Compliance e Data Protection: un percorso di approfondimento

La conformità alla normativa vigente e la protezione dei dati personali nel contesto lavorativo.

Il Regolamento (UE) 2016/679 in materia di protezione dei dati personali, entrato in vigore quattro anni fa, ha lo scopo di garantire un livello di protezione dei diritti e delle libertà delle persone fisiche con riguardo al trattamento dei dati equivalente in tutti gli Stati Membri. In questa ottica, il Regolamento ha introdotto nuovi obblighi e nuovi principi al fine di tutelare la circolazione dei dati personali e garantire maggior certezza giuridica. Ciò comporta la necessità per i titolari del trattamento di adeguarsi alle prescrizioni contenute nel Regolamento stesso al fine di non incorrere nelle pesanti sanzioni pecuniarie ivi previste.

Che cos’è il diritto alla privacy?

Il “diritto alla privacy”, nato negli Stati Uniti nel 1890 come il “diritto ad essere lasciato solo” («the right to be let alone»), viene elaborato in Italia come il diritto alla libera determinazione nello svolgimento della propria personalità.

In Europa, i primi riferimenti alla privacy si ritrovano nella «Convenzione europea dei diritti dell’uomo» (la “Convenzione”) firmata nel 1950 dal Consiglio d’Europa con lo scopo di tutelare i diritti umani e le libertà fondamentali. Secondo la Convenzione non può essere ammessa l’ingerenza di una pubblica autorità nell’esercizio da parte del singolo del proprio diritto alla libertà individuale, al rispetto della vita privata e familiare, del domicilio e della corrispondenza (cfr. articolo 8, comma 1). Le sole eccezioni ammesse ex lege (cfr. articolo 8, comma 2) rappresentano misure necessarie per:

• la sicurezza nazionale,
• l’ordine pubblico,
• il benessere economico dello Stato,
• la prevenzione dei reati,
• la protezione della salute o della morale, o
• la protezione dei diritti e delle libertà altrui.

Questo concetto è stato ripreso ed ampliato nei successivi accordi internazionali e, ad oggi, è un diritto fondamentale – il “diritto alla protezione dei dati personali” – riconosciuto all’individuo dall’articolo 8 della Carta dei diritti fondamentali dell’Unione europea.

Infatti, tale articolo dispone che:

1. “Ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano.
2. Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica.
3. Il rispetto di tali regole è soggetto al controllo di un’autorità indipendente”.

Con l’espressione “diritto alla protezione dei dati personali” si deve intendere, pertanto, il diritto riconosciuto all’individuo di scegliere liberamente a chi rivelare le informazioni che lo riguardano e le modalità di trattamento delle stesse, contribuendo i dati personali di una persona fisica a definirne l‘identità.  Al contrario, il “diritto alla privacy” nasce con l’obiettivo di escludere ed allontanare i terzi dalla sfera personale.

La verifica del rispetto e del controllo di una corretta applicazione di quanto previsto dalla normativa applicabile è affidata alle Autorità indipendenti presenti in ciascuno Stato Membro, le quali assumono il ruolo di Autorità Garanti per la protezione dei dati personali (in Italia il “Garante per la protezione dei dati personali”).

L’attuale quadro normativo

L’attuale quadro normativo in materia di protezione dei dati personali è caratterizzato dal:

• Regolamento (UE) 2016/679 in materia di protezione dei dati personali (il “Regolamento”, o “General Data Protection Regulation”, il “GDPR”) ovvero
• D.Lgs. 30 giugno 2003, n. 196 così come modificato dal D.lgs. 101/2018 recante norme di coordinamento dell’ordinamento nazionale al Regolamento stesso (il “Codice Privacy”, ed unitamente al Regolamento, la “Normativa Privacy”).

Nello specifico, il Regolamento:

• stabilisce le norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali ovvero le norme relative alla libera circolazione dei dati stessi;
• protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei loro dati personali;
• protegge il diritto alla libera circolazione dei dati personali all’interno dell’Unione Europea, diritto che non può essere limitato né vietato per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali;
• si applica ai trattamenti di dati personali interamente o parzialmente automatizzati nonché al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi (cfr. articolo 2, punto 1).

Il Codice Privacy deve essere interpretato alla luce del Regolamento; basti al riguardo considerare l’art. 22, comma 1, secondo il quale “il presente decreto e le disposizioni dell’ordinamento nazionale si interpretano e si applicano alla luce della disciplina dell’Unione europea in materia di protezione dei dati personali e assicurano la libera circolazione dei dati personali tra gli Stati membri ai sensi dell’art. 1, paragrafo 3 del Regolamento (UE) 2016/679”. Nella stessa relazione illustrativa del Decreto allorquando si parla dell’art. 22, comma 1, viene evidenziato che esso “reca (…) una clausola interpretativa a valenza generale, che impone di interpretare e applicare, appunto, il presente decreto e le restanti norme nazionali alla luce della disciplina europea in materia di protezione dei dati personali”.

Non si dimentichi, altresì, che i provvedimenti, le decisioni, i pareri e le ordinanze emanati dal Garante rappresentano un fondamentale supporto per una corretta ed uniforme applicazione/interpretazione della normativa in materia di protezione dei dati personali.

In questo contesto si insinuano anche le pronunce del Comitato Europeo per la Protezione dei Dati (o, secondo l’acronimo inglese, l’EDPB ossia l’European Data Protection Board, cfr. artt. 68 – 76 del Regolamento, che ha sostituito il Gruppo di lavoro “Articolo 29”, operativo sino al 25 maggio 2018) a cui è affidato il compito di garantire che le norme in materia di protezione dei dati personali siano applicate in modo coerente tra gli Stati membri. Infatti, tra i compiti dell’EDPB, che agisce quale organo indipendente dell’Unione, rientrano quelli di:

• fornire orientamenti generali attraverso l’adozione di linee guida, raccomandazioni nonché l’indicazione di migliori prassi;
• fornire consulenza alla Commissione europea su qualsiasi questione correlata alla protezione dei dati personali e a proposte normative nell’Unione europea;
• adottare strumenti per i trasferimenti transfrontalieri relativi alla protezione dei dati; e
• promuovere la cooperazione e lo scambio efficace di informazioni e migliori prassi fra le autorità di controllo nazionali.

I soggetti coinvolti nel trattamento dei dati personali

I soggetti coinvolti nel trattamento dei dati personali sono:

• il titolare e i contitolari del trattamento;
• il responsabile del trattamento;
• le persone fisiche autorizzate a trattare i dati personali;
• il responsabile della protezione dei dati e
• il rappresentante.

Entriamo brevemente nel dettaglio delle singole figure.

Il Regolamento, all’art. 4, par. 1., n. 7, definisce titolare del trattamento “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri”.

Quando due o più titolari determinano congiuntamente finalità e mezzi dei trattamenti si parla di contitolari (cfr. art. 26 del GDPR). La Contitolarità deve essere disciplinata da un accordo interno in cui siano determinate, in modo trasparente, le rispettive responsabilità in merito all’osservanza degli obblighi di cui al Regolamento.

Il titolare si differenzia dal responsabile del trattamento, ovvero “la persona fisica o giuridica l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento” (cfr. art. 4, par. 1, n. 8, del Regolamento). Il responsabile, a sua volta, può nominare secondo determinate condizioni un determinato soggetto sub responsabile (cfr. art. 28, del Regolamento).

Il titolare o il responsabile del trattamento possono assegnare operazioni di trattamento a persone fisiche che agiscono sotto loro autorità, espressamente designate e debitamente istruite (cfr. artt. 29 del GDPR e 2-quaterdecesies del D.Lgs. 101/2018), c.d. soggetti autorizzati al trattamento dei dati.

Il Regolamento ha poi introdotto due nuove figure, si tratta del:

1. rappresentante, ossia “la persona fisica o giuridica stabilita nell’Unione che, designata dal titolare del trattamento o dal responsabile del trattamento per iscritto (…), li rappresenta per quanto riguarda gli obblighi rispettivi a norma del presente regolamento” (cfr. art. 4, par. 1, n. 17) e
2. responsabile della protezione dei dati (altrimenti detto DPO): una figura, che si affianca al titolare o al responsabile del trattamento, il cui compito è valutare e organizzare la gestione del trattamento dei dati personali (cfr. art. 37).

L’interessato è, invece, la persona fisica a cui i dati oggetto di trattamento si riferiscono (cfr. art. 4, par. 1, n. 1, del GDPR).

Con il termine trattamento si intende “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione” (cfr. art. 4, par. 1., n. 2, del GDPR).

I dati personali, invece, sono le informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, e via dicendo. Secondo il Garante particolarmente importanti sono i:

• dati che permettono l’identificazione diretta – come i dati anagrafici (ad esempio: nome e cognome), le immagini – e quelli che permettono l’identificazione indiretta, come un numero di identificazione (ad esempio, il codice fiscale, l’indirizzo IP, il numero di targa);
• dati rientranti in particolari categorie (i dati c.d. “sensibili”), ovvero i dati che rivelano l’origine razziale od etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l’appartenenza sindacale nonché i dati relativi alla salute o alla vita sessuale, i dati genetici, i dati biometrici e quelli relativi all’orientamento sessuale (cfr. art. 9 del Regolamento);
• dati relativi a condanne penali e reati (i dati c.d. “giudiziari”), ossia i dati che possono rivelare l’esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale o la qualità di imputato o di indagato nonché i dati relativi alle condanne penali e ai reati o a connesse misure di sicurezza (cfr. art. 10 del Regolamento).

