PILLOLE PRIVACY N° 18 – LA GEO – LOCALIZZAZIONE IN AMBITO DI LAVORO

/in /by

Pillola 18

GEO-LOCALIZZAZIONE

La localizzazione di oggetti o mezzi utilizzati dai dipendenti o dai collaboratori del Titolare è solitamente legata a specifiche necessità di servizio o alle sue caratteristiche (ad esempio, l’opportunità di garantire la sicurezza di una vettura e dei suoi occupanti).

Il Titolare deve indicare chiaramente agli interessati quali siano le finalità del trattamento, raccogliere gli eventuali consensi e prevedere l’uso di strumenti tecnici per «disgiungere» i dati geografici da quelli personali.

L’ANALISI E LA DETERMINAZIONE DELLE FINALITÀ

Quali sono i documenti che un DPO deve analizzare e gli elementi che deve avere presenti per aiutare il Titolare a prendere decisioni corrette in questo ambito?

Il DPO deve innanzi tutto conoscere le linee guida emesse dal Garante e la ricca libreria di provvedimenti dell’Autorità sul tema, nonché le linee guida europee sulla localizzazione.

Ha inoltre conoscenza del contratto nazionale di lavoro applicabile al settore di mercato in cui opera l’impresa e delle leggi sul lavoro.

È importante che le esigenze aziendali di localizzazione (per esempio la tutela di mezzi e beni, l’ottimizzazione di percorsi, l’accesso ad aree ad alta pericolosità) – e quindi le finalità del trattamento – siano individuate chiaramente nel rispetto della normativa applicabile.

TECNOLOGIA, RISCHIO E MISURE TECNICO-ORGANIZZATIVE

Dopo aver condotto questa verifica, il DPO prende in esame le caratteristiche della tecnologia disponibile e il metodo di conservazione dei dati che si desidera implementare, per valutarne la coerenza con quanto emerso in fase di analisi.

In particolare, dovrà comprendere se il sistema abilita la localizzazione di «persone», individuare i rischi connessi con l’applicazione/tecnologia utilizzata e valutare l’adozione di misure tecniche e organizzative per mitigare eventuali rischi.

Dovrà inoltre fornire indicazioni in merito alla corretta informativa e all’eventuale raccolta del consenso degli interessati.

Se del caso, evidenzierà la necessità di una consultazione preventiva con l’Autorità Garante (qualora, a valle di una valutazione preliminare d’impatto emerga che la tecnologia/applicazione impiegata comporta rischi elevati per gli interessati).

L’eventuale esistenza di regolamenti interni e codici disciplinari aziendali, nonché la necessità di stipulare accordi specifici con le rappresentanze sindacali o con gli ispettorati territoriali del lavoro, devono essere ugualmente tenuti in considerazione per avere un quadro completo e prendere le decisioni adeguate.

PILLOLE PRIVACY N° 17 – LA VIDEOSORVEGLIANZA

/in /by

Pillola 17

I SISTEMI DI VIDEOSORVEGLIANZA

L’utilizzo di sistemi di videosorveglianza da parte delle imprese è molto diffuso, soprattutto per la protezione del patrimonio aziendale e per la sorveglianza di spazi e luoghi.

Tuttavia, il loro impiego richiede alcune verifiche preliminari e alcune accortezze che non possono essere trascurate.

Ciascun Titolare dovrà fare le proprie verifiche in merito ai trattamenti effettuati, assumendo decisioni sulla base di quanto emerso dall’analisi dei rischi effettuata nello specifico contesto in cui opera.

Cosa deve fare, quindi, il Responsabile della Protezione dei dati personali per supportare un Titolare del trattamento che ha intenzione di installare un sistema di videosorveglianza?

In primo luogo, il DPO analizza le indicazioni dell’Autorità Garante sull’argomento (ad esempio provvedimenti dell’8.4.2010, del 29.4.2004, …), le leggi sull’impiego (Legge 300/1970, D.lgs 151/2015 …), il contratto di lavoro applicabile ai dipendenti del Titolare;  tiene conto di quanto previsto da procedure e documenti interni, quando presenti (regolamenti, disciplinari) o da specifici accordi sindacali, di stabilimento o di settore; valuta inoltre le caratteristiche tecniche del sistema che il Titolare intende installare.

Al termine dell’analisi, è in grado di esprimere un parere competente e documentato, indicando al Titolare eventuali passi da compiere prima di attivare il sistema.  Fornisce inoltre indicazioni sull’opportunità di procedere con una valutazione preliminare d’impatto.

Il DPO ha cura di verificare che tutte le comunicazioni fornite agli interessati in merito all’impianto di videosorveglianza installato siano chiare. Si accerta che esse contengano un esplicito richiamo alle leggi vigenti, che illustrino correttamente le finalità di trattamento perseguite e che indichino  i termini di conservazione dei dati personali raccolti.

Eventuali terzi destinatari o responsabili esterni del trattamento devono essere chiaramente indicati; parimenti, le aree oggetto di sorveglianza devono essere segnalate da appositi cartelli, visibili anche al buio qualora la videosorveglianza in alcune zone fosse attiva in orario notturno.

 

PILLOLE PRIVACY N° 16 – COME OPERA IL DPO

/in /by

Pillola 16

IL “FARE” DEL DPO

Dal punto di vista operativo, come deve agire il Responsabile della Protezione dei dati personali?

