Certificazione sulla Parità di Genere (UNI PdR 125:2022) e Protezione dei Dati: le opportunità per un DPO e l’errore di relegare l’etica al secondo posto
di VALENTINO NOTARANGELO (Referente Regionale Lazio - Associazione Protezione Diritti e Libertà Privacy APS)
Questo contributo – la verità – l’ho scritto due volte.
La prima descrivendo in terza persona, con scarsa prudenza e poca delicatezza, i potenti benefici della Certificazione sulla Parità di Genere. L’ho fatto rappresentandone soprattutto i vantaggi per coloro che ricoprono il ruolo di DPO o Privacy Manager, quotidianamente a tutela di diritti nobili e personalissimi, pur tuttavia alle prese con organizzazioni (pubbliche o private) ancora troppo spesso riluttanti nel conferire la giusta dignità alla protezione dei dati personali.
Poi ho maturato, rileggendolo, la consapevolezza impetuosa di doverlo riscrivere, con più autenticità e rigore, una seconda volta.
Questa.
Premessa
La Prassi di Riferimento (PdR) 125:2022, pubblicata ed entrata in vigore il 16 marzo 2022 in seguito a ratifica dell’UNI (Ente Italiano di Normazione), ha l’obiettivo di superare gli stereotipi di genere e di scardinare le fonti di disuguaglianza. Essa prevede la misurazione, la rendicontazione e la valutazione dei dati relativi al genere nelle organizzazioni, con la finalità di colmare i gap attualmente esistenti, nonché incorporare il nuovo paradigma relativo alla parità di genere nel DNA delle aziende e produrre un cambiamento sostenibile e durevole nel tempo.
Nella presente analisi non intendo ripercorrere l’intera struttura della norma, quanto piuttosto focalizzare ogni considerazione sul rapporto tra PdR e protezione dei dati personali, ritenendo quest’ultima strumentale e presupposto indefettibile per il conseguimento della certificazione. Lo farò, tuttavia, con lo spirito critico di chi crede fermamente nei principi etici, nella fattispecie adombrati dai contestuali benefici economici e reputazionali legati al rilascio della certificazione.
Con la pazienza del lettore curioso ed attento ai particolari, comprenderete senz’altro il punto di atterraggio di questa mia – per certi versi irriverente – riflessione.
- Prevenzione di ogni forma di abuso sui luoghi di lavoro
Nell’ambito dei requisiti della PdR, tendenzialmente di natura quantitativa e qualitativa, è prevista una specifica attenzione alla prevenzione degli abusi fisici, verbali e digitali, in attuazione di un “Piano per la prevenzione e gestione delle molestie sul lavoro”.
Il rispetto di tale requisito comporta formazione e sensibilizzazione a tutti i livelli, individuazione e valutazione dei rischi, analisi degli eventi avversi ed, altresì, la previsione di una metodologia di segnalazione anonima degli abusi, a tutela dei/delle dipendenti che segnalano.
Tale ultimo punto va letto congiuntamente alla gestione degli audit interni e delle non conformità rilevate, laddove le funzioni di controllo deputate alle verifiche del sistema devono monitorare l’adeguatezza e l’efficacia del canale di segnalazione delle violazioni, sul modello di quanto previsto dalla normativa sul “whistleblowing”.
È, difatti, proprio la PdR a richiamare in più passaggi l’istituto giuridico di origine anglosassone (divenuto ormai parte integrante del sistema normativo europeo) con il chiaro intento di assimilare, o far coincidere, le tutele previste per il whistleblower con quelle del dipendente che intenda segnalare un abuso ai sensi della disciplina sulla parità di genere.
Possiamo, pertanto, sostenere che, così come per la normativa sul whistleblowing, anche per il rispetto del requisito previsto dalla PdR giochi un ruolo di primo piano la protezione dei dati personali del dipendente, nell’utilizzo di un canale di segnalazione sicuro a tutela dell’identità di chi segnala un abuso.
- Protezione dell’identità: anonimato o riservatezza?
Un primo dubbio legittimo si pone circa l’effettiva volontà dei redattori della PdR di assicurare l’anonimato del segnalante o se possa essere considerato sufficiente garantire elevati standard di riservatezza. Un’interpretazione letterale della norma non lascerebbe spazio ad equivoci, tuttavia la riconduzione delle segnalazioni di abusi alla normativa “whistleblowing” indurrebbe a ritenere che il requisito possa considerarsi soddisfatto anche attraverso canali non anonimi, ma i cui standard di sicurezza e riservatezza siano idonei ad assicurare la protezione del segnalante.
