OdV 231: quale responsabilità per la privacy?

L'OdV 231 è una figura d'impresa di cui non è scontato inquadrare il ruolo in materia di privacy. L'aiuto arriva dal Garante!

Ci sono figure che operano nell’ambito d’impresa che non è scontato inquadrare in termini di ruolo in materia di trattamento dei dati personali, al punto che il Garante, di sua iniziativa o su richiesta di associazioni di categoria, fornisce valutazioni volte alla loro corretta individuazione. Dopo la figura del medico competente, da considerare titolare autonomo del trattamento al pari dell’azienda per la quale svolge il proprio incarico, oggi parlo dell’Organismo di Vigilanza 231 (OdV 231).

Che cos’è l’OdV 231?

Con il decreto legislativo 231 del 2001, il legislatore ha individuato una serie di reati per i quali, oltre alla responsabilità della persona fisica che li ha commessi o che se ne assume la responsabilità per il ruolo che ricopre all’interno di una data organizzazione, è prevista la possibilità, in fase di giudizio, di coinvolgere la responsabilità dell’organizzazione (ente).

Una delle caratteristiche del Modello 231 è quella di comprendere l'affidamento delle funzioni di vigilanza sull'efficacia e sull'attuazione delle procedure a una o più persone, con la formale costituzione dell'Organismo di Vigilanza.

Allo stesso tempo, il decreto ha individuato la possibilità per l’organizzazione di dotarsi di un modello di organizzazione e gestione (Modello 231), ossia di un insieme di procedure che, se in possesso di specifiche caratteristiche e se attuato in modo efficace, può rappresentare uno strumento per dimostrare l’estraneità dell’ente dal reato e, quindi, escluderne la responsabilità.

Una delle caratteristiche del Modello 231 è quella di comprendere l’affidamento delle funzioni di vigilanza sull’efficacia e sull’attuazione delle procedure a una o più persone, con la formale costituzione dell’Organismo di Vigilanza.

Quale responsabilità per la privacy?

Il Garante per la protezione dei dati personali ha pubblicato in data 12 maggio 2020 un “parere sulla qualificazione soggettiva ai fini privacy degli Organismi di Vigilanza previsti dall’art. 6, d.lgs. 8 giugno 2001, n. 231“.

Il Garante per la protezione dei dati personali ha pubblicato in data 12 maggio 2020 un "parere sulla qualificazione soggettiva ai fini privacy degli Organismi di Vigilanza previsti dall'art. 6, d.lgs. 8 giugno 2001, n. 231".

La posizione del Garante è netta e sintetizzabile in 4 punti:

  1. l’OdV 231, anche se dotato di potere d’iniziativa e controllo per svolgere la propria funzione in modo autonomo, non può essere considerato titolare del trattamento perché i suoi compiti non sono autodeterminati ma definiti dall’organo dirigente dell’organizzazione che lo ha incaricato e che ne definisce le modalità di funzionamento e le risorse a disposizione;
  2. l’OdV 231 non può essere considerato nemmeno responsabile del trattamento in quanto eventuali sue omissioni non ricadono sull’organismo ma sull’organizzazione, laddove la normativa in materia di privacy prevede che il responsabile del trattamento abbia a proprio carico una serie di obblighi e sia direttamente responsabile in caso della loro inosservanza;
  3. l’OdV 231 è parte dell’ente che, quale titolare del trattamento, deve designare i singoli membri dell’OdV come soggetti autorizzati al trattamento, che dovranno attenersi alle istruzioni del titolare;
  4. le istruzioni che il titolare definisce per i membri dell’OdV 231 quali soggetti autorizzati non devono minarne l’autonomia e l’indipendenza rispetto agli organi societari, che sono requisiti necessari per lo svolgimento della funzione dell’OdV 231 ai sensi del decreto 231/01.
L'OdV 231 non ha un "incarico privacy" in senso collegiale, ma ciascuno dei suoi membri deve essere individuato come incaricato del trattamento.

Quindi l’OdV 231 non ha un “incarico privacy” in senso collegiale, ma ciascuno dei suoi membri deve essere individuato come incaricato del trattamento.

I contenuti della formazione sulla privacy

La formazione sulla privacy è obbligatoria e la sua assenza sanzionabile. Ma durata e contenuti non sono definiti, quindi che cosa fare?

La formazione in materia di privacy è obbligatoria e la sua assenza è sanzionabile. Ma non esistono riferimenti precisi in fatto di durata, contenuti e aggiornamenti in merito. Come organizzarla, quindi?

Concetti generali e operatività

Una formazione in materia di privacy che voglia essere efficace deve prevedere quindi contenuti generali e specifici (sì, come avviene per la sicurezza), dove i primi servono per conoscere il linguaggio della privacy e i secondi servono a tradurre in azioni concrete i principi generali.

L’obiettivo della formazione sulla privacy è quella di mettere chi raccoglie e tratta i dati nella condizione di essere consapevole della sua influenza sul rispetto delle disposizioni di legge previsti in materia di trattamento di dati personali, e anche delle azioni che l’organizzazione ha previsto a suo carico per la gestione dei dati in modo conforme.

Una formazione in materia di privacy che voglia essere efficace deve prevedere quindi contenuti generali e specifici.

