ADEMPIMENTI PRIVACY

Datore di lavoro titolare del trattamento: i suoi obblighi nei confronti dei lavoratori

Il GDPR impone al datore di lavoro titolare del trattamento di istruire e formare i lavoratori in relazione al trattamento dei dati, ma non fornisce ulteriori indicazioni in merito alle modalità, ai tempi e ai soggetti da coinvolgere. Ecco dunque delle utili linee guida per raggiungere la compliance alla normativa privacy

25 Ott 2019
C
Paola Cozzi

Data Privacy Specialist


Come noto il GDPR impone vari obblighi in capo al datore di lavoro titolare del trattamento: tra questi, vale sicuramente la pena ricordare, quello di istruire e formare i soggetti che agiscono sotto la sua autorità (lavoratori), in relazione al trattamento dei dati.

Tale obbligo incombe indipendentemente dal numero dei lavoratori occupati, ovvero dalla tipologia di attività svolta, dagli strumenti utilizzati (automatizzati e non), dalla categoria di dati trattati (dati personali, dati particolari).

Il presupposto giuridico di tale obbligo risiede, infatti, nell’art. 29 del GDPR “Trattamento sotto l’autorità del titolare del trattamento o del responsabile” e nell’art. 32 del GDPR “Sicurezza del trattamento”.

La norma non fornisce ulteriori indicazioni in relazione alle modalità, ai tempi, ai soggetti da coinvolgere, con cui deve essere effettuata tale attività di istruzione e formazione, lasciando dunque la possibilità (e l’onere), in capo al datore di lavoro titolare del trattamento di scegliere la modalità più consona, rimanendo in ogni caso in capo allo stesso datore di lavoro titolare del trattamento, l’obbligo poi di dimostrare la conformità al Regolamento (sulla base del noto principio di accountability previsto dall’art. 5 del Regolamento stesso), nonché di attestare le scelte adottate in tale ambito.

Datore di lavoro titolare del trattamento: istruire i lavoratori

Innanzitutto, il titolare del trattamento prima di fornire istruzioni e formare i lavoratori, deve avere compiuto un’analisi dei trattamenti posti in essere ed aver mappato i relativi processi/strumenti, nonché individuato i rischi, le azioni e le relative misure da intraprendere. In assenza di tale preliminare analisi, sussiste il rischio di fornire istruzioni errate, standardizzate, poco aderenti ai trattamenti realmente posti in essere.

In particolare, istruire i lavoratori in materia di privacy significa fornire istruzioni ai fini dell’esecuzione della prestazione lavorativa, tenendo però conto dei trattamenti posti in essere, dei rischi e delle misure di sicurezza adottate.

Ricordo che il GDPR è una norma che impatta sotto due profili: quello legale/organizzativo e quello informatico/sicurezza. I due profili sono fortemente collegati e di conseguenza anche l’approccio del titolare del trattamento al GDPR e la successiva compliance deve tener conto dei due profili che devono essere fortemente integrati e coordinati.

Le istruzioni ai lavoratori posso comprendere, esemplificativamente, i seguenti aspetti:

  • indicazioni in merito alla tipologia di dati trattati dal lavoratore;
  • indicazioni in merito agli strumenti utilizzati dal lavoratore ed ai rischi connessi a tale utilizzo;
  • indicazioni in merito ai soggetti coinvolti nel trattamento dei dati ed ai ruoli dagli stessi assunti ai sensi del GDPR;
  • indicazione dei soggetti preposti al trattamento dei dati da parte del titolare del trattamento e ruoli privacy assunti;
  • indicazioni in relazione alle procedure interne privacy adottate dal titolare che impattano sui trattamenti svolti dal lavoratore;
  • indicazioni sulla modulistica privacy adottata dal titolare ai sensi del GPDR, che deve essere utilizzata dal lavoratore (ad esempio: informative al trattamento dei dati, data processing agreement, per la gestione dei rapporti con i fornitori che trattamento i dati, ecc).

Le istruzioni devono essere chiare, di facile comprensione, personalizzate (non standardizzate/generiche); inoltre, devono essere strettamente connesse all’organizzazione e ai trattamenti realmente posti in essere dal titolare del trattamento.

L’ambito soggettivo delle istruzioni riguarda ovviamente tutti coloro che trattano i dati personali, così come definiti dall’art. 4, comma 1 del GDPR, appartenenti all’organizzazione del datore di lavoro titolare del trattamento (ad esempio: dipendenti, stagisti ecc.), o che operano per conto dello stesso (ad esempio eventuali collaboratori).

Nelle istruzioni occorre tener conto anche degli aspetti/impatti giuslavoristici, soprattutto per quanto concerne le istruzioni che sono fornite ai soggetti che non hanno un rapporto di lavoro subordinato.

FORUM PA 6 - 11 LUGLIO
Costruire la fiducia digitale: cybersecurity e privacy
Network Security
Privacy

L’attività di istruzione inizia all’instaurazione del rapporto di lavoro/collaborazione ma, come richiesto dall’approccio dinamico del GDPR, la stessa deve essere intensa in modo dinamico; le istruzioni, devono pertanto essere aggiornate e riviste periodicamente in relazione ai trattamenti effettuati/strumenti utilizzati eccetera.

In caso di modifiche ai processi che hanno impatto sul trattamento dei dati le istruzioni devono essere riviste e aggiornate.

L’art. 29 del GDPR prevede che chiunque abbia accesso ai dati personali, non può trattare gli stessi se non è istruito. Pertanto, il datore di lavoro titolare del trattamento deve preporre al trattamento, e quindi autorizzare il trattamento, solo da parte di soggetti istruiti.

