Privacy: attenzione alla gestione delle e-mail aziendali

La gestione delle e-mail aziendali è un aspetto della privacy policy. E non è solo questione di disattivare gli account degli ex dipendenti.

L’obbligo di disattivare gli account e-mail alla conclusione del rapporto di lavoro e il divieto di accedere ai messaggi ricevuti dagli account di ex-dipendenti sono due aspetti della gestione delle e-mail aziendali in relazione alle disposizioni di legge in materia di privacy. Nel 2007, infatti, il Garante per la protezione dei dati personali ha prescritto ai datori di lavoro la definizione di un disciplinare interno relativo sia all’utilizzo della posta elettronica sia della rete internet nel rispetto delle sue linee guida.

In che modo il titolare del trattamento deve gestire le e-mail aziendali?

Gli account di posta elettronica degli ex- dipendenti

Per tale motivo il Garante ha previsto che, in caso di cessazione di un rapporto di lavoro, il titolare del trattamento deve disattivare gli account di posta elettronica riconducibili all'ex-dipendente.

Per quanto sia indiscutibile che il titolare del trattamento abbia interesse ad accedere alle informazioni necessarie alla gestione della propria attività, tale esigenza deve fare i conti con l’obbligo di tutela della riservatezza del personale (anche ex dipendente) e dei terzi coinvolti nelle comunicazioni.

In sostanza la questione è che le e-mail consentono di conoscere dati personali anche solo in relazione alle informazioni di contorno all’oggetto della comunicazione: data e ora di invio e nominativi di mittente e destinatario sono sempre leggibili.

Per tale motivo il Garante ha previsto che, in caso di cessazione di un rapporto di lavoro, il titolare del trattamento deve disattivare gli account di posta elettronica riconducibili all’ex-dipendente. Per garantire la funzionalità delle comunicazioni, può adottare misure tecniche che, pur impedendo la visualizzazione dei messaggi in arrivo al “vecchio indirizzo”, consentano a chi vi scrive di ricevere la risposta automatica da un indirizzo differente, contenente i riferimenti aggiornati per la trasmissione delle comunicazioni.

Il disciplinare interno

Con le linee guida del 2007, il Garante ha di fatto prescritto ai datori di lavoro pubblici e privati di "specificare le modalità di utilizzo della posta elettronica e della rete Internet da parte dei lavoratori, indicando chiaramente le modalità di uso degli strumenti messi a disposizione e se, in che misura e con quali modalità vengano effettuati controlli".

Con le linee guida del 2007, il Garante ha di fatto prescritto ai datori di lavoro pubblici e privati di “specificare le modalità di utilizzo della posta elettronica e della rete Internet da parte dei lavoratori, indicando chiaramente le modalità di uso degli strumenti messi a disposizione e se, in che misura e con quali modalità vengano effettuati controlli“.

Il disciplinare interno, come viene chiamato dal Garante, può essere un’informativa individualizzata o una policy aziendale, e rappresenta lo strumento attraverso il quale i lavoratori ricevono indicazioni sulle soluzioni tecniche e organizzative messe in atto dall’organizzazione per gestire le e-mail aziendali nel rispetto dei diritti di tutti i soggetti coinvolti e della normativa applicabile.

Alcune misure di gestione delle e-mail aziendali

Il Garante propone alcune soluzioni tecniche e operative di gestione delle e-mail aziendali per bilanciare le esigenze aziendali con i diritti di tutela dei lavoratori.

Il Garante propone alcune soluzioni tecniche e operative per bilanciare le esigenze aziendali con i diritti di tutela dei lavoratori, per esempio prevede:

  • la messa a disposizione di indirizzi di posta elettronica condivisi tra più lavoratori (ex. amministrazione@xyz.it), eventualmente affiancandoli a quelli individuali (ex. rossimario@xyz.it), per consentire una distinzione tra un canale “pubblico” e uno privato;
  • la messa a disposizione di funzionalità tecniche di facile utilizzo per l’invio automatico di messaggi in caso di assenze programmate (le cosiddette risposte automatiche), con i riferimenti di altri soggetti o delle modalità di contatto dell’organizzazione in assenza del singolo lavoratore;
  • il diritto del singolo lavoratore, qualora sia necessario accedere all’account di posta elettronica a lui dedicato per assenza improvvisa o prolungata o necessità improrogabili, di delegare un altro lavoratore (fiduciario) alla verifica dei messaggi e all’inoltro al titolare del trattamento di quelli rilevanti per lo svolgimento dell’attività lavorativa;
  • l’inserimento nel testo delle e-mail di un messaggio di avvertimento ai destinatari in merito all’eventuale natura non personale del messaggio, specificando se le risposte potranno essere conosciute da altri soggetti dell’organizzazione di appartenenza del mittente.

Conservazione delle e-mail aziendali

Il Garante non definisce limiti di tempo accettabili o modalità di conservazione specifiche delle e-mail aziendali, ma stabilisce che il titolare del trattamento valuti in modo selettivo quali comunicazioni e documenti debbano essere archiviati e per quanto tempo

La conservazione sistematica dei dati esterni e del contenuto di tutte le comunicazioni elettroniche scambiate dai dipendenti attraverso gli account aziendali, allo scopo di poter ricostruire gli scambi di comunicazioni tra gli uffici interni nonché tutti i rapporti intrattenuti con gli interlocutori esterni (clienti, fornitori, enti assicurativi, tour operator), anche in vista di possibili contenziosi, effettuata da soggetti diversi dal titolare della specifica casella di posta elettronica per l’intera durata del rapporto di lavoro e successivamente all’interruzione dello stesso, non risulta […] conforme ai principi di liceità, necessità e proporzionalità del trattamento.