Una traccia dei contenuti della formazione sulla privacy

Di seguito la mia proposta di un’ossatura della formazione che può essere arricchita di dettagli a seconda della tipologia e della dimensione dell’organizzazione ma che consente di passare dalla teoria alla pratica, rispondendo all’obbligo di formazione e anche all’esigenza di operatività di ogni organizzazione.

  1. Si parte dalla normativa di riferimento, anche solo per evitare confusione tra vecchia e nuova modulistica e per capire quale sia l’argomento in questione quando si vedono sigle e numeri.
  2. Si passa a termini e definizioni perché nel linguaggio tecnico le parole assumono un significato preciso, che consente di distinguere ruoli e responsabilità in modo univoco. Imparare a conoscere e a utilizzare termini specifici evita fraintendimenti e velocizza l’operatività.
  3. Calare la teoria nella realtà dell’organizzazione, dando nome e cognome al titolare del trattamento, ai responsabili esterni, agli addetti al trattamento, al DPO e illustrando i contenuti della documentazione predisposta per la gestione dei trattamenti dei dati, a partire dall’individuazione dei dati personali oggetto di trattamento.
  4. Individuare le situazioni potenzialmente pericolose e illustrare la procedura del data breach.
  5. Illustrare le sanzioni previste e alcuni esempi di applicazione da parte del Garante, con riferimento a tipologie di trattamenti analoghe a quelle dell’organizzazione per la quale si sta erogando la formazione.
  6. Proporre esercitazioni ed esempi, compilando la modulistica predisposta e affrontando le situazioni più comuni e quelle meno frequenti ma potenzialmente rischiose.
Di seguito la mia proposta di un'ossatura dei contenuti della formazione sulla privacy.

Durata e frequenza di aggiornamento

La durata del percorso dipende dal numero di persone che partecipano alla formazione, dalla complessità dell’organizzazione e dei trattamenti e dalla possibilità o meno di suddividere la formazione tra figure con uguale responsabilità in relazione al trattamento dei dati.

Nulla vieta di considerare come formazione già l’illustrazione dei documenti ai referenti di funzione, ma pensare di demandare loro la formazione ai loro sottoposti, in un percorso a cascata, risulta rischioso: un eventuale fraintendimento rischia di diffondersi in modo incontrollato tra colleghi e collaboratori.

La frequenza di aggiornamento, infine, è legata più alle variazioni delle tipologie di dati trattate o alle modifiche delle procedure di trattamento piuttosto che al passare del tempo. Per analogia si può parlare di integrazione o aggiornamento della formazione nel caso cambi il ruolo aziendale (e quindi l'”uso” dei dati in azienda).

Dati personali e rapporto di lavoro

Nell'ambito di un rapporto di lavoro le categorie di dati personali raccolti e trattati dal datore di lavoro sono ampie e non tutte necessarie per adempiere agli obblighi connessi al rapporto di lavoro.

Nell’ambito di un rapporto di lavoro, le categorie di dati personali raccolti e trattati dal datore di lavoro sono ampie e non tutte necessarie per adempiere agli obblighi connessi al rapporto di lavoro. Sapere quali dati rientrano in questa categoria e quali, invece, sono raccolti per attuare procedure aziendali che vanno al di là dei vincoli dei contratti di lavoro è essenziale per definire le corrette modalità di trattamento e di informativa nei confronti dei lavoratori.

Dati personali richiesti per definire e gestire il rapporto di lavoro

I dati anagrafici del dipendente, i suoi dati fiscali e quelli dei familiari a carico, o comunque componenti il suo nucleo familiare, e gli estremi del suo conto corrente bancario sono necessari per l’elaborazione e il pagamento della retribuzione e gli adempimenti legislativi connessi (ex. pagamento dei contributi previdenziali e assistenziali).

I dati anagrafici del dipendente, i suoi dati fiscali e quelli dei familiari a carico, o comunque componenti il suo nucleo familiare, e gli estremi del suo conto corrente bancario sono necessari per l’elaborazione e il pagamento della retribuzione e gli adempimenti legislativi connessi.

Ci sono anche dati sensibili dei quali il datore di lavoro può venire a conoscenza per adempiere agli obblighi di legge connessi al rapporto di lavoro:

  • conoscere la condizione di invalidità o di maternità determina la possibilità di pagare le indennità economiche previste dai contratti collettivi di lavoro;
  • conoscere l’adesione a un sindacato serve per gestire eventuali richieste di trattenuta per quote di associazione sindacale;
  • conoscere l’adesione a un partito politico è necessaria per giustificare richieste di permessi o aspettativa per cariche pubbliche elettive o assenze retribuite per lo svolgimento dell’incarico di rappresentante di lista);
  • conoscere le convinzioni religiose serve per gestire le richiesta di fruizione di festività religiose.

Utilizzo di immagini

Nei casi in cui è necessario esibire un tesserino di identificazione (nell'ambito dei lavori di appalto), la fototessera diventa un dato personale richiesto per adempiere a un obbligo di legge da parte del datore di lavoro.

Nei casi in cui è necessario esibire un tesserino di identificazione (nell’ambito dei lavori di appalto), la fototessera diventa un dato personale richiesto per adempiere a un obbligo di legge da parte del datore di lavoro, il che è comunque diverso dagli obblighi imposti dalla gestione del rapporto di lavoro.

