Il Garante per la protezione dei dati personali, lo scorso ottobre ha fornito alcune importanti precisazioni relativamente a due dei principali adempimenti –rilevantissimi elementi di accountability – introdotti dal Regolamento Europeo 679/2016 in materia di protezione dei dati personali (il “Regolamento”):
(i) il Registro dei Trattamenti, come da risposta alle FAQ pubblicate l’8 ottobre sul sito del Garante, nonché
(ii) la Valutazione d’Impatto Privacy (anche conosciuta come “DPIA” – Data Protection Impact Assessment), come da Provvedimento del Garante, n. 467, dell’11 ottobre.
Il Registro dei trattamenti
In primis, ad avviso del Garante, il “Registro della attività di trattamento” (il “Registro”) – previsto dall’art. 30 del Regolamento – deve riportare tutte le principali informazioni relative alle operazioni di trattamento svolte dal Titolare. Questo documento deve essere redatto in forma scritta oppure elettronica, ed è in ogni caso il primo documento che, su richiesta del Garante stesso o in fase d’ispezioni, deve essere prontamente esibito.
Il Garante ha allargato la platea dei soggetti tenuti a tenere il Registro, includendovi tutte le aziende che effettuano “trattamenti non occasionali” (indipendentemente dal numero dei dipendenti impiegati); gli esercizi commerciali o artigiani con almeno un dipendente; i liberi professionisti, le associazioni e le fondazioni ed, infine, i condomini, ove trattino “categorie particolari” di dati.
Infine, il Garante ricorda quali sono le “informazioni minime” che il Registro deve obbligatoriamente contenere, ossia:
– le finalità di ciascun trattamento. Al riguardo viene precisato che, oltre alla precipua indicazione delle stesse, distinta per tipologie di trattamento (es. trattamento dei dati dei dipendenti per la gestione del rapporto di lavoro; trattamento dei dati di contatto dei fornitori per la gestione degli ordini), sarebbe opportuno indicare anche la base giuridica dello stesso. Sempre con riferimento alla base giuridica, sarebbe parimenti opportuno: in caso di trattamenti di “categorie particolari di dati”, indicare una delle condizioni di cui all’art. 9, par. 2, del Regolamento; in caso di trattamenti di dati relativi a condanne penali e reati, riportare la specifica normativa (nazionale o dell’Unione europea) che ne autorizza il trattamento ai sensi dell’art. 10 del Regolamento;
– le categorie di interessati (ad es. clienti, fornitori e dipendenti) e le categorie di dati personali (ad es. dati anagrafici, dati sanitari, dati biometrici);
– le categorie di destinatari a cui i dati vengono comunicati (gli altri titolari, per categorie di appartenenza, a cui i dati vengono comunicati, come gli enti previdenziali a cui devono trasmessi per adempiere agli obblighi contributivi). Secondo il Garante è opportuno, altresì, indicare gli eventuali altri soggetti a cui – in qualità di responsabili del trattamento o sub responsabili – i dati vengono trasmessi (ad es. società di elaborazione paga). Ciò al fine di consentire al Titolare di avere contezza del novero e della tipologia di soggetti esterni a cui sono affidate le operazioni di trattamento dei dati;
– gli eventuali trasferimenti verso paesi terzi, con indicazione del Paese/i Terzo/i a cui i dati sono trasferiti e le garanzie adottate ai sensi del Regolamento;
– il periodo di conservazione dei dati (ad es. in caso di rapporto contrattuale i dati saranno conservati per 10 anni dall’ultima registrazione) e, infine,
– una generale descrizione delle misure di sicurezza (tecniche e organizzative) adottate per ciascun trattamento, con possibilità di far rinvio per una valutazione più completa a documenti esterni di carattere generale (ad es. procedure interne).
Il Garante ribadisce che il Registro deve essere costantemente aggiornato poiché il suo contenuto deve corrispondere all’effettività dei trattamenti posti in essere. In sostanza qualsiasi cambiamento deve essere immediatamente inserito nel Registro, dando conto delle modifiche sopravvenute.