Registro dei provvedimenti n. 53 del 1° febbraio 2018

In sostanza il Garante afferma che:

  1. non è necessaria la conservazione di tutta la posta elettronica aziendale, e senza limiti temporali, per consentire lo svolgimento dell’attività lavorativa e che, al contrario, questa modalità di gestione viola i principi di gestione dei dati personali, consentendo al contempo un controllo sull’attività dei lavoratori contraria allo Statuto dei lavoratori;
  2. che la conservazione delle e-mail per finalità di tutela dei propri diritti in giudizio deve riferirsi a contenziosi in atto o a situazioni che stanno dando luogo a contenziosi, ma non a ipotesi astratte e indeterminate.

Il Garante non definisce limiti di tempo accettabili o modalità di conservazione specifiche, ma stabilisce che il titolare del trattamento valuti in modo selettivo quali comunicazioni e documenti debbano essere archiviati e per quanto tempo.

Chi è il responsabile privacy in azienda?

Ci sono diverse figure introdotte dal GDPR in relazione alla gestione della privacy in azienda ma in nessun caso si parla di "responsabile privacy": non esiste un unico soggetto che possa farsi carico in maniera esclusiva e autonoma della questione.

Per alcuni il responsabile privacy è l’ufficio del personale, per altri l’ufficio qualità (soprattutto se si tratta di aziende certificate), per altri è il legale rappresentante dell’impresa. Ci sono diverse figure introdotte dal GDPR in relazione alla gestione della privacy in azienda ma in nessun caso si parla di “responsabile privacy”: non esiste un unico soggetto che possa farsi carico in maniera esclusiva e autonoma della questione; la privacy è un aspetto dell’attività aziendale che richiede attenzione da parte di tutte (o quasi) le funzioni d’impresa.

Non esiste un ruolo di “responsabile privacy”

Il fatto che non parli di responsabile privacy non è un caso, e non è solo una questione di termini. Chi chiede o si chiede chi debba essere il responsabile privacy in un'organizzazione indica in realtà di non avere chiaro che cosa richieda il nuovo Regolamento europeo sulla protezione dei dati personali.

Il GDPR parla di:

  • titolare del trattamento dei dati personali;
  • persone autorizzate al trattamento (o incaricati al trattamento);
  • responsabile del trattamento;
  • destinatario dei dati personali;
  • rappresentante del titolare dei dati personali;
  • interessato;
  • responsabile della protezione dei dati personali (DPO).

Il fatto che non parli di responsabile privacy non è un caso, e non è solo una questione di termini. Chi chiede o si chiede chi debba essere il responsabile privacy in un’organizzazione non ha chiaro che cosa richieda il nuovo Regolamento europeo.

L'obiettivo del Regolamento non è quello di mettere in capo a un unico soggetto tutte le questioni formali, ma di fare in modo che i diversi soggetti che trattano i dati personali nell'ambito di un'organizzazione lo facciano nel rispetto dei requisiti del GDPR.

L’obiettivo del Regolamento non è quello di mettere in capo a un unico soggetto tutte le questioni formali, ma di fare in modo che i diversi soggetti che trattano i dati personali nell’ambito di un’organizzazione lo facciano nel rispetto dei requisiti del GDPR.

Ovviamente il grado di responsabilità cambia a seconda che si parli del titolare del trattamento, delle persone autorizzate al trattamento o del DPO, per esempio, ma l’attività di valutazione iniziale svolta dal titolare e la definizione delle procedure per il corretto trattamento dei dati all’interno dell’organizzazione servono ben poco se le persone autorizzate non mettono in atto quanto è stato definito ed è stato loro insegnato.

La privacy come aspetto della gestione aziendale

La privacy non è un argomento che può essere affrontato prescindendo dal contesto aziendale, ma è un filo rosso di cui bisogna rintracciare il percorso attraverso gli uffici e le attività aziendali.

La privacy non è un argomento che può essere affrontato prescindendo dal contesto aziendale, ma è un filo rosso di cui bisogna rintracciare il percorso attraverso gli uffici e le attività aziendali, per poterne ricostruire una mappa, con tanto di segnali di pericolo, di obbligo e di divieto: a qualcuno spetterà disegnare la mappa, a qualcuno spetterà definire la segnaletica, e a tutti quelli che ne incroceranno la strada spetterà il compito di rispettarne le indicazioni.

Servizi fotografici aziendali e consenso privacy

I servizi fotografici aziendali determinano l'acquisizione di immagini fotografiche o riprese video che ritraggono dipendenti, clienti o visitatori, e, per tale ragione, richiedono di essere gestiti in termini di privacy.

I servizi fotografici aziendali determinano l’acquisizione di immagini fotografiche o riprese video che ritraggono dipendenti, clienti o visitatori e costituiscono dati personali, da gestire in termini di privacy.

In particolare, anche se i dati personali sono acquisiti per predisporre materiale promozionale, divulgativo e di comunicazione, quindi il trattamento avviene in modo lecito per il perseguimento del legittimo interesse del titolare, è necessario il consenso espresso da parte del soggetto interessato, perché così prevede la legge sul diritto d’autore. L’unica eccezione è il caso in cui “la riproduzione è collegata a fatti, avvenimenti, cerimonie di interesse pubblico o svoltisi in pubblico“.

Privacy e servizi fotografici aziendali

Le immagini che ritraggono dipendenti, collaboratori, visitatori e clienti sono dati personali e, in quanto tali, devono essere gestiti secondo nel rispetto delle regole definite dal Regolamento europeo 2016/679.

Fotografie, video e materiali multimediali possono essere realizzati da un’azienda per comunicare la propria attività e professionalità verso l’esterno, caricando il materiale sul sito aziendale e le piattaforme social (ex. Facebook, Instagram, LinkedIn, YouTube), inviandolo alla stampa o inserendolo nel proprio materiale pubblicitario (ex. depliant e brochure).

Le immagini che ritraggono dipendenti, collaboratori, visitatori e clienti sono dati personali e, in quanto tali, devono essere gestiti nel rispetto delle regole definite dal Regolamento europeo 2016/679.

La liceità del trattamento e il diritto d’autore

Nel caso delle immagini che ritraggono persone, i requisiti del GDPR si combinano con quelli della sezione II (Diritti relativi al ritratto) della legge n.633/41 sul diritto d'autore.