Diverso è invece il caso in cui l’azienda definisca procedure interne di sicurezza che prevedono l’utilizzo di cartellini con fototessera o l’installazione di impianti di videosorveglianza, oppure proceda alla raccolta di materiale video o fotografico per attività di marketing e promozione della società: in questi due casi è il legittimo interesse del titolare che giustifica il trattamento.

La raccolta di materiale video o fotografico per attività di marketing e promozione della società è raccolta  di dati personali.

Quindi le immagini sono dati personali che possono essere trattati nell’ambito di un rapporto di lavoro, ma la ragione che ne determina la possibilità di utilizzo può variare tra l’obbligo contrattuale e l’interesse del datore di lavoro.

Posizione dei lavoratori

Che sia l’utilizzo di mezzi aziendali provvisti di sistemi satellitari o l’affidamento di telepass e carte di credito per agevolare le attività, il risultato è che le procedure di gestione della logistica o, più semplicemente, la rendicontazione periodica di questi strumenti fornisce al datore di lavoro i dati relativi alla posizione geografica e agli orari di utilizzo degli strumenti assegnati. Anche questi sono dati personali se consentono di risalire in modo univoco agli utilizzatori dei mezzi e dei dispositivi.

La rendicontazione periodica di questi strumenti fornisce al datore di lavoro i dati relativi alla posizione geografica e agli orari di utilizzo degli strumenti assegnati.

E adesso?

Avere chiaro che tra i dati personali dei dipendenti rientrano più categorie di dati, e non solo quelli anagrafici, la cui raccolta e il cui trattamento sono determinate da ragioni diverse, è essenziale per adempiere in modo corretto agli obblighi imposti dalla normativa in materia di trattamento dati personali.

In particolare:

  1. per predisporre informative complete e corrette e, se necessarie, le richieste di consenso;
  2. per individuare eventuali necessità di autorizzazione;
  3. per utilizzare correttamente gli strumenti aziendali;
  4. per definire le procedure di gestione dei dati rispettose dei vincoli di legge.

Privacy: attenzione alla gestione delle e-mail aziendali

La gestione delle e-mail aziendali è un aspetto della privacy policy. E non è solo questione di disattivare gli account degli ex dipendenti.

L’obbligo di disattivare gli account e-mail alla conclusione del rapporto di lavoro e il divieto di accedere ai messaggi ricevuti dagli account di ex-dipendenti sono due aspetti della gestione delle e-mail aziendali in relazione alle disposizioni di legge in materia di privacy. Nel 2007, infatti, il Garante per la protezione dei dati personali ha prescritto ai datori di lavoro la definizione di un disciplinare interno relativo sia all’utilizzo della posta elettronica sia della rete internet nel rispetto delle sue linee guida.

In che modo il titolare del trattamento deve gestire le e-mail aziendali?

Gli account di posta elettronica degli ex- dipendenti

Per tale motivo il Garante ha previsto che, in caso di cessazione di un rapporto di lavoro, il titolare del trattamento deve disattivare gli account di posta elettronica riconducibili all'ex-dipendente.

Per quanto sia indiscutibile che il titolare del trattamento abbia interesse ad accedere alle informazioni necessarie alla gestione della propria attività, tale esigenza deve fare i conti con l’obbligo di tutela della riservatezza del personale (anche ex dipendente) e dei terzi coinvolti nelle comunicazioni.

In sostanza la questione è che le e-mail consentono di conoscere dati personali anche solo in relazione alle informazioni di contorno all’oggetto della comunicazione: data e ora di invio e nominativi di mittente e destinatario sono sempre leggibili.

Per tale motivo il Garante ha previsto che, in caso di cessazione di un rapporto di lavoro, il titolare del trattamento deve disattivare gli account di posta elettronica riconducibili all’ex-dipendente. Per garantire la funzionalità delle comunicazioni, può adottare misure tecniche che, pur impedendo la visualizzazione dei messaggi in arrivo al “vecchio indirizzo”, consentano a chi vi scrive di ricevere la risposta automatica da un indirizzo differente, contenente i riferimenti aggiornati per la trasmissione delle comunicazioni.

Il disciplinare interno

Con le linee guida del 2007, il Garante ha di fatto prescritto ai datori di lavoro pubblici e privati di "specificare le modalità di utilizzo della posta elettronica e della rete Internet da parte dei lavoratori, indicando chiaramente le modalità di uso degli strumenti messi a disposizione e se, in che misura e con quali modalità vengano effettuati controlli".

Con le linee guida del 2007, il Garante ha di fatto prescritto ai datori di lavoro pubblici e privati di “specificare le modalità di utilizzo della posta elettronica e della rete Internet da parte dei lavoratori, indicando chiaramente le modalità di uso degli strumenti messi a disposizione e se, in che misura e con quali modalità vengano effettuati controlli“.

Il disciplinare interno, come viene chiamato dal Garante, può essere un’informativa individualizzata o una policy aziendale, e rappresenta lo strumento attraverso il quale i lavoratori ricevono indicazioni sulle soluzioni tecniche e organizzative messe in atto dall’organizzazione per gestire le e-mail aziendali nel rispetto dei diritti di tutti i soggetti coinvolti e della normativa applicabile.

