Focus

Privacy: guida agli adempimenti del datore di lavoro

Sommario

Introduzione | I principi alla base del trattamento dati da parte del datore di lavoro | Consenso e informativa | Il registro delle attività di trattamento | Designazione del responsabile del trattamento | Notifiche all'autorità garante |

Introduzione

Con il Provvedimento 5 giugno 2019 n. 146 (GU 29 luglio 2019 n. 176), il Garante della protezione dei dati personali ha fornito le indicazioni per il trattamento di categorie particolari di dati, nell’ambito del progressivo adeguamento della normativa nazionale alle disposizioni del Regolamento UE 679/2016 (c.d. GDPR), il provvedimento, che dà attuazione all’art. 21, c. 1, D.Lgs. 101/2018, contiene, tra l'altro, le prescrizioni relative al trattamento di categorie particolari di dati nei rapporti di lavoro.

 

L'emanazione del provvedimento offre lo spunto per fornire una guida su alcuni particolari aspetti di ordine pratico che riguardano i datori di lavoro.

I principi alla base del trattamento dati da parte del datore di lavoro

I trattamenti che il datore di lavoro effettua riguardano principalmente le categorie di dati personali indicati nella seguente tabella:

Tipologia di dati

Descrizione

Dati comuni

dati anagrafici di lavoratori (assunti o cessati dal servizio), fotografie, informazioni più strettamente connesse allo svolgimento dell’attività lavorativa, quali la tipologia del contratto (a tempo determinato o indeterminato, a tempo pieno o parziale, ecc.) la qualifica e il livello professionale, la retribuzione individuale corrisposta anche in virtù di provvedimenti ad personam; l’ammontare di premi;
il tempo di lavoro anche straordinario; ferie e permessi individuali (fruiti o residui); l’assenza dal servizio nei casi previsti dalla legge o dai contratti anche collettivi di lavoro; trasferimenti ad altra sede di lavoro; procedimenti e provvedimenti disciplinari.

Categorie particolari di dati (art. 9 GDPR)

dati biometrici, dati idonei a rivelare il credo religioso o l’adesione a sindacati, dati relativi alla salute (di regola contenuti in certificati medici o in altra documentazione prodotta per giustificare le assenze dal lavoro o per fruire di particolari permessi e benefici previsti anche nei contratti collettivi).

Dati giudiziari (art. 10 GDPR)

dati personali relativi a condanne penali e ai reati (ad esempio, casellario giudiziario).

 

I dati vengono comunemente acquisiti e trattati nelle varie fasi del rapporto di lavoro, anche preassuntive, per finalità di esecuzione del contratto e successivamente
raccolti e conservati con modalità cartacee o elettroniche, in fascicoli personali, archivi aziendali e talvolta resi disponibili in albi e bacheche, ovvero nelle intranet aziendali.

Tra gli adempimenti in capo al datore di lavoro vi è l'obbligo di rilasciare ai lavoratori interessati l'informazione sulle finalità e modalità del trattamento e sui diritti di accesso degli interessati.

Il D.Lgs. 101/2018 ha modificato ed integrato il cosiddetto codice della privacy (D.Lgs. 196/2003) che tuttavia, come confermato anche dallo stesso Garante, resta in vigore.

L'intervento legislativo non muta le principali disposizioni contenute nel GDPR che pertanto risultano confermate, ossia:

  • l'obbligo di informazione;
  • la valutazione di impatto;
  • la presenza o meno del responsabile della protezione dei dati (DPO);
  • le figure del responsabile del trattamento e dei contitolari;
  • il registro dei trattamenti;
  • la notifica al Garante delle violazioni informatiche.

I principi di base trovano diretta applicazione anche ai trattamenti effettuati nell'ambito del rapporto di lavoro. Gli aspetti particolari riguardano soprattutto i casi di legittimazione del trattamento.

Il trattamento di dati personali nei rapporti di lavoro deve essere, come ogni altro trattamento, lecito e quindi basarsi su una delle basi giuridiche del trattamento (art. 6, c. 1 GDPR).