Anche il Responsabile del Trattamento è tenuto a tenere un Registro del trattamento, in merito alle cui modalità di compilazione, il Garante ha precisato che:
– nel caso in cui agisca per conto di più clienti quali autonomi e distinti titolari (es. società di software house), le informazioni di cui all’art. 30, par. 2, del Regolamento dovranno essere riportate nel Registro con riferimento a ciascuno dei suddetti titolari. In questi casi il Responsabile dovrà suddividere il Registro in tante sezioni quanti sono i titolari per conto dei quali agisce o potrebbe riportare il rinvio, ad es., a schede o banche dati anagrafiche dei clienti (titolari del trattamento), contenenti la descrizione dei servizi forniti agli stessi. Ciò, ferma restando la necessità che tali schede riportino tutte le indicazioni richieste dall’art. 30, par. 2 del Regolamento;
– con riferimento alla “descrizione delle categorie di trattamenti effettuati” è possibile far riferimento a quanto contenuto nel contratto di designazione a responsabile che, ai sensi dell’art. 28 del Regolamento, deve individuare, in particolare, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati oggetto del trattamento, nonché la durata di quest’ultimo
– in caso di sub-responsabili, parimenti, il Registro delle attività di trattamento svolte da quest’ultimo potrà specificatamente far riferimento ai contenuti del contratto stipulato tra lo stesso e il Responsabile ai sensi dell’art. 28 del Regolamento.
La Valutazione di impatto
Il provvedimento n. 467 del Garante fornisce una lista di 12 tipi di trattamenti che richiedono l’obbligatoria redazione di una Valutazione d’Impatto. Tali indicazioni, dunque, si aggiungono a quelle disposte dall’art. 35 del Regolamento nonché dalle linee guida del c.d. WP29 (ora Comitato Europeo per la Protezione dei Dati), già fornite nel corso del 2017.
La redazione di una DPIA rappresenta un adempimento particolarmente delicato e rilevante, in termini di “privacy compliance”, richiedendosi di fatto, alla società Titolare del trattamento dei dati, di valutare e soppesare con attenzione le misure tecniche e organizzative, le quali devono essere idonee ad impedire che le persone fisiche interessate al trattamento possano subire danni.
Dopo i tre esempi di cui all’art. 35 del Regolamento – profilazione, sorveglianza sistematica su larga scala di zona accessibile al pubblico e trattamento su larga scala dei dati “particolari” (già “sensibili”) – ed in aggiunta ai nove casi elencati dal WP29 nelle proprie linee guida, in forza dei quali la DPIA sarebbe obbligatoria, il nostro Garante ha dunque ulteriormente chiarito la materia.
Nello specifico, a parere del Garante richiedono la preventiva DPIA i trattamenti:
– valutativi, di scoring su larga scala e di profilazione;
– automatizzati finalizzati ad assumere decisioni che producono “effetti giuridici” o che comunque incidono significativamente sugli interessati (ad esempio, lo screening di clienti di una banca attraverso l’utilizzo di dati registrati in una centrale di rischi);
– che consentono l’utilizzo sistematico di dati per osservazione e monitoraggio (ad esempio via app od online);
– su larga scala di dati aventi carattere estremamente personale (ad es. mail) o che incidono su un diritto fondamentale (ubicazione, la cui raccolta può impattare sulla libera circolazione);
– svolti nell’ambito del rapporto di lavoro mediante sistemi tecnologici (ad es.: videosorveglianza o geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti;
– di soggetti vulnerabili (minori, disabili, etc.);
– effettuati attraverso l’uso di tecnologie innovative (IoT o AI);
– che comportano lo scambio di dati tra diversi titolari, su larga scala;
– effettuati mediante interconnessione e simili (ad es.: mobile payment);
– di categorie “’particolari” di dati o comunque relativi a condanne penali;
– sistematici di dati biometrici ed infine di dati genetici.
A livello “comparatistico”, si rileva come, rispetto al “collega” francese (il CNIL), il Garante italiano non abbia fatto espresso riferimento al trattamento relativo ai “sistemi di whistleblowing”.
Resta inteso che l’elenco dei 12 trattamenti fornito – ed in corso di pubblicazione in Gazzetta Ufficiale – non è da intendersi esaustivo: ben potranno (e dovranno) essere effettuate le DPIA, oltre che in presenza di almeno uno dei 9 casi elencati nelle sopra citate dal WP29 nelle citate Linee guida, ogni qualvolta il Titolare lo ritenga doveroso.
Link correlati:
Sul podio del premio promosso dallo studio legale De Luca & Partners, insieme a FCA per le aziende quotate anche American Express e Rai Way (secondo posto ex aequo). Per le aziende non quotate, dopo Beltrame, seconda classificata Farco Group e terza Bricoman Italia.
Il premio, alla sua prima edizione, ha l’obiettivo di promuovere una riflessione sulle migliori practice nel mondo del lavoro e nella gestione delle risorse umane, mettendo in luce l’eccellenza che è in grado di dare un vero slancio all’impresa, promuovendo competitività e produttività e al tempo stesso la coesione sociale, la risoluzione dei conflitti e più in generale il benessere degli individui e dell’economia del nostro Paese. I nomi dei finalisti sono stati selezionati da una giuria indipendente composta da esperti di risorse umane, di sostenibilità e CSR ed economisti noti nel settore.
Fiat Chrysler Automobiles si è aggiudicata il primo premio con il progetto “FCA Learning City”, una rivoluzionaria piattaforma di formazione interattiva rivolta a 50mila dipendenti in 13 lingue che sfrutta la tecnologia per incentivare responsabilità personale, leadership e performance. Insieme a FCA, sul podio per la categoria aziende quotate si sono classificate al secondo posto ex aequo American Express con il progetto “Agile Working Project”, un’iniziativa che introduce il lavoro flessibile, in modo innovativo anche nel mondo dei call center, facendolo diventare parte integrante della cultura organizzativa dell’azienda, e Rai Way con “HR-Value Solutions”, un progetto che attraverso il confronto con le organizzazioni sindacali è stato in grado di creare nuove figure professionali trasversali e di adottare innovative formule di premialità e di welfare.
AFV Beltrame Group, che da più di un secolo opera nel settore siderurgico, si è invece classificata al primo posto nella categoria aziende non quotate grazie all’innovativo e visionario accordo straordinario con le organizzazioni sindacali che ha permesso la ridistribuzione del valore creato dall’azienda nel 2017 ai lavoratori dei suoi tre stabilimenti in Italia, coinvolti dagli ammortizzatori sociali che si erano resi necessari per rilanciare l’azienda dopo un periodo di crisi. Al secondo posto di categoria si è classificata Farco Group, realtà operante nei servizi e sistemi per la sicurezza delle imprese e del lavoro, con un articolato programma di welfare aziendale che mette al centro l’individuo e la promozione del benessere lavorativo. Al terzo posto Bricoman Italia, il distributore all’ingrosso e al dettaglio di prodotti tecnici professionali per la costruzione e la ristrutturazione, grazie a un sistema di condivisione con i dipendenti di conoscenza, responsabilità e profitto, che rafforza il binomio benessere dell’azienda/dell’individuo per incentivare competitività e produttività.
La proclamazione dei vincitori è avvenuta nel corso dell’evento conclusivo che si è tenuto nella serata di ieri, durante il quale i rappresentanti delle aziende finaliste hanno avuto modo di presentare i propri progetti a una platea di oltre cento professionisti del settore, e di discutere di best practice e innovazione nella gestione delle risorse umane. L’evento, condotto da Andrea Cabrini, Direttore di ClassCNBC, si è aperto con un keynote speech dal titolo “Da HR a HR2” di Ivan Ortenzi, Chief Innovation Evangelist di Bip.
“Sempre più aziende vogliono investire sulle risorse umane attraverso pratiche e politiche in grado di valorizzare equità, sviluppo e benessere dei lavoratori” ha dichiarato Vittorio De Luca, Managing Partner di De Luca & Partners. “Dal progetto di FCA, che rivoluziona i paradigmi della governance della formazione, a quello di Beltrame, che dimostra come sia possibile gestire le relazioni industriali con trasparenza e responsabilità di tutte le parti sociali, passando per le iniziative degli altri quattro finalisti, emerge un aumento della consapevolezza della necessità di adottare sistemi di lavoro e processi HR tesi a soddisfare i bisogni e le aspettative personali e professionali dei dipendenti. In qualità di ideatori e promotori di questo riconoscimento, confidiamo di poter essere un amplificatore del cambiamento in atto” ha concluso Vittorio De Luca.
Sono 6 le aziende finaliste dell’Excellence & Innovation HR Award, il premio promosso dallo studio legale De Luca & Partners che verrà assegnato nel corso di un evento che si terrà nella serata del 27 novembre a Palazzo Giureconsulti a Milano. Nell’occasione, le aziende avranno modo di presentare i loro progetti e discutere delle principali tendenze in atto nel settore delle HR e del mondo del lavoro. Il premio, alla sua prima edizione, è destinato alle aziende operanti in Italia con l’obiettivo di promuovere la riflessione sulle migliori practicenel mondo del lavoro e nella gestione delle risorse umane, “mettendo in luce l’eccellenza che è in grado di dare un vero slancio all’impresa, promuovendo competitività e produttività e al tempo stesso la coesione sociale e la risoluzione dei conflitti e più in generale il benessere degli individui e dell’economia del nostro Paese” afferma l’ avvocato Vittorio De Luca, Managing Partner di De Luca & Partners, studio legale attivo nella consulenza e assistenza legale e giudiziaria in tema di diritto del lavoro, delle relazioni industriali e del diritto di agenzia.“Se come consulenti aziendali spesso siamo infatti chiamati a dirimere conflitti sociali, in alcuni casi anche estremamente duri, ci sono progetti che il più delle volte passano sotto traccia ma invece creano grandissimo valore, consentendo la prevenzione dei conflitti e creando coesione sociale all’interno delle organizzazioni”. La Giuria composta da 8 esperti di risorse umane e responsabilità sociale ha individuato sei aziende finaliste. Per le quotate: American Express, FCA e Rai Way. Per le non quotate: AFV Acciaierie Beltrame, Bricoman Italia e Farco Group. Il quadro che emerge dai progetti candidati conferma la grande attenzione da parte delle imprese ai temi strategici per lo sviluppo quali la contrattazione di secondo livello, il welfare sociale, la formazione e tutte le iniziative che favoriscono in generale il benessere lavorativo dei dipendenti. “La vera innovazione non è solo quella tecnologica, ma anche nei paradigmi organizzativi che facilitano la gestione dei processi di cambiamento ingaggiando i dipendenti in un rapporto trasparente, che concilia sviluppo e benessere, fondato sul risultato ma anche sulla condivisione del valore (e dei sacrifici quando è il momento di farli) e sulla fiducia come “collante” di tutti i portatori di interesse. In questo senso, il modo di fare impresa italiano è ricco di storie di assoluta eccellenza e ha molto da insegnare anche all’estero”.
Dallo smart working esteso anche agli addetti di call center di American Express per favorire la conciliazione tra vita privata e professionale, alla piattaforma di formazione interattiva che Fca Group ha messo a disposizione di migliaia di dipendenti di 13 Paesi del mondo per incentivare la crescita delle competenze. Dalla creazione di una nuova figura professionale – il tecnico multiskill – con l’istituzione di un “time bonus” (ore di permesso supplementari retribuite per i migliori lavoratori a tempo determinato) di Ray Way, all’iniziativa concordata da AFV Acciaierie Beltrame con i sindacati per la ridistribuzione del valore creato ai dipendenti che avevano accettato il piano di rilancio per far uscire l’azienda dalla crisi. Dalla condivisione dei risultati che prevede anche la partecipazione nell’azionariato e i servizi di welfare promossa da Bricoman Italia, al sistema integrato di welfare di Farco Group. Sono i sei progetti finalisti del premio Excellence & Innovation HR Award – tre per la categoria aziende quotate e tre per la categoria non quotate – promosso dallo studio De Luca & Partners, destinato alle aziende operanti in Italia con l’obiettivo di diffondere le best practices nel mondo del lavoro e nella gestione delle risorse umane. I due vincitori selezionati da una giuria di esperti verranno annunciati martedì 27 novembre, in un evento che si terrà a Palazzo Giureconsulti a Milano, in base a criteri come la capacità di incentivare competitività e produttività; di promuovere coesione sociale e di risolvere conflitti; di perseguire lo sviluppo e il benessere dell’individuo; l’ampiezza di visione e portata; l’inclusività. «Vogliamo promuovere una riflessione sui principi ispiratori delle migliori iniziative – spiega Vittorio De Luca, managing partner dello studio – che sono state in grado di coniugare la competitività con il benessere dell’impresa e degli individui che ci lavorano».
Il tema centrale affrontato, da diverse prospettive dei relatori, ha riguardato l’importanza della capacità di attrarre investimenti nel nostro Paese, con focus particolare alla regione Lombardia, investimenti e capitali stranieri.
L’Avvocato Vittorio De Luca, Managing Partner di De Luca & Partners, ha offerto il suo contributo affrontando le problematiche, in materia di diritto del lavoro, che gli investitori esteri devono affrontare nel caso in cui decidano di avviare o sviluppare un business in Italia.
In tal senso, l’Avvocato De Luca ha sottolineato come spesso i problemi relativi ad inefficienze e instabilità del sistema giuridico possano risultare un deterrente nel momento in cui la società estera debba scegliere se investire o meno in Italia.
La testimonianza dell’Avvocato De Luca ha, tra le altre cose, individuato nelle riforme degli ultimi anni (cd. Riforma Fornero, Jobs Act) una matrice positiva comune nella direzione di un sistema moderno, prevedibile, chiaro, stabile e, per queste ragioni, maggiormente appetibile per “chi viene da fuori”.
Al di là dei singoli esempi e delle singole riforme, un aspetto – fortemente evidenziato nel corso dell’intervento dell’Avvocato De Luca – è stato quello dell’importanza di un sistema paese coerente che lavori insieme ed in cui “ognuno sia ambasciatore dell’Italia”.
L’importanza di evidenziare tutti gli aspetti positivi che sono propri dell’Italia, evidenziare i progressi e le novità che possono rendere l’Italia un paese attrattivo per gli investimenti esteri deve essere un obiettivo di tutti da perseguire con forza anche al fine di combattere “il grande pregiudizio nei confronti del nostro Paese”.