Alcune misure di gestione delle e-mail aziendali

Il Garante propone alcune soluzioni tecniche e operative di gestione delle e-mail aziendali per bilanciare le esigenze aziendali con i diritti di tutela dei lavoratori.

Il Garante propone alcune soluzioni tecniche e operative per bilanciare le esigenze aziendali con i diritti di tutela dei lavoratori, per esempio prevede:

  • la messa a disposizione di indirizzi di posta elettronica condivisi tra più lavoratori (ex. amministrazione@xyz.it), eventualmente affiancandoli a quelli individuali (ex. rossimario@xyz.it), per consentire una distinzione tra un canale “pubblico” e uno privato;
  • la messa a disposizione di funzionalità tecniche di facile utilizzo per l’invio automatico di messaggi in caso di assenze programmate (le cosiddette risposte automatiche), con i riferimenti di altri soggetti o delle modalità di contatto dell’organizzazione in assenza del singolo lavoratore;
  • il diritto del singolo lavoratore, qualora sia necessario accedere all’account di posta elettronica a lui dedicato per assenza improvvisa o prolungata o necessità improrogabili, di delegare un altro lavoratore (fiduciario) alla verifica dei messaggi e all’inoltro al titolare del trattamento di quelli rilevanti per lo svolgimento dell’attività lavorativa;
  • l’inserimento nel testo delle e-mail di un messaggio di avvertimento ai destinatari in merito all’eventuale natura non personale del messaggio, specificando se le risposte potranno essere conosciute da altri soggetti dell’organizzazione di appartenenza del mittente.

Conservazione delle e-mail aziendali

Il Garante non definisce limiti di tempo accettabili o modalità di conservazione specifiche delle e-mail aziendali, ma stabilisce che il titolare del trattamento valuti in modo selettivo quali comunicazioni e documenti debbano essere archiviati e per quanto tempo

La conservazione sistematica dei dati esterni e del contenuto di tutte le comunicazioni elettroniche scambiate dai dipendenti attraverso gli account aziendali, allo scopo di poter ricostruire gli scambi di comunicazioni tra gli uffici interni nonché tutti i rapporti intrattenuti con gli interlocutori esterni (clienti, fornitori, enti assicurativi, tour operator), anche in vista di possibili contenziosi, effettuata da soggetti diversi dal titolare della specifica casella di posta elettronica per l’intera durata del rapporto di lavoro e successivamente all’interruzione dello stesso, non risulta […] conforme ai principi di liceità, necessità e proporzionalità del trattamento.

Registro dei provvedimenti n. 53 del 1° febbraio 2018

In sostanza il Garante afferma che:

  1. non è necessaria la conservazione di tutta la posta elettronica aziendale, e senza limiti temporali, per consentire lo svolgimento dell’attività lavorativa e che, al contrario, questa modalità di gestione viola i principi di gestione dei dati personali, consentendo al contempo un controllo sull’attività dei lavoratori contraria allo Statuto dei lavoratori;
  2. che la conservazione delle e-mail per finalità di tutela dei propri diritti in giudizio deve riferirsi a contenziosi in atto o a situazioni che stanno dando luogo a contenziosi, ma non a ipotesi astratte e indeterminate.

Il Garante non definisce limiti di tempo accettabili o modalità di conservazione specifiche, ma stabilisce che il titolare del trattamento valuti in modo selettivo quali comunicazioni e documenti debbano essere archiviati e per quanto tempo.

Chi è il responsabile privacy in azienda?

Ci sono diverse figure introdotte dal GDPR in relazione alla gestione della privacy in azienda ma in nessun caso si parla di "responsabile privacy": non esiste un unico soggetto che possa farsi carico in maniera esclusiva e autonoma della questione.

Per alcuni il responsabile privacy è l’ufficio del personale, per altri l’ufficio qualità (soprattutto se si tratta di aziende certificate), per altri è il legale rappresentante dell’impresa. Ci sono diverse figure introdotte dal GDPR in relazione alla gestione della privacy in azienda ma in nessun caso si parla di “responsabile privacy”: non esiste un unico soggetto che possa farsi carico in maniera esclusiva e autonoma della questione; la privacy è un aspetto dell’attività aziendale che richiede attenzione da parte di tutte (o quasi) le funzioni d’impresa.

Non esiste un ruolo di “responsabile privacy”

Il fatto che non parli di responsabile privacy non è un caso, e non è solo una questione di termini. Chi chiede o si chiede chi debba essere il responsabile privacy in un'organizzazione indica in realtà di non avere chiaro che cosa richieda il nuovo Regolamento europeo sulla protezione dei dati personali.

Il GDPR parla di:

  • titolare del trattamento dei dati personali;
  • persone autorizzate al trattamento (o incaricati al trattamento);
  • responsabile del trattamento;
  • destinatario dei dati personali;
  • rappresentante del titolare dei dati personali;
  • interessato;
  • responsabile della protezione dei dati personali (DPO).

Il fatto che non parli di responsabile privacy non è un caso, e non è solo una questione di termini. Chi chiede o si chiede chi debba essere il responsabile privacy in un’organizzazione non ha chiaro che cosa richieda il nuovo Regolamento europeo.

L'obiettivo del Regolamento non è quello di mettere in capo a un unico soggetto tutte le questioni formali, ma di fare in modo che i diversi soggetti che trattano i dati personali nell'ambito di un'organizzazione lo facciano nel rispetto dei requisiti del GDPR.

L’obiettivo del Regolamento non è quello di mettere in capo a un unico soggetto tutte le questioni formali, ma di fare in modo che i diversi soggetti che trattano i dati personali nell’ambito di un’organizzazione lo facciano nel rispetto dei requisiti del GDPR.

Ovviamente il grado di responsabilità cambia a seconda che si parli del titolare del trattamento, delle persone autorizzate al trattamento o del DPO, per esempio, ma l’attività di valutazione iniziale svolta dal titolare e la definizione delle procedure per il corretto trattamento dei dati all’interno dell’organizzazione servono ben poco se le persone autorizzate non mettono in atto quanto è stato definito ed è stato loro insegnato.

La privacy come aspetto della gestione aziendale

La privacy non è un argomento che può essere affrontato prescindendo dal contesto aziendale, ma è un filo rosso di cui bisogna rintracciare il percorso attraverso gli uffici e le attività aziendali.

La privacy non è un argomento che può essere affrontato prescindendo dal contesto aziendale, ma è un filo rosso di cui bisogna rintracciare il percorso attraverso gli uffici e le attività aziendali, per poterne ricostruire una mappa, con tanto di segnali di pericolo, di obbligo e di divieto: a qualcuno spetterà disegnare la mappa, a qualcuno spetterà definire la segnaletica, e a tutti quelli che ne incroceranno la strada spetterà il compito di rispettarne le indicazioni.

Servizi fotografici aziendali e consenso privacy

I servizi fotografici aziendali determinano l'acquisizione di immagini fotografiche o riprese video che ritraggono dipendenti, clienti o visitatori, e, per tale ragione, richiedono di essere gestiti in termini di privacy.

I servizi fotografici aziendali determinano l’acquisizione di immagini fotografiche o riprese video che ritraggono dipendenti, clienti o visitatori e costituiscono dati personali, da gestire in termini di privacy.

In particolare, anche se i dati personali sono acquisiti per predisporre materiale promozionale, divulgativo e di comunicazione, quindi il trattamento avviene in modo lecito per il perseguimento del legittimo interesse del titolare, è necessario il consenso espresso da parte del soggetto interessato, perché così prevede la legge sul diritto d’autore. L’unica eccezione è il caso in cui “la riproduzione è collegata a fatti, avvenimenti, cerimonie di interesse pubblico o svoltisi in pubblico“.

Privacy e servizi fotografici aziendali

Le immagini che ritraggono dipendenti, collaboratori, visitatori e clienti sono dati personali e, in quanto tali, devono essere gestiti secondo nel rispetto delle regole definite dal Regolamento europeo 2016/679.

Fotografie, video e materiali multimediali possono essere realizzati da un’azienda per comunicare la propria attività e professionalità verso l’esterno, caricando il materiale sul sito aziendale e le piattaforme social (ex. Facebook, Instagram, LinkedIn, YouTube), inviandolo alla stampa o inserendolo nel proprio materiale pubblicitario (ex. depliant e brochure).

Le immagini che ritraggono dipendenti, collaboratori, visitatori e clienti sono dati personali e, in quanto tali, devono essere gestiti nel rispetto delle regole definite dal Regolamento europeo 2016/679.

La liceità del trattamento e il diritto d’autore

Nel caso delle immagini che ritraggono persone, i requisiti del GDPR si combinano con quelli della sezione II (Diritti relativi al ritratto) della legge n.633/41 sul diritto d'autore.

Perché un trattamento di dati personali possa essere effettuato, è necessario che sia determinato da una delle ragioni previste dalla normativa (base giuridica del trattamento).

Nel caso specifico, la motivazione che sta alla base del trattamento dei dati è la promozione dell’attività dell’impresa, che equivale al perseguimento del legittimo interesse del titolare del trattamento dei dati e che è una base giuridica ammessa dal GDPR. Allo stesso tempo, però, i requisiti del Regolamento si combinano con quelli della sezione II (Diritti relativi al ritratto) della legge n.633/41, conosciuta come legge sul diritto d’autore.

Art. 96

Il ritratto di una persona non può essere esposto, riprodotto o messo in commercio senza il consenso di questa, salve le disposizioni dell’articolo seguente.

[…]

Art. 97

Non occorre il consenso della persona ritrattata quando la riproduzione dell’immagine è giustificata dalla notorietà o dall’ufficio pubblico coperto, da necessità di giustizia o di polizia, da scopi scientifici, didattici o colturali, o quando la riproduzione è collegata a fatti, avvenimenti, cerimonie di interesse pubblico o svoltisi in pubblico.

Il ritratto non può tuttavia essere esposto o messo in commercio, quando l’esposizione o messa in commercio rechi pregiudizio all’onore, alla reputazione od anche al decoro della persona ritrattata.

Non è previsto l'obbligo di consenso espresso da parte dell'interessato in caso di riproduzione collegata a fatti, avvenimenti, cerimonie di interesse pubblico o svoltisi in pubblico.

Come si deve procedere?