Lo sforzo esegetico è necessario soprattutto alla luce dell’attuazione italiana della Direttiva (UE) 2019/1937 in materia di “whistleblowing”, attraverso il D.Lgs. 10 marzo 2023, n. 24, norma successiva alla pubblicazione della PdR.
Se, difatti, la Direttiva (UE) 2019/1937 già prevedeva come possibilità – non come necessità – quella di attivare canali di segnalazione anonima, lasciando agli Stati membri importanti sacche di discrezionalità in tal senso, con il Decreto di attuazione registriamo la scomparsa di ogni riferimento all’anonimato delle segnalazioni. Le stesse, infatti, possono essere effettuate per il tramite di canali che garantiscano la riservatezza dell'identità della persona segnalante, della persona coinvolta e della persona comunque menzionata nella segnalazione, nonché del contenuto e della relativa documentazione, facendo ricorso a strumenti quali la crittografia.
Vien da sé pertanto ritenere, anche alla luce delle prassi ad oggi in uso nell’ambito degli audit di terzo livello degli Enti Certificatori, che analogicamente potremmo considerare idoneo, ai sensi della PdR, un sistema di segnalazione non anonimo, bensì dotato di misure di sicurezza adeguate a tutelare la riservatezza dei dipendenti.
Ciò tanto più se indaghiamo la ratio del requisito della PdR, riassumibile in due concetti chiave: generare fiducia nel segnalante e scongiurare ogni forma di discriminazione o ritorsione nei suoi confronti.
- Il ruolo centrale della Protezione dei Dati Personali
Il rispetto del requisito sinora descritto comporta necessariamente che, ai fini dell’implementazione di un sistema/canale di segnalazione degli abusi che tuteli il dipendente da ogni forma di discriminazione, vengano implementate una congerie di misure di sicurezza tecniche ed organizzative adeguate ai rischi. È qui che entrano in gioco Privacy Manager e DPO nella definizione e validazione di tali misure, affinché siano rispettati i principi fondamentali della protezione dei dati personali.
A tali fini è senz’altro di supporto mutuare quanto già svolto (o in fase di svolgimento, in attuazione del nuovo decreto) per il trattamento di whistleblowing.
Sia il decreto di attuazione, sia le Linee Guida ANAC (quelle previgenti, in attesa di quelle in corso di emanazione a seguito del nuovo decreto) contengono, difatti, disposizioni specifiche sulle misure che un’organizzazione deve porre in essere per garantire elevati standard di sicurezza e riservatezza.
Ipotizzando l’utilizzo del medesimo canale sia per le segnalazioni WB, sia per quelle di abusi ai sensi della PdR, sarà determinante ai fini dell’analisi dei rischi (e valutazione di impatto) non solo che il sistema applicativo utilizzato adotti strumenti di crittografia, ma altresì che l’accesso dei c.d. “valutatori” (ovvero i soli che potranno prendere visione delle segnalazioni) avvenga con “strong authentication” (autenticazione a due fattori), valutazione da effettuare caso per caso anche in ragione delle specificità del contesto tecnologico, della dimensione dell’ente titolare, del numero di utenti e della ricorrenza di specifiche situazioni di criticità ambientali.
Se da un lato i dipendenti che segnalano un abuso dovranno essere informati circa il trattamento dei propri dati personali ai sensi degli artt. 13 e 14 del Regolamento UE 2016/679 (eventualmente al primo accesso al sistema, con possibilità di visualizzare l’informativa in ogni momento successivo), dall’altro i “valutatori” è bene che ricevano una specifica autorizzazione al trattamento, comprensiva di istruzioni rigorose, atte ad assicurare la massima confidenzialità circa gli attori coinvolti e l’oggetto dell’abuso segnalato.
Come indicato nella stessa PdR, formazione e sensibilizzazione a tutti i livelli devono essere alla base dell’implementazione del sistema di gestione per la parità di genere. Ciò coinvolge anche la protezione dei dati personali, nella misura in cui i dipendenti devono essere consapevoli delle misure a tutela della loro identità in caso di segnalazione e, parallelamente, i “valutatori” dovranno essere istruiti sulle responsabilità del loro ruolo.
La parola d’ordine è dunque “fiducia”: in un sistema di gestione per la parità di genere, le formalità non bastano e i dipendenti percepiranno le tutele approntate e l’effettivo cambio di paradigma dell’azienda solo ed esclusivamente se potranno fare affidamento sulla tenuta delle misure di sicurezza organizzative e tecniche implementate. Di converso, una scarsa attenzione ai profili di protezione dei dati, trasparenza compresa, può generare “sfiducia” nel sistema e, di conseguenza, una sensazione intima del permanere sostanziale delle dinamiche di discriminazione di genere.
- I vantaggi della Certificazione: etica, sgravi fiscali e premialità
“Le aziende più inclusive sono in grado di creare un valore più elevato”.
Ripercorrendo le Linee Guida sulla Parità di Genere ed i suoi indicatori quantitativi e qualitativi, compresi gli aspetti di protezione dei dati personali, ne ho percepito tutta la potenza dirompente, che affonda le radici nei retaggi della storia e si pone l’obiettivo di riscriverla, da qui in avanti.
Per la verità, a benefici di natura sociale ed etica, la Certificazione garantisce alle organizzazioni anche altri vantaggi, ovvero accesso a benefici fiscali, a premialità nelle gare e nei progetti connessi agli aiuti di Stato. Dunque, accanto al raggiungimento di un equilibrio sociale, sono previste agevolazioni di natura economica.
Quanto sinora rappresentato, ovvero il binomio inscindibile tra PdR e protezione dei dati personali, con i conseguenti vantaggi in termini etici ed economici può, in concreto, costituire una leva per Privacy Manager e DPO nei rapporti con il top management delle organizzazioni.
Difatti, inutile negarlo, ancora oggi, pur vivendo di un’economia data driven, i Consigli di Amministrazione delle aziende necessitano di essere sensibilizzati su rischi ed opportunità che la conformità alla protezione dei dati può comportare in un’azienda. Così, il personale dedito ai presidi privacy, che deve già padroneggiare competenze giuridiche ed IT, non può prescindere da doti comunicative e persuasive, da utilizzare allo scopo di poter svolgere in modo compiuto il proprio lavoro.
La PdR in questo senso offre, quindi, un assist invitante per accelerare il processo di avvicinamento degli stakeholders ai temi privacy, certamente da sfruttare per valorizzare il lavoro svolto da Privacy Manager e DPO.
- L’errore di mettere l’etica al secondo posto
Tornando a quanto rappresentato in premessa, eccomi a disvelare i motivi della ri-scrittura del presente contributo, con un atto di autocritica.
Non v’è dubbio che la Prassi di Riferimento sulla Parità di Genere sia un’opportunità per valorizzare il ruolo della protezione dei dati e dei dati personali medesimi, all’interno delle proprie organizzazioni.
Tuttavia, nel mio argomentare poco lucido, ho percepito il ruolo centrale della protezione dei dati nell’ambito della PdR come un freddo grimaldello nelle mani di Privacy Manager e DPO per scardinare le porte -spesso serrate- delle organizzazioni.
Eppure la Certificazione sulla Parità di Genere è molto più di questo.
Il valore vero della Certificazione risiede principalmente nei principi etici, nel dare concreta attuazione a diritti costituzionali, nel riequilibrio di una bilancia difettosa, segnata da un “bias” non algoritmico che si annida da decenni negli input della società umana e che ne distorce gli output.
Il travolgente impatto etico della PdR ed i valori sottostanti al raggiungimento della Certificazione appaiono, dunque, troppo nobili per spostare l’attenzione su quello che è un difetto comunicativo e relazionale tra funzioni di business e funzioni di conformità.
Guai a mettere l’etica ed i valori sociali al secondo posto!
Pertanto, che voi siate professionisti della privacy, DPO o avvocati in erba alla ricerca di ispirazioni: non lasciatevi trasportare dalla tentazione di alterare il vostro ruolo di garanti dei diritti! Non abbiate a cuore il compiacimento a tutti i costi dei Titolari del trattamento, i quali vanno sempre indirizzati con il buon senso ed il rigore!
Ed infine, all’atto di rappresentare all’interno delle vostre organizzazioni il connubio tra Certificazione sulla Parità di Genere e Diritto alla Protezione dei Dati Personali, non discostatevi dalla lettera della PdR 125:2022, le cui parole sono state pensate e pesate con estrema cura e sensibilità:
“[…] la presenza di donne in posizioni decisionali si accompagna alla definizione di una nuova agenda, dove temi come l’inclusione, la sostenibilità, il work-life balance diventano prioritari. Si tratta di temi con un forte impatto propulsivo sulla produttività e sul valore del business, a conferma che la parità di genere può innescare circoli virtuosi che portano benefici per l’azienda, per la società e per l’economia”.