Con l’evoluzione delle nuove tecnologie, a parere del Garante, altri dati personali hanno assunto un ruolo significativo, come quelli relativi alle comunicazioni elettroniche (via Internet o telefono) e quelli che consentono la geolocalizzazione, fornendo informazioni sui luoghi frequentati e sugli spostamenti.

Principi generali in materia di protezione dei dati personali

Ciascun trattamento di dati personali deve avvenire nel pieno rispetto dei principi fissati dall’art. 5 del Regolamento. I dati personali devono, pertanto, essere:

• trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»);
• raccolti per finalità determinate, esplicite e legittime, e, a seguire, trattati in modo che eventuali trattamenti successivi non siano incompatibili con le finalità della raccolta dei dati («limitazione della finalità»);
• adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);
• esatti e, se necessario, aggiornati. Devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);
• conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati. I dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici («limitazione della conservazione»);
• trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).

Le basi giuridiche del trattamento

Ai sensi dell’art. 6 del Regolamento, il trattamento di dati personali è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni (c.d. “basi giuridiche”):

1. l’interessato ha espresso il proprio consenso al trattamento dei propri dati personali per una o più specifiche finalità;
2. è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
3. è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
4. è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
5. è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
6. è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se è un minore.

Per quanto concerne i dati appartenenti a categorie particolari, il loro trattamento è vietato a meno che (cfr. art. 9 del Regolamento):

1. l’interessato non abbia prestato il proprio consenso;
2. il trattamento non sia effettuato da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali;
3. il trattamento non riguardi dati personali resi manifestamente pubblici dall’interessato;
4. il trattamento non sia necessario per (a) assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale; (b) tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso; (c) accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali; (d) motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri; (e) finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali; (f) motivi di interesse pubblico nel settore della sanità pubblica; (g) il perseguimento di fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici.

Accountability

Il Regolamento poi pone l’accento sul principio di «accountability» (o «responsabilizzazione») del titolare e del responsabile consistente nell’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure tecniche ed organizzative atte ad assicurare l’applicazione del Regolamento (cfr. artt. 23-25).

Il principio di accountability rappresenta una delle principali novità introdotte dal Regolamento in quanto viene affidato al titolare/responsabile il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, nel rispetto delle disposizioni normative e alla luce di specifici criteri indicati nel Regolamento stesso.

Tra questi criteri il principale è il «data protection by default and by design» (cfr. art. 25 del GDPR), ossia la necessità di configurare il trattamento prevedendo fin dall’inizio le garanzie indispensabili “al fine di soddisfare i requisiti” del Regolamento e tutelare i diritti degli interessati – tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati. Quanto detto, come precisa il Garante:

• deve avvenire prima di procedere al trattamento dei dati vero e proprio (“sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso”, secondo quanto afferma l’art. 25, par. 1, del Regolamento) e
• richiede un’analisi preventiva e un impegno applicativo da parte del titolare che devono sostanziarsi in una serie di attività specifiche e dimostrabili.

Valutazione di impatto

“Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. […]”. A stabilirlo è il primo comma dell’art. 35 del Regolamento in tema di «Valutazione di Impatto» (o, secondo la dicitura inglese, Data Protection Impact Assessment – DPIA).

La Valutazione di Impatto reca una descrizione di uno o più trattamenti al fine di valutarne la necessità e la proporzionalità nonché i relativi rischi, così da adottare misure idonee ad affrontarli.

Al riguardo le Linee Guida del WP-29 [oggi EDPB, sul punto anche il precedente punto 1.]:

• indicano i casi in cui la Valutazione d’impatto è obbligatoria (ad es. in caso di monitoraggio sistematico (vedasi la videosorveglianza) o in presenza di utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative (vedasi il riconoscimento facciale, device IoT, ecc.);
• individuano chi debba effettuarla: la responsabilità è del titolare del trattamento ma la sua conduzione materiale può essere affidata ad un altro soggetto, sia esso interno o esterno all’organizzazione;
• descrivono in cosa consiste la Valutazione di Impatto ed evidenziano la necessità che la stessa debba essere soggetta ad un processo continuo di aggiornamento.

Il registro delle attività di trattamento

L’art. 30 del Regolamento prevede, tra gli adempimenti principali del titolare e del responsabile del trattamento, la tenuta di un «Registro delle attività di trattamento» (“Registro dei trattamenti”).