L’informativa sul trattamento dei dati personali non deve mai mancare: il titolare del trattamento deve informare l’interessato in merito ai dettagli relativi all’utilizzo dei suoi dati e ai suoi diritti. Ricordo che l’informativa può includere una sezione per esprimere il consenso al trattamento ma non nasce con questa finalità.

Quindi, oltre a predisporre l’informativa relativa al trattamento delle immagini ed è necessario prevedere un modulo di consenso, eventualmente come parte terminale dell’informativa.

In relazione ai casi in cui non è previsto l’obbligo di consenso (riproduzione collegata a fatti, avvenimenti, cerimonie di interesse pubblico o svoltisi in pubblico), l’interessato deve comunque essere informato del trattamento quindi è opportuno inserire nell’informativa sul trattamento delle immagini i dettagli relativi.

oltre a predisporre l'informativa relativa al trattamento delle immagini ed è necessario prevedere un modulo di consenso, eventualmente come parte terminale dell'informativa.

Ti lascio un esempio.

“Nel caso di eventi pubblici quali, a titolo esemplificativo ma non esaustivo, conferenze stampa, eventi pubblici o manifestazioni pubbliche alle quali l’impresa dovesse prendere parte, non è necessario il consenso espresso da parte del soggetto interessato che si presenta presso i luoghi e gli spazi (ex. sale convegni, ambienti sia in interno che in esterno presso i quali si svolgono eventi – sale comunali, spazi cittadini, ecc.) nei quali è stato attivato un servizio di riprese fotografiche o video.

L’attivazione di tali attività video/fotografiche sarà chiaramente identificata con apposita segnaletica.

Al di fuori della fattispecie suddetta, gli interessati potranno esprimere il proprio consenso al trattamento dei dati mediante compilazione della sezione conclusiva della presente informativa.”

Medico competente: responsabile o titolare del trattamento?

Lo scorso 23 giugno il Garante per la protezione dei dati personali ha presentato la Relazione annuale sulle attività svolte nel 2019. Si parte dai numeri e si scende poi nei dettagli con paragrafi descrittivi di approfondimento. Il n. 13.14, intitolato “I trattamenti di dati da parte del medico competente” affronta in modo esplicito e definitivo la questione della posizione del medico competente nell’ambito del sistema di gestione della privacy aziendale. Tra chi considerava il medico competente un responsabile esterno al trattamento e chi lo riteneva un titolare del trattamento sono i secondi a ricevere la conferma espressa da parte del Garante.

Il medico competente come autonomo titolare

Il Garante lo dice chiaramente:

“il Garante ha tradizionalmente considerato il medico competente un autonomo titolare e, nonostante gli accertamenti volti a verificare l’idoneità alla mansione specifica del dipendente siano obbligatori per legge e svolti a spese e a cura del datore di lavoro (artt. 39, comma 5 e 41, comma 4, d.lgs. n. 81/2008), essi devono essere effettuati esclusivamente tramite il professionista. Egli è, infatti, l’unico soggetto legittimato a trattare i dati sanitari dei lavoratori per le finalità indicate dalla disciplina di settore…”

La questione non è legata alla presenza di un incarico conferito dal datore di lavoro al professionista, ma al fatto che il professionista è l’unico legittimato ex lege a trattare in piena autonomia e competenza tecnica i dati personali di natura sanitaria.

La questione, in sostanza, non è legata alla presenza di un incarico conferito dal datore di lavoro al professionista, ma al fatto che “nello svolgimento dei compiti che la legge gli attribuisce in via esclusiva (attività di sorveglianza sanitaria e tenuta delle cartelle sanitarie e di rischio dei singoli lavoratori), il professionista è l’unico legittimato ex lege a trattare in piena autonomia e competenza tecnica i dati personali di natura sanitaria indispensabili
per tale finalità, non potendo essere in alcun modo trattate dal datore di lavoro informazioni relative, ad esempio, alla diagnosi o all’anamnesi familiare del lavoratore, se non con riferimento al solo giudizio di idoneità alla mansione specifica ed alle eventuali prescrizioni che il professionista fissa come condizioni di lavoro
“.

E non è la tipologia di rapporto tra professionista sanitario e datore di lavoro a influire sulla posizione del medico competente come titolare del trattamento:

“Anche sotto il profilo sanzionatorio, il quadro normativo nazionale distingue chiaramente le responsabilità che ricadono sul datore di lavoro da quelle che invece sono direttamente imputabili al medico competente, sia quando opera in qualità di libero professionista o per conto di strutture convenzionate, sia quando opera in qualità di dipendente del datore di lavoro.”

Non solo non è necessario nominare il medico competente quale responsabile esterno al trattamento dei dati personali, ma questa nomina non risulta corretta dal punto di vista normativo.

Quindi? Quindi non solo non è necessario nominare il medico competente quale responsabile esterno al trattamento dei dati personali, ma questa nomina non risulta corretta dal punto di vista normativo ed è opportuno eliminarla, aggiornando anche la documentazione che descrive la modalità di gestione dalla privacy in azienda che dovesse contenere riferimenti al ruolo del medico competente e lo citasse come responsabile esterno anziché come titolare (ex. DPIA o registro dei trattamenti).

