L’intervista di oggi, riporta fedelmente l’interessante conversazione tra Simona Bia – DPO specialist, Gabriella Spinelli – DPO assistant e Stefania Menga – Prima Yoga Sports Coach in Italia e insegnante Yoga, che racconta la relazione tra l’attività sportiva di Stefania e l’argomento Privacy.
Benchè l’attività di Stefania e le normative del nuovo regolamento GDPR sembrano apparentemente tanto distanti tra di esse, scopriamo invece quanto siano vicine e quanta stretta relazione esista per promuovere e svolgere l’attività sportiva di Stefania in modo corretto rispettando e tutelando la Privacy di tutti i suoi clienti, specialmente in questo ultimo anno laddove si è visto un innalzamento dell’utilizzo di tantissime piattaforme per l’educazione e lo svolgimento di diverse attività come quella sportiva e riabilitativa che svolge Stefania, online.
Parliamo dunque di trattamento dei dati, di consenso e divulgazione dell’immagine attraverso l’esperienza di Stefyogicoach!
La nostra intervista con Stefania
Buongiorno a tutti, sono Simona Bia e insieme a Gabriella Spinelli ci occupiamo di GDPR, di adempimento Privacy.
Stefania, hai voglia di raccontarci di cosa ti occupi?
Certamente e innanzitutto grazie per questa intervista. Sono Stefania Menga e lavoro da qualche anno nel settore Wellness e Turismo, quindi combino le due cose insegnando prevalentemente yoga, la mia mansione principale.
Abbinando i due settori, insegno e svolgo al massimo la mia attività di insegnante Yoga. Sono specializzata in ambiti particolari e aiuto anche persone con disabilità motorie particolari o che hanno determinate esigenze e problematiche posturali. Supporto e seguo coloro che vogliono raggiungere determinati obiettivi che siano sportivi quindi che possono essere di mantenimento sportivo o che abbiano patologie osteomuscolari riconosciute come anomalie posturali alla colonna vertebrale o patologie come l’autismo.
La parte che abbino al turismo, è collegata alla collaborazione avviata da diverso tempo con strutture ricettive come Hotel e Relais, un’attività iniziata e svolta per la prima volta a Londra dove ho vissuto per 7 anni, poi tornando in Italia, ho continuato prima nel Nord Italia e poi in Toscana sviluppando progetti più a contatto con la natura e con situazioni più collettive.
E quindi ecco, gestisco tutti questi progetti, questa è un po’ quella che sono a grandi linee.
Grazie Stefania per l’intervista. Hai detto che hai avuto un’esperienza a Londra, quindi all’estero. Parlando di GDPR, che differenze hai trovato tra l’Italia e Londra?
Devo dire a Londra c’è un’attenzione molto forte alla GDPR e soprattutto quando è entrata in vigore, la mia compagnia, dove lavoravo anche in consulenza, ha attivato subito dei corsi di formazione obbligatoria per noi dipendenti con degli esami a quiz finali, quindi dovevamo completare un percorso formativo.
Ricordo anche un progetto su cui ho lavorato con un fisioterapista, Lui aveva proprio seguito un corso per informarsi, per non avere nessun problema sulla gestione dei dati confidenziali degli individui a cui ci saremmo dovuti rivolgere.
In Italia, parlando della mia esperienza senza generalizzare (lascio spazio a quello che possono dire gli altri), quando lavoravo come dipendente in un Resort italiano, questo argomento non è stato mai esposto, non è mai stato trattato, nessuno mi ha mai chiesto di frequentare dei corsi.
Però nonostante ciò, ho compreso, data la mia esperienza a Londra, l’importanza di tutelare me stessa e gli altri e quindi mi sono attivata individualmente.
Hai messo il dito nella piaga, come si dice, e anche noi incontriamo tutti i giorni situazioni serie di mancata adempienza e parlando della formazione, che è uno degli obblighi del Titolare del Trattamento, anche in Italia ricordiamo che sono disponibili finanziamenti, sovvenzioni a fondo perduto dedicati proprio alla formazione e per le quali, le aziende, purtroppo non fanno nemmeno richiesta.
