Categoria: Privacy

La formazione in materia di privacy è obbligatoria e la sua assenza è sanzionabile. Ma non esistono riferimenti precisi in fatto di durata, contenuti e aggiornamenti in merito. Come organizzarla, quindi?

Concetti generali e operatività

Una formazione in materia di privacy che voglia essere efficace deve prevedere quindi contenuti generali e specifici (sì, come avviene per la sicurezza), dove i primi servono per conoscere il linguaggio della privacy e i secondi servono a tradurre in azioni concrete i principi generali.

L’obiettivo della formazione sulla privacy è quella di mettere chi raccoglie e tratta i dati nella condizione di essere consapevole della sua influenza sul rispetto delle disposizioni di legge previsti in materia di trattamento di dati personali, e anche delle azioni che l’organizzazione ha previsto a suo carico per la gestione dei dati in modo conforme.

Una traccia dei contenuti della formazione sulla privacy

Di seguito la mia proposta di un’ossatura della formazione che può essere arricchita di dettagli a seconda della tipologia e della dimensione dell’organizzazione ma che consente di passare dalla teoria alla pratica, rispondendo all’obbligo di formazione e anche all’esigenza di operatività di ogni organizzazione.

1. Si parte dalla normativa di riferimento, anche solo per evitare confusione tra vecchia e nuova modulistica e per capire quale sia l’argomento in questione quando si vedono sigle e numeri.
2. Si passa a termini e definizioni perché nel linguaggio tecnico le parole assumono un significato preciso, che consente di distinguere ruoli e responsabilità in modo univoco. Imparare a conoscere e a utilizzare termini specifici evita fraintendimenti e velocizza l’operatività.
3. Calare la teoria nella realtà dell’organizzazione, dando nome e cognome al titolare del trattamento, ai responsabili esterni, agli addetti al trattamento, al DPO e illustrando i contenuti della documentazione predisposta per la gestione dei trattamenti dei dati, a partire dall’individuazione dei dati personali oggetto di trattamento.
4. Individuare le situazioni potenzialmente pericolose e illustrare la procedura del data breach.
5. Illustrare le sanzioni previste e alcuni esempi di applicazione da parte del Garante, con riferimento a tipologie di trattamenti analoghe a quelle dell’organizzazione per la quale si sta erogando la formazione.
6. Proporre esercitazioni ed esempi, compilando la modulistica predisposta e affrontando le situazioni più comuni e quelle meno frequenti ma potenzialmente rischiose.

Durata e frequenza di aggiornamento

La durata del percorso dipende dal numero di persone che partecipano alla formazione, dalla complessità dell’organizzazione e dei trattamenti e dalla possibilità o meno di suddividere la formazione tra figure con uguale responsabilità in relazione al trattamento dei dati.

Nulla vieta di considerare come formazione già l’illustrazione dei documenti ai referenti di funzione, ma pensare di demandare loro la formazione ai loro sottoposti, in un percorso a cascata, risulta rischioso: un eventuale fraintendimento rischia di diffondersi in modo incontrollato tra colleghi e collaboratori.

La frequenza di aggiornamento, infine, è legata più alle variazioni delle tipologie di dati trattate o alle modifiche delle procedure di trattamento piuttosto che al passare del tempo. Per analogia si può parlare di integrazione o aggiornamento della formazione nel caso cambi il ruolo aziendale (e quindi l'”uso” dei dati in azienda).

Nell’ambito di un rapporto di lavoro, le categorie di dati personali raccolti e trattati dal datore di lavoro sono ampie e non tutte necessarie per adempiere agli obblighi connessi al rapporto di lavoro. Sapere quali dati rientrano in questa categoria e quali, invece, sono raccolti per attuare procedure aziendali che vanno al di là dei vincoli dei contratti di lavoro è essenziale per definire le corrette modalità di trattamento e di informativa nei confronti dei lavoratori.

Dati personali richiesti per definire e gestire il rapporto di lavoro

I dati anagrafici del dipendente, i suoi dati fiscali e quelli dei familiari a carico, o comunque componenti il suo nucleo familiare, e gli estremi del suo conto corrente bancario sono necessari per l’elaborazione e il pagamento della retribuzione e gli adempimenti legislativi connessi (ex. pagamento dei contributi previdenziali e assistenziali).

Ci sono anche dati sensibili dei quali il datore di lavoro può venire a conoscenza per adempiere agli obblighi di legge connessi al rapporto di lavoro:

• conoscere la condizione di invalidità o di maternità determina la possibilità di pagare le indennità economiche previste dai contratti collettivi di lavoro;
• conoscere l’adesione a un sindacato serve per gestire eventuali richieste di trattenuta per quote di associazione sindacale;
• conoscere l’adesione a un partito politico è necessaria per giustificare richieste di permessi o aspettativa per cariche pubbliche elettive o assenze retribuite per lo svolgimento dell’incarico di rappresentante di lista);
• conoscere le convinzioni religiose serve per gestire le richiesta di fruizione di festività religiose.

