PILLOLE PRIVACY N° 18 – LA GEO – LOCALIZZAZIONE IN AMBITO DI LAVORO

Pillola 18

GEO-LOCALIZZAZIONE

La localizzazione di oggetti o mezzi utilizzati dai dipendenti o dai collaboratori del Titolare è solitamente legata a specifiche necessità di servizio o alle sue caratteristiche (ad esempio, l’opportunità di garantire la sicurezza di una vettura e dei suoi occupanti).

Il Titolare deve indicare chiaramente agli interessati quali siano le finalità del trattamento, raccogliere gli eventuali consensi e prevedere l’uso di strumenti tecnici per «disgiungere» i dati geografici da quelli personali.

L’ANALISI E LA DETERMINAZIONE DELLE FINALITÀ

Quali sono i documenti che un DPO deve analizzare e gli elementi che deve avere presenti per aiutare il Titolare a prendere decisioni corrette in questo ambito?

Il DPO deve innanzi tutto conoscere le linee guida emesse dal Garante e la ricca libreria di provvedimenti dell’Autorità sul tema, nonché le linee guida europee sulla localizzazione.

Ha inoltre conoscenza del contratto nazionale di lavoro applicabile al settore di mercato in cui opera l’impresa e delle leggi sul lavoro.

È importante che le esigenze aziendali di localizzazione (per esempio la tutela di mezzi e beni, l’ottimizzazione di percorsi, l’accesso ad aree ad alta pericolosità) – e quindi le finalità del trattamento – siano individuate chiaramente nel rispetto della normativa applicabile.

TECNOLOGIA, RISCHIO E MISURE TECNICO-ORGANIZZATIVE

Dopo aver condotto questa verifica, il DPO prende in esame le caratteristiche della tecnologia disponibile e il metodo di conservazione dei dati che si desidera implementare, per valutarne la coerenza con quanto emerso in fase di analisi.

In particolare, dovrà comprendere se il sistema abilita la localizzazione di «persone», individuare i rischi connessi con l’applicazione/tecnologia utilizzata e valutare l’adozione di misure tecniche e organizzative per mitigare eventuali rischi.

Dovrà inoltre fornire indicazioni in merito alla corretta informativa e all’eventuale raccolta del consenso degli interessati.

Se del caso, evidenzierà la necessità di una consultazione preventiva con l’Autorità Garante (qualora, a valle di una valutazione preliminare d’impatto emerga che la tecnologia/applicazione impiegata comporta rischi elevati per gli interessati).

L’eventuale esistenza di regolamenti interni e codici disciplinari aziendali, nonché la necessità di stipulare accordi specifici con le rappresentanze sindacali o con gli ispettorati territoriali del lavoro, devono essere ugualmente tenuti in considerazione per avere un quadro completo e prendere le decisioni adeguate.

PILLOLE PRIVACY N° 17 – LA VIDEOSORVEGLIANZA

Pillola 17

I SISTEMI DI VIDEOSORVEGLIANZA

L’utilizzo di sistemi di videosorveglianza da parte delle imprese è molto diffuso, soprattutto per la protezione del patrimonio aziendale e per la sorveglianza di spazi e luoghi.

Tuttavia, il loro impiego richiede alcune verifiche preliminari e alcune accortezze che non possono essere trascurate.

Ciascun Titolare dovrà fare le proprie verifiche in merito ai trattamenti effettuati, assumendo decisioni sulla base di quanto emerso dall’analisi dei rischi effettuata nello specifico contesto in cui opera.

Cosa deve fare, quindi, il Responsabile della Protezione dei dati personali per supportare un Titolare del trattamento che ha intenzione di installare un sistema di videosorveglianza?

In primo luogo, il DPO analizza le indicazioni dell’Autorità Garante sull’argomento (ad esempio provvedimenti dell’8.4.2010, del 29.4.2004, …), le leggi sull’impiego (Legge 300/1970, D.lgs 151/2015 …), il contratto di lavoro applicabile ai dipendenti del Titolare;  tiene conto di quanto previsto da procedure e documenti interni, quando presenti (regolamenti, disciplinari) o da specifici accordi sindacali, di stabilimento o di settore; valuta inoltre le caratteristiche tecniche del sistema che il Titolare intende installare.