Quindi non è un problema di risorse ma ritengo sia un problema culturale, anche perché se tu operi per qualcun altro, questo qualcun altro è Titolare del trattamento e se per sviluppare la tua attività devi mettere a disposizione dei dati, insieme all’esposizione dei dati devi attivare una nomina come Responsabile del trattamento o Autorizzato al trattamento.
Non fare questo significa, prima di tutto, commettere un reato e non significa non passare a dare una responsabilità perché in realtà il regolamento prevede di riconoscere il ruolo del fatto, quindi se ci fosse un problema e si finisse in tribunale, non sarebbe la mancanza di nomina a determinare la responsabilità, ma ciò che effettivamente avviene e sarebbe da delineare in sede giudiziaria anziché rispetto ad un contratto. Per questo è opportuno, oltre che obbligatorio, formalizzare il contratto prima, in condizione di serenità.
Effettivamente hai sottolineato un aspetto che anche io e Gabriella, riguardo a questi temi incontriamo tutti i giorni.
Riguardo al trattamento dei dati, quando tu hai un rapporto diretto con un tuo cliente/paziente/alunno-a, insegnando yoga, che tipologia di dati ti trovi a trattare?
A parte i dati basici come nome, cognome, devo raccogliere anche codici fiscali, poi sulla parte del problema fisico mi vengono comunicate le diagnosi ricevendo anche certificati medici come radiografie o esami medici dove appunto mi viene rappresentata la patologia con i vari dati della persona. Esempio collaborando con i ragazzi disabili, su di loro non ho ricevuto nessuna documentazione, però sono tutte informazioni che mi sono state passate e di cui io devo tenere nota.
Mentre per la parte di fotografie e video, quando svolgo la mia lezione, durante e successivamente, scatto sempre delle foto per postarle anche nei miei social e proprio per questo ho ritenuto opportuno, soprattutto per i minori, attivarmi con un’ informativa Privacy. Avere un consenso per postare i contenuti e poterli esporre sui social media è di fondamentale importanza per tutela di tutti, mia, dei miei clienti, ma ripeto, soprattuto per i minorenni.
Lavorando molto sia sul mio sito personale che è stefaniamenga.com e il mio Instagram Stefyogicoach, ho sempre bisogno di avere il consenso dei genitori, preferisco quindi che ogni contenuto prodotto durante le mie lezioni, venga sempre approvato prima di essere pubblicato.
Giusto, corretto,tutto molto interessante e complimenti perché anche se la tua specializzazione è lontana anni luce dal “legalese” che implica le attività del GDPR, ti sei imposta autonomamente tanti problemi, quindi, ben venga. Bene, brava Stefania!
Grazie e speriamo lo facciano sempre più persone!
Spostiamo il centro dell’attenzione su un argomento più specifico: come sai, noi ci occupiamo prevalentemente dei dati e tu ne tratti per lo sviluppo della tua attività, però ognuno di noi è anche una persona, quindi a nostra volta abbiamo un qualcuno, in tante volte in troppi che tratta i nostri dati… hai una riflessione su questo aspetto?
Ma guarda mi verrebbe da menzionare la mia esperienza personale quando a gennaio del 2019 mi è stato hackerato e quindi rubato il mio profilo di Instagram.
Solo a pensarci mi vengono i brividi perché non solo una persona si sente violata nel senso legale ma anche violata a livello personale e… distrugge! Secondo me una persona, soprattutto se poi non riesce a recuperare le proprie informazioni, le proprie fotografie, tutto quello che era stato condiviso etc…è come se venisse derubata di tutto il proprio lavoro svolto in anni di costante ricerca e sviluppo della propria identità digitale.
Come dicevo prima, essendo molto attiva sui social, per me postare ogni giorno era ed è tutt’ora parte del mio lavoro. Fino a due anni fa, Instagram era una grande famiglia, avevo una community forte, avevo conosciuto persone, raccolto contatti e i miei contatti erano tanti e di amici o persone con le quali collaboravo, li avevo solo lì, non avevo un corrispettivo telefonico, quindi quando mi è successa questa cosa, è stato spiazzante!
Un giorno ho ricevuto una mail da parte di un Brand che diceva di voler collaborare con me, ho cliccato sul pulsante che mi era stato suggerito e in quel momento si era aperta una webpage di Instagram, quindi pensavo fosse il mio Instagram sul computer che abitualmente si apriva, ho inserito la password e due secondi dopo il mio profilo ero sparito.
Successivamente ho ricevuto delle mail minatorie chiedendomi dei soldi, minacciandomi che il mio profilo sarebbe stato distrutto, eliminato completamente, per tanto io ho chiamato la polizia postale, l’ente corrispettiva a Londra.
Ma una volta fatta la segnalazione a loro, “tanti cari auguri” perchè loro non possono fare niente e dato che era un periodo che a tanti era stato hackerato il profilo, mi era stato detto da un altro user come poter scrivere ad Instagram ed effettivamente ho scritto al social facendo tutte le loro procedure di riconoscimento e devo dire che lì ho ricevuto tutto il supporto al 100% super rapido e dopo aver fatto tutto il procedimento di riconoscimento, loro mi hanno riattivato il profilo.
….che poi non so come possa essere possibile che ad una persona venga hackerato il profilo e due secondi dopo da Instagram venga recuperato e riattivato.
Comunque sta di fatto che io ho recuperato il mio profilo e quindi alla fine non ho più risposto e ho cambiato la mail a quella persona che continuava a scrivermi minacciandomi etc…ma è stata un’esperienza interrotta nel senso che non ne sono andata a fondo, probabilmente ero stata toccata psicologicamente che non ho più voluto sapere nulla anche se dal mio profilo è scomparsa una foto dove non avevo la maglietta, insomma, ero un po’ più svestita ma niente di provocante, però quella foto lì non l’ho mia più rivista nel mio profilo, non è mai riapparsa.
E a questo proposito non voglio sapere dove sia finita, non lo so, so che Instagram può tutelare i nostri profili e i nostri contenuti ma fino ad un certo punto tanto qualsiasi persona può prenderti una foto e farne quello che vuole.
Hai fatto tutti i passaggi giusti ma c’è un passaggio che non hai fatto, non ti sei rivolta al Garante Privacy probabilmente perché non sapevi di poterlo fare.
Allora ogni volta che una persona ritiene che qualcuno, noto o non, come nel tuo caso Stefania, stia violando un suo diritto alla protezione del dato, ha la possibilità di aprire una segnalazione presso il garante del paese in cui si trova e lo può fare facilmente online.
C’è la possibilità di compilare un form dove all’interno del quale bisogna inserire chi si è, chi è se si conosce il soggetto che ha fatto qualcosa che non doveva e una descrizione di quello che è successo.
Il Garante Privacy ha l’obbligo di prendere in esame tutte le segnalazioni che hanno una valenza legale esattamente come se si trattasse di una vera e propria denuncia.
Questo è molto utile perché intanto permette degli interventi ad un livello più specialistico ma anche perché fornisce al Garante della Privacy la proporzione di quello che sta succedendo, cioè se arrivano dieci segnalazioni sullo stesso tema viene dato a quel tema un certa rilevanza, se ne arrivano diecimila è chiaro che l’esigenza di intervento dal punto di vista di chi deve supervisionare queste tematiche a livello nazionale è diversa, quindi, molti non fanno segnalazione al Garante perché pensano che sia qualcosa che faccia perdere un sacco di tempo e che alla fine della fiera serva a poco.
Non è così, esiste un sistema agevole che non fa perder tempo e che permette davvero di valutare la proporzione.
C’è poi il CERT nazionale che quantifica gli episodi di questo genere e quantifica i casi di reati commessi in rete, fa delle statistiche, fa degli studi per cercare di dare a tutti gli strumenti possibili per ridurre, quindi la prossima volta, speriamo non succeda ma dovesse succedere altro, si deve fare anche la segnalazione al Garante Privacy.