Perché un trattamento di dati personali possa essere effettuato, è necessario che sia determinato da una delle ragioni previste dalla normativa (base giuridica del trattamento).

Nel caso specifico, la motivazione che sta alla base del trattamento dei dati è la promozione dell’attività dell’impresa, che equivale al perseguimento del legittimo interesse del titolare del trattamento dei dati e che è una base giuridica ammessa dal GDPR. Allo stesso tempo, però, i requisiti del Regolamento si combinano con quelli della sezione II (Diritti relativi al ritratto) della legge n.633/41, conosciuta come legge sul diritto d’autore.

Art. 96

Il ritratto di una persona non può essere esposto, riprodotto o messo in commercio senza il consenso di questa, salve le disposizioni dell’articolo seguente.

[…]

Art. 97

Non occorre il consenso della persona ritrattata quando la riproduzione dell’immagine è giustificata dalla notorietà o dall’ufficio pubblico coperto, da necessità di giustizia o di polizia, da scopi scientifici, didattici o colturali, o quando la riproduzione è collegata a fatti, avvenimenti, cerimonie di interesse pubblico o svoltisi in pubblico.

Il ritratto non può tuttavia essere esposto o messo in commercio, quando l’esposizione o messa in commercio rechi pregiudizio all’onore, alla reputazione od anche al decoro della persona ritrattata.

Non è previsto l'obbligo di consenso espresso da parte dell'interessato in caso di riproduzione collegata a fatti, avvenimenti, cerimonie di interesse pubblico o svoltisi in pubblico.

Come si deve procedere?

L’informativa sul trattamento dei dati personali non deve mai mancare: il titolare del trattamento deve informare l’interessato in merito ai dettagli relativi all’utilizzo dei suoi dati e ai suoi diritti. Ricordo che l’informativa può includere una sezione per esprimere il consenso al trattamento ma non nasce con questa finalità.

Quindi, oltre a predisporre l’informativa relativa al trattamento delle immagini ed è necessario prevedere un modulo di consenso, eventualmente come parte terminale dell’informativa.

In relazione ai casi in cui non è previsto l’obbligo di consenso (riproduzione collegata a fatti, avvenimenti, cerimonie di interesse pubblico o svoltisi in pubblico), l’interessato deve comunque essere informato del trattamento quindi è opportuno inserire nell’informativa sul trattamento delle immagini i dettagli relativi.

oltre a predisporre l'informativa relativa al trattamento delle immagini ed è necessario prevedere un modulo di consenso, eventualmente come parte terminale dell'informativa.

Ti lascio un esempio.

“Nel caso di eventi pubblici quali, a titolo esemplificativo ma non esaustivo, conferenze stampa, eventi pubblici o manifestazioni pubbliche alle quali l’impresa dovesse prendere parte, non è necessario il consenso espresso da parte del soggetto interessato che si presenta presso i luoghi e gli spazi (ex. sale convegni, ambienti sia in interno che in esterno presso i quali si svolgono eventi – sale comunali, spazi cittadini, ecc.) nei quali è stato attivato un servizio di riprese fotografiche o video.

L’attivazione di tali attività video/fotografiche sarà chiaramente identificata con apposita segnaletica.

Al di fuori della fattispecie suddetta, gli interessati potranno esprimere il proprio consenso al trattamento dei dati mediante compilazione della sezione conclusiva della presente informativa.”

Medico competente: responsabile o titolare del trattamento?

Lo scorso 23 giugno il Garante per la protezione dei dati personali ha presentato la Relazione annuale sulle attività svolte nel 2019. Si parte dai numeri e si scende poi nei dettagli con paragrafi descrittivi di approfondimento. Il n. 13.14, intitolato “I trattamenti di dati da parte del medico competente” affronta in modo esplicito e definitivo la questione della posizione del medico competente nell’ambito del sistema di gestione della privacy aziendale. Tra chi considerava il medico competente un responsabile esterno al trattamento e chi lo riteneva un titolare del trattamento sono i secondi a ricevere la conferma espressa da parte del Garante.

Il medico competente come autonomo titolare

Il Garante lo dice chiaramente:

“il Garante ha tradizionalmente considerato il medico competente un autonomo titolare e, nonostante gli accertamenti volti a verificare l’idoneità alla mansione specifica del dipendente siano obbligatori per legge e svolti a spese e a cura del datore di lavoro (artt. 39, comma 5 e 41, comma 4, d.lgs. n. 81/2008), essi devono essere effettuati esclusivamente tramite il professionista. Egli è, infatti, l’unico soggetto legittimato a trattare i dati sanitari dei lavoratori per le finalità indicate dalla disciplina di settore…”

La questione non è legata alla presenza di un incarico conferito dal datore di lavoro al professionista, ma al fatto che il professionista è l’unico legittimato ex lege a trattare in piena autonomia e competenza tecnica i dati personali di natura sanitaria.

La questione, in sostanza, non è legata alla presenza di un incarico conferito dal datore di lavoro al professionista, ma al fatto che “nello svolgimento dei compiti che la legge gli attribuisce in via esclusiva (attività di sorveglianza sanitaria e tenuta delle cartelle sanitarie e di rischio dei singoli lavoratori), il professionista è l’unico legittimato ex lege a trattare in piena autonomia e competenza tecnica i dati personali di natura sanitaria indispensabili
per tale finalità, non potendo essere in alcun modo trattate dal datore di lavoro informazioni relative, ad esempio, alla diagnosi o all’anamnesi familiare del lavoratore, se non con riferimento al solo giudizio di idoneità alla mansione specifica ed alle eventuali prescrizioni che il professionista fissa come condizioni di lavoro
“.