Al termine dell’analisi, è in grado di esprimere un parere competente e documentato, indicando al Titolare eventuali passi da compiere prima di attivare il sistema.  Fornisce inoltre indicazioni sull’opportunità di procedere con una valutazione preliminare d’impatto.

Il DPO ha cura di verificare che tutte le comunicazioni fornite agli interessati in merito all’impianto di videosorveglianza installato siano chiare. Si accerta che esse contengano un esplicito richiamo alle leggi vigenti, che illustrino correttamente le finalità di trattamento perseguite e che indichino  i termini di conservazione dei dati personali raccolti.

Eventuali terzi destinatari o responsabili esterni del trattamento devono essere chiaramente indicati; parimenti, le aree oggetto di sorveglianza devono essere segnalate da appositi cartelli, visibili anche al buio qualora la videosorveglianza in alcune zone fosse attiva in orario notturno.

 

PILLOLE PRIVACY N° 16 – COME OPERA IL DPO

Pillola 16

IL “FARE” DEL DPO

Dal punto di vista operativo, come deve agire il Responsabile della Protezione dei dati personali?

Qual è il modo di procedere più conveniente quando un problema relativo alla protezione dei dati personali è posto alla sua attenzione?

IL “FARE” – NORME E DOCUMENTI DI RIFERIMENTO

Regolamento europeo e Codice Privacy, ovviamente, devono essere sempre a portata di mano e sono i primi documenti da consultare in caso di dubbi.

Altri documenti di supporto alle valutazioni sono tipicamente costituiti da quanto rilasciato sull’argomento dall’Autorità di controllo (Codici di deontologia, autorizzazioni, vademecum, provvedimenti), da leggi collegate che possono avere un peso sulle decisioni da prendere o da indicazioni emesse dalle associazioni di Categoria.

Per tematiche relative a dipendenti e collaboratori, ad esempio, non si può prescindere dalla conoscenza del contratto collettivo applicato e delle leggi sull’impiego.

IL “FARE” – LE CARATTERISTICHE DEL TRATTAMENTO

Categorie e numerosità dei dati trattati hanno un peso importante nelle valutazioni, come pure le modalità di raccolta, di aggiornamento e di conservazione dei dati, le dotazioni di sicurezza e le modalità di trattamento adottate.

Ogni decisione deve tenere contro di quello che l’organizzazione fa e di come lo fa.

Le indicazioni contenute nel Registro dei Trattamenti, ove presente, permettono di orientarsi e di comprendere come sono svolte le operazioni sui dati personali.

IL “FARE” – IL CONTESTO SPECIFICO

Il livello di consapevolezza e le abitudini di dipendenti e collaboratori devono essere ugualmente valutate per comprendere se siano necessari aggiustamenti, comunicazioni mirate o modifiche ai processi operativi.

La conoscenza del settore di mercato in cui opera l’organizzazione, delle sue caratteristiche operative e degli obiettivi di business sono parte essenziale del bagaglio di competenze che permettono di svolgere al meglio i  compiti assegnati al DPO.

IL “FARE” – OBIETTIVI AZIENDALI NEL RISPETTO DELLA CONFORMITÀ

Bisogna ancora una volta sottolineare che è sempre obbligatorio rispettare e gestire i diritti degli interessati e che ogni intervento deve avere l’obiettivo di consentire il trattamento nel rispetto della conformità.

La salvaguardia della reputazione del soggetto che effettua i trattamenti è un importante obiettivo, al cui raggiungimento concorre l’attività tesa alla riduzione del rischio.  Qualora la riduzione del rischio non sia possibile, o ci siano rischi che fino a quel momento non sono stati correttamente valutati, il Responsabile della Protezione dei dati personali deve portarli all’attenzione del vertice aziendale per le opportune azioni.

La responsabilità delle decisioni, infatti, spetta sempre al Titolare del trattamento e non può essere delegata.

Le prossime pillole conterranno indicazioni e suggerimenti per alcune particolari situazioni di trattamento.