Il data breach: che cos’è e che cosa fare

Con data breach si fa riferimento a un qualunque evento accidentale o deliberato che può compromettere la sicurezza dei dati personali trattati da un titolare.

L’espressione data breach appartiene al mondo della gestione dei dati personali; viene utilizzata per identificare le violazioni dei sistemi di sicurezza messi a punto dal titolare del trattamento dei dati personali, che comportano, accidentalmente o con finalità illecita,

  • la distruzione
  • la perdita
  • la modifica
  • la divulgazione non autorizzata
  • l’accesso

ai dati personali trasmessi, conservati o comunque trattati dal titolare. 

Il furto o la perdita di dispositivi informatici contenenti dati personali è un evento di data breach.

Il concetto può apparire complesso, ma ecco alcuni esempi che lo rendono immediato e mostrano quanto l’eventualità di data breach sia tutt’altro che remota:

  • l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;
  • il furto o la perdita di dispositivi informatici contenenti dati personali;
  • la deliberata alterazione di dati personali;
  • l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware; 
  • la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;
  • la divulgazione non autorizzata dei dati personali.

La notifica del data breach al Garante

Nei casi in cui la violazione può comportare un rischio per i diritti e le libertà delle persone fisiche, causando danni fisici, materiali  o immateriali, il titolare del trattamento deve notificare la violazione al Garante per la protezione dei dati personali.

Nei casi in cui la violazione può comportare un rischio per i diritti e le libertà delle persone fisiche, il titolare del trattamento deve notificare la violazione al Garante per la protezione dei dati personali.

La notifica deve essere trasmessa entro 72 ore dal momento in cui il titolare viene a conoscenza del data breach e, in caso di trasmissione oltre il termine delle 72 ore, motivando il ritardo.

La notifica deve essere sottoscritta digitalmente o con firma autografa e inviata al Garante tramite posta elettronica certificata.

Tramite il sito del garante è disponibile un modello che garantisce di trasmettere tutti i dati richiesti.

Altri adempimenti

Se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali che ritiene più idonei, a meno che non abbia già preso misure tali da ridurne l’impatto. 

In ogni caso e anche a prescindere dalla notifica al Garante, il titolare del trattamento deve documentare tutte le violazioni dei dati personali.

In ogni caso e anche a prescindere dalla notifica al Garante, il titolare del trattamento deve documentare tutti i data breach.

In genere si predispone un apposito registro che consenta di tracciare tutte le informazioni sufficienti a ricostruire l’accaduto, individuare eventuali responsabili, dare evidenza delle azioni intraprese per gestire la violazione e contenere il suo impatto, registrare la valutazione del rischio per i diritti delle persone in funzione del quale si è fatta seguire o meno la notifica al garante, dimostrare il rispetto del termine delle 72 ore e dettagliare le ragioni dell’eventuale ritardo della notifica. Per altro il registro, tenendo traccia delle violazioni nel tempo, può rappresentare un’utile fonte di informazioni sull’efficacia delle misure di sicurezza messe in atto, indirizzando il titolare nel miglioramento della gestione della privacy della sua organizzazione.

Il DPO, Data Protection Officer

La sigla DPO sta per Data Protection Officer ed equivale alla versione italiana Responsabile della Protezione dei Dati (RPD).

La sigla DPO sta per Data Protection Officer ed equivale alla versione italiana Responsabile della Protezione dei Dati (RPD).

Questa figura è obbligatoria solo in alcuni casi specifici:

  • quando il trattamento dei dati è effettuato da un’autorità pubblica o da un organismo pubblico (a eccezione delle autorità giurisdizionali che effettuano attività giurisdizionali);
  • quando le attività principali del titolare o del responsabile del trattamento consistono in trattamenti che per la loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  • quando le attività principali del titolare o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali, reati o a connesse misure di sicurezza.

Nei casi in cui la normativa (GDPR) non impone la designazione, è comunque possibile la nomina di un RPD per scelta volontaria e, nel caso di un gruppo di imprese o soggetti pubblici, è possibile nominare un unico DPO.

Chi può svolgere la funzione di DPO?

Il DPO può essere interno o esterno all’organizzazione, e svolgere altre funzioni, ma, al di là della scelta strategica, l'importante è che possieda competenze giuridiche, informatiche, di gestione del rischio e di analisi dei processi.

Il DPO può essere interno o esterno all’organizzazione, e svolgere altre funzioni, ma, al di là della scelta strategica, l’importante è che:

  1. possieda competenze giuridiche, informatiche, di gestione del rischio e di analisi dei processi;
  2. svolga il suo ruolo con indipendenza e senza conflitti di interesse, e questo significa che non può essere lui a decidere finalità e strumenti di trattamento dei dati personali e che il titolare o il responsabile del trattamento devono fornirgli le risorse necessarie per assolvere ai suoi compiti e accedere ai dati personali e ai trattamenti.

Non sono richieste attestazioni formali o l’iscrizione ad appositi albi professionali, anche se la partecipazione a master e corsi professionali sulle tematiche specifiche è un utile strumento per valutare il possesso di un livello adeguato di conoscenze.

La nomina di DPO deve essere formalizzata e il nominativo dell’incaricato, nonché la sua eventuale variazione e revoca, deve essere comunicata al Garante per la protezione dei dati personali attraverso specifica procedura online.