Utilizzo di immagini

Nei casi in cui è necessario esibire un tesserino di identificazione (nell’ambito dei lavori di appalto), la fototessera diventa un dato personale richiesto per adempiere a un obbligo di legge da parte del datore di lavoro, il che è comunque diverso dagli obblighi imposti dalla gestione del rapporto di lavoro.

Diverso è invece il caso in cui l’azienda definisca procedure interne di sicurezza che prevedono l’utilizzo di cartellini con fototessera o l’installazione di impianti di videosorveglianza, oppure proceda alla raccolta di materiale video o fotografico per attività di marketing e promozione della società: in questi due casi è il legittimo interesse del titolare che giustifica il trattamento.

Quindi le immagini sono dati personali che possono essere trattati nell’ambito di un rapporto di lavoro, ma la ragione che ne determina la possibilità di utilizzo può variare tra l’obbligo contrattuale e l’interesse del datore di lavoro.

Posizione dei lavoratori

Che sia l’utilizzo di mezzi aziendali provvisti di sistemi satellitari o l’affidamento di telepass e carte di credito per agevolare le attività, il risultato è che le procedure di gestione della logistica o, più semplicemente, la rendicontazione periodica di questi strumenti fornisce al datore di lavoro i dati relativi alla posizione geografica e agli orari di utilizzo degli strumenti assegnati. Anche questi sono dati personali se consentono di risalire in modo univoco agli utilizzatori dei mezzi e dei dispositivi.

E adesso?

Avere chiaro che tra i dati personali dei dipendenti rientrano più categorie di dati, e non solo quelli anagrafici, la cui raccolta e il cui trattamento sono determinate da ragioni diverse, è essenziale per adempiere in modo corretto agli obblighi imposti dalla normativa in materia di trattamento dati personali.

In particolare:

1. per predisporre informative complete e corrette e, se necessarie, le richieste di consenso;
2. per individuare eventuali necessità di autorizzazione;
3. per utilizzare correttamente gli strumenti aziendali;
4. per definire le procedure di gestione dei dati rispettose dei vincoli di legge.

L’obbligo di disattivare gli account e-mail alla conclusione del rapporto di lavoro e il divieto di accedere ai messaggi ricevuti dagli account di ex-dipendenti sono due aspetti della gestione delle e-mail aziendali in relazione alle disposizioni di legge in materia di privacy. Nel 2007, infatti, il Garante per la protezione dei dati personali ha prescritto ai datori di lavoro la definizione di un disciplinare interno relativo sia all’utilizzo della posta elettronica sia della rete internet nel rispetto delle sue linee guida.

In che modo il titolare del trattamento deve gestire le e-mail aziendali?

Gli account di posta elettronica degli ex- dipendenti

Per quanto sia indiscutibile che il titolare del trattamento abbia interesse ad accedere alle informazioni necessarie alla gestione della propria attività, tale esigenza deve fare i conti con l’obbligo di tutela della riservatezza del personale (anche ex dipendente) e dei terzi coinvolti nelle comunicazioni.

In sostanza la questione è che le e-mail consentono di conoscere dati personali anche solo in relazione alle informazioni di contorno all’oggetto della comunicazione: data e ora di invio e nominativi di mittente e destinatario sono sempre leggibili.

Per tale motivo il Garante ha previsto che, in caso di cessazione di un rapporto di lavoro, il titolare del trattamento deve disattivare gli account di posta elettronica riconducibili all’ex-dipendente. Per garantire la funzionalità delle comunicazioni, può adottare misure tecniche che, pur impedendo la visualizzazione dei messaggi in arrivo al “vecchio indirizzo”, consentano a chi vi scrive di ricevere la risposta automatica da un indirizzo differente, contenente i riferimenti aggiornati per la trasmissione delle comunicazioni.

Il disciplinare interno

Con le linee guida del 2007, il Garante ha di fatto prescritto ai datori di lavoro pubblici e privati di “specificare le modalità di utilizzo della posta elettronica e della rete Internet da parte dei lavoratori, indicando chiaramente le modalità di uso degli strumenti messi a disposizione e se, in che misura e con quali modalità vengano effettuati controlli“.

Il disciplinare interno, come viene chiamato dal Garante, può essere un’informativa individualizzata o una policy aziendale, e rappresenta lo strumento attraverso il quale i lavoratori ricevono indicazioni sulle soluzioni tecniche e organizzative messe in atto dall’organizzazione per gestire le e-mail aziendali nel rispetto dei diritti di tutti i soggetti coinvolti e della normativa applicabile.

Alcune misure di gestione delle e-mail aziendali

Il Garante propone alcune soluzioni tecniche e operative per bilanciare le esigenze aziendali con i diritti di tutela dei lavoratori, per esempio prevede:

• la messa a disposizione di indirizzi di posta elettronica condivisi tra più lavoratori (ex. amministrazione@xyz.it), eventualmente affiancandoli a quelli individuali (ex. rossimario@xyz.it), per consentire una distinzione tra un canale “pubblico” e uno privato;
• la messa a disposizione di funzionalità tecniche di facile utilizzo per l’invio automatico di messaggi in caso di assenze programmate (le cosiddette risposte automatiche), con i riferimenti di altri soggetti o delle modalità di contatto dell’organizzazione in assenza del singolo lavoratore;
• il diritto del singolo lavoratore, qualora sia necessario accedere all’account di posta elettronica a lui dedicato per assenza improvvisa o prolungata o necessità improrogabili, di delegare un altro lavoratore (fiduciario) alla verifica dei messaggi e all’inoltro al titolare del trattamento di quelli rilevanti per lo svolgimento dell’attività lavorativa;
• l’inserimento nel testo delle e-mail di un messaggio di avvertimento ai destinatari in merito all’eventuale natura non personale del messaggio, specificando se le risposte potranno essere conosciute da altri soggetti dell’organizzazione di appartenenza del mittente.

Conservazione delle e-mail aziendali

La conservazione sistematica dei dati esterni e del contenuto di tutte le comunicazioni elettroniche scambiate dai dipendenti attraverso gli account aziendali, allo scopo di poter ricostruire gli scambi di comunicazioni tra gli uffici interni nonché tutti i rapporti intrattenuti con gli interlocutori esterni (clienti, fornitori, enti assicurativi, tour operator), anche in vista di possibili contenziosi, effettuata da soggetti diversi dal titolare della specifica casella di posta elettronica per l’intera durata del rapporto di lavoro e successivamente all’interruzione dello stesso, non risulta […] conforme ai principi di liceità, necessità e proporzionalità del trattamento.

Registro dei provvedimenti n. 53 del 1° febbraio 2018

In sostanza il Garante afferma che:

1. non è necessaria la conservazione di tutta la posta elettronica aziendale, e senza limiti temporali, per consentire lo svolgimento dell’attività lavorativa e che, al contrario, questa modalità di gestione viola i principi di gestione dei dati personali, consentendo al contempo un controllo sull’attività dei lavoratori contraria allo Statuto dei lavoratori;
2. che la conservazione delle e-mail per finalità di tutela dei propri diritti in giudizio deve riferirsi a contenziosi in atto o a situazioni che stanno dando luogo a contenziosi, ma non a ipotesi astratte e indeterminate.

Il Garante non definisce limiti di tempo accettabili o modalità di conservazione specifiche, ma stabilisce che il titolare del trattamento valuti in modo selettivo quali comunicazioni e documenti debbano essere archiviati e per quanto tempo.

Per alcuni il responsabile privacy è l’ufficio del personale, per altri l’ufficio qualità (soprattutto se si tratta di aziende certificate), per altri è il legale rappresentante dell’impresa. Ci sono diverse figure introdotte dal GDPR in relazione alla gestione della privacy in azienda ma in nessun caso si parla di “responsabile privacy”: non esiste un unico soggetto che possa farsi carico in maniera esclusiva e autonoma della questione; la privacy è un aspetto dell’attività aziendale che richiede attenzione da parte di tutte (o quasi) le funzioni d’impresa.

Non esiste un ruolo di “responsabile privacy”

Il GDPR parla di:

• titolare del trattamento dei dati personali;
• persone autorizzate al trattamento (o incaricati al trattamento);
• responsabile del trattamento;
• destinatario dei dati personali;
• rappresentante del titolare dei dati personali;
• interessato;
• responsabile della protezione dei dati personali (DPO).

Il fatto che non parli di responsabile privacy non è un caso, e non è solo una questione di termini. Chi chiede o si chiede chi debba essere il responsabile privacy in un’organizzazione non ha chiaro che cosa richieda il nuovo Regolamento europeo.

L’obiettivo del Regolamento non è quello di mettere in capo a un unico soggetto tutte le questioni formali, ma di fare in modo che i diversi soggetti che trattano i dati personali nell’ambito di un’organizzazione lo facciano nel rispetto dei requisiti del GDPR.

Ovviamente il grado di responsabilità cambia a seconda che si parli del titolare del trattamento, delle persone autorizzate al trattamento o del DPO, per esempio, ma l’attività di valutazione iniziale svolta dal titolare e la definizione delle procedure per il corretto trattamento dei dati all’interno dell’organizzazione servono ben poco se le persone autorizzate non mettono in atto quanto è stato definito ed è stato loro insegnato.

La privacy come aspetto della gestione aziendale

La privacy non è un argomento che può essere affrontato prescindendo dal contesto aziendale, ma è un filo rosso di cui bisogna rintracciare il percorso attraverso gli uffici e le attività aziendali, per poterne ricostruire una mappa, con tanto di segnali di pericolo, di obbligo e di divieto: a qualcuno spetterà disegnare la mappa, a qualcuno spetterà definire la segnaletica, e a tutti quelli che ne incroceranno la strada spetterà il compito di rispettarne le indicazioni.

I servizi fotografici aziendali determinano l’acquisizione di immagini fotografiche o riprese video che ritraggono dipendenti, clienti o visitatori e costituiscono dati personali, da gestire in termini di privacy.

In particolare, anche se i dati personali sono acquisiti per predisporre materiale promozionale, divulgativo e di comunicazione, quindi il trattamento avviene in modo lecito per il perseguimento del legittimo interesse del titolare, è necessario il consenso espresso da parte del soggetto interessato, perché così prevede la legge sul diritto d’autore. L’unica eccezione è il caso in cui “la riproduzione è collegata a fatti, avvenimenti, cerimonie di interesse pubblico o svoltisi in pubblico“.

Privacy e servizi fotografici aziendali

Fotografie, video e materiali multimediali possono essere realizzati da un’azienda per comunicare la propria attività e professionalità verso l’esterno, caricando il materiale sul sito aziendale e le piattaforme social (ex. Facebook, Instagram, LinkedIn, YouTube), inviandolo alla stampa o inserendolo nel proprio materiale pubblicitario (ex. depliant e brochure).

Le immagini che ritraggono dipendenti, collaboratori, visitatori e clienti sono dati personali e, in quanto tali, devono essere gestiti nel rispetto delle regole definite dal Regolamento europeo 2016/679.

La liceità del trattamento e il diritto d’autore

Perché un trattamento di dati personali possa essere effettuato, è necessario che sia determinato da una delle ragioni previste dalla normativa (base giuridica del trattamento).

Nel caso specifico, la motivazione che sta alla base del trattamento dei dati è la promozione dell’attività dell’impresa, che equivale al perseguimento del legittimo interesse del titolare del trattamento dei dati e che è una base giuridica ammessa dal GDPR. Allo stesso tempo, però, i requisiti del Regolamento si combinano con quelli della sezione II (Diritti relativi al ritratto) della legge n.633/41, conosciuta come legge sul diritto d’autore.

Art. 96

Il ritratto di una persona non può essere esposto, riprodotto o messo in commercio senza il consenso di questa, salve le disposizioni dell’articolo seguente.

[…]

Art. 97

Non occorre il consenso della persona ritrattata quando la riproduzione dell’immagine è giustificata dalla notorietà o dall’ufficio pubblico coperto, da necessità di giustizia o di polizia, da scopi scientifici, didattici o colturali, o quando la riproduzione è collegata a fatti, avvenimenti, cerimonie di interesse pubblico o svoltisi in pubblico.

Il ritratto non può tuttavia essere esposto o messo in commercio, quando l’esposizione o messa in commercio rechi pregiudizio all’onore, alla reputazione od anche al decoro della persona ritrattata.

Come si deve procedere?

L’informativa sul trattamento dei dati personali non deve mai mancare: il titolare del trattamento deve informare l’interessato in merito ai dettagli relativi all’utilizzo dei suoi dati e ai suoi diritti. Ricordo che l’informativa può includere una sezione per esprimere il consenso al trattamento ma non nasce con questa finalità.

Quindi, oltre a predisporre l’informativa relativa al trattamento delle immagini ed è necessario prevedere un modulo di consenso, eventualmente come parte terminale dell’informativa.

In relazione ai casi in cui non è previsto l’obbligo di consenso (riproduzione collegata a fatti, avvenimenti, cerimonie di interesse pubblico o svoltisi in pubblico), l’interessato deve comunque essere informato del trattamento quindi è opportuno inserire nell’informativa sul trattamento delle immagini i dettagli relativi.

Ti lascio un esempio.

“Nel caso di eventi pubblici quali, a titolo esemplificativo ma non esaustivo, conferenze stampa, eventi pubblici o manifestazioni pubbliche alle quali l’impresa dovesse prendere parte, non è necessario il consenso espresso da parte del soggetto interessato che si presenta presso i luoghi e gli spazi (ex. sale convegni, ambienti sia in interno che in esterno presso i quali si svolgono eventi – sale comunali, spazi cittadini, ecc.) nei quali è stato attivato un servizio di riprese fotografiche o video.

L’attivazione di tali attività video/fotografiche sarà chiaramente identificata con apposita segnaletica.

Al di fuori della fattispecie suddetta, gli interessati potranno esprimere il proprio consenso al trattamento dei dati mediante compilazione della sezione conclusiva della presente informativa.”

Lo scorso 23 giugno il Garante per la protezione dei dati personali ha presentato la Relazione annuale sulle attività svolte nel 2019. Si parte dai numeri e si scende poi nei dettagli con paragrafi descrittivi di approfondimento. Il n. 13.14, intitolato “I trattamenti di dati da parte del medico competente” affronta in modo esplicito e definitivo la questione della posizione del medico competente nell’ambito del sistema di gestione della privacy aziendale. Tra chi considerava il medico competente un responsabile esterno al trattamento e chi lo riteneva un titolare del trattamento sono i secondi a ricevere la conferma espressa da parte del Garante.

Il medico competente come autonomo titolare

Il Garante lo dice chiaramente:

“il Garante ha tradizionalmente considerato il medico competente un autonomo titolare e, nonostante gli accertamenti volti a verificare l’idoneità alla mansione specifica del dipendente siano obbligatori per legge e svolti a spese e a cura del datore di lavoro (artt. 39, comma 5 e 41, comma 4, d.lgs. n. 81/2008), essi devono essere effettuati esclusivamente tramite il professionista. Egli è, infatti, l’unico soggetto legittimato a trattare i dati sanitari dei lavoratori per le finalità indicate dalla disciplina di settore…”

La questione, in sostanza, non è legata alla presenza di un incarico conferito dal datore di lavoro al professionista, ma al fatto che “nello svolgimento dei compiti che la legge gli attribuisce in via esclusiva (attività di sorveglianza sanitaria e tenuta delle cartelle sanitarie e di rischio dei singoli lavoratori), il professionista è l’unico legittimato ex lege a trattare in piena autonomia e competenza tecnica i dati personali di natura sanitaria indispensabili
per tale finalità, non potendo essere in alcun modo trattate dal datore di lavoro informazioni relative, ad esempio, alla diagnosi o all’anamnesi familiare del lavoratore, se non con riferimento al solo giudizio di idoneità alla mansione specifica ed alle eventuali prescrizioni che il professionista fissa come condizioni di lavoro“.

E non è la tipologia di rapporto tra professionista sanitario e datore di lavoro a influire sulla posizione del medico competente come titolare del trattamento:

“Anche sotto il profilo sanzionatorio, il quadro normativo nazionale distingue chiaramente le responsabilità che ricadono sul datore di lavoro da quelle che invece sono direttamente imputabili al medico competente, sia quando opera in qualità di libero professionista o per conto di strutture convenzionate, sia quando opera in qualità di dipendente del datore di lavoro.”

Quindi? Quindi non solo non è necessario nominare il medico competente quale responsabile esterno al trattamento dei dati personali, ma questa nomina non risulta corretta dal punto di vista normativo ed è opportuno eliminarla, aggiornando anche la documentazione che descrive la modalità di gestione dalla privacy in azienda che dovesse contenere riferimenti al ruolo del medico competente e lo citasse come responsabile esterno anziché come titolare (ex. DPIA o registro dei trattamenti).

La sigla DPO sta per Data Protection Officer ed equivale alla versione italiana Responsabile della Protezione dei Dati (RPD).

Questa figura è obbligatoria solo in alcuni casi specifici:

• quando il trattamento dei dati è effettuato da un’autorità pubblica o da un organismo pubblico (a eccezione delle autorità giurisdizionali che effettuano attività giurisdizionali);
• quando le attività principali del titolare o del responsabile del trattamento consistono in trattamenti che per la loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
• quando le attività principali del titolare o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali, reati o a connesse misure di sicurezza.

Nei casi in cui la normativa (GDPR) non impone la designazione, è comunque possibile la nomina di un RPD per scelta volontaria e, nel caso di un gruppo di imprese o soggetti pubblici, è possibile nominare un unico DPO.

Chi può svolgere la funzione di DPO?

Il DPO può essere interno o esterno all’organizzazione, e svolgere altre funzioni, ma, al di là della scelta strategica, l’importante è che:

1. possieda competenze giuridiche, informatiche, di gestione del rischio e di analisi dei processi;
2. svolga il suo ruolo con indipendenza e senza conflitti di interesse, e questo significa che non può essere lui a decidere finalità e strumenti di trattamento dei dati personali e che il titolare o il responsabile del trattamento devono fornirgli le risorse necessarie per assolvere ai suoi compiti e accedere ai dati personali e ai trattamenti.

Non sono richieste attestazioni formali o l’iscrizione ad appositi albi professionali, anche se la partecipazione a master e corsi professionali sulle tematiche specifiche è un utile strumento per valutare il possesso di un livello adeguato di conoscenze.

La nomina di DPO deve essere formalizzata e il nominativo dell’incaricato, nonché la sua eventuale variazione e revoca, deve essere comunicata al Garante per la protezione dei dati personali attraverso specifica procedura online.

Quali sono i compiti del RDP?

Il responsabile della protezione dei dati è un facilitatore dell’osservanza delle disposizioni del GDRP. I suoi compiti comprendono:

1. informare e svolgere attività di consulenza verso il titolare o il responsabile del trattamento e gli incaricati del trattamento degli obblighi derivanti dal GDPR e dalle altre norme relative alla protezione dei dati;
2. sorvegliare sulla corretta gestione del trattamento in osservanza al GDPR e alle altre norme relative alla protezione dei dati, comprese l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
3. fornire un parere, se richiesto, in merito alla DPIA e sorvegliare sul suo svolgimento;
4. cooperare con l’autorità di controllo rispetto alla quale funge da punto di contatto per questioni connesse al trattamento.

Vuoi approfondire la questione? Puoi scaricare le Linee guida sui responsabili della protezione dei dati (RPD) – WP243 adottate dal Gruppo di lavoro Art. 29.

Non sai più che DPO pigliare? Contattami!

Predisporre le informative, il registro dei trattamenti, la valutazione d’impatto, nominare responsabili del trattamento e incaricati al trattamento è sufficiente per adempiere gli obblighi previsti dal GDPR? Non del tutto: manca la formazione sulla privacy!

Quali sono le caratteristiche della formazione privacy?

Non esistono riferimenti specifici in relazione a durata e contenuti della formazione in materia di privacy, né in merito alla frequenza di aggiornamento. La logica è quella di formare il personale che partecipa al trattamento dei dati (a partire da chi ha accesso permanente o regolare ai dati) e alle attività di controllo in funzione del tipo di dati trattati, dei trattamenti effettuati e delle misure di protezione messe in atto dal titolare del trattamento.

In termini di aggiornamento sarà la variazione di una di queste componenti (dati, trattamenti e sistemi di protezione) a richiedere di adeguare la formazione degli addetti, piuttosto che una variazione della funzione dell’addetto che comporti un diverso accesso ai dati o diverse modalità di trattamento e di gestione.

Come ogni altro aspetto della gestione privacy rispetto al GDPR, quindi, anche la formazione risulta una misura che il titolare deve definire in modo autonomo in funzione dei rischi per la protezione dei dati che ha individuato e valutato.

Chi dice che è obbligatoria?

La formazione può essere una misura organizzativa che il titolare ha definito come necessaria per garantire il rispetto delle procedure di trattamento e protezione dei dati che ha deciso di attuare. E questo sarebbe di per sé sufficiente a rendere obbligatoria l’attività di formazione.

Ma il GDPR ha previsto in maniera esplicita l’obbligo di formazione all’articolo 29:

Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.

Detto n altre parole, l’articolo 29 dice che, con l’eccezione dei casi in cui il trattamento è previsto dal diritto dell’Unione Europea o degli Stati membri dell’Unione, tanto i responsabili quanto gli incaricati non sono autorizzati a trattare i dati personali se non sono stati formati (istruiti) dal titolare del trattamento.

Se ne può occupare il responsabile della protezione dei dati?

La premessa essenziale è che il responsabile della protezione dei dati (o data protection officer – DPO) non è una figura obbligatoria in tutte le organizzazioni, ma è una “prerogativa” delle autorità pubbliche e delle organizzazioni che effettuano trattamenti su larga scala.

Il DPO è sicuramente una figura competente in materia, dato che uno dei requisiti per svolgere la funzione è quella della “conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati“. Il problema si pone più che altro rispetto alla finalità del suo compito, che è informativa e di consulenza verso il titolare e il responsabile del trattamento, e di vigilanza in relazione agli aspetti di formazione del personale.

Sarebbe quindi opportuno che la formazione non venisse svolta da un soggetto qualificato come DPO all’interno della struttura per la quale svolge tale funzione.

Ma ci sono sanzioni?

L’obbligo di formazione non deve essere sottovalutato in quanto la violazione dell’art. 29 che la prevede è soggetta a sanzioni amministrative pecuniarie. La norma parla di numeri che fanno paura (sanzioni fino a 10 milioni di euro o, per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore). L’ammontare effettivo dipende da una serie di fattori che sono oggetto di valutazione da parte del Garante (ex. natura, gravità e durata della violazione, carattere doloso o colposo della violazione). Questo non toglie il fatto che la mancata formazione in materia di privacy risulta una violazione sanzionabile .

L’informativa sul trattamento dei dati personali è lo strumento attraverso il quale il titolare del trattamento, il soggetto che raccoglie e utilizza i dati, fornisce a chi li cede, l’interessato, i dettagli relativi all’utilizzo dei suoi dati e lo informa dei suoi diritti. Non è invece lo strumento attraverso il quale l’interessato esprime il consenso al trattamento dei dati, ma l’informativa può essere utilizzata anche con questa finalità.

Ma quali sono gli elementi imprescindibili dell’informativa al trattamento dei dati personali? Come va fornita all’interessato?

Contenuti minimi dell’informativa

Il GDPR definisce agli artt. 13 e 14 quali informazioni devono essere fornite all’interessato in relazione al trattamento dei suoi dati, anche al fine di garantire correttezza e trasparenza del trattamento stesso. I due articoli operano una distinzione tra l’informativa da fornire all’interessato in caso di raccolta dati presso di lui (in sua presenza e con lui come fonte) e di raccolta dati non ottenuti presso di lui, quindi ricavati in sua assenza e da altre fonti che, per altro, devono essere specificate nell’informativa.

Due sono le differenze:

1. il momento in cui l’informativa deve essere presentata all’interessato, che deve coincidere con il momento della raccolta dati quando questi sono ottenuti dall’interessato e presenta tempistiche differenti in caso contrario;
2. solo nel caso di dati non ottenuti presso l’interessato si devono specificare anche quali siano le categorie di dati oggetto di trattamento.

Ho riassunto in una tabella comparativa, che potete scaricare QUI, i contenuti delle due informative, evidenziandone le differenze, anche in termini di tempistiche di presentazione all’interessato.

Altre caratteristiche dell’informativa al trattamento dati

Non è sufficiente predisporre il documento per adempiere all’obbligo di informazione verso l’interessato, ma bisogna:

1. strutturare il documento in modo che sia conciso, trasparente, intelligibile (comprensibile) e facilmente accessibile;
2. utilizzare un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate ai minori.

L’informativa può essere in formato cartaceo o elettronico e, “se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato“, il che significa che bisogna comunque essere in grado di dimostrare che l’informativa è stata resa all’interessato, quindi è buona cosa richiedere la sottoscrizione di un documento che la contenga, anche nel caso in cui il relativo contenuto sia stato riferito a voce.

Sottoscrizione dell’informativa e consenso al trattamento

Condizione indispensabile per poter effettuare un trattamento dei dati personali è che lo stesso sia lecito, ossia basato su uno dei criteri dell’art. 6 del GDPR. La norma individua 6 condizioni alternative perché il trattamento possa dirsi lecito:

• l’interessato ha espresso il consenso al trattamento;
• il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su sua richiesta;
• il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
• il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
• il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
• il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi (a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato).

Questo significa che il titolare, se il trattamento risponde a uno dei criteri diversi dal consenso, può procedere al trattamento anche in assenza di consenso dell’interessato, ma questo non lo svincola dall’obbligo di fornire a quest’ultimo le informazioni previste dagli artt. 13 e 14 del GDPR. In altre parole:

1. la sottoscrizione dell’informativa trattamento dati non coincide necessariamente con l’espressione di un consenso da parte dell’interessato;
2. qualora la liceità del trattamento dipenda dal consenso dell’interessato, allora è necessario che tale consenso venga espresso e che il titolare del trattamento sia in grado di dimostrare che l’interessato lo abbia fatto. Considerato che è possibile raccogliere il consenso nell’ambito di una “dichiarazione scritta che riguarda anche altre questioni“, allora può essere pratico inserire la clausola del consenso nell’informativa sul trattamento dei dati, accertandosi però che la richiesta sia “chiaramente distinguibile dalle altre materie“, comprensibile, facilmente accessibile e presentata con linguaggio semplice e chiaro.

Prima dell’uragano COVID-19 avevo iniziato a parlare degli elementi “documentali” della gestione privacy in azienda, con l’intento di rendere cristallina la logica del GDPR avanzando per gradi.

La prima considerazione è stata che la gestione della privacy non è così diversa dalla gestione degli aspetti di salute e sicurezza sul lavoro e avevo introdotto il registro dei trattamenti e la DPIA (valutazione d’impatto sulla protezione dei dati); successivamente mi sono soffermata sul registro dei trattamenti e ho fatto un approfondimento sul tema della gestione privacy dei siti web.

Oggi mi voglio occupare di DPIA sia per non perdere il filo logico sia per una contingenza: il Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus COVID-19 negli ambienti di lavoro (versione di marzo o di aprile non fa differenza in questa sede) prevede la possibilità e, in alcuni casi, l’obbligo di misurazione della temperatura corporea del personale; questo trattamento dati, finora considerato illecito dallo stesso Garante, comporta nella maggior parte delle realtà aziendali rischi nuovi per la privacy e, quindi, nuovi obblighi.

Quando la DPIA è obbligatoria?

Quando un trattamento può comportare un rischio elevato per i diritti e le libertà delle persone interessate, ossia per i diritti alla protezione dei dati e alla vita privata, per la libertà di parola, di pensiero, di circolazione, di coscienza e di religione, o può indurre o comportare una discriminazione.

L’elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati è stato fornito dal Garante nel chiarimento interpretativo dell’11 ottobre 2018.

Il GDPR obbliga i titolari a svolgere una valutazione di impatto prima di dare inizio al trattamento, e consultando l’autorità di controllo nel caso in cui ritenessero che le misure tecniche e organizzative individuate per mitigare l’impatto del trattamento non siano sufficienti, cioè il rischio residuale per i diritti e le libertà degli interessati resti elevato.

Quando la DPIA non è obbligatoria?

In questo caso non esistono elenchi univoci, le indicazioni più dettagliate sono contenute nelle “Linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento “possa presentare un rischio elevato” ai fini del regolamento (UE) 2016/679” del Gruppo di lavoro Articolo 29.

Riporto di seguito l’elenco di interesse che, tuttavia, non risulta di immediata lettura e richiede di conoscere a fondo la materia:

• quando il trattamento non è tale da presentare un rischio elevato per i diritti e le libertà delle persone fisiche;
• quando la natura, l’ambito di applicazione, il contesto e le finalità del trattamento sono molto simili a un trattamento per il quale è stata svolta una valutazione d’impatto sulla protezione dei dati. In tali casi, si possono utilizzare i risultati della valutazione d’impatto sulla protezione dei dati per un trattamento analogo;
• quando le tipologie di trattamento sono state verificate da un’autorità di controllo prima del maggio 2018 in condizioni specifiche che non sono cambiate;
• qualora un trattamento trovi una base giuridica nel diritto dell’Unione o nel diritto dello Stato membro e tale diritto disciplini il trattamento specifico, o sia già stata effettuata una valutazione d’impatto sulla protezione dei dati nel contesto dell’adozione di tale base giuridica (a meno che uno Stato membro non abbia dichiarato che è necessario effettuare tale valutazione prima di procedere alle attività di trattamento);
• qualora il trattamento sia incluso nell’elenco facoltativo (stabilito dall’autorità di controllo) delle tipologie di trattamento per le quali non è richiesta alcuna valutazione d’impatto sulla protezione dei dati.

Come effettuare la valutazione

In primo luogo può essere utile utilizzare l’allegato 2 delle Linee guida del Gruppo di lavoro Articolo 29 richiamate poco sopra per individuare gli elementi minimi da inserire nella valutazione.

Per le PMI, il Garante propone uno strumento gratuito, un software sviluppato dall’Autorità francese per la protezione dei dati e disponibile anche in versione in lingua italiana. Intuitivo da utilizzare, richiede comunque che il compilatore abbia chiaro quali siano le tipologie di trattamento che devono essere analizzate.

DPIA e COVID-19

L’art. 5 dello Statuto dei Lavoratori (Legge 300/1970) vieta accertamenti da parte del datore di lavoro sulla idoneità e sulla infermità per malattia o infortunio, ammettendo che il controllo delle assenze per “infermità” possa essere effettuato soltanto attraverso i servizi ispettivi degli istituti previdenziali competenti.

La sola operazione di misurazione della temperatura, a prescindere dalla sua registrazione, risulta un trattamento autorizzato direttamente dal DPCM 26 aprile 2020. Il datore di lavoro può quindi procedere in questo senso, anche mediante apparecchi automatici, purché vi sia una valutazione di impatto privacy a monte, ricadendo il trattamento nel caso previsto al punto 10 dell’elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati. Il punto 10 parla infatti di “Trattamenti di categorie particolari di dati ai sensi dell’art. 9“, tra i quali ricadono i dati relativi alla salute.