PILLOLE PRIVACY N° 15 – LE COMPETENZE DEL DPO – Parte 2

Pillola 15

La capacità di assolvere i propri compiti

Quali sono i compiti del DPO e in che modo, soprattutto, dovranno essere assolti?

Cosa devono cercare o cosa devono aspettarsi le imprese che, per scelta o perché sono obbligate a farlo, decidono di nominare un Responsabile della Protezione dei dati personali?

Rispondiamo a queste domande e forniamo qualche indicazione in merito alle principali aree di intervento di un DPO.

Il nostro Responsabile della Protezione dei dati personali è in grado di prendere decisioni, di assumersi responsabilità, di supportare l’organizzazione, di esprimere un parere.

Interloquisce con l’Autorità di controllo, con i dipendenti e i collaboratori del Titolare e/o del Responsabile e con gli interessati, parlando linguaggi diversi a seconda delle necessità.

Gestisce le risorse assegnate, sia umane sia economiche.

È capace di lavorare in team e, se gestisce un gruppo di persone, è in grado di motivarle per il raggiungimento degli obiettivi aziendali.

Inoltre, documenta le scelte e le decisioni, conservando le evidenze del percorso scelto per assicurare la conformità dopo aver attentamente valutato i rischi.

È assolutamente autonomo in merito a compiti e doveri, e non riceve alcuna istruzione dal Titolare e/o dal Responsabile per la loro esecuzione.

Per la descrizione completa dei compiti del Responsabile della Protezione dei dati personali, rimandiamo all’articolo 39 del Regolamento Europeo 679/2016.

A chi affidare l’incarico

Il Responsabile della Protezione dei dati personali è quindi, per le competenze richieste, un manager; non è casuale che il Regolamento lo collochi a riporto diretto del vertice gerarchico Titolare e/o dal Responsabile.

È perciò opportuno affidarsi a un professionista in possesso dei requisiti che abbiamo descritto in queste pillole, ricordando che Titolari e Responsabili rispondono di tutte le decisioni prese in merito alla protezione dei dati personali, incluse quelle relative all’affidamento di incarichi.

In funzione dello specifico contesto e delle dimensioni dell’organizzazione, è possibile affidare l’incarico a professionisti sia interni sia esterni, purché siano in possesso delle qualità professionali e delle competenze che abbiamo descritto nelle Pillole Privacy n° 14 e n° 15.

PILLOLE PRIVACY N° 14 – LE COMPETENZE DEL DPO – Parte I

Pillola 14

QUALITÀ PROFESSIONALI E CAPACITÀ

Il Responsabile della Protezione dei dati personali è designato in funzione delle qualità professionali – in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati – e della capacità di assolvere i propri compiti (GDPR, articolo 37, comma 5).

Il possesso di conoscenze specialistiche è un requisito ovvio. È quasi superfluo dire che il DPO conosce norme e prassi nonché eventuali autorizzazioni o pronunciamenti dell’Autorità di controllo pertinenti allo specifico settore in cui opera. Inoltre legge, si documenta e si mantiene aggiornato.

Dedichiamo invece qualche riflessione supplementare al tema delle qualità professionali e delle capacità che permettono di svolgere il ruolo in maniera efficace.

Qualità professionali

Cosa si intende, esattamente?

Il riferimento è all’insieme delle competenze personali, cognitive, relazionali e organizzative, grazie alle quali, per esempio, si è in grado di ascoltare, comprendere, influenzare e comunicare.

Il DPO lavora sempre in team, anche nel caso in cui l’organizzazione in cui opera non abbia una struttura dedicata alla protezione dei dati personali.

Si interfaccia infatti con tutte le strutture aziendali e coordina i loro sforzi per raggiungere un obiettivo comune: la conformità alla norma.

Per questo, deve comprendere i linguaggi e le problematiche delle singole funzioni organizzative e conoscere i loro specifici compiti.

Nel contempo, ha un quadro chiaro dei processi e degli obiettivi di business del Titolare e/o del Responsabile e li tiene presenti nello svolgimento del proprio ruolo.

Il Responsabile della Protezione dei dati personali non deve essere un “tuttologo” –  qualora la realtà specifica sia molto complessa e richieda una molteplicità di competenze, l’attività può essere svolta da un gruppo di risorse esperte con diverse specialità – ma deve sicuramente sapersi orientare nell’organizzazione e comprenderne le esigenze.

Deve inoltre sapere quando, per prendere una decisione, sia opportuno ricorrere a esperti e raccogliere pareri puntuali.

La conoscenza del mercato di riferimento e la capacità di comprendere l’importanza degli aspetti legali al contesto, nonché la consapevolezza della centralità dell’informatica per l’operatività quotidiana, sono elementi dai quali la sua professionalità non può assolutamente prescindere.

… continua

CORSO AiFOS “I PROFESSIONISTI DELLA PRIVACY”

Una bellissima esperienza la nostra partecipazione come docenti al Corso organizzato da AiFOS Associazione Italiana Formatori ed Operatori della Sicurezza sul lavoro  e progettato da Privacy in Chiaro.

Molta partecipazione in classe e corsisti che mostrano un grande interesse per la materia.  Il prossimo incontro via webinar, poi di nuovo in aula.

Grazie ai partecipanti per la loro energia e ad AiFOS per l’organizzazione impeccabile!

 

GDPR – I Responsabili interni – Nomina SI o NO?

Gli obblighi di nomina del Responsabile.

La nomina del Responsabile del Trattamento illustrata all’articolo 28 del GDPR è una nomina obbligatoria che attribuisce al Responsabile una gran quantità di compiti e oneri.  Le indicazioni fornite nell’articolo in questione descrivono perfettamente le caratteristiche del Responsabile esterno del trattamento.

I Responsabili interni e gli incaricati.

In Italia, l’applicazione della normativa Privacy è stata caratterizzata negli anni anche dalla figura del Responsabile interno del trattamento. A questa, il Titolare poteva delegare una serie di responsabilità in merito al trattamento dei dati personali effettuati dall’impresa. Trattandosi di una tipicità italiana, non è strano che il GDPR non ne faccia alcun cenno.

Dal punto di vista della normativa europea, chiunque, all’interno di una organizzazione, effettui operazioni di trattamento è «persona autorizzata al trattamento dei dati personali sotto l’autorità diretta del titolare».

Il GDPR non fa alcun riferimento alla necessità di «nominare» formalmente queste persone, tra le quali sono compresi anche gli incaricati (secondo la definizione del Codice Privacy).

In merito alle operazioni di trattamento dei dati personali, tutto quello che avviene dentro un’impresa si colloca nell’ambito del rapporto di lavoro instaurato tra il Titolare e i propri dipendenti e/o collaboratori e fa riferimento alle mansioni assegnate a questi ultimi.  Sono ovviamente esclusi fatti di rilevanza penale, per i quali la responsabilità è individuale.

L’accountability del Titolare e le nomine interne.

Il Titolare ha l’obbligo di formare e informare dipendenti e collaboratori (di qualunque livello e grado) in merito alla protezione dei dati personali trattati dall’impresa e alle misure tecniche e organizzative implementate per garantire la sicurezza del trattamento. Poiché può essere chiamato a render conto delle proprie scelte, affiderà i compiti – ai propri dipendenti, ai dirigenti e ai collaboratori – in modo consapevole e ragionato.

La nomina formale di un incaricato o di un responsabile interno non diminuisce in alcun modo la responsabilità del Titolare.

Ad esempio, il direttore dell’Ufficio del Personale di un’impresa è ovviamente responsabile del trattamento dei dati personali effettuato all’interno della direzione organizzativa affidatagli; si tratta di un compito insito nel ruolo svolto e non di un dovere discendente da una nomina scritta.

La nomina dell’articolo 28.

La nomina del Responsabile ai sensi dell’articolo 28 del GDPR può implicare, tra le altre cose, la tenuta di un Registro dei trattamenti o l’implementazione di misure di sicurezza e richiede inoltre, obbligatoriamente, la sottoscrizione di uno specifico contratto.