In ambito lavorativo le basi giuridiche del trattamento sono:

  • la necessità di esecuzione del contratto di lavoro;
  • la necessità di adempire agli adempimenti in ambito previdenziale, assistenziale, amministrativo e tributario;
  • la necessità di salvaguardare il dipendente nei luoghi di lavoro che presentano rischi particolari per la salute e per la sicurezza;
  • il perseguimento del legittimo interesse del titolare.

In particolare, i datori di lavoro devono (art. 5 GDPR):

  • assicurare che i dati siano trattati per finalità specifiche e legittime, tenendo in considerazione il principio di limitazione delle finalità;
  • assicurare che i dati raccolti siano adeguati, pertinenti e limitatiper la finalità legittima prevista;
  • essere trasparenticon i dipendenti in merito all’uso e alle finalità delle tecnologie di monitoraggio o di controllo a distanza;
  • consentire l’esercizio dei dirittidei dipendenti/interessati;
  • mantenere i dati esattie non conservarli più a lungo del necessario;
  • adottare tutte le misure necessarieper proteggere i dati dagli accessi non autorizzati, oltre a garantire che il personale sia sufficientemente consapevole degli obblighi in materia di protezione dei dati.

Consenso e informativa

In generale, il consenso al trattamento dei dati personali è una delle basi giuridiche del trattamento nell’ambito del GDPR. Il consenso è definito come "qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato" con la quale lo stesso esprime il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, al trattamento dei dati personali che lo riguardano e affinché esso sia valido, deve essere revocabile.

Ciò premesso, la base giuridica non può essere il consenso del dipendente quando questo non si ritiene liberamente prestato. Talvolta, infatti, a causa della disparità delle parti in causa, la mancata espressione del consenso può tradursi in un pregiudizio per il lavoratore, come la perdita del lavoro o l’assoggettamento a pressioni o penalizzazioni da parte del datore di lavoro. Per tali motivi, il trattamento dei dati personali dei dipendenti deve trovare una base giuridica diversa dal consenso, in una delle seguenti ipotesi:

  • esecuzione di obblighi derivanti da un contratto di lavoro (ad esempio quando il trattamento avviene per elaborare le buste paga);
  • adempimento di obbligazioni previste dalla legge (ad esempio se il trattamento avviene per il calcolo e per il pagamento di imposte e contributi);
  • interesse legittimo del datore di lavoro (ad esempio l’ottimizzazione della produttività aziendale).

L'informativa è il documento che fornisce agli interessati tutti gli elementi conoscitivi necessari per poter esercitare i propri diritti sulle informazioni possedute dal titolare e rappresenta la sintesi dei principi su cui si basa il GDPR: liceità, correttezza e trasparenza nella gestione dei dati dell’interessato. L'art. 13 GDPR impone al titolare dei dati personali di informare l’interessato su fini e modalità del trattamento e stabilisce gli elementi che devono essere comunicati.

L'informativa deve avere forma concisa, trasparente, intelligibile per l’interessato e facilmente accessibile. L'obbligo, dunque, di utilizzare un linguaggio chiaro e semplice, è un requisito fondamentale. L’informativa deve essere fornita in linea di principio in forma scritta e preferibilmente in formato elettronico, anche se sono ammessi altri mezzi.

Sono elementi obbligatori dell'informativa:

  • le finalità e le modalità del trattamento;
  • la tipologia dei dati trattati;
  • il periodo di conservazione;
  • la natura obbligatoria o facoltativa del conferimento dei dati personali;
  • le conseguenze di un eventuale rifiuto di rispondere;
  • i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l’ambito di diffusione;
  • i diritti previsti dal GDPR (conoscenza sul possesso dei dati, origine e finalità, aggiornamento o cancellazione);
  • gli estremi identificativi del titolare.

 

I contenuti dell'informativa sono elencati in modo tassativo negli articoli 13 e 14 GDPR. Il titolare deve sempre specificare i dati di contatto del DPO (Data Protection Officer), ove esistente, la base giuridica del trattamento, qual è il suo interesse legittimo se quest’ultimo costituisce la base giuridica del trattamento. Nell’informativa privacy dovrà essere, inoltre, indicato l’eventuale trasferimento dei dati personali in Paesi terzi e attraverso quali strumenti l’informativa sul trattamento dei dati personali deve essere fornita nel caso di dati personali non raccolti direttamente presso l’interessato, entro un massimo di un mese dalla raccolta, oppure al momento della comunicazione dei dati a terzi o all’interessato.