Il Registro dei trattamenti è un documento contenente le principali informazioni (indicate dallo stesso articolo ed anche qualsiasi altra informazione che si dovesse ritenere utile) relative alle operazioni di trattamento svolte dal titolare e, se nominato, dal responsabile del trattamento (cfr. FAQ messe a disposizione dal Garante sul proprio sito istituzionale lo scorso 8 ottobre 2018).

Il Garante considera il Registro dei trattamenti “uno dei principali elementi di accountability del titolare, in quanto strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile per ogni attività di valutazione o analisi del rischio e dunque preliminare rispetto a tali attività”.

Il Registro dei trattamenti, secondo il Garante, deve:

• avere forma scritta, anche elettronica, e deve essere esibito su sua richiesta;
• essere mantenuto costantemente aggiornato poiché il suo contenuto deve sempre corrispondere all’effettività dei trattamenti effettuati: ogni cambiamento o modifica deve essere immediatamente riportata nel Registro, avendo cura di conservare lo storico delle versioni precedenti.

Ai sensi dell’art. 30 del Regolamento, non sono obbligati a redigere il Registro dei trattamenti le imprese con meno di 250 dipendenti “a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10”. Ad ogni modo, il Garante nelle sue FAQ ne raccomanda la redazione, in quanto “strumento che, fornendo piena contezza del tipo di trattamenti svolti, contribuisce a meglio attuare, con modalità semplici e accessibili a tutti, il principio di accountability e, al contempo, ad agevolare in maniera dialogante e collaborativa l’attività di controllo del Garante stesso”.

Le violazioni di dati personali e le misure di sicurezza adeguate a proteggerli

Si definisce violazione di dati personali “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati” (cfr. art. 4, Regolamento).

Una violazione dei dati personali (c.d. “Data Breach”), pertanto, può compromettere la riservatezza, l’integrità o la disponibilità dei dati personali trattati. A titolo di esempio si citano (i) il furto o la perdita di dispositivi informatici contenenti dati personali o (ii) l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware.

Il titolare del trattamento, qualora subisca una simile violazione – senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza – deve notificarla al Garante a meno che sia improbabile che la stessa comporti un rischio per i diritti e le libertà delle persone fisiche. Qualora tale violazione sia, invece, subita dal responsabile del trattamento, è questi – dopo esserne venuto a conoscenza – a dover informare tempestivamente il titolare in modo che si possa attivare entro i termini prescritti dal Regolamento (cfr. art. 33, paragrafi 1 e 2, del Regolamento).

Secondo il Garante, le violazioni da notificare sono quelle che possono avere degli effetti avversi significativi sugli individui, causando danni fisici, materiali o immateriali.

Il Garante chiarisce anche che le notifiche effettuate oltre il termine delle 72 ore devono essere accompagnate dai motivi del ritardo.  Dal 1° luglio 2021 la notifica al Garante delle violazioni deve avvenire secondo una procedura telematica disponibile sul sito istituzionale.

Il titolare del trattamento, indipendentemente dalla notifica o meno al Garante, è tenuto a documentare ogni violazione dei dati personali subita (comprese le circostanze ad esse relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio) in un apposito registro (cfr. art. 33, par. 1, del Regolamento).

Inoltre, il titolare, se la violazione è suscettibile di presentare un rischio elevato per i diritti e le libertà fondamentali degli interessati, è tenuto ad informarli, sempre “senza ingiustificato ritardo”, utilizzando i canali più idonei affinché l’informazione arrivi e sia compresa dagli stessi (art. 34, par. 1, del Regolamento).

L’articolo 32 del Regolamento dispone che il titolare del trattamento, nell’attuare misure tecniche e organizzative atte a garantire un livello di sicurezza adeguato al rischio, deve tenere conto, tra le altre, “della capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento” nonché “della capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico”.

Alla luce della nuova normativa, non sussiste più l’obbligo generalizzato di adottare misure “minime” di sicurezza. L’art. 32 del Regolamento riporta una lista aperta di misure tant’è che viene usata l’espressione “tra le altre, se del caso”.

La valutazione circa le misure da adottare spetta al titolare o responsabile del trattamento “tenuto conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia portabilità e gravità per i diritti e le libertà delle persone fisiche” (cfr. art. 32, paragrafo 1, del Regolamento).

Per attestare l’adeguatezza delle misure adottate può essere utilizzata l’adesione a specifici codici di condotta o a meccanismi di certificazione (cfr. art. 32, paragrafo 4, del Regolamento).

Un codice di condotta rappresenta uno strumento di riferimento ai fini della corretta applicazione del Regolamento in funzione di uno specifico settore di riferimento ed è volto a garantire ai titolari e ai responsabili del trattamento coinvolti l’applicazione efficacie, coerente ed omogenea della normativa nonché un corretto bilanciamento degli interessi tra i soggetti coinvolti.

