Come garantire la sicurezza delle informazioni, l’affidabilità del luogo, la conformità legale alla normativa GDPR e la riservatezza dei coworkers? Serve una corretta gestione del flusso di dati personali nello spazio condiviso
Il coworking è un ambiente che conosciamo bene e di cui apprezziamo le opportunità e occasioni di confronto. Ma se hai intenzione di aprire un coworking o ne stai gestendo uno, ti sei chiesto: come gestire i flussi di dati personali per rispettare la normativa privacy e permettere ai coworkers che si appoggiano alla tua struttura di essere compliant a loro volta con la legge?
Ho parlato del coworking, più dal punto di vista contrattuale, in questo articolo qui, ma di cose ce ne sarebbero molte da dire, sopratutto in ragione alla specificità dell'offerta (ad esempio: formazione, consulenza, spazi condivisi..).
I problemi del trattamento dati nei coworking
Ho frequentato diversi coworking, alcuni più organizzati ed altri agli inizi, alcuni (pochi) perfettamente compliant, altri con notevoli problematiche non solo lato privacy ma anche lato contrattualistica e gestione di tutto l’impianto legale della struttura.
Ecco, secondo me, l’elenco dei problemi più rilevanti:
- Omettere di identificare i ruoli privacy all’interno dello spazio (a volte sono gestiti da agenzie, altre da associazioni, alcune volte da hub con dubbia forma giuridica). E quindi, chi fa cosa? Serve un organigramma;
- Tralasciare di informare l’utente delle modalità di trattamento dei dati personali. Serve un’informativa, ma ben costruita;
- Dimenticarsi degli strumenti informatici collegati alla rete e di fornire un regolamento d’uso che stabilisca
- Non avere procedure in caso di data breach e di violazione alla sicurezza;
- Gestione “creativa” degli eventi (iscrizione, promozione, fotografia, comunicazione..) non considerando gli aspetti legali;
Ti riconosci?
Come risolvere i problemi di trattamento dati personali negli spazi di lavoro condivisi
Ti suggerisco di partire da tre quesiti:
- Quali sono i dati personali che richiedi a chi arriva al tuo coworking?
- Chi fa cosa all’interno del luogo di condivisione lavorativa?
- Quali sono i documenti che consegni a chi vuole fruire dello spazio condiviso?
Le risposte a queste domande ti permettono di iniziare l’analisi per arrivare ad approfondire:
- Qual è il tuo grado di compliance a livello privacy?
Se hai già iniziato il progetto, magari ti serve solo un aggiornamento; - Quali sono le priorità da gestire?
Se non hai eventi formativi e non gestisci le iscrioni tramite APP, sei semplificato; - Quali sono le problematiche da risolvere con i vari soggetti (destinatari, incaricati, responsabili, interessati, piattaforme..)?
Se il tuo coworking è cogestito con associazioni / cooperative piuttosto che è un progetto in fase di startup oppure ancora coinvolge una pluralità di soggetti anche nell’ambito di eventi, le persone ed i rapporti che devono essere tenuti in considerazione sono vari.
mmagino tu voglia offrire ai tuoi free-lancers il miglior spazio di lavoro possibile. Parliamo quindi del trattamento dei dati personali negli uffici condivisi, procedendo con le fasi che ti ho indicato.
La privacy negli uffici condivisi
1) Quali dati personali chiedi ai coworkers?
È necessario innanzitutto capire quali sono i flussi di dati personali nella tua struttura: non c’è una soluzione unica perchè tutto dipende dai casi concreti.
Ad esempio: non solo tu hai bisogno dei dati personali dei liberi professionisti che lavorano nei tuoi spazi, ma questi potrebbero avere una loro struttura di collaboratori e comunque hanno clienti e fornitori. c’è quindi la necessità di trattare molti dati personali nello svolgimento, da parte di ciascuno dei coworkers del proprio lavoro..
E quindi ad esempio:
- Dati identificativi, di struttura e recapiti del coworker;
- Dati identificativi dei collaboratori e dipendenti della società coworker;
- Dati identificativi di clienti, fornitori e soggetti terzi collegati al coworker;
- Dati anagrafici o di recapito per la gestione della logistica (ad esempio);
Inizia quindi da un elenco di dati personali. Poi valutiamo se sono tutti necessari.