Qualora sopravvenga la necessità di effettuare un trattamento di dati aggiuntivo, che esuli dalla normale attività di gestione del rapporto di lavoro, può essere necessario richiedere un consenso specifico al lavoratore. È il caso, ad esempio, di un titolare che desideri realizzare un video o delle fotografie sulla propria azienda con la possibilità di riprendere o fotografare anche i lavoratori. In questi ultimi casi sarà necessario il consenso a questo trattamento, che potrà anche essere rifiutato, senza alcuna conseguenza per i lavoratori. Altri casi che richiedono un'azione aggiuntiva del titolare, si riscontrano, ad esempio nell'utilizzo di badge, app per smartphone o sistemi similari per la rilevazione delle presenze, l'uso di impianti di videosorveglianza, sistemi di rilevazione GPS sui veicoli aziendali o di controllo degli accessi tramite dati biometrici (ferma restando la disciplina dettata dalla L. 300/70, c.d. Statuto dei lavoratori).

Fac-simile di informativa

 

INFORMATIVA PRIVACYai sensi e per gli effetti di cui agli artt. 13 e 14 del Regolamento UE n. 2016/679

 

Gentile Signore/a,

Desideriamo informarLa che il Regolamento Europeo n. 679 del 27 aprile 2016 sul trattamento dei dati
personali prevede la tutela delle persone fisiche con riguardo al trattamento dei dati personali.
Ai sensi dell'articolo 13 del Reg. UE 2016/679, Le forniamo, pertanto, le seguenti informazioni:

1. Estremi identificativi del Titolare (e di eventuali altri soggetti)

Il Titolare del trattamento è l’Impresa ................................ con sede in ....................., Via ............................

2. Finalità del trattamento

Il trattamento dei dati personali, anche particolari, forniti in sede di assunzione, è
finalizzato unicamente alla costituzione e alla gestione del rapporto di lavoro, alla gestione dei dati fiscali,
previdenziali ed assicurativi, nonché agli adempimenti in materia di sicurezza del lavoro ed a quanto
stabilito da leggi, contratti e regolamenti aziendali. La base giuridica che giustifica il trattamento dei dati è rappresentata dal legittimo interesse del titolare per la corretta gestione del rapporto di lavoro, e degli adempimenti ad obblighi di legge

3. Modalità del trattamento

In relazione alle finalità sovraesposte i dati sono oggetto di trattamento informatico e cartaceo.
I dati verranno inseriti nelle scritture e nei registri obbligatori per legge e verranno trasmessi agli Istituti
previdenziali ed agli uffici finanziari in ottemperanza a quanto previsto dalla legge per i datori di lavoro.
Tutte le operazioni di trattamento dei dati sono attuate in modo da garantire l’integrità, la riservatezza e
la disponibilità dei dati personali.

4. Periodo di conservazione dei dati

I dati forniti verranno conservati per tutta la durata del rapporto di lavoro e per un periodo complessivo di .......anni.

5. Ambito di comunicazione e diffusione dei dati

I dati potranno essere comunicati a:

- tutti i soggetti cui la facoltà di accesso a tali dati è riconosciuta in forza di provvedimenti normativi;

- i nostri collaboratori, dipendenti, nell'ambito delle relative mansioni incaricati di trattare i dati;

- tutte quelle persone fisiche e/o giuridiche, pubbliche e/o private quando la comunicazione risulti necessaria o funzionale alla costituzione e gestione del rapporto di lavoro, nei modi e per le finalità sopra illustrate, in particolare a:

- Consulenti del Lavoro o altri professionisti incaricati della cura degli adempimenti relativi agli obblighi in materia di amministrazione del personale;

- istituzioni pubbliche;

- committente e/o appaltatore nell’ambito di contratti di appalto/subappalto (anche per assolvere agli oneri

derivanti dalla responsabilità solidale ex art. 29 del D.Lgs. n. 276/2003).

 

6. Diritti di cui agli artt. 15, 16, 17 18, 20, 21 e 22 del Reg. UE 2016/679

La informiamo che in qualità di interessato, oltre al diritto di proporre reclamo ad un’Autorità di controllo,

ha anche i diritti di seguito elencati, che potrà far valere rivolgendo apposita richiesta scritta al Titolare del

trattamento come indicato al punto 1.

Art. 15-Diritto di accesso

L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un
trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e alle
informazioni riguardanti il trattamento.

Art. 16 - Diritto di rettifica

L'interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che
lo riguardano senza ingiustificato ritardo. Tenuto conto delle finalità del trattamento, l'interessato ha il
diritto di ottenere l'integrazione dei dati personali incompleti, anche fornendo una dichiarazione
integrativa.

Art. 17 - Diritto alla cancellazione (diritto all’oblio)

L'interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo
riguardano senza ingiustificato ritardo e il titolare del trattamento ha l'obbligo di cancellare senza
ingiustificato ritardo i dati personali.

Art. 18 - Diritto di limitazione del trattamento

L'interessato ha il diritto di ottenere dal titolare del trattamento la limitazione del trattamento quando
ricorre una delle seguenti ipotesi:

a) l'interessato contesta l'esattezza dei dati personali, per il periodo necessario al titolare del
trattamento per verificare l'esattezza di tali dati personali;

b) il trattamento è illecito e l'interessato si oppone alla cancellazione dei dati personali e chiede
invece che ne sia limitato l'utilizzo;

c) benché il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali
sono necessari all'interessato per l'accertamento, l'esercizio o la difesa di un diritto in sede
giudiziaria;

d) l'interessato si è opposto al trattamento ai sensi dell'articolo 21, paragrafo 1, in attesa della verifica
in merito all'eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli
dell'interessato.

Art. 20 - Diritto alla portabilità dei dati

L'interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo
automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di
trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del
trattamento cui li ha forniti.

Nell'esercitare i propri diritti relativamente alla portabilità dei dati a norma del paragrafo 1, l'interessato

ha il diritto di ottenere la trasmissione diretta dei dati personali da un titolare del trattamento all'altro, se

tecnicamente fattibile.

 

Art. 21 - Diritto di opposizione

L'interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione
particolare, al trattamento dei dati personali che lo riguardano ai sensi dell'articolo 6, paragrafo 1, lettere

e) o f), compresa la profilazione sulla base di tali disposizioni.

 

Art. 22 - Diritto di non essere sottoposto a processo decisionale automatizzato, compresa la profilazione

L'interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento

automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in

modo analogo significativamente sulla sua persona.

 

......, .............................
                                                                                               __________________________
                                                                                                      Il Titolare del trattamento

Dichiaro di aver ricevuto l'informativa che precede
L’interessato

____________________________

 

 

Nota bene

Si raccomanda attenzione e consapevolezza nella redazione dell'informativa. Essa deve essere redatta "su misura" in conformità alle peculiarità dell'azienda, pertanto non è consigliabile l'uso di informative standard o generate in automatico da modelli statici predisposti dai software (ed esempio il gestionale/paghe), poiché esse potrebbero avere contenuti generici, non specifici e pertanto non adeguati allo scopo.

Il registro delle attività di trattamento

L'art. 30 GDPR prevede tra gli adempimenti principali del titolare e del responsabiledel trattamento, la tenuta del registro delle attività di trattamento, un documento nuovo rispetto alla precedente disciplina, contenente le principali informazioni relative alle operazioni di trattamento svolte dal titolare e, se nominato, dal responsabile del trattamento.

Il registro fornisce un quadro aggiornato dei trattamenti in essere, quindi indispensabile alle attività di valutazione o analisi dei rischi. Esso deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante. Il contenuto di base è disciplinato dal GDPR: al titolare o al responsabile è consentito inserire informazioni aggiuntive qualora si rendano opportune nell’ottica della valutazione di impatto (DPIA) dei trattamenti svolti.

