Ecco, allora, la nostra proposta di guida operativa per la gestione degli autorizzati del trattamento (per un approfondimento sulla materia consigliamo, inoltre, il manuale “Gli autorizzati” al trattamento dei dati personali, Ponti – Perego, 2021).
Segnaliamo, inoltre che molti di questi temi saranno tratti nel Corso di aggiornamento GDPR per aziende e studi professionali – edizione 2023:
Indice
Chi sono gli autorizzati al trattamento?
L’Autorizzato è il soggetto che, operando sotto la responsabilità del Titolare del trattamento o del Responsabile, ha accesso ai dati personali. Per poterli trattare è necessario che venga designato e che gli vengano fornite specifiche istruzioni.
Sono, quindi, 4 i requisiti che fanno di un soggetto un autorizzato al trattamento:
- È colui che effettua materialmente le operazioni di trattamento sui dati personali
- Agisce alle dipendenze del Titolare o del Responsabile
- È necessaria una designazione
- Deve ricevere istruzioni operative per espletare il suo ruolo
Il tutto lo si desume dai due articoli cardine in materia:
- l’art. 2 quaterdecies del Codice Privacy, laddove afferma che “Il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità”
- l’art. 29 del GDPR, stabilendo che “chiunque compia trattamenti sotto l’autorità del titolare o del responsabile deve essere istruito in tal senso da questi ultimi”
La normativa in questione non pone, poi, requisiti qualitativi o quantitativi circa il trattamento per essere considerati Autorizzati; pertanto, è sufficiente che un soggetto possa, nell’ambito delle proprie mansioni lavorative, prendere visione anche di un solo dato personale perché si renda necessario affidargli questo ruolo. Un magazziniere che consulta la bolla di consegna con il nome del mittente e del destinatario. Un portantino che trasporta, insieme al malato, la cartella sanitaria dello stesso. Un addetto alla videosorveglianza che monitora gli ingressi allo stabilimento. Un operaio che visiona la bolla d’ordine di un pezzo di ricambio contenente il nome del fornitore.
I dati personali sono presenti in vari processi dell’attività lavorativa; pertanto, risulta utile ragionare nei termini per cui chiunque lavori per (da intendersi in senso esteso) il Titolare o il Responsabile debba essere, da questi, nominato come Autorizzato al trattamento. Sono, quindi, compresi in tale definizione collaboratori, lavoratori parasubordinati, tirocinanti…in altre parole, il ruolo di autorizzati prescinde completamente dal rapporto giuslavoristico.
Fra questi, la posizione di dipendenti e collaboratori merita un particolare interesse in quanto, in realtà, hanno un doppio ruolo, una doppia veste: sono, sì, Autorizzati al trattamento, ma al contempo sono certamente anche interessati al trattamento.
Sono Autorizzati al trattamento in quanto nella stragrande maggioranza dei casi, il dipendente/collaboratore, per l’esecuzione del proprio incarico, avrà accesso a dati personali e informazioni di cui l’Azienda è titolare.
Sono, però, anche interessati al trattamento poiché l’azienda tratterà i loro dati personali per la gestione del rapporto di lavoro e di tutte le operazioni connesse.
Sebbene forse scontato, è opportuno precisare, che vista la loro qualità di interessati, occorrerà ricordarsi di tutti gli adempimenti relativi ai trattamenti dei loro dati (es. Trasparenza informativa, verifica delle condizioni di liceità, inserimento delle attività nel Registro dei trattamenti dell’azienda, ecc.).
Ma focalizziamoci sull’Autorizzato.
La designazione dell’Autorizzato
Il primo adempimento da compiere è nominare formalmente l’autorizzato.
L’atto di nomina o designazione è un atto formale predisposto dal Titolare del trattamento, che contiene i principi cardine che l’Autorizzato è tenuto a rispettare.
Il documento può contenere o richiamare la Privacy Policy ed è opportuno che contenga o faccia riferimento alle sanzioni in cui incorrerebbe l’autorizzato qualora non rispettasse le indicazioni fornite in questi documenti.
La nomina può altresì contenere:
- Il ruolo ricoperto dall’autorizzato.
Qualora si tratti di un ruolo apicale e/o di coordinamento, la nomina potrebbe contenere quanto compete anche alla funzione di controllo, esercitata verso i ruoli inferiori.