E non è la tipologia di rapporto tra professionista sanitario e datore di lavoro a influire sulla posizione del medico competente come titolare del trattamento:

“Anche sotto il profilo sanzionatorio, il quadro normativo nazionale distingue chiaramente le responsabilità che ricadono sul datore di lavoro da quelle che invece sono direttamente imputabili al medico competente, sia quando opera in qualità di libero professionista o per conto di strutture convenzionate, sia quando opera in qualità di dipendente del datore di lavoro.”

Non solo non è necessario nominare il medico competente quale responsabile esterno al trattamento dei dati personali, ma questa nomina non risulta corretta dal punto di vista normativo.

Quindi? Quindi non solo non è necessario nominare il medico competente quale responsabile esterno al trattamento dei dati personali, ma questa nomina non risulta corretta dal punto di vista normativo ed è opportuno eliminarla, aggiornando anche la documentazione che descrive la modalità di gestione dalla privacy in azienda che dovesse contenere riferimenti al ruolo del medico competente e lo citasse come responsabile esterno anziché come titolare (ex. DPIA o registro dei trattamenti).

Il data breach: che cos’è e che cosa fare

Con data breach si fa riferimento a un qualunque evento accidentale o deliberato che può compromettere la sicurezza dei dati personali trattati da un titolare.

L’espressione data breach appartiene al mondo della gestione dei dati personali; viene utilizzata per identificare le violazioni dei sistemi di sicurezza messi a punto dal titolare del trattamento dei dati personali, che comportano, accidentalmente o con finalità illecita,

  • la distruzione
  • la perdita
  • la modifica
  • la divulgazione non autorizzata
  • l’accesso

ai dati personali trasmessi, conservati o comunque trattati dal titolare. 

Il furto o la perdita di dispositivi informatici contenenti dati personali è un evento di data breach.

Il concetto può apparire complesso, ma ecco alcuni esempi che lo rendono immediato e mostrano quanto l’eventualità di data breach sia tutt’altro che remota:

  • l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;
  • il furto o la perdita di dispositivi informatici contenenti dati personali;
  • la deliberata alterazione di dati personali;
  • l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware; 
  • la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;
  • la divulgazione non autorizzata dei dati personali.

La notifica del data breach al Garante

Nei casi in cui la violazione può comportare un rischio per i diritti e le libertà delle persone fisiche, causando danni fisici, materiali  o immateriali, il titolare del trattamento deve notificare la violazione al Garante per la protezione dei dati personali.

Nei casi in cui la violazione può comportare un rischio per i diritti e le libertà delle persone fisiche, il titolare del trattamento deve notificare la violazione al Garante per la protezione dei dati personali.

La notifica deve essere trasmessa entro 72 ore dal momento in cui il titolare viene a conoscenza del data breach e, in caso di trasmissione oltre il termine delle 72 ore, motivando il ritardo.

La notifica deve essere sottoscritta digitalmente o con firma autografa e inviata al Garante tramite posta elettronica certificata.

Tramite il sito del garante è disponibile un modello che garantisce di trasmettere tutti i dati richiesti.

Altri adempimenti

Se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali che ritiene più idonei, a meno che non abbia già preso misure tali da ridurne l’impatto. 

In ogni caso e anche a prescindere dalla notifica al Garante, il titolare del trattamento deve documentare tutte le violazioni dei dati personali.

In ogni caso e anche a prescindere dalla notifica al Garante, il titolare del trattamento deve documentare tutti i data breach.

In genere si predispone un apposito registro che consenta di tracciare tutte le informazioni sufficienti a ricostruire l’accaduto, individuare eventuali responsabili, dare evidenza delle azioni intraprese per gestire la violazione e contenere il suo impatto, registrare la valutazione del rischio per i diritti delle persone in funzione del quale si è fatta seguire o meno la notifica al garante, dimostrare il rispetto del termine delle 72 ore e dettagliare le ragioni dell’eventuale ritardo della notifica. Per altro il registro, tenendo traccia delle violazioni nel tempo, può rappresentare un’utile fonte di informazioni sull’efficacia delle misure di sicurezza messe in atto, indirizzando il titolare nel miglioramento della gestione della privacy della sua organizzazione.

Il DPO, Data Protection Officer

La sigla DPO sta per Data Protection Officer ed equivale alla versione italiana Responsabile della Protezione dei Dati (RPD).

La sigla DPO sta per Data Protection Officer ed equivale alla versione italiana Responsabile della Protezione dei Dati (RPD).

Questa figura è obbligatoria solo in alcuni casi specifici:

  • quando il trattamento dei dati è effettuato da un’autorità pubblica o da un organismo pubblico (a eccezione delle autorità giurisdizionali che effettuano attività giurisdizionali);
  • quando le attività principali del titolare o del responsabile del trattamento consistono in trattamenti che per la loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  • quando le attività principali del titolare o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali, reati o a connesse misure di sicurezza.

Nei casi in cui la normativa (GDPR) non impone la designazione, è comunque possibile la nomina di un RPD per scelta volontaria e, nel caso di un gruppo di imprese o soggetti pubblici, è possibile nominare un unico DPO.

Chi può svolgere la funzione di DPO?

Il DPO può essere interno o esterno all’organizzazione, e svolgere altre funzioni, ma, al di là della scelta strategica, l'importante è che possieda competenze giuridiche, informatiche, di gestione del rischio e di analisi dei processi.

Il DPO può essere interno o esterno all’organizzazione, e svolgere altre funzioni, ma, al di là della scelta strategica, l’importante è che:

  1. possieda competenze giuridiche, informatiche, di gestione del rischio e di analisi dei processi;
  2. svolga il suo ruolo con indipendenza e senza conflitti di interesse, e questo significa che non può essere lui a decidere finalità e strumenti di trattamento dei dati personali e che il titolare o il responsabile del trattamento devono fornirgli le risorse necessarie per assolvere ai suoi compiti e accedere ai dati personali e ai trattamenti.

Non sono richieste attestazioni formali o l’iscrizione ad appositi albi professionali, anche se la partecipazione a master e corsi professionali sulle tematiche specifiche è un utile strumento per valutare il possesso di un livello adeguato di conoscenze.