Di fatto, dunque, il suddetto art. 29 del GDPR vieta il trattamento di dati a chi non è stato istruito.

Sul punto vale la pena di ricordare che la violazione di quanto disposto dall’art. 29 del GDPR è sanzionata ai sensi di quanto previsto dall’art. 83, paragrafo 4) del GDPR, con la sanzione amministrativa pecuniaria fino a 10 milioni di euro, o per le imprese fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

In virtù del principio di accountability sancito dal GDPR, occorre tenere traccia delle istruzioni impartite. Pertanto, suggerisco di fornire le stesse in forma sempre scritta e di reportizzare/verbalizzare tutte le attività svolte.

Consiglio anche di dotarsi di una procedura che descriva, gestisca e consenta di mantenere aggiornate le istruzioni, individuandone i soggetti preposti, la tempistica, la documentazione da distribuire, le verifiche da porre in essere, le azioni che il datore di lavoro titolare del trattamento si riserva di attuare nei confronti dei lavoratori in caso di mancata osservanza delle suddette istruzioni.

Datore di lavoro titolare del trattamento: formare i lavoratori

Ovviamente, accanto all’attività di istruzione, occorre affiancare anche quella di formazione. Il datore di lavoro titolare del trattamento deve anche formare i propri lavoratori, sensibilizzandoli al tema privacy e creando una vera e propria cultura privacy.

Anche in tema di formazione, il GDPR non fornisce indicazioni in relazione alle modalità (e-learning/in aula ecc.), alle ore di formazione, ai contenuti, lasciando ancora una volta in capo al datore di lavoro titolare del trattamento l’onere di organizzare tale attività.

Sul punto ricordo che l’art. 37 comma 1, lett. a) del GDPR “compiti del responsabile della protezione dei dati”, prevede che il DPO (se nominato, ovviamente), debba “informare e fornire consulenza al titolare del trattamento o al responsabile nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal Regolamento”.

Pertanto, nelle realtà in cui il responsabile della protezione dei dati è stato designato in quanto ricorrono i presupposti di cui all’art. 37 del GDPR, l’attività di formazione deve essere realizzata dal datore di lavoro titolare del trattamento coinvolgendo detto soggetto.

Come già avvenuto in passato per l’attività di formazione ai sensi di quanto previsto dal D.lgs. 196/2003 (Codice Privacy), norma attualmente ancora in vigore nella versione integrata e modificata dal D.lgs. 101/2018, l’attività di formazione può riguardare aspetti comuni a tutte le funzioni aziendali coinvolte, come l’illustrazione dei principi generali previsti dal GDPR e dei relativi adempimenti, ed aspetti specifici diversi, peculiari per ciascuna delle funzioni aziendali coinvolte (ad esempio: risorse umane, marketing, amministrazione, vendite ecc.).

La personalizzazione dell’attività di formazione risulta essere uno strumento particolarmente efficace, oltre ad essere un’opportunità di crescita per il personale coinvolto; inoltre rappresenta un momento di presa di coscienza da parte dei lavoratori, dei rischi connessi ai trattamenti dei dati posti in essere e delle relative azioni promosse dal titolare del trattamento.

Sul punto, segnalo che un personale formato e coinvolto nei trattamenti/processi aiuta a mitigare eventuali rischi, tra i quali il rischio di data breach (violazione di dati personali), con il conseguente danno all’immagine per l’azienda.

Vale la pena ricordare che con il GDPR non è più possibile considerare il tema “privacy” come mero adempimento burocratico; l’efficacia dei processi aziendali passa sicuramente anche attraverso la formazione di personale culturalmente sensibilizzato alla “privacy”.

Ciò è confermato anche dall’approccio delle autorità di controllo, che nelle ispezioni chiederanno ai titolari del trattamento di dimostrare la conformità al GDPR sulla base delle scelte adottate dagli stessi; tali scelte dovranno “tenere conto dello dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti delle persone fisiche” (art. 32 del GDPR).

Anche l’attività di formazione deve essere sottoposta a tracciatura e deve essere aggiornata non soltanto in occasione di modifiche legislative, ma in relazione a variazioni intervenute nei trattamenti/processi/organizzazione del titolare/datore di lavoro.

Sul punto è necessario dotarsi di un registro della formazione in cui dare atto di quanto realizzato (ad esempio: indicare i soggetti coinvolti, gli argomenti trattati, la durata ecc.).

Conclusioni

A chiusura di quanto sopra indicato, riporto alcuni consigli pratici:

  1. istruzioni e attività di formazione devono sempre riflettere la realtà aziendale (trattamenti/processi/strumenti ecc.);
  2. è necessario procedere ad un revisione periodica delle istruzioni fornite, nonché ad un aggiornamento delle sessioni di formazione privacy realizzate;
  3. è buona prassi periodicamente somministrare ai lavoratori questionari in cui rilevare il grado di sensibilità/apprendimento, alla materia “privacy”;
  4. è necessario reportizzare/verbalizzare sempre le attività poste/ o non poste in essere, motivando le scelte adottate;
  5. è buona prassi coinvolgere i lavoratori nei processi/trattamenti, creando anche un canale di comunicazione (ad esempio: indirizzo e-mail per quesiti, osservazioni ecc.);
  6. è necessario diffondere documenti chiari e di semplice comprensione.
WHITEPAPER
Sicurezza: perchè puntare su un approccio zero trust?
Sicurezza
Sicurezza dei dati

@RIPRODUZIONE RISERVATA

Articolo 1 di 5