Per un ruolo standard, è opportuno invece che venga indicato a chi l’Autorizzato deve far riferimento per le segnalazioni relative a dubbi e/o problemi nel trattamento.
- Le banche dati alle quali il medesimo ha legittimo accesso sulla base del ruolo ricoperto.
Rispetto alle modalità con cui redigere questo atto occorre far riferimento all’articolo 2- quaterdecies comma 2 laddove del Codice Privacy laddove stabilisce che “il Titolare o il Responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria diretta autorità”
Pertanto, in forza di tale disposizione viene lasciata al Titolare o al Responsabile l’individuazione delle modalità più opportuna, non prevedendo il GDPR vincoli in tal senso.
Coerentemente quindi, con il principio di responsabilizzazione, è stato eliminato l’obbligo formale di designazione per iscritto. Inoltre, anche qualora si optasse per la forma scritta, ciò non comporterebbe la necessità della sottoscrizione da parte dell’autorizzato per accettazione.
Nella nostra esperienza abbiamo rilevato come comportamenti virtuosi siano:
- effettuare l’autorizzazione in forma scritta, accompagnata da istruzioni operative e regolamenti aziendali da rispettare per il corretto trattamento di dati
- registrare la presa visione e accettazione, anche per formalizzare l’assunzione di responsabilità per il rispetto di tali prescrizioni.
Consigliamo, poi, di tenere conto del tipo di organizzazione dell’azienda al momento della redazione della nomina.
Davanti ad un’organizzazione può risultare opportuno:
- Utilizzare un singolo modello di nomina, semplificato e uguale per tutti gli Autorizzati
- Per la gestione di autorizzazioni, mansioni e incarichi, rimandare ai privilegi concessi a livello tecnico/informatico e a livello generale al ruolo attribuito da contratto.
- Lasciare completamente il monitoraggio sul rispetto delle istruzioni in capo al legale rappresentante, all’Ufficio Privacy o al DPO
Diversamente, davanti ad un’organizzazione più complessa converrà:
- Individuare e nominare soggetti designati “apicali” Autorizzati 1° livello, come ad esempio il Referente Privacy, il Responsabile delle risorse umane o il Responsabile dell’ufficio marketing e come Autorizzati 2° livello figure quali addetti alle risorse umane, al marketing, etc.
- Predisporre le nomine in modo tale che diano indicazioni precise in funzione del ruolo ricoperto
- Predisporre un mansionario che comprenda anche alcune indicazioni sul trattamento dati
- Far in modo che gli “apicali”, oltre a trattare i dati al pari di tutti, supportino il Titolare e l’Ufficio Privacy anche per il monitoraggio dei propri sottoposti, per la diffusione di istruzioni e procedure operative, nonché per la segnalazione di eventi rilevanti (incidenti, data breach, reclami, spunti di miglioramento o efficientamento dei processi aziendali)
Infine, è bene ricordare che la nomina non può essere rifiutata in quanto insita nella mansione lavorativa; dunque, qualora si verifichino le ipotesi di (come capita nell’ambito della sicurezza sul lavoro per i preposti) rifiuto di accettazione, contestazione della nomina o la richiesta di aumenti salariali connessi all’accettazione della stessa, consigliamo di puntare sulla formazione in quanto questa potrà essere un valido strumento per spiegare a tali soggetti che non si tratta di un nuovo onere, ma semplicemente di un adeguamento alla normativa.
I Titolari dovranno designare correttamente gli Autorizzati anche in relazione al ruolo e al flusso dei dati che trattano
Gli autorizzati dovranno essere consapevoli del ruolo per il quale li si sta designando e predisporsi all’accettazione della nomina.
Le istruzioni operative
Le istruzioni costituiscono quelle indicazioni che il Titolare deve fornire agli Autorizzati.
Infatti, gli autorizzati non possono trattare i dati se non sono istruiti in tal senso dal Titolare del frammento (art. 29 GDPR) e, al contempo, il titolare del trattamento e il responsabile del trattamento devono fare in modo che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento (art 32 GDPR)
L’obbiettivo delle istruzioni operative è evidente: far in modo che l’Autorizzato operi nel modo che maggiormente garantisce la tutela dei dati degli interessati. Per raggiungere tal fine è, però, anche necessario mettere l’autorizzato nelle condizioni di poter applicare al meglio le istruzioni impartitegli.