Quali sono i compiti del RDP?

Il responsabile della protezione dei dati è un facilitatore dell’osservanza delle disposizioni del GDRP.

Il responsabile della protezione dei dati è un facilitatore dell’osservanza delle disposizioni del GDRP. I suoi compiti comprendono:

  1. informare e svolgere attività di consulenza verso il titolare o il responsabile del trattamento e gli incaricati del trattamento degli obblighi derivanti dal GDPR e dalle altre norme relative alla protezione dei dati;
  2. sorvegliare sulla corretta gestione del trattamento in osservanza al GDPR e alle altre norme relative alla protezione dei dati, comprese l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
  3. fornire un parere, se richiesto, in merito alla DPIA e sorvegliare sul suo svolgimento;
  4. cooperare con l’autorità di controllo rispetto alla quale funge da punto di contatto per questioni connesse al trattamento.

Vuoi approfondire la questione? Puoi scaricare le Linee guida sui responsabili della protezione dei dati (RPD) – WP243 adottate dal Gruppo di lavoro Art. 29.

Non sai più che DPO pigliare? Contattami!

La formazione sulla privacy è obbligatoria?

Predisporre i documenti e nominare responsabili e incaricati al trattamento è sufficiente per rispettare il GDPR? No! Manca la formazione sulla privacy.

Predisporre le informative, il registro dei trattamenti, la valutazione d’impatto, nominare responsabili del trattamento e incaricati al trattamento è sufficiente per adempiere gli obblighi previsti dal GDPR? Non del tutto: manca la formazione sulla privacy!

Quali sono le caratteristiche della formazione privacy?

Non esistono riferimenti specifici in relazione a durata e contenuti della formazione in materia di privacy, né in merito alla frequenza di aggiornamento. La logica è quella di formare il personale che partecipa al trattamento dei dati (a partire da chi ha accesso permanente o regolare ai dati) e alle attività di controllo in funzione del tipo di dati trattati, dei trattamenti effettuati e delle misure di protezione messe in atto dal titolare del trattamento.

Non esistono riferimenti specifici in relazione a durata e contenuti della formazione in materia di privacy, né in merito alla frequenza di aggiornamento.

In termini di aggiornamento sarà la variazione di una di queste componenti (dati, trattamenti e sistemi di protezione) a richiedere di adeguare la formazione degli addetti, piuttosto che una variazione della funzione dell’addetto che comporti un diverso accesso ai dati o diverse modalità di trattamento e di gestione.

Come ogni altro aspetto della gestione privacy rispetto al GDPR, quindi, anche la formazione risulta una misura che il titolare deve definire in modo autonomo in funzione dei rischi per la protezione dei dati che ha individuato e valutato.

Chi dice che è obbligatoria?

La formazione può essere una misura organizzativa che il titolare ha definito come necessaria per garantire il rispetto delle procedure di trattamento e protezione dei dati che ha deciso di attuare. E questo sarebbe di per sé sufficiente a rendere obbligatoria l’attività di formazione.

Il GDPR ha previsto in maniera esplicita l'obbligo di formazione all'articolo 29.

Ma il GDPR ha previsto in maniera esplicita l’obbligo di formazione all’articolo 29:

Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.

Detto n altre parole, l’articolo 29 dice che, con l’eccezione dei casi in cui il trattamento è previsto dal diritto dell’Unione Europea o degli Stati membri dell’Unione, tanto i responsabili quanto gli incaricati non sono autorizzati a trattare i dati personali se non sono stati formati (istruiti) dal titolare del trattamento.

Se ne può occupare il responsabile della protezione dei dati?

Il DPO è sicuramente una figura competente in materia. Il problema si pone più che altro rispetto alla finalità del suo compito.

La premessa essenziale è che il responsabile della protezione dei dati (o data protection officer – DPO) non è una figura obbligatoria in tutte le organizzazioni, ma è una “prerogativa” delle autorità pubbliche e delle organizzazioni che effettuano trattamenti su larga scala.

Il DPO è sicuramente una figura competente in materia, dato che uno dei requisiti per svolgere la funzione è quella della “conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati“. Il problema si pone più che altro rispetto alla finalità del suo compito, che è informativa e di consulenza verso il titolare e il responsabile del trattamento, e di vigilanza in relazione agli aspetti di formazione del personale.

Sarebbe quindi opportuno che la formazione non venisse svolta da un soggetto qualificato come DPO all’interno della struttura per la quale svolge tale funzione.

Ma ci sono sanzioni?

L’obbligo di formazione sulla privacy non deve essere sottovalutato in quanto la violazione dell’art. 29 che la prevede è soggetta a sanzioni amministrative pecuniarie

L’obbligo di formazione non deve essere sottovalutato in quanto la violazione dell’art. 29 che la prevede è soggetta a sanzioni amministrative pecuniarie. La norma parla di numeri che fanno paura (sanzioni fino a 10 milioni di euro o, per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore). L’ammontare effettivo dipende da una serie di fattori che sono oggetto di valutazione da parte del Garante (ex. natura, gravità e durata della violazione, carattere doloso o colposo della violazione). Questo non toglie il fatto che la mancata formazione in materia di privacy risulta una violazione sanzionabile .