La nomina di DPO deve essere formalizzata e il nominativo dell’incaricato, nonché la sua eventuale variazione e revoca, deve essere comunicata al Garante per la protezione dei dati personali attraverso specifica procedura online.

Quali sono i compiti del RDP?

Il responsabile della protezione dei dati è un facilitatore dell’osservanza delle disposizioni del GDRP.

Il responsabile della protezione dei dati è un facilitatore dell’osservanza delle disposizioni del GDRP. I suoi compiti comprendono:

  1. informare e svolgere attività di consulenza verso il titolare o il responsabile del trattamento e gli incaricati del trattamento degli obblighi derivanti dal GDPR e dalle altre norme relative alla protezione dei dati;
  2. sorvegliare sulla corretta gestione del trattamento in osservanza al GDPR e alle altre norme relative alla protezione dei dati, comprese l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
  3. fornire un parere, se richiesto, in merito alla DPIA e sorvegliare sul suo svolgimento;
  4. cooperare con l’autorità di controllo rispetto alla quale funge da punto di contatto per questioni connesse al trattamento.

Vuoi approfondire la questione? Puoi scaricare le Linee guida sui responsabili della protezione dei dati (RPD) – WP243 adottate dal Gruppo di lavoro Art. 29.

Non sai più che DPO pigliare? Contattami!

La formazione sulla privacy è obbligatoria?

Predisporre i documenti e nominare responsabili e incaricati al trattamento è sufficiente per rispettare il GDPR? No! Manca la formazione sulla privacy.

Predisporre le informative, il registro dei trattamenti, la valutazione d’impatto, nominare responsabili del trattamento e incaricati al trattamento è sufficiente per adempiere gli obblighi previsti dal GDPR? Non del tutto: manca la formazione sulla privacy!

Quali sono le caratteristiche della formazione privacy?

Non esistono riferimenti specifici in relazione a durata e contenuti della formazione in materia di privacy, né in merito alla frequenza di aggiornamento. La logica è quella di formare il personale che partecipa al trattamento dei dati (a partire da chi ha accesso permanente o regolare ai dati) e alle attività di controllo in funzione del tipo di dati trattati, dei trattamenti effettuati e delle misure di protezione messe in atto dal titolare del trattamento.

Non esistono riferimenti specifici in relazione a durata e contenuti della formazione in materia di privacy, né in merito alla frequenza di aggiornamento.

In termini di aggiornamento sarà la variazione di una di queste componenti (dati, trattamenti e sistemi di protezione) a richiedere di adeguare la formazione degli addetti, piuttosto che una variazione della funzione dell’addetto che comporti un diverso accesso ai dati o diverse modalità di trattamento e di gestione.

Come ogni altro aspetto della gestione privacy rispetto al GDPR, quindi, anche la formazione risulta una misura che il titolare deve definire in modo autonomo in funzione dei rischi per la protezione dei dati che ha individuato e valutato.

Chi dice che è obbligatoria?

La formazione può essere una misura organizzativa che il titolare ha definito come necessaria per garantire il rispetto delle procedure di trattamento e protezione dei dati che ha deciso di attuare. E questo sarebbe di per sé sufficiente a rendere obbligatoria l’attività di formazione.

Il GDPR ha previsto in maniera esplicita l'obbligo di formazione all'articolo 29.

Ma il GDPR ha previsto in maniera esplicita l’obbligo di formazione all’articolo 29:

Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.

Detto n altre parole, l’articolo 29 dice che, con l’eccezione dei casi in cui il trattamento è previsto dal diritto dell’Unione Europea o degli Stati membri dell’Unione, tanto i responsabili quanto gli incaricati non sono autorizzati a trattare i dati personali se non sono stati formati (istruiti) dal titolare del trattamento.

Se ne può occupare il responsabile della protezione dei dati?

Il DPO è sicuramente una figura competente in materia. Il problema si pone più che altro rispetto alla finalità del suo compito.

La premessa essenziale è che il responsabile della protezione dei dati (o data protection officer – DPO) non è una figura obbligatoria in tutte le organizzazioni, ma è una “prerogativa” delle autorità pubbliche e delle organizzazioni che effettuano trattamenti su larga scala.

Il DPO è sicuramente una figura competente in materia, dato che uno dei requisiti per svolgere la funzione è quella della “conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati“. Il problema si pone più che altro rispetto alla finalità del suo compito, che è informativa e di consulenza verso il titolare e il responsabile del trattamento, e di vigilanza in relazione agli aspetti di formazione del personale.

Sarebbe quindi opportuno che la formazione non venisse svolta da un soggetto qualificato come DPO all’interno della struttura per la quale svolge tale funzione.

Ma ci sono sanzioni?

L’obbligo di formazione sulla privacy non deve essere sottovalutato in quanto la violazione dell’art. 29 che la prevede è soggetta a sanzioni amministrative pecuniarie

L’obbligo di formazione non deve essere sottovalutato in quanto la violazione dell’art. 29 che la prevede è soggetta a sanzioni amministrative pecuniarie. La norma parla di numeri che fanno paura (sanzioni fino a 10 milioni di euro o, per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore). L’ammontare effettivo dipende da una serie di fattori che sono oggetto di valutazione da parte del Garante (ex. natura, gravità e durata della violazione, carattere doloso o colposo della violazione). Questo non toglie il fatto che la mancata formazione in materia di privacy risulta una violazione sanzionabile .

L’informativa trattamento dati: finalità e contenuti

L'informativa sul trattamento dei dati personali è lo strumento attraverso il quale il titolare del trattamento, il soggetto che raccoglie e utilizza i dati, fornisce a chi li cede, l'interessato, i dettagli relativi all'utilizzo dei suoi dati e lo informa dei suoi diritti.

L’informativa sul trattamento dei dati personali è lo strumento attraverso il quale il titolare del trattamento, il soggetto che raccoglie e utilizza i dati, fornisce a chi li cede, l’interessato, i dettagli relativi all’utilizzo dei suoi dati e lo informa dei suoi diritti. Non è invece lo strumento attraverso il quale l’interessato esprime il consenso al trattamento dei dati, ma l’informativa può essere utilizzata anche con questa finalità.

Ma quali sono gli elementi imprescindibili dell’informativa al trattamento dei dati personali? Come va fornita all’interessato?

Contenuti minimi dell’informativa

Il GDPR definisce agli artt. 13 e 14 quali informazioni devono essere fornite all'interessato in relazione al trattamento dei suoi dati, anche al fine di garantire correttezza e trasparenza del trattamento stesso.

Il GDPR definisce agli artt. 13 e 14 quali informazioni devono essere fornite all’interessato in relazione al trattamento dei suoi dati, anche al fine di garantire correttezza e trasparenza del trattamento stesso. I due articoli operano una distinzione tra l’informativa da fornire all’interessato in caso di raccolta dati presso di lui (in sua presenza e con lui come fonte) e di raccolta dati non ottenuti presso di lui, quindi ricavati in sua assenza e da altre fonti che, per altro, devono essere specificate nell’informativa.

Due sono le differenze:

  1. il momento in cui l’informativa deve essere presentata all’interessato, che deve coincidere con il momento della raccolta dati quando questi sono ottenuti dall’interessato e presenta tempistiche differenti in caso contrario;
  2. solo nel caso di dati non ottenuti presso l’interessato si devono specificare anche quali siano le categorie di dati oggetto di trattamento.

Ho riassunto in una tabella comparativa, che potete scaricare QUI, i contenuti delle due informative, evidenziandone le differenze, anche in termini di tempistiche di presentazione all’interessato.

Altre caratteristiche dell’informativa al trattamento dati

Non è sufficiente predisporre il documento per adempiere all'obbligo di informazione verso l'interessato, ma bisogna strutturare il documento in modo che sia conciso, comprensibile e facilmente accessibile.

Non è sufficiente predisporre il documento per adempiere all’obbligo di informazione verso l’interessato, ma bisogna:

  1. strutturare il documento in modo che sia conciso, trasparente, intelligibile (comprensibile) e facilmente accessibile;
  2. utilizzare un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate ai minori.

L’informativa può essere in formato cartaceo o elettrico e, “se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato“, il che significa che bisogna comunque essere in grado di dimostrare che l’informativa è stata resa all’interessato, quindi è buona cosa richiedere la sottoscrizione di un documento che la contenga, anche nel caso in cui il relativo contenuto sia stato riferito a voce.

Sottoscrizione dell’informativa e consenso al trattamento

L'informativa al trattamento dati non è lo strumento attraverso il quale l'interessato esprime il consenso al trattamento dei dati, ma può essere utilizzata anche con questa finalità.

Condizione indispensabile per poter effettuare un trattamento dei dati personali è che lo stesso sia lecito, ossia basato su uno dei criteri dell’art. 6 del GDPR. La norma individua 6 condizioni alternative perché il trattamento possa dirsi lecito:

  • l’interessato ha espresso il consenso al trattamento;
  • il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su sua richiesta;
  • il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
  • il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
  • il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
  • il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi (a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato).
Il titolare, se il trattamento risponde a uno dei criteri diversi dal consenso, può procedere al trattamento anche in assenza di consenso dell'interessato, ma questo non lo svincola dall'obbligo di fornire a quest'ultimo le informazioni previste dagli artt. 13 e 14 del GDPR.

Questo significa che il titolare, se il trattamento risponde a uno dei criteri diversi dal consenso, può procedere al trattamento anche in assenza di consenso dell’interessato, ma questo non lo svincola dall’obbligo di fornire a quest’ultimo le informazioni previste dagli artt. 13 e 14 del GDPR. In altre parole:

  1. la sottoscrizione dell’informativa trattamento dati non coincide necessariamente con l’espressione di un consenso da parte dell’interessato;
  2. qualora la liceità del trattamento dipenda dal consenso dell’interessato, allora è necessario che tale consenso venga espresso e che il titolare del trattamento sia in grado di dimostrare che l’interessato lo abbia fatto. Considerato che è possibile raccogliere il consenso nell’ambito di una “dichiarazione scritta che riguarda anche altre questioni“, allora può essere pratico inserire la clausola del consenso nell’informativa sul trattamento dei dati, accertandosi però che la richiesta sia “chiaramente distinguibile dalle altre materie“, comprensibile, facilmente accessibile e presentata con linguaggio semplice e chiaro.

DPIA e rilevazione temperatura corporea

Oggi mi voglio occupare di DPIA sia per non perdere il filo logico sia per una contingenza: il Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus COVID-19 negli ambienti di lavoro (versione di marzo o di aprile non fa differenza in questa sede) prevede la possibilità e, in alcuni casi, l'obbligo di misurazione della temperatura corporea del personale; questo trattamento dati, finora considerato illecito dallo stesso Garante, comporta nella maggior parte delle realtà aziendali rischi nuovi per la privacy e, quindi, nuovi obblighi.

Prima dell’uragano COVID-19 avevo iniziato a parlare degli elementi “documentali” della gestione privacy in azienda, con l’intento di rendere cristallina la logica del GDPR avanzando per gradi.

La prima considerazione è stata che la gestione della privacy non è così diversa dalla gestione degli aspetti di salute e sicurezza sul lavoro e avevo introdotto il registro dei trattamenti e la DPIA (valutazione d’impatto sulla protezione dei dati); successivamente mi sono soffermata sul registro dei trattamenti e ho fatto un approfondimento sul tema della gestione privacy dei siti web.

L'elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d'impatto (DPIA) sulla protezione dei dati è stato fornito dal Garante nel chiarimento interpretativo dell'11 ottobre 2018.