Nonostante sia prevista l’esenzione dalla tenuta del registro dei trattamenti nelle imprese con meno di 250 dipendenti che non effettuino trattamenti a rischio, l'Autorità Garante ha invitato, più volte, tutti i titolari di trattamento ed i responsabili, a prescindere dalle dimensioni dell'organizzazione, a dotarsi di tale registro, ritenendolo "essenziale" al rispetto del principio di accountability e di quanto previsto nel considerando n. 82 del GDPR.

Registro dei trattamenti - tabella di riepilogo

Soggetti obbligati

I titolari del trattamento ed i responsabili del trattamento, nonché i loro eventuali rappresentanti.

Soggetti esclusi

Le imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento effettuato:
- presenti un rischio per i diritti e le libertà
dell'interessato;

- non sia occasionale;

- includa il trattamento di dati particolari o dati
personali relativi a condanne penali ed a reati.

Modalità di tenuta

In forma scritta, anche in formato elettronico. Deve essere tenuto a disposizione dell’autorità di controllo che può richiederlo.

Contenuto del registro (Titolare del trattamento)

- nome e dati di contatto del titolare del trattamento e dell'eventuale contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;

- le finalità del trattamento;

- la descrizione delle categorie di interessati e delle categorie di dati personali;

- le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;

- i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e la documentazione delle garanzie;

- i termini ultimi previsti per la cancellazione delle diverse categorie di dati;

- la descrizione generale delle misure di sicurezza tecniche ed organizzative.

Contenuto del registro (Responsabile del trattamento)

- nome e dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e dell’eventuale responsabile della protezione dei dati;
- categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;

- i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e la documentazione delle garanzie;

- la descrizione generale delle misure di sicurezza tecniche e organizzative.

 

 

Schemi di registro semplificato dei trattamenti fornito dall'Autorità Garante per titolari e per i responsabili di PMI.

 

 

 

Designazione del responsabile del trattamento

L'art. 4, c. 1, n. 8 GDPR, individua il Responsabile del trattamento come "la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento".

Si tratta, quindi, di un soggetto designato dal titolare del trattamento e che svolge, per conto di quest'ultimo, un'attività strumentale alle finalità del trattamento stesso. L'art. 28, c. 3, GDPR prevede che i trattamenti eseguiti dal Responsabile, siano disciplinati in un contratto o in diverso atto di designazione nel quale siano indicate chiaramente le finalità del trattamento, le categorie interessate, l'ambito, la durata ed i diritti e  gli obblighi del titolare del trattamento.

La designazione, nonostante la norma sembri prediligere la forma contrattuale, può avvenire anche mediante atti di varia natura, ad esempio in una clausola contrattuale ovvero in una apposita lettera o integrando un atto o convenzione già stipulata, a condizione che sia in ogni caso rispettata la forma scritta, anche in formato elettronico.

 

Fac-simile di nomina del Responsabile del trattamento

 

ATTO DI NOMINA DEL RESPONSABILE DEL TRATTAMENTO AI SENSI DELL’ART. 28 DEL REGOLAMENTO (UE) 2016/679

 

Il sottoscritto ………………., con sede in …………………, Via …………………….., , in qualità di Titolare del trattamento, con il presente atto, ai sensi e per gli effetti dell’art. 28 del Regolamento (UE) 2016/679 (di seguito anche solo il “Regolamento”)

NOMINA

il Sig.. ………………………, quale Responsabile, secondo la definizione dell’art. 4, n. 8) del Regolamento, dei trattamenti di dati personali effettuati nell’ambito .......................... …………………………… e necessari per l’espletamento di tutti gli adempimenti connessi all’attività di …………………………………………

Il nominato Responsabile fornisce idonea garanzia, per preparazione ed esperienza, del pieno rispetto delle vigenti disposizioni in materia di trattamento dei dati personali, ivi compreso il profilo relativo alla sicurezza del trattamento.

Egli è autorizzato a procedere all’organizzazione di ogni operazione di trattamento di dati personali con o senza l’ausilio di strumenti elettronici o comunque automatizzati, nel pieno rispetto delle norme previste dal Regolamento, nonché di quanto disposto dalle istruzioni operative impartite dal Titolare del trattamento.