Ad oggi, il Garante per la protezione dei dati personali ha approvato dei codici di condotta in tema di (i) informazioni commerciali, (ii) sistemi informativi creditizi e (iii) sanità, ricerca scientifica e anonimizzazione. Come previsto dall’art. 40, paragrafo 6 del Regolamento, i codici di condotta approvati sono registrati e pubblicati in un apposito registro, il “Registro dei codici di condotta”, disponibile sul sito istituzionale dell’Autorità che, come precisato dalla stessa, rinvia all’Organismo di monitoraggio, al quale ciascun utente può rivolgersi per la risoluzione di eventuali reclami.

L’informativa da rendere e i diritti da riconoscere agli interessati

Nel rispetto del principio della trasparenza, l’interessato, prima della raccolta dei suoi dati, deve ricevere dal titolare una serie di informazioni relative al trattamento che verrà effettuato.

Se, invece, i dati vengono raccolti presso un terzo, l’informativa deve essere rilasciata all’interessato entro un termine ragionevole, non superiore ad 1 mese dalla raccolta, oppure al momento della comunicazione dei dati (cfr. art. 14, par. 3, del Regolamento).

Tali informazioni devono essere rese in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro; possono essere fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici e se richiesto dall’interessato, oralmente, purché sia comprovata l’identità dello stesso.

Nello specifico, ai sensi degli artt. 13 e 14 del Regolamento, il titolare del trattamento deve fornire all’interessato le seguenti informazioni:

• l’identità e i dati di contatto propri e, ove applicabile, del proprio rappresentante;
• se designato, i dati di contatto del Responsabile della protezione dei dati (“RPD” o, secondo l’acronimo inglese il “Data Protection Officer – DPO”);
• le finalità del trattamento cui sono destinati i dati personali nonché la relativa base giuridica;
• qualora il trattamento sia necessario per il perseguimento del legittimo interesse, l’indicazione dei legittimi interessi perseguiti da esso stesso o da terzi;
• gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
• ove applicabile, la sua intenzione di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali garanzie o il luogo dove sono state rese disponibili;
• il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
• l’esistenza del diritto dell’interessato di chiedergli l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
• qualora il trattamento sia basato sul consenso prestato dall’interessato anche in caso di categorie particolari di dati personali, l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
• il diritto di proporre reclamo a un’autorità di controllo;
• se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;
• l’esistenza di un processo decisionale automatizzato, compresa la profilazione e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

Quale ulteriore forma di tutela, il Regolamento riconosce all’interessato una serie di diritti che può esercitare nei confronti del titolare del trattamento. Nello specifico si tratta del diritto di:

• revocare il proprio consenso in qualsiasi momento, ove prestato. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca («Diritto di revoca del consenso»).
• ottenere dal titolare la conferma che sia o meno in corso un trattamento di dati che lo riguarda ed in tal caso di ottenere l’accesso ad essi («Diritto di accesso»).
• ottenere dal titolare la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo. Tenuto conto delle finalità del trattamento, l’interessato ha il diritto di ottenere l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa («Diritto di rettifica»).
• ottenere dal titolare la cancellazione dei suoi dati personali senza ingiustificato ritardo se sussiste uno dei motivi previsti dalla norma («Diritto di cancellazione»).
• ottenere dal titolare la limitazione del trattamento quando ricorre una delle ipotesi previste dalla norma («Diritto di limitazione»).
• opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei suoi dati personali necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri o per il perseguimento del legittimo interesse, compresa la profilazione sulla base di tali disposizioni («Diritto di opposizione»).
• (i) ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico, i dati personali forniti al titolare e (ii) trasmetterli a un altro titolare del trattamento, senza impedimenti da parte del titolare cui li ha forniti secondo le condizioni previste dalla norma («Diritto alla portabilità»).

Inoltre, l’interessato, qualora ritenga che il trattamento che lo riguarda violi il Regolamento stesso, può proporre reclamo a un’autorità di controllo, segnatamente nello Stato membro in cui risiede abitualmente, lavora oppure del luogo ove si è verificata la presunta violazione, per l’Italia come sopra individuato («Diritto di reclamo»).

La protezione dei dati personali nel contesto lavorativo

L’articolo 88 del Regolamento “concede” ad ogni Stato membro la possibilità di stabilire regole più specifiche per legge o tramite i Contratti Collettivi Nazionali di Lavoro (i “CCNL”) al fine di garantire la protezione dei diritti e delle libertà relative al trattamento dei dati personali dei lavoratori. Ciò per “finalità di assunzione, esecuzione del contratto di lavoro, compreso l’adempimento degli obblighi stabiliti dalla legge o da contratti collettivi, di gestione, pianificazione e organizzazione del lavoro, parità e diversità sul posto di lavoro, salute e sicurezza sul lavoro, protezione della proprietà del datore di lavoro o del cliente e ai fini dell’esercizio e del godimento, individuale o collettivo, dei diritti e dei vantaggi connessi al lavoro, nonché per finalità di cessazione del rapporto di lavoro”.

Tali disposizioni devono includere, continua l’art. 88, “misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati, in particolare per quanto riguarda la trasparenza del trattamento, il trasferimento di dati personali nell’ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un’attività economica comune e i sistemi di monitoraggio sul posto di lavoro”. 

Già prima dell’entrata in vigore del Regolamento, il Garante aveva emanato delle Linee guida in cui venivano definite, per la prima volta in un quadro unitario, le misure e gli accorgimenti per disciplinare la raccolta e l’uso dei dati personali nell’ambito del rapporto di lavoro (cfr. le “Linee guida sul trattamento di dati personali dei lavoratori privati – 23 novembre 2006” [1364939]). In esse venivano evidenziati taluni principi generali che possono considerarsi tuttora validi; si pensi all’obbligo del datore di lavoro di trattare i dati personali dei propri dipendenti esclusivamente per gli scopi e le finalità per i quali sono raccolti nonché al dovere di autorizzare espressamente e fornire adeguate istruzioni a chiunque, agendo sotto la sua autorità, acceda e tratti dati personali, di cui si parlerà nel prosieguo.

Sempre nell’ambito della gestione del rapporto di lavoro, il datore di lavoro ha la necessità di trattare non solo dati personali identificativi e sociodemografici ma anche eventuali dati appartenenti a categorie particolari [sul punto anche il precedente punto 2.]. In quest’ultimo caso, il datore di lavoro deve procedere al relativo trattamento nel pieno rispetto del “Provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del d.lgs. 10 agosto 2018, n. 101”, pubblicato sulla G.U. Serie Generale n. 176 del 29 luglio 2019. Con tale Provvedimento, il Garante ha chiarito gli obblighi che tutti i soggetti siano essi pubblici o privati, compresi pertanto i datori di lavoro, debbono rispettare per poter trattare particolari categorie di dati personali, come quelli legati alla salute, alle opinioni politiche, all’etnia, all’orientamento sessuale.

Per quanto di nostro precipuo interesse, le disposizioni in esso contenute ineriscono (i) all’ambito di applicazione; (ii) agli interessati; (iii) alle finalità per le quali è necessario il trattamento di tale categoria di dati; (iv) alle prescrizioni specifiche per i trattamenti effettuati nella fase preliminare alle assunzioni e (v) ai trattamenti effettuati nel corso del rapporto di lavoro nonché (vi) alle specifiche prescrizioni relative alle modalità di trattamento.

Quando raccogliere il consenso del lavoratore

Come illustrato in precedenza, la raccolta del consenso rappresenta una delle possibili basi giuridiche sulle quali fondare la legittimità del trattamento di dati personali e, il Regolamento, ne fornisce la seguente definizione: “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento” (cfr. art. 4, punto 11, del Regolamento).

Alla luce di ciò, affinché sia valido, il consenso prestato deve essere, tra le altre, “libero” e “revocabile” in qualsiasi momento. Tale concetto è espresso anche dal Considerando n. 43 del Regolamento ai sensi del quale: “Per assicurare la libertà di espressione del consenso, è opportuno che … non costituisca un valido presupposto per il trattamento dei dati personali in un caso specifico, qualora esista un evidente squilibrio tra l’interessato e il titolare del trattamento […]”.

Nell’ambito del rapporto di lavoro, il consenso del lavoratore non può costituire una valida condizione di liceità in ragione dello squilibrio di potere tra le parti. Ciò è stato più volte confermato non solo dal Gruppo di lavoro dei garanti europei (ex “WP29”, oggi “EDPB – European Data Protection Board”) con diverse Opinion/Linee Guida ma anche dal Garante. Il Garante, da ultimo, in termini temporali, si è espresso in tal senso nel rispondere ad alcune FAQ in tema di liceità della richiesta di conferma avanzata dal datore di lavoro al lavoratore circa l’avvenuta vaccinazione anti Covid-19.

Resta inteso che al lavoratore può eventualmente essere richiesto il consenso per le finalità per le quali possa manifestare la propria volontà in maniera “libera, specifica, informata e inequivocabile”. A titolo esemplificativo, il consenso è una base giuridica a cui ricorrere nell’ipotesi di raccolta e utilizzo di immagini, foto o video che lo ritraggono in occasioni di eventi/corsi/seminari/convegni organizzati dal datore di lavoro o a cui lo stesso partecipa. L’eventuale rifiuto di prestare il proprio consenso, infatti, non pregiudica in alcun modo il rapporto di lavoro o la sua gestione da parte del datore.

Il lavoro agile e la protezione dei dati personali

Lo svolgimento dell’attività lavorativa in modalità agile [sul punto cfr. anche – Smart Working: guida completa] ha delle implicazioni anche sotto un profilo di tutela e protezione dei dati personali dei lavoratori e dei dati da questi trattati (ad es. i dati dei clienti e/o dei fornitori).

Come già illustrato, il «principio di accountability»impone, tra le altre, al titolare del trattamento (alias il datore di lavoro) di procedere con l’individuazione e la gestione dei rischi relativi ai trattamenti svolti, nel pieno rispetto dei principi della protezione dei dati fin dalla progettazione di ciascun trattamento (“by design”) e della protezione dei dati di default (“by default”).

Pertanto, è fondamentale che il datore di lavoro – permettendo al lavoratore di rendere la propria attività in modalità agile e, quindi, non solo al di fuori dei locali aziendali ma anche, potenzialmente, al di fuori dell’ambiente domestico – effettui un preliminare risk assesment e una valutazione di impatto. Ciò al fine di (i) analizzare tutti i rischi esistenti e potenziali, (ii) individuare le adeguate misure di sicurezza, tanto tecniche quanto organizzative, e (iii) garantire la protezione dei dati trattati (sul punto cfr. art 35 del Regolamento). Non solo. Il datore di lavoro deve fornire al lavoratore agile precise e complete istruzioni relativamente al corretto utilizzo degli strumenti utilizzati per l’espletamento della prestazione lavorativa. Tali istruzioni possono essere correttamente fornite tramite Regolamenti aziendali, Policies o Linee Guida [sul punto anche il successivo paragrafo 10.3.].

Per completezza di esposizione, si precisa che lo scorso 7 dicembre 2021, il Ministero del Lavoro e delle Politiche Sociali e le Parti Sociali hanno sottoscritto il “Protocollo nazionale sul lavoro in modalità agile” (il “Protocollo”).

Il Protocollo si pone l’obiettivo di fissare il quadro di riferimento per la definizione dello svolgimento del lavoro in modalità agile, individuando le linee di indirizzo per la contrattazione collettiva nazionale, aziendale e territoriale, nel rispetto della disciplina prevista dalla L. 22 maggio 2017, n. 81 e degli accordi collettivi ed individuali in essere. 

Il Protocollo pone, altresì, l’accento proprio sulla protezione dei dati personali e sulla tutela della riservatezza tanto dei lavoratori quanto dei dati che i medesimi trattano a fini professionali e di cui il datore di lavoro è titolare o responsabile del trattamento. [sul punto cfr. anche – Smart Working: guida completa]

Il potere di controllo e il potere disciplinare del datore di lavoro

Il datore di lavoro ha il potere di controllare che il lavoratore esegua la propria prestazione con diligenza (art. 2104, co. 1, c.c.), osservi le disposizioni impartitegli (art. 2104, co. 2, c.c.) e rispetti gli obblighi di fedeltà (art. 2105 c.c.) sullo stesso gravante, anche al fine di poter esercitare il suo potere disciplinare (art. 2016 c.c.).

Il potere di controllo del datore di lavoro non è assoluto ma deve essere esercitato in modo tale da non ledere i diritti fondamentali del lavoratore, quali la dignità e la riservatezza. Al riguardo proprio lo Statuto dei Lavoratori ha delineato i limiti entro cui questo potere può essere espletato, individuando sia i soggetti abilitati ad effettuarlo che le forme in cui può essere esercitato (controllo a distanza e controllo diretto).

In questa sede ci soffermiamo sul controllo a distanza regolamentato dall’art. 4 dello Statuto dei Lavoratori, ai sensi del quale gli impianti audiovisivi e gli altri strumenti “dai quali derivi anche la possibilità di controllo a distanza” dell’attività lavorativa possono essere impiegati (comma 1):

• in presenza di specifiche esigenze (organizzative e produttive; sicurezza sul lavoro e tutela del patrimonio aziendale) e
• previo accordo sindacale o, in alternativa, previa autorizzazione amministrativa.

Quanto sopra non si applica agli strumenti utilizzati dal dipendente per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze (cfr. comma 2).

In ogni caso le informazioni raccolte attraverso i summenzionati impianti/strumenti possono essere utilizzate per tutte le finalità connesse al rapporto di lavoro, comprese quindi quelle disciplinari, a condizione che sia stata data adeguata informazione al dipendente sulle modalità di utilizzo degli stessi e di esecuzione dei controlli nonché sul rispetto della normativa in materia di protezione dei dati personali (cfr. comma 3).

Proprio a questo riguardo, il Garante, nelle “Linee Guida su Internet e posta elettronica nei luoghi di lavoro pubblici e privati” [doc. web. 1387522] emanate il 1° marzo 2007 e tuttora pienamente valide, ha affermato che “il luogo di lavoro è una formazione sociale nella quale va assicurata la tutela dei diritti, delle libertà fondamentali e della dignità degli interessati garantendo che, in una cornice di reciproci diritti e doveri, sia assicurata l’esplicazione della personalità del lavoratore e una ragionevole protezione della sua sfera di riservatezza nelle relazioni personali e professionali”.

Il Garante ha, altresì, ribadito che i trattamenti devono svolgersi nel rispetto dei seguenti principi:

1. principio di necessità: i sistemi informativi e i programmi informatici devono essere configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi in relazione alle finalità perseguite;
2. principio di correttezza: le caratteristiche essenziali dei trattamenti devono essere rese note ai lavoratori. Le tecnologie dell’informazione permettono di svolgere trattamenti ulteriori rispetto a quelli connessi ordinariamente all’attività lavorativa. Ciò, all’insaputa o senza la piena consapevolezza dei lavoratori, considerate anche le potenziali applicazioni di regola non adeguatamente conosciute dagli interessati;
3. principio di pertinenza e non eccedenza: i trattamenti devono essere effettuati per finalità determinate, esplicite e legittime.

Secondo il Garante, il datore di lavoro deve indicare, chiaramente e in modo particolareggiato, quali siano le modalità di utilizzo degli strumenti messi a disposizione ritenute corrette e se, in che misura e con quali modalità vengano effettuati i controlli. Ciò, tenendo conto della pertinente disciplina applicabile in tema di informazione, concertazione e consultazione delle organizzazioni sindacali.

Nelle sue Linee Guida, il Garante ha, quindi, raccomandato ai datori di lavoro di adottare un disciplinare interno, da pubblicizzare con modalità analoghe a quelle previste dall’art. 7 dello Statuto dei Lavoratori (ad es. mediante affissione in luogo accessibile a tutti), in cui andrebbe specificato ad esempio:

• se determinati comportamenti non sono tollerati rispetto alla “navigazione” in Internet oppure alla tenuta di file nella rete interna;
• quali informazioni sono memorizzate temporaneamente (ad es., le componenti di file di log eventualmente registrati) e chi (anche all’esterno) vi può accedere legittimamente;
• se e quali informazioni sono eventualmente conservate per un periodo più lungo, in forma centralizzata o meno (anche per effetto di copie di back up, della gestione tecnica della rete o di file di log);
• se, e in quale misura, il datore di lavoro si riserva di effettuare controlli in conformità alla legge, anche saltuari o occasionali, indicando le ragioni legittime –specifiche e non generiche– per cui verrebbero effettuati e le relative modalità;
• quali conseguenze, anche di tipo disciplinare, il datore di lavoro si riserva di trarre qualora constati che la posta elettronica e la rete Internet sono utilizzate indebitamente;
• le soluzioni prefigurate per garantire, con la cooperazione del lavoratore, la continuità dell’attività lavorativa in caso di assenza del lavoratore stesso (specie se programmata), con particolare riferimento all’attivazione di sistemi di risposta automatica ai messaggi di posta elettronica ricevuti.

Formazione ed Istruzione

I concetti di “formazione” ed “istruzione” in materia di protezione dei dati personali sono previsti e richiamati dal Regolamento che prevede espressamente quanto segue:

1. “Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento […]” (articolo 29 del Regolamento).

E tale previsione è riconfermata anche nel successivo articolo 32 rubricato “Sicurezza del trattamento” ove si prevede che:

2. “Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento […]” (articolo 32 del Regolamento).

Infine, nell’elencare i compiti del Responsabile della protezione dei dati (il “DPO”), il Regolamento stabilisce che lo stesso è incaricato de:

3. “[…] la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo […]” (articolo 39 del Regolamento).

Alla luce di ciò, pertanto, è necessario che il datore di lavoro:

• preveda dei percorsi formativi finalizzati a incrementare specifiche competenze tecniche, organizzative, digitali, anche per un efficace e sicuro utilizzo degli strumenti di lavoro forniti in dotazione;​
• favorisca ed incentivi la formazione continua dei propri dipendenti in materia di protezione dei dati personali.

Ciò, al fine di tutelare sia i dati personali dei propri dipendenti sia i dati di cui, in relazione al proprio business, lo stesso è titolare o responsabile del trattamento (vedasi i dati inerenti ai propri clienti e/o fornitori).

DLP Insights

---

SCARICA ORA

Inserisci il tuo indirizzo e-mail e ottieni questo contenuto in formato pdf.

*Acconsento al trattamento dei dati personali conferiti nei limiti indicati nella Privacy Policy

*Non acconsento al trattamento dei dati personali

Invia

Abbiamo inviato il PDF alla tua casella email

---