Oggi mi voglio occupare di DPIA sia per non perdere il filo logico sia per una contingenza: il Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus COVID-19 negli ambienti di lavoro (versione di marzo o di aprile non fa differenza in questa sede) prevede la possibilità e, in alcuni casi, l’obbligo di misurazione della temperatura corporea del personale; questo trattamento dati, finora considerato illecito dallo stesso Garante, comporta nella maggior parte delle realtà aziendali rischi nuovi per la privacy e, quindi, nuovi obblighi.

Quando la DPIA è obbligatoria?

Quando un trattamento può comportare un rischio elevato per i diritti e le libertà delle persone interessate, ossia per i diritti alla protezione dei dati e alla vita privata, per la libertà di parola, di pensiero, di circolazione, di coscienza e di religione, o può indurre o comportare una discriminazione.

L’elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati è stato fornito dal Garante nel chiarimento interpretativo dell’11 ottobre 2018.

Il GDPR obbliga i titolari a svolgere una valutazione di impatto (DPIA) prima di dare inizio al trattamento.

Il GDPR obbliga i titolari a svolgere una valutazione di impatto prima di dare inizio al trattamento, e consultando l’autorità di controllo nel caso in cui ritenessero che le misure tecniche e organizzative individuate per mitigare l’impatto del trattamento non siano sufficienti, cioè il rischio residuale per i diritti e le libertà degli interessati resti elevato.

Quando la DPIA non è obbligatoria?

In questo caso non esistono elenchi univoci, le indicazioni più dettagliate sono contenute nelle “Linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento “possa presentare un rischio elevato” ai fini del regolamento (UE) 2016/679” del Gruppo di lavoro Articolo 29.

Riporto di seguito l’elenco di interesse che, tuttavia, non risulta di immediata lettura e richiede di conoscere a fondo la materia:

Non esistono elenchi univoci dei trattamenti per i quali la DPIA non è obbligatoria.
  • quando il trattamento non è tale da presentare un rischio elevato per i diritti e le libertà delle persone fisiche;
  • quando la natura, l’ambito di applicazione, il contesto e le finalità del trattamento sono molto simili a un trattamento per il quale è stata svolta una valutazione d’impatto sulla protezione dei dati. In tali casi, si possono utilizzare i risultati della valutazione d’impatto sulla protezione dei dati per un trattamento analogo;
  • quando le tipologie di trattamento sono state verificate da un’autorità di controllo prima del maggio 2018 in condizioni specifiche che non sono cambiate;
  • qualora un trattamento trovi una base giuridica nel diritto dell’Unione o nel diritto dello Stato membro e tale diritto disciplini il trattamento specifico, o sia già stata effettuata una valutazione d’impatto sulla protezione dei dati nel contesto dell’adozione di tale base giuridica (a meno che uno Stato membro non abbia dichiarato che è necessario effettuare tale valutazione prima di procedere alle attività di trattamento);
  • qualora il trattamento sia incluso nell’elenco facoltativo (stabilito dall’autorità di controllo) delle tipologie di trattamento per le quali non è richiesta alcuna valutazione d’impatto sulla protezione dei dati.

Come effettuare la valutazione

In primo luogo può essere utile utilizzare l’allegato 2 delle Linee guida del Gruppo di lavoro Articolo 29 richiamate poco sopra per individuare gli elementi minimi da inserire nella valutazione.

Per le PMI, il Garante propone uno strumento gratuito, un software sviluppato dall’Autorità francese per la protezione dei dati e disponibile anche in versione in lingua italiana. Intuitivo da utilizzare, richiede comunque che il compilatore abbia chiaro quali siano le tipologie di trattamento che devono essere analizzate.

DPIA e COVID-19

La sola operazione di misurazione della temperatura, a prescindere dalla sua registrazione, risulta un trattamento autorizzato direttamente dal DPCM 26 aprile 2020. Il datore di lavoro può quindi procedere in questo senso, anche mediante apparecchi automatici, purché vi sia una valutazione di impatto privacy a monte.

L’art. 5 dello Statuto dei Lavoratori (Legge 300/1970) vieta accertamenti da parte del datore di lavoro sulla idoneità e sulla infermità per malattia o infortunio, ammettendo che il controllo delle assenze per “infermità” possa essere effettuato soltanto attraverso i servizi ispettivi degli istituti previdenziali competenti.

La sola operazione di misurazione della temperatura, a prescindere dalla sua registrazione, risulta un trattamento autorizzato direttamente dal DPCM 26 aprile 2020. Il datore di lavoro può quindi procedere in questo senso, anche mediante apparecchi automatici, purché vi sia una valutazione di impatto privacy a monte, ricadendo il trattamento nel caso previsto al punto 10 dell’elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati. Il punto 10 parla infatti di “Trattamenti di categorie particolari di dati ai sensi dell’art. 9“, tra i quali ricadono i dati relativi alla salute.

La gestione privacy del sito web

Nella costruzione della tua privacy policy di trattamento dei dati in azienda, è necessario tu prenda in considerazione la gestione privacy del sito web.

Ho realizzato che in molti ancora oggi, a distanza di quasi due anni dall’entrata in vigore della nuova normativa in materia di privacy, sono perplessi sul fatto che la questione li riguardi, o addirittura pensano di non doversi occupare della faccenda. Data la complessità della questione, voglio continuare a tenerti informato sulla corretta applicazione della disciplina europea di trattamento dei dati. E ti invito anzi a essere fiducioso nel fatto che, se ben affrontata, la gestione della privacy possa migliorare la tua organizzazione, aggiungere qualità ai tuoi servizi.

Nella costruzione della tua privacy policy di trattamento dei dati in azienda, è necessario tu prenda in considerazione la gestione privacy del sito web, strumento preziosissimo nell’era digitale, alleato soprattutto nell’attività commerciale: non ci si può permettere che venga oscurato.

La gestione privacy del sito web

Immagina il tuo sito come una piccola navicella che si muove nell’immenso oceano del web. Al suo interno ci sono i servizi e i prodotti che offri, i tuoi dati di contatto e quelli dei visitatori, soprattutto se compilano con i loro dati i form (o moduli) realizzati per iscriversi alle newsletter, ricevere ulteriori informazioni oppure per concludere gli acquisti.