In particolare, a titolo esemplificativo e non esaustivo, i trattamenti effettuati dal nominato Responsabile sono necessari al perseguimento delle seguenti finalità:

  • …………………………………………………….
  • …………………………………………………….
  • …………………………………………………….

Il Responsabile del trattamento verifica che i trattamenti di dati personali non si discostino dalle finalità per cui i dati stessi sono raccolti, conformemente alle informative rilasciate agli interessati ai sensi dell’art. 13 del Regolamento. A tale fine il nominato Responsabile del trattamento dovrà quindi mantenere attivo il monitoraggio dei trattamenti di propria competenza, avvalendosi della collaborazione delle strutture e delle risorse di altri servizi interni, verificando altresì le finalità e le modalità con cui avviene il trattamento dei dati personali e la loro coerenza con quanto indicato nell’informativa resa agli interessati.

Il nominato Responsabile del trattamento ha il potere di compiere tutto quanto necessario per il rispetto delle vigenti disposizioni di legge in materia di trattamento dei dati personali nelle attività operate nell’ambito del proprio Ufficio. In particolare, dovrà:

  • nominare ed individuare le persone autorizzate al trattamento con riferimento alla preposizione di uno o più soggetti ad attività che comportino il trattamento di dati personali;
  • rispettare e far rispettare agli autorizzati al trattamento e agli altri soggetti che per qualsivoglia motivo entreranno in contatto con i trattamenti di dati personali di pertinenza del suo Ufficio le misure di sicurezza già attuate o che verranno in futuro predisposte ai sensi della normativa applicabile in materia di protezione dei dati personali;
  • verificare con cadenza almeno annuale che i profili di accesso assegnati agli autorizzati al trattamento siano adeguati e non eccedenti le esigenze della mansione o della Unità Organizzativa/operativa cui gli stessi sono stati assegnati;
  • assistere il Titolare del trattamento nel processo di valutazione d’impatto sulla protezione dei dati (DPIA) di cui all’art. 35 del Regolamento, nonché nella eventuale fase di consultazione preventiva con l’Autorità di controllo ai sensi dell’art. 36 del Regolamento, qualora la valutazione d’impatto sulla protezione dei dati indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal Titolare per attenuare il rischio;
  • cancellare o restituire tutti i dati personali una volta cessato il trattamento e cancellare le copie esistenti secondo le istruzioni ricevute dal Titolare, salvo che la conservazione dei dati sia prevista dal diritto dell’Unione o da quello interno;
  • collaborare con il Titolare del trattamento al fine di soddisfare l’obbligo di quest’ultimo di dare seguito alle richieste per l’esercizio dei diritti dell’interessato e fornire tutto il supporto necessario al fine di consentire una risposta nel termine di un mese, dalla richiesta, prorogabile di due mesi nei casi di particolare complessità, ai sensi dell’art. 12, comma 3, del Regolamento;
  • informare prontamente il Titolare del trattamento di ogni nuovo trattamento e di ogni questione rilevante ai fini della normativa in materia di protezione dei dati personali, ivi inclusi i reclami eventualmente avanzati dagli interessati e le eventuali istanze presentate al Garante;
  • nel caso in cui, previa autorizzazione del Titolare, il Responsabile del trattamento ricorra ad altri responsabili (sub-responsabili) per l’esecuzione di specifiche attività di trattamento per conto del Titolare del trattamento, i sub-responsabili saranno obbligati a rispettare gli obblighi previsti dal presente atto;
  • nell’ambito delle responsabilità così affidategli, e nel rispetto delle relative istruzioni, al Responsabile del trattamento incomberà l’obbligo di tenere costantemente aggiornato presso di sé, ed a disposizione in ogni momento del Titolare del trattamento, un registro di tutte le categorie di attività relative al trattamento svolte per conto del Titolare, ai sensi dell’art. 30 Reg. (UE) 2016/679, in forma scritta, anche in formato elettronico. Allo stesso Responsabile del Trattamento competerà, in via esclusiva, l’obbligo di predisporre ed eseguire una periodica attività di verifica interna sull’operato dei propri sub-responsabili ed autorizzati al trattamento;
  • nell’ambito delle responsabilità così affidategli, e nei limiti delle relative istruzioni, andrà conferito al Sig. …………………………, nella sua qualità di Responsabile del trattamento, anche il correlato potere di impartire per iscritto le necessarie istruzioni e disposizioni vincolanti ai soggetti da essa autorizzati al trattamento;
  • il Responsabile del trattamento dovrà attenersi – nel procedere alle operazioni di trattamento necessarie e nella cessazione dello stesso Trattamento – alle normative di volta in volta applicabili e alle istruzioni impartite dal Titolare del trattamento. Il Responsabile del trattamento, inoltre, si impegna a mantenere in essere ed applicare le misure di sicurezza adeguate ai sensi della normativa applicabile in materia di protezione di dati personali;
  • sarà cura e responsabilità del Responsabile del trattamento procedere a fornire per iscritto agli autorizzati al trattamento che operano sotto la sua diretta autorità le necessarie istruzioni e disposizioni vincolanti per il trattamento relativamente all’osservanza delle vigenti disposizioni in merito al trattamento ed a vincolarli anche alla riservatezza, fornendo relativa copia al Titolare del trattamento.