A seguito di questa violazione ci sono state conseguenze sui tuoi contatti, ci sono state violazioni?
Nulla che io sappia, non mi è stato comunicato nulla, però credo che nel mondo del social, soprattutto nel mio ambito o a chi è legato al mondo dei social che orami soprattutto in questo ultimo anno, tutti li stanno usando come metodo di comunicazione, di condivisione, per lavoro etc…sarebbe veramente importante sensibilizzare proponendo anche dei workshop, dei piccoli corsi dove le persone vengono stimolate e quindi sensibilizzate per capire tutte questi concetti e dinamiche.
Tante persone non se ne rendono conto. Oggi ad esempio ho detto a dei miei amici “ah, si oggi ho fatto questo incontro e avrò questa intervista” e mi è stato detto, ma sì, tanto, cosa vuoi che sia? Tanto al massimo basta che firmi un consensino e riposti quello che vuoi…ma non è così, ed è quello che ho cercato di spiegare.
Mi piacerebbe anche condividere tramite i miei canali la possibilità di seguire anche un solo workshop piuttosto che un piccolo corso perchè ripeto, a Londra l’argomento Privacy GDPR era proprio obbligatorio e sentito fortemente da tutti ma qui la gente non ha proprio idea.
Hai ragione, è un problema culturale ed io quando faccio formazione stimolo sempre questo tipo di riflessione. Se le persone spendessero soldi per comprare il loro nome e cognome, indirizzo e codice fiscale, rifletterebbero sempre quando verrebbero dati in uso a qualcuno perchè gli è costato qualcosa di misurabile.
Il fatto che tutti noi abbiamo queste informazioni gratis, altrettanto gratis le mettiamo a disposizione e non ci rendiamo conto di quello che valgono perchè in realtà, il problema della violazione dei dati avviene perchè i dati valgono soldi e perchè possono essere utilizzati con finalità che poi generano delle attività che portano dei benefici di natura economica.
Quando ci viene offerto un servizio di qualsiasi genere gratis, dobbiamo sempre riflettere che siccome quello che sta dall’altra parte non è la CARITAS, non è un’ente di mutua assistenza, questo comunque, in un modo o nell’altro deve portare un beneficio anche di natura economica, e come avviene questo?
Avviene sulle nostre informazioni.
Se pensi a Facebook, chi è che paga per entrare in Facebook? Nessuno di noi, eppure la “ricchezza” di Facebook è data da tutto quello che è riuscita a fare perchè possiede una proporzione dei dati così importante e questa è una situazione che arriva anche a cambiare anche il nostro modo di vivere.
Oggi come oggi una Head hunter che deve fare una valutazione di un profilo per un’assunzione in un’azienda, legge il cv, fa il colloquio, però va anche a curiosare quella persona in ambiti molto più personali, molto più privati, molto meno controllati, quindi ognuno di noi dovrebbe pensare a questo perchè magari si sta a delineare un cv dove si precisa anche le virgole e poi quello che emerge da Facebok pubblico, che tutti possono vedere, è un personaggio completamente diverso…. e non è che gli Head Hunter su Facebook non vadano.
Tutti dovremmo dare un giusto valore ai nostri dati.
In riferimento alla supervisione da parte degli Head Hunter che procacciano profili per nuove assunzioni aziendali osservando anche i profili personali in Facebook, è suggeribile infatti creare dei filtri per permettere la visibilità di informazioni, immagini, video e foto solo a chi si desidera farli leggere e vedere creando dei gruppi dalle impostazioni.
“Noi siamo quello che pubblichiamo” e la selezione di un profilo, a volte, avviene anche nell’osservare come una persona si muove nei social, cosa posta, come pubblica, come e cosa scrive.
Molti dipendenti, dichiarano di selezionare bene le informazioni, curare la propria immagine professionale in caso venga deciso di lasciare pubblico il proprio profilo e quindi visibile e condivisibile a tutti (parlando di Facebook), altrimenti suggeriscono di organizzare le pubblicazioni per gruppi rendendo la propria pagina un perfetto prodotto customizzato e in un certo senso più protetto dagli occhi di tutti.