Immagina il tuo sito come una piccola navicella che si muove nell’immenso oceano del web. Al suo interno ci sono i servizi e i prodotti che offri, i tuoi dati di contatto e quelli dei visitatori, soprattutto se compilano con i loro dati i form (o moduli) realizzati per iscriversi alle newsletter, ricevere ulteriori informazioni oppure per concludere gli acquisti.

Il GDPR non supporta in modo dettagliato la sicurezza informatica nel definire le misure di gestione dei dati. Se ne sta occupando la Commissione Europea e ci dobbiamo aspettare un ulteriore Regolamento “e-Privacy”, che sostituirà la vigente Direttiva del 2002 e si affiancherà al GDPR.

Nell’attesa, ci sono essenzialmente due aspetti che devi definire:   

  • rendere consultabile la privacy policy da parte di tutti i “naviganti”;
  • fare il possibile affinchè tutto quanto contiene la navicella sia sicuro e inattaccabile dai “pirati”. Più la rendiamo sicura e adeguata e più la nostra navigazione avanza forte e acquista visibilità e fiducia, perché chi sale sa di essere al sicuro.
Nella gestione privacy del sito web fai il possibile affinché tutto quanto contiene la navicella sia sicuro e inattaccabile dai “pirati”.

Provo a tracciarti i punti salienti sui quali soffermarti per una breve verifica.

L’informativa o privacy policy

L’informativa concisa, chiara, facilmente accessibile ed intellegibile va pubblicata sul sito web inserendo il collegamento (link) alla versione integrale.

È chi tecnicamente gestisce il tuo sito (web agency) a doverti dare supporto per completare le informazioni di carattere tecnico, come le seguenti:

  • i dati vengono analizzati o profilati?
  • il tuo client, ossia il soggetto che ti ha affittato lo spazio su server che ospita il tuo sito web, effettua trattamenti per tuo conto?
  • sono attivi servizi di terze parti (ex. Google Analytics, Google AdWords, Pixel di Facebook) per cui si deve richiamare il link alle pagine privacy dei fornitori di terze?
  • sono attivi plugin, applicazioni o software che memorizzano i dati dei tuoi utenti?

E questi cookie? Vogliamo capire che cosa sono?

I cookie sono dei piccoli file di testo che vengono inviati dal pc dell’utente al browser durante la navigazione sul web.

I cookie sono dei piccoli file di testo che vengono inviati dal pc dell’utente al browser durante la navigazione sul web. Si dividono in quattro tipologie:

  1. cookie tecnici o di “navigazione”, che permettono al sito di funzionare correttamente;
  2. cookie analytics cherilevano dati statistici (es. numero di visitatori per fascia oraria e area geografica);
  3. cookie di profilazione che rilevano il comportamento di un utente e vengono utilizzati per impostare strategie di marketing;
  4. cookie di profilazione di terze parti che hanno finalità analoghe a quelli del punto 3, ma derivano da siti esterni a quello di navigazione.

Per i primi due tipi non serve consenso, basta il banner (tradotto letteralmente “bandiera”), un riquadro che deve apparire appena si apre una pagina web e deve essere di dimensioni e colore utili a renderlo visibile, con il quale si comunica la presenza di questi cookie.

La gestione privacy del sito web deve essere parte integrante della privacy policy del titolare del trattamento.

Per gli altri due tipi, invece, determinando la profilazione, è necessario chiedere il consenso. Si può partire dal classico banner che informa della presenza di questi cookie, inserendo un messaggio del tipo:

  1. Il sito utilizza cookie per inviarti comunicazioni e servizi in linea con le tue preferenze. Per saperne di più o negare il consenso a tutti o ad alcuni cookie clicca qui (link)”.
  2. Il sito utilizza cookie, anche di terze parti, per inviarti comunicazioni e servizi in linea con le tue preferenze. Per saperne di più o negare il consenso a tutti o ad alcuni cookie clicca qui (link).”

Se però per la profilazione usi solo Google Analytics rendendo anonimo l’indirizzo IP, il consenso non è necessario.

Attenzione a come proponiamo moduli o form di richiesta dati all’utente

Rientra in questa casistica la proposta di iscrizione alla newsletter, per fare un esempio.

Minimizzazione è la parola d’ordine, ossia limitarsi alla richiesta dei soli dati necessari al raggiungimento della finalità e, in ogni caso, prevedere l’espressione del consenso da parte dell’utente con:

  1. link all’informativa privacy;
  2. il consenso per ogni specifica finalità di trattamento, senza caselle pre-spuntate o impostate sul sì.

Sicurezza e backup

Verifica quali strumenti di protezione sono presenti sul tuo sito e chi ne è responsabile. Verifica che vengano fatti periodici monitoraggi, analisi e aggiornamenti. Per quanto protetto, nessun sistema è totalmente immune da attacchi hacker ed è tua responsabilità prevenire ogni possibile cancellazione, distruzione o corruzione dei dati anche mediante il backup.

Verifica quali strumenti di protezione sono presenti sul tuo sito e chi ne è responsabile. Verifica che vengano fatti periodici monitoraggi, analisi e aggiornamenti. Per quanto protetto, nessun sistema è totalmente immune da attacchi hacker ed è tua responsabilità prevenire ogni possibile cancellazione, distruzione o corruzione dei dati anche mediante il backup. Il backup è il salvataggio dei dati del tuo sito web. Devi definirne la frequenza e il corretto funzionamento mediante un monitoraggio periodico.

Tutte queste azioni devono essere oggetto di controllo periodico da parte del titolare del trattamento verso i soggetti esterni cui ha affidato incarico specifico (nominandoli responsabili esterni al trattamento), nel rispetto del principio di accountability (responsabilità) richiamato dal GDPR. La gestione privacy del sito web deve essere parte integrante della privacy policy del titolare del trattamento.