Il Responsabile del trattamento sottoscrive in segno di accettazione della nomina il presente atto, conferma la diretta ed approfondita conoscenza degli obblighi che si assume in relazione al dettato della normativa sopra indicata e si impegna a procedere al trattamento dei dati personali attenendosi alle istruzioni impartite, e nel pieno rispetto di quanto imposto dall’art. 28 del Regolamento (UE) 2016/679.

Il titolare del trattamento

 

Per accettazione

Il Responsabile del trattamento

Notifiche all'autorità garante

Con l'entrata in vigore del GDPR l'Autorità Garante interviene principalmente ex post, vale a dire che la sua valutazione viene effettuata successivamente alle valutazioni del titolare del trattamento. L'istituzione del registro dei trattamenti e la valutazione di impatto, difatti, consentono una serie di valutazioni assunte autonomamente da parte del titolare del trattamento. Permane, in alcuni casi, l'obbligo di effettuare una comunicazione o notifica al Garante, ossia nel caso di violazione (data breach) e quando i trattamenti si basino su legittimi interessi di soggetti minori di età.

Si ritiene una violazione di sicurezza da notificare al Garante, quella che comporti, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Essa può compromettere la riservatezza, l’integrità o la disponibilità di dati personali. Il titolare del trattamento, in caso di violazioni, ha 72 ore da quando ne viene a conoscenza, per notificarla al Garante. Qualora decida di non notificare la violazione, se ne assume la responsabilità; quindi, salvo il caso in cui egli non sia in grado di dimostrare che, conformemente al principio di responsabilizzazione, sia impossibile che la violazione dei dati personali metta a rischio i diritti e le libertà delle persone fisiche, risponde di tale omissione anche in sede amministrativa, quale violazione delle norme del GDPR.

La notifica della violazione deve contenere almeno:

  • una descrizione della natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati, le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
  • il nome e i dati di contatto del responsabile della protezione dei dati (DPO) o di altro punto di contatto presso cui ottenere più informazioni;
  • una descrizione delle eventuali conseguenze della violazione dei dati personali;
  • una descrizione delle misure adottate o che il titolare del trattamento intende adottare per risolvere la situazione, in modo da limitarne i possibili effetti negativi.

La notifica deve essere inviata al Garante tramite posta elettronica all'indirizzo protocollo@pec.gpdp.it e deve essere sottoscritta digitalmente (con firma elettronica qualificata/firma digitale) ovvero con firma autografa. In quest'ultimo caso la notifica deve essere presentata unitamente alla copia del documento d'identità del firmatario. L'oggetto del messaggio deve contenere obbligatoriamente la dicitura “notifica violazione dati personali” e opzionalmente la denominazione del titolare del trattamento.

Il Garante può prescrivere misure correttive qualora sia rilevata una violazione delle disposizioni del Regolamento, anche in riferimento all'adeguatezza delle misure di sicurezza tecniche e organizzative applicate ai dati oggetto di violazione. Sono previste sanzioni pecuniarie che, nel caso di imprese, possono arrivare fino al 2% del fatturato totale annuo mondiale

 

Leggi dopo