Se vuoi approfondire i ruoli privacy delle varie persone all'interno di uno spazio di lavoro condiviso, ti suggerisco di ritornare qui tra un paio di settimane: ho in cantiere un bell'articolo dedicato a chi tratta i dati dei freelance, imprenditori e coworkers.
2) Chi fa cosa all’interno dello spazio di lavoro condiviso?
Individuato il flusso di dati personali è fondamentale identificare i soggetti che accedono, trattano, archiviano, recepiscono, conoscono, questi dati personali.
Ricorda infatti che, il trattamento è qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.
Di fatto cos’è il trattamento? Tutto!
E quindi, ad esempio:
- L’amministrativa che si occupa di trascrivere i partecipanti all’evento esterno organizzato presso il coworking, sta raccogliendo dati personali e svolgendo un’attività di trattamento: deve essere debitamente nominata e formata.
- L’azienda che decide di organizzare della formazione all’interno del coworking affittando degli spazi, sta organizzando dati personali e svolgendo un’attività di trattamento: deve essere un soggetto individuato ai sensi della normativa privacy;
- Il coworker che ha dei collaboratori che si avvicendano all’interno degli spazi sta usando dati personali e svolgendo un’attività di trattamento: è un soggetto interessato ma a sua volta titolare del trattamento;
Anche qui, inizia da un elenco di persone che vengono a conoscenza dei dati personali di cui sopra. Poi valutiamo come identificarli.
3) Quali sono i documenti che consegni a chi vuole fruire dello spazio condiviso?
Individuato il flusso di dati personali è necessario approntare la documentazione necessaria a dimostrare che il trattamento di tali dati è conforme a quanto richiesto dalla relativa normativa.
Così facendo:
- metti a riparo te e la tua attività da responsabilità ed eviti di ricevere sanzioni per un trattamento illecito di dati personali;
- consenti al coworker di dimostrare di lavorare in un luogo condiviso sicuro che tratta dati in modo conforme alla normativa;
- promuovi uno spazio affidabile per potenziali altri coworkers;
Dovrai quindi munirti dell’informativa privacy ex art. 13 del GDPR per il trattamento dei dati personali del coworker (suoi dati identificativi e di fatturazione), che potresti ad esempio già allegare al contratto di affitto dello spazio di coworking.
Inoltre, già nel contratto di affitto dello spazio condiviso potrebbe essere disciplinato l’aspetto relativo alla gestione degli accessi del coworker alla struttura tramite badge e dei servizi di accoglienza della loro clientela. Si tratta del modulo di consegna del badge o della consegna delle credenziali di accesso.
L’ambiente che metti a disposizione, unitamente a tutti i relativi servizi, è un ambiente condiviso tra più utenti che tra di loro non è detto che condividano necessariamente molte informazioni. Sarà quindi opportuno valutare nello specifico quali servizi offre la tua struttura agli utilizzatori della stessa, così da individuare di quali ulteriori informative e policy avrai bisogno.
Ad esempio, sicuramente avrai bisogno di una policy per l’utilizzo della rete wifi e delle relative chiavi di accesso, così come di una policy per il corretto utilizzo delle stampanti e degli altri devices condivisi.
Altra cosa è il servizio cucina. Se se dai la possibilità di ordinare all’esterno il pranzo tramite la tua struttura, potresti trovarti a gestire intolleranze alimentari, opzioni vegetariane ed altro. Questo prevede un trattamento di dati che appartengono alle categorie particolari. Chi gestisce questo tipo di dato dovrà essere nominato incaricato al trattamento.
Da ultimo, raccogli tutti i documenti che hai attualmente in uso. Poi valutiamo se aggiornarli, sostituirli, integrarli. Fatto? Procediamo:
Ti segnalo poi alcune risorge per approfondire l’argomento in generale (parlo di privacy e non specificatamente di coworking):
> le regole sulla privacy se vuoi fare delle attività promozionali del tuo coworking (qui) > la figura del DPO, solo in generale però (qui) > la gestione, lato privacy, delle fotografie nel caso in cui tu abbia idea di organizzare eventi (qui) > ovviamente, partirai dal sito internet con cui comunichi il tuo spazio condiviso (qui)
Questo contenuto è stato scritto dal Team Privacy di Legal for Creativity che si occupa di tutti i profili che riguardano in trattamento dei dati personali. Se vuoi approfondire questi o altri temi legati al mondo della privacy, puoi contattarci: