Procedure di identificazione del personale addetto e dei Responsabili

Nel nuovo GDPR ci sono due figure rilevanti nelle attività di Trattamento dei dati:

• il Responsabile;
• l’Incaricato.

Il Responsabile

Avrà un suo capitolo dedicato in seguito, quindi oggi partiamo dal più semplice.
L’Incaricato (o Autorizzato) è il soggetto che esegue materialmente le operazioni di trattamento, attraverso qualsiasi supporto, anche se non li registra.
Quindi è tale la persona che raccoglie dati personali ed effettua le operazioni di:

• registrazione;
• estrazione;
• organizzazione;
• conservazione;
• utilizzo;
• consultazione;
• elaborazione;
• comunicazione;
• modifica;
• cancellazione;
• distruzione;

Nel vecchio Codice Privacy (DL 196/03 art. 4.1.h) l’incaricato necessitava di un inquadramento ben preciso ed una nomina, mentre il GDPR elimina di fatto questa incombenza, compreso l’obbligo di designazione espressa, chiarendo solamente che il personale può trattare i dati solo se autorizzato dal Titolare o dal Responsabile del Trattamento, e secondo le istruzioni impartite (artt. 4 n. 10 e 29 GDPR).
Ovviamente rimane necessaria (ed obbligatoria) la formazione.

È quindi logico che si profilano, in caso di trattamento dei comuni dati di fatturazione, comunicazione commerciale, persino di conservazione dei dati delle mail, casi di “incarico implicito”, che devono essere conosciuti e documentati a cura del Titolare e del Responsabile.

Possono essere quindi catalogati come tali anche i consulenti o i fornitori di servizi cloud, ovvero alcune categorie particolari di fornitori di cui parleremo nei capitoli successivi.
Una delle categorie più importanti però è quella dei lavoratori dipendenti: siccome anche loro come ogni Incaricato devono essere autorizzati al Trattamento, capita talvolta di imbattersi in occasioni dove il Titolare del Trattamento si vede opporre il rifiuto di sottoscrivere la lettera di autorizzazione al trattamento da parte del dipendente, che la vede come un aggravio non ulteriormente retribuito, dei carichi di lavoro.

È UN OBBLIGO MA MI RIFIUTO

Questo comportamento è dettato da un’ignoranza da parte del personale dipendente di quelli che sono i compiti e gli obblighi sotto il profilo del trattamento dati.
La designazione costituisce esclusivamente un riconoscimento della legittimità delle operazioni di trattamento da parte del dipendente, specificando le mansioni e quali sono le informazioni personali contenute negli archivi a cui può avere accesso, nonché le tipologie di Trattamento.
Essendo obbligatorio da parte del Titolare individuare il flusso delle informazioni personali nell’ambito dell’organizzazione e fornire istruzioni e formazione al personale incaricato, si può ritenere che l’autorizzazione al trattamento costituisce esclusivamente un “riconoscimento”.

In questo caso decade l’obbligo di accettazione, risolvendo pertanto qualunque problema in merito al rifiuto, non necessitando di firma.
Un eventuale diniego può infatti equivalere a non poter trattare alcun dato e quindi non poter svolgere il lavoro per cui si è assunti, perché i dati verrebbero trattati da persone non autorizzate.
È sufficiente una firma per presa visione, esclusivamente per comprovare la messa a conoscenza dell’incarico e di presa visione delle istruzioni fornite.

Ovviamente, dato l’obbligo di formazione, la designazione, e quindi la firma per presa visione, non può essere valida se non affiancata da opportune sessioni in cui vengano fornite le specifiche istruzioni ed erogata l’attività di formazione. È infatti sempre obbligo del Titolare garantire che i soggetti designati agiscano con consapevolezza, nel rispetto delle prescrizioni di legge e delle istruzioni e policy aziendali.

Sulla formazione e sui programmi di istruzione dedicheremo un apposito capitolo in seguito.

Se comunque sorgessero discussioni sulla mancata assegnazione da parte dei dipendenti, bisogna analizzare attentamente le conseguenze di tale decisione (soprattutto da parte del dipendente stesso).

La mancata formalizzazione comporta una fuoriuscita del trattamento di dati personali dal perimetro dell’organizzazione, con applicazione della disciplina della “comunicazione” a terzi, molto più “rigorosa”.
Infatti se “non si considera comunicazione la conoscenza dei dati personali da parte delle persone incaricate per iscritto”, qualunque altro Trattamento è definito “comunicazione”.

RICHIAMO DISCIPLINARE?

Visto l’obbligo da parte del Titolare dunque, e l’impossibilità di far agire il proprio dipendente, è possibile pensare di attivare un richiamo disciplinare al dipendente che si è opposto?
A tal riguardo richiamo alcuni studi che prendono in esame ipotesi:

• il lavoratore si rifiuta di sottoscrivere perché non accede ad informazioni personali;
• il lavoratore si rifiuta di sottoscrivere nonostante la propria mansione contempli l’esigenza di accedere e trattare informazioni personali.

Nella prima ipotesi la legittimità del rifiuto è lecita, non potendo ingenerare alcuna conseguenza sotto il profilo disciplinare, nè alcun vincolo sugli obblighi del Titolare che paiono assolti.

Per la seconda si deve ricordare che il lavoratore subordinato è tradizionalmente legato da un patto di fedeltà e collaborazione con il datore di lavoro che gli impedisce di opporre rifiuti senza valide ragioni che non siano collegabili all’esercizio dei propri diritti. Il rapporto di lavoro subordinato comporta quindi, per ragioni funzionali, una soggezione del dipendente all’azienda.
Tutti i dipendenti la cui mansione presuppone il trattamento di dati personali ai sensi dell’art. 4 n. 2 GDPR devono quindi firmare per presa visione la formale designazione, in quanto questa rappresenta di fatto la precondizione per poter svolgere il lavoro che contrattualmente sono tenuti a svolgere.

Rifiutare la nomina equivale a non poter trattare alcun dato e non poter svolgere il lavoro per cui si è assunti, in quanto altrimenti i dati verrebbero trattati da persone non autorizzate.
E per quanto previsto dall’art. 2050 del C.C.
“Chiunque cagiona danno ad altri nello svolgimento di un’attività pericolosa, per sua natura o per natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno”.

In maniera estremamente drastica: se il rifiuto di ricevere la nomina conduce il Titolare al compimento di un illecito, questi può prospettare il licenziamento per giusta causa del lavoratore (ATTENZIONE: in materia non risulta ancora un precedente che permetta di esibire con certezza questo argomento).

L’IMPORTANTE È NON ARRIVARE A SOLUZIONI DRASTICHE

È ovvio che una maggiore consapevolezza negli addetti, ottenuta attraverso il coinvolgimento nel processo di “analisi” e nella mappatura dei trattamenti effettuati, che porti a stilare un mansionario di dettaglio, condiviso tra le parti, avrà come effetto sicuramente una “accettazione” senza eccessive contestazioni, e come ulteriore benefit una migliore gestione degli accessi privacy conformi al principio di accountability.
È infatti previsto dal GDPR che via sia consapevolezza e conoscenza di chi fa cosa, come, con quali strumenti e perché, ad esempio limitando gli accessi e le operazioni al minimo, o studiando soluzioni fin dalla progettazione, migliorando la protezione dei dati.

Compito fondamentale del Titolare, o del Responsabile, quindi è quello di far comprendere, con la maggiore semplicità, l’assoluta necessità della nomina. Anche in questo senso la formazione è fondamentale per spiegare al personale le ragioni per cui l’Azienda è tenuta a designare i propri addetti.

È sempre sconsigliabile utilizzare argomenti che possono essere interpretati come minacce, è più semplice spiegare che, per obblighi di legge, svolgere una mansione che tratta dati personali significa ricevere una designazione e le istruzioni non costituiscono un aggravio, ma una integrazione. (citando ad esempio la Legge sulla Sicurezza dei posti di lavoro, l’Antiriciclaggio, ecc).