Ma il contratto tra Titolare e dipendente o tra Titolare e dirigente già esiste. È il contratto di lavoro. Come è possibile pensare che la protezione dei dati personali trattati dal Titolare – ovviamente implicita in qualsiasi contratto di lavoro – possa richiedere un contratto ad hoc? Sarebbe un paradosso.

Per tutto quello che abbiamo detto, l’unica nomina obbligatoria, formalizzata ed espressamente richiamata dalla normativa, è quella relativa alla designazione dei Responsabili esterni del trattamento.

Assegnazione di responsabilità in realtà complesse.

Esistono però realtà più complesse di quelle a cui abbiamo fatto riferimento.

Pensiamo per esempio alle aziende di una Regione, diverse tra loro per ambito e finalità di trattamento (diciamo per mercato di riferimento) in cui le responsabilità sono assegnate e ripartite in funzione degli statuti del singolo ente.

Il Regolamento lascia intravedere la possibilità di trovare valide alternative per dirimere situazioni più complesse. Il criterio della contitolarità, ad esempio, potrebbe in alcune situazioni essere utilmente impiegato per assegnare in modo trasparente le rispettive responsabilità e la titolarità del trattamento (o parte di essa) all’interno di realtà organizzative molto articolate.

Diverse valutazioni sono attualmente in corso. Alcuni Titolari sceglieranno di mantenere in qualche modo una continuità con il passato e «rinfrescheranno» le nomine interne esistenti. Non è questa la sede per approfondire il tema e attendiamo di sapere se fonti autorevoli rilasceranno indicazioni pratiche nel merito.

Si fa presente a questo proposito che la recente legge 167/2017, all’articolo 28, ha modificato l’art. 29 del Codice Privacy e ha stabilito che il Garante predisporrà schemi tipo di atti giuridici che i Titolari potranno adottare per la stipula del rapporto con i responsabili del trattamento.

Si spera che dalla pubblicazione di tali schemi tipo emergano elementi di maggiore chiarezza.

Semplicità e buon senso.

In linea generale, è bene che siano la semplicità e il buonsenso a guidare le scelte dei Titolari.

Incamminarsi in un percorso “formalizzato” senza che ve ne sia un reale motivo produrrà solo un aumento di carta (e di burocrazia interna) e non diminuirà in alcun modo il livello di responsabilità del Titolare in merito ai trattamenti effettuati dall’organizzazione.

Come bisogna comportarsi, quindi, con le attuali nomine dei responsabili interni? Devono essere riviste? Con quali criteri?

Posto che, come abbiamo detto, non ci sono obblighi, ciascuno sceglierà la strada che meglio si adatta alle proprie esigenze.

Conclusioni.

Se un’impresa ritiene di voler aggiornare le nomine interne attualmente esistenti può farlo ma deve considerarle solo un modo per trasmettere informazioni e focalizzare l’attenzione del personale sull’importanza di proteggere i dati personali oggetto di trattamento.

Lo stesso obiettivo, come abbiamo già detto, può essere raggiunto con altri strumenti: la pubblicazione di una politica sulla protezione dei dati personali, un regolamento interno, un disciplinare che fornisce istruzioni e assegna compiti alle funzioni organizzative.

Quello che dev’essere chiaro è che il ruolo del Responsabile esterno è del tutto diverso da quello di un eventuale Responsabile interno: mentre il primo è un’entità – fisica o giuridica – “altra” rispetto al Titolare e da questo autonoma, il secondo ne è diretta emanazione e, in merito al trattamento dei dati personali, è una “persona autorizzata al trattamento dei dati personali sotto l’autorità diretta del titolare”.

Se questo è assodato, il Titolare è padrone di scegliere in piena libertà la modalità più adatta per trasmettere le istruzioni al proprio personale.

CONOSCERE E IMPLEMENTARE LA PRIVACY

Il video racconta come è strutturata la guida pensata  per  imprese, consulenti, enti e responsabili della protezione dei dati e spiega come è possibile ordinarla.

Ricordiamo che  la prima parte del volume può essere richiesta, a titolo gratuito, a: www.privacyinchiaro.it/conoscere-e-implementare-la-privacy/