Le disposizioni che il Regolamento dedica a tale tema sono tanto chiare nell’enucleare il principio per cui è necessario fornire istruzioni operative, quante scarne in tema di modalità con cui farlo. Ciò si traduce in libertà di formulazione delle stesse da parte delle imprese, le quali potranno predisporre questi documenti con dei tagli molto diversi che dipendono:
- Dallo stile di comunicazione dell’azienda, più o meno formale, più o meno sintetico
- Dal livello di controllo che l’Organizzazione vuole esercitare nei confronti dei suoi autorizzati, più o meno puntuale
- Da altri fattori, propri della modalità con cui un’organizzazione si relaziona con gli Autorizzati (ad esempio un’organizzazione potrà, allora, decidere di stilare istruzioni più specifiche, diversificate in base al ruolo ricoperto dall’autorizzato all’interno dell’azienda o, invece, decidere di redigerle in maniera generica e non settoriale.
Per le PMI, per esempio, riteniamo che un buon compromesso sia un documento che riesca a condensare istruzioni operative relative alla protezione dei dati personali con quelle relative all’utilizzo degli strumenti informatici.
Le istruzioni operative dovranno poi essere regolarmente aggiornate e revisionate, laddove si evidenziassero delle carenze o delle variazioni di contesto interno o esterno.,
Per quanto riguarda il linguaggio da utilizzare, occorre far sì che tutta la documentazione destinata agli autorizzati sia progettata con un linguaggio di facile interpretazione.
Particolare attenzione, data la loro estrema attualità, meritano le istruzioni operative fornite in materia di smart working e di utilizzo dei social media.
Qualora l’organizzazione aziendale preveda lo smart working tra le modalità di esecuzione del lavoro riteniamo importante che le istruzioni operative contengano (anche) raccomandazioni per garantire un utilizzo sicuro dei dispositivi informatici. In altri termini, occorrerà adeguare le istruzioni operative alle ulteriori regole e ai nuovi rischi che la modalità di lavoro agile pone.
Molto interessanti sono le istruzioni contenute nel vademecum per lavorare online in sicurezza promosso dall’Agenzia per l’Italia Digitale; questi i suggerimenti principali:
- Segui prioritariamente le policy e le raccomandazioni dettate dalla tua Amministrazione
- Utilizza i sistemi operativi per i quali attualmente è garantito il supporto
- Effettua costantemente gli aggiornamenti di sicurezza del tuo sistema operativo
- Assicurati che i software di protezione del tuo sistema operativo (Firewall, Antivirus, ecc) siano abilitati e costantemente aggiornati
- Assicurati che gli accessi al sistema operativo siano protetti da una password sicura e comunque conforme alle password policy emanate dalla tua Amministrazione
- Non installare software proveniente da fonti/repository non ufficiali
- Blocca l’accesso al sistema e/o configura la modalità di blocco automatico quando ti allontani dalla postazione di lavoro
- Non cliccare su link o allegati contenuti in e-mail sospette
- Utilizza l’accesso a connessioni Wi-Fi adeguatamente protette
- Collegati a dispositivi mobili (pen-drive, hdd-esterno, etc) di cui conosci la provenienza (nuovi, già utilizzati, forniti dalla tua Amministrazione)
- Effettua sempre il log-out dai servizi/portali utilizzati dopo che hai concluso la tua sessione lavorativa.
Altrettanto spinoso è il tema dell’utilizzo dei social network: è fondamentale che le organizzazioni regolamentino, attraverso le istruzioni operative, non solo l’accesso ai profili personali da parte degli Autorizzati, ma anche e soprattutto quanto i collaboratori di un’azienda riportino sui propri profili personali in merito a dati e/o informazioni e/o immagini che si riferiscono ai collaboratori e, più in generale, all’Organizzazione.
È il caso, per esempio, del collaboratore che riporta incautamente una fotografia di un’attrezzatura protetta da segreto industriale o ancora le immagini di colleghi ritratti sul luogo di lavoro.
Infine, è bene regolamentare le autorizzazioni concesse per poter intervenire sui social network relativi a profili aziendali.
D’altronde la consegna agli Autorizzati di tali indicazioni costituisce misura di accountability.
I Titolari dovranno fornire istruzioni chiare e complete rispetto all’appropriato uso della strumentazione aziendale e rispetto alla corretta realizzazione dei trattamenti di dati;
gli Autorizzati dovranno seguire diligentemente le istruzioni ricevute e, per i più virtuosi, segnalare ai propri responsