ADEMPIMENTI PRIVACY

Datore di lavoro titolare del trattamento: i suoi obblighi nei confronti dei lavoratori

Il GDPR impone al datore di lavoro titolare del trattamento di istruire e formare i lavoratori in relazione al trattamento dei dati, ma non fornisce ulteriori indicazioni in merito alle modalità, ai tempi e ai soggetti da coinvolgere. Ecco dunque delle utili linee guida per raggiungere la compliance alla normativa privacy

25 Ott 2019
C
Paola Cozzi

Data Privacy Specialist

Come noto il GDPR impone vari obblighi in capo al datore di lavoro titolare del trattamento: tra questi, vale sicuramente la pena ricordare, quello di istruire e formare i soggetti che agiscono sotto la sua autorità (lavoratori), in relazione al trattamento dei dati.

Tale obbligo incombe indipendentemente dal numero dei lavoratori occupati, ovvero dalla tipologia di attività svolta, dagli strumenti utilizzati (automatizzati e non), dalla categoria di dati trattati (dati personali, dati particolari).

Il presupposto giuridico di tale obbligo risiede, infatti, nell’art. 29 del GDPR “Trattamento sotto l’autorità del titolare del trattamento o del responsabile” e nell’art. 32 del GDPR “Sicurezza del trattamento”.

La norma non fornisce ulteriori indicazioni in relazione alle modalità, ai tempi, ai soggetti da coinvolgere, con cui deve essere effettuata tale attività di istruzione e formazione, lasciando dunque la possibilità (e l’onere), in capo al datore di lavoro titolare del trattamento di scegliere la modalità più consona, rimanendo in ogni caso in capo allo stesso datore di lavoro titolare del trattamento, l’obbligo poi di dimostrare la conformità al Regolamento (sulla base del noto principio di accountability previsto dall’art. 5 del Regolamento stesso), nonché di attestare le scelte adottate in tale ambito.

Datore di lavoro titolare del trattamento: istruire i lavoratori

Innanzitutto, il titolare del trattamento prima di fornire istruzioni e formare i lavoratori, deve avere compiuto un’analisi dei trattamenti posti in essere ed aver mappato i relativi processi/strumenti, nonché individuato i rischi, le azioni e le relative misure da intraprendere. In assenza di tale preliminare analisi, sussiste il rischio di fornire istruzioni errate, standardizzate, poco aderenti ai trattamenti realmente posti in essere.

WHITEPAPER
Previeni i difetti di sicurezza nelle applicazioni: la soluzione in 5 punti
Sicurezza
Software

In particolare, istruire i lavoratori in materia di privacy significa fornire istruzioni ai fini dell’esecuzione della prestazione lavorativa, tenendo però conto dei trattamenti posti in essere, dei rischi e delle misure di sicurezza adottate.

Ricordo che il GDPR è una norma che impatta sotto due profili: quello legale/organizzativo e quello informatico/sicurezza. I due profili sono fortemente collegati e di conseguenza anche l’approccio del titolare del trattamento al GDPR e la successiva compliance deve tener conto dei due profili che devono essere fortemente integrati e coordinati.

Le istruzioni ai lavoratori posso comprendere, esemplificativamente, i seguenti aspetti:

  • indicazioni in merito alla tipologia di dati trattati dal lavoratore;
  • indicazioni in merito agli strumenti utilizzati dal lavoratore ed ai rischi connessi a tale utilizzo;
  • indicazioni in merito ai soggetti coinvolti nel trattamento dei dati ed ai ruoli dagli stessi assunti ai sensi del GDPR;
  • indicazione dei soggetti preposti al trattamento dei dati da parte del titolare del trattamento e ruoli privacy assunti;
  • indicazioni in relazione alle procedure interne privacy adottate dal titolare che impattano sui trattamenti svolti dal lavoratore;
  • indicazioni sulla modulistica privacy adottata dal titolare ai sensi del GPDR, che deve essere utilizzata dal lavoratore (ad esempio: informative al trattamento dei dati, data processing agreement, per la gestione dei rapporti con i fornitori che trattamento i dati, ecc).

Le istruzioni devono essere chiare, di facile comprensione, personalizzate (non standardizzate/generiche); inoltre, devono essere strettamente connesse all’organizzazione e ai trattamenti realmente posti in essere dal titolare del trattamento.

L’ambito soggettivo delle istruzioni riguarda ovviamente tutti coloro che trattano i dati personali, così come definiti dall’art. 4, comma 1 del GDPR, appartenenti all’organizzazione del datore di lavoro titolare del trattamento (ad esempio: dipendenti, stagisti ecc.), o che operano per conto dello stesso (ad esempio eventuali collaboratori).

Nelle istruzioni occorre tener conto anche degli aspetti/impatti giuslavoristici, soprattutto per quanto concerne le istruzioni che sono fornite ai soggetti che non hanno un rapporto di lavoro subordinato.

L’attività di istruzione inizia all’instaurazione del rapporto di lavoro/collaborazione ma, come richiesto dall’approccio dinamico del GDPR, la stessa deve essere intensa in modo dinamico; le istruzioni, devono pertanto essere aggiornate e riviste periodicamente in relazione ai trattamenti effettuati/strumenti utilizzati eccetera.

In caso di modifiche ai processi che hanno impatto sul trattamento dei dati le istruzioni devono essere riviste e aggiornate.

L’art. 29 del GDPR prevede che chiunque abbia accesso ai dati personali, non può trattare gli stessi se non è istruito. Pertanto, il datore di lavoro titolare del trattamento deve preporre al trattamento, e quindi autorizzare il trattamento, solo da parte di soggetti istruiti.

Di fatto, dunque, il suddetto art. 29 del GDPR vieta il trattamento di dati a chi non è stato istruito.

Sul punto vale la pena di ricordare che la violazione di quanto disposto dall’art. 29 del GDPR è sanzionata ai sensi di quanto previsto dall’art. 83, paragrafo 4) del GDPR, con la sanzione amministrativa pecuniaria fino a 10 milioni di euro, o per le imprese fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

In virtù del principio di accountability sancito dal GDPR, occorre tenere traccia delle istruzioni impartite. Pertanto, suggerisco di fornire le stesse in forma sempre scritta e di reportizzare/verbalizzare tutte le attività svolte.

Consiglio anche di dotarsi di una procedura che descriva, gestisca e consenta di mantenere aggiornate le istruzioni, individuandone i soggetti preposti, la tempistica, la documentazione da distribuire, le verifiche da porre in essere, le azioni che il datore di lavoro titolare del trattamento si riserva di attuare nei confronti dei lavoratori in caso di mancata osservanza delle suddette istruzioni.

Datore di lavoro titolare del trattamento: formare i lavoratori

Ovviamente, accanto all’attività di istruzione, occorre affiancare anche quella di formazione. Il datore di lavoro titolare del trattamento deve anche formare i propri lavoratori, sensibilizzandoli al tema privacy e creando una vera e propria cultura privacy.

Anche in tema di formazione, il GDPR non fornisce indicazioni in relazione alle modalità (e-learning/in aula ecc.), alle ore di formazione, ai contenuti, lasciando ancora una volta in capo al datore di lavoro titolare del trattamento l’onere di organizzare tale attività.

Sul punto ricordo che l’art. 37 comma 1, lett. a) del GDPR “compiti del responsabile della protezione dei dati”, prevede che il DPO (se nominato, ovviamente), debba “informare e fornire consulenza al titolare del trattamento o al responsabile nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal Regolamento”.

Pertanto, nelle realtà in cui il responsabile della protezione dei dati è stato designato in quanto ricorrono i presupposti di cui all’art. 37 del GDPR, l’attività di formazione deve essere realizzata dal datore di lavoro titolare del trattamento coinvolgendo detto soggetto.

Come già avvenuto in passato per l’attività di formazione ai sensi di quanto previsto dal D.lgs. 196/2003 (Codice Privacy), norma attualmente ancora in vigore nella versione integrata e modificata dal D.lgs. 101/2018, l’attività di formazione può riguardare aspetti comuni a tutte le funzioni aziendali coinvolte, come l’illustrazione dei principi generali previsti dal GDPR e dei relativi adempimenti, ed aspetti specifici diversi, peculiari per ciascuna delle funzioni aziendali coinvolte (ad esempio: risorse umane, marketing, amministrazione, vendite ecc.).

La personalizzazione dell’attività di formazione risulta essere uno strumento particolarmente efficace, oltre ad essere un’opportunità di crescita per il personale coinvolto; inoltre rappresenta un momento di presa di coscienza da parte dei lavoratori, dei rischi connessi ai trattamenti dei dati posti in essere e delle relative azioni promosse dal titolare del trattamento.

Sul punto, segnalo che un personale formato e coinvolto nei trattamenti/processi aiuta a mitigare eventuali rischi, tra i quali il rischio di data breach (violazione di dati personali), con il conseguente danno all’immagine per l’azienda.

Vale la pena ricordare che con il GDPR non è più possibile considerare il tema “privacy” come mero adempimento burocratico; l’efficacia dei processi aziendali passa sicuramente anche attraverso la formazione di personale culturalmente sensibilizzato alla “privacy”.

Ciò è confermato anche dall’approccio delle autorità di controllo, che nelle ispezioni chiederanno ai titolari del trattamento di dimostrare la conformità al GDPR sulla base delle scelte adottate dagli stessi; tali scelte dovranno “tenere conto dello dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti delle persone fisiche” (art. 32 del GDPR).

Anche l’attività di formazione deve essere sottoposta a tracciatura e deve essere aggiornata non soltanto in occasione di modifiche legislative, ma in relazione a variazioni intervenute nei trattamenti/processi/organizzazione del titolare/datore di lavoro.

Sul punto è necessario dotarsi di un registro della formazione in cui dare atto di quanto realizzato (ad esempio: indicare i soggetti coinvolti, gli argomenti trattati, la durata ecc.).

Conclusioni

A chiusura di quanto sopra indicato, riporto alcuni consigli pratici:

  1. istruzioni e attività di formazione devono sempre riflettere la realtà aziendale (trattamenti/processi/strumenti ecc.);
  2. è necessario procedere ad un revisione periodica delle istruzioni fornite, nonché ad un aggiornamento delle sessioni di formazione privacy realizzate;
  3. è buona prassi periodicamente somministrare ai lavoratori questionari in cui rilevare il grado di sensibilità/apprendimento, alla materia “privacy”;
  4. è necessario reportizzare/verbalizzare sempre le attività poste/ o non poste in essere, motivando le scelte adottate;
  5. è buona prassi coinvolgere i lavoratori nei processi/trattamenti, creando anche un canale di comunicazione (ad esempio: indirizzo e-mail per quesiti, osservazioni ecc.);
  6. è necessario diffondere documenti chiari e di semplice comprensione.

WHITEPAPER
DATI: fonte imprescindibile per le aziende! PROTEGGILI e mantienili CONFORMI alle regole
Big Data
Sicurezza
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr