamento dei dati degli utenti partecipanti svolti dalla piattaforma quale responsabile del trattamento nominato dall’utente “titolare” deve limitarsi a quanto strettamente necessario per la fornitura dei servizi richiesti ai fini della fornitura del “servizio di piattaforma web per meeting, webinar e collaborazione da remoto”, senza l’effettuazione di operazioni ulteriori, preordinate al perseguimento di finalità proprie del fornitore stesso.

In particolare il soggetto che sottoscrive il contratto relativo alla fornitura del “servizio di piattaforma web per meeting, webinar e collaborazione da remoto” deve precisare che il fornitore interviene quale responsabile del trattamento dei dati personali in base all’art. 28 del Reg.UE 679/2016 e dovrà pertanto accertare che lo stesso garantisca:

• di rispettare le disposizioni previste dal Reg.UE 679/2016 nelle attività di trattamento dei dati personali degli utenti fruitori delle funzionalità del “servizio di piattaforma web per meeting, webinar e collaborazione da remoto” per effetto del rapporto con l’utente “titolare”
• di rispettare le misure di sicurezza tecniche per la protezione dei dati personali secondo gli standard ritenuti adeguati in base alle norme tecniche ISO 27001/2018, ISO 27701/2019, ISO 29134/2018 e ISO/29151 ovvero degli standard “ENISA On-line tool for the security of personal data processing”
• di precisare che laddove le attività di trattamento siano svolte ed eseguite al di fuori dello Spazio Economico Europeo, il trasferimento dei dati personali verso Paesi terzi o organizzazioni internazionali rispetta le disposizioni di cui Reg.UE 679/2016 “Capo V - Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali” ovvero in base a specifiche decisioni di adeguatezza o strumenti e soluzioni di cui al https://www.garanteprivacy.it/home/provvedimenti-normativa/normativa/normativa-comunitaria-e-internazionale/trasferimento-dati-estero prima tra tutti l’adesione al Privacy Shield program
• di indicare i riferimenti del Rappresentante di titolari e responsabili del trattamento stabilito al di fuori dell’UE ai fini dell’applicazione del Reg.UE 679/2016

Il “titolare” comunica ai propri interlocutori gli aspetti legati all’utilizzo degli strumenti e funzionalità del “servizio di piattaforma web per meeting, webinar e collaborazione da remoto” condividendo:

• l’informativa del fornitore del servizio relativa alle operazioni e attività di trattamento dei dati personali ai sensi dell’art. 13 Reg. (UE) 2016/679;
• l’informativa relativa alla descrizione delle attività svolte tramite l’utilizzo degli strumenti e funzionalità del “servizio di piattaforma web per meeting, webinar e collaborazione da remoto”.

Sicuramente non risulterà ultroneo acquisire specifica dichiarazione relativa alla prestazione del consenso circa l’essere stati informati e aver acconsentito a che i propri dati personali saranno trattati in maniera inscindibilmente correlata tra loro e connessa all’erogazione dei servizi richiesti, a condizione sempre che siano adottate modalità tali da garantirne la sicurezza e la riservatezza, da parte del titolare per:

• finalità strettamente connesse all’attivazione e successiva esecuzione degli obblighi derivanti dai rapporti contrattuali o per lo svolgimento di attività pre-contrattuali (ad esempio acquisizione d’informazioni preliminari alla conclusione di un contratto con l’interessato, esecuzione di operazioni sulla base degli obblighi derivanti dal contratto concluso con l’interessato, adempimento di specifiche richieste dell’interessato);
• finalità connesse agli obblighi rivenienti da leggi e da regolamenti, dalla normativa comunitaria, nonché da disposizioni impartite da autorità a ciò legittimate dalla legge.

Ultima, ma non meno importante, analoga dichiarazione da acquisire ai fini del rispetto di tutti i partecipanti alla riunione e quindi al rispetto delle norme di comportamento che nel mondo web sono da sempre conosciute come netiquette e che nel mondo reale sono normale e giusta educazione.