Qual è il modo di procedere più conveniente quando un problema relativo alla protezione dei dati personali è posto alla sua attenzione?

IL “FARE” – NORME E DOCUMENTI DI RIFERIMENTO

Regolamento europeo e Codice Privacy, ovviamente, devono essere sempre a portata di mano e sono i primi documenti da consultare in caso di dubbi.

Altri documenti di supporto alle valutazioni sono tipicamente costituiti da quanto rilasciato sull’argomento dall’Autorità di controllo (Codici di deontologia, autorizzazioni, vademecum, provvedimenti), da leggi collegate che possono avere un peso sulle decisioni da prendere o da indicazioni emesse dalle associazioni di Categoria.

Per tematiche relative a dipendenti e collaboratori, ad esempio, non si può prescindere dalla conoscenza del contratto collettivo applicato e delle leggi sull’impiego.

IL “FARE” – LE CARATTERISTICHE DEL TRATTAMENTO

Categorie e numerosità dei dati trattati hanno un peso importante nelle valutazioni, come pure le modalità di raccolta, di aggiornamento e di conservazione dei dati, le dotazioni di sicurezza e le modalità di trattamento adottate.

Ogni decisione deve tenere contro di quello che l’organizzazione fa e di come lo fa.

Le indicazioni contenute nel Registro dei Trattamenti, ove presente, permettono di orientarsi e di comprendere come sono svolte le operazioni sui dati personali.

IL “FARE” – IL CONTESTO SPECIFICO

Il livello di consapevolezza e le abitudini di dipendenti e collaboratori devono essere ugualmente valutate per comprendere se siano necessari aggiustamenti, comunicazioni mirate o modifiche ai processi operativi.

La conoscenza del settore di mercato in cui opera l’organizzazione, delle sue caratteristiche operative e degli obiettivi di business sono parte essenziale del bagaglio di competenze che permettono di svolgere al meglio i  compiti assegnati al DPO.

IL “FARE” – OBIETTIVI AZIENDALI NEL RISPETTO DELLA CONFORMITÀ

Bisogna ancora una volta sottolineare che è sempre obbligatorio rispettare e gestire i diritti degli interessati e che ogni intervento deve avere l’obiettivo di consentire il trattamento nel rispetto della conformità.

La salvaguardia della reputazione del soggetto che effettua i trattamenti è un importante obiettivo, al cui raggiungimento concorre l’attività tesa alla riduzione del rischio.  Qualora la riduzione del rischio non sia possibile, o ci siano rischi che fino a quel momento non sono stati correttamente valutati, il Responsabile della Protezione dei dati personali deve portarli all’attenzione del vertice aziendale per le opportune azioni.

La responsabilità delle decisioni, infatti, spetta sempre al Titolare del trattamento e non può essere delegata.

Le prossime pillole conterranno indicazioni e suggerimenti per alcune particolari situazioni di trattamento.

PILLOLE PRIVACY N° 15 – LE COMPETENZE DEL DPO – Parte 2

/in /by

Pillola 15

La capacità di assolvere i propri compiti

Quali sono i compiti del DPO e in che modo, soprattutto, dovranno essere assolti?

Cosa devono cercare o cosa devono aspettarsi le imprese che, per scelta o perché sono obbligate a farlo, decidono di nominare un Responsabile della Protezione dei dati personali?

Rispondiamo a queste domande e forniamo qualche indicazione in merito alle principali aree di intervento di un DPO.

Il nostro Responsabile della Protezione dei dati personali è in grado di prendere decisioni, di assumersi responsabilità, di supportare l’organizzazione, di esprimere un parere.

Interloquisce con l’Autorità di controllo, con i dipendenti e i collaboratori del Titolare e/o del Responsabile e con gli interessati, parlando linguaggi diversi a seconda delle necessità.

Gestisce le risorse assegnate, sia umane sia economiche.

È capace di lavorare in team e, se gestisce un gruppo di persone, è in grado di motivarle per il raggiungimento degli obiettivi aziendali.

Inoltre, documenta le scelte e le decisioni, conservando le evidenze del percorso scelto per assicurare la conformità dopo aver attentamente valutato i rischi.

È assolutamente autonomo in merito a compiti e doveri, e non riceve alcuna istruzione dal Titolare e/o dal Responsabile per la loro esecuzione.

Per la descrizione completa dei compiti del Responsabile della Protezione dei dati personali, rimandiamo all’articolo 39 del Regolamento Europeo 679/2016.

A chi affidare l’incarico

Il Responsabile della Protezione dei dati personali è quindi, per le competenze richieste, un manager; non è casuale che il Regolamento lo collochi a riporto diretto del vertice gerarchico Titolare e/o dal Responsabile.

È perciò opportuno affidarsi a un professionista in possesso dei requisiti che abbiamo descritto in queste pillole, ricordando che Titolari e Responsabili rispondono di tutte le decisioni prese in merito alla protezione dei dati personali, incluse quelle relative all’affidamento di incarichi.

In funzione dello specifico contesto e delle dimensioni dell’organizzazione, è possibile affidare l’incarico a professionisti sia interni sia esterni, purché siano in possesso delle qualità professionali e delle competenze che abbiamo descritto nelle Pillole Privacy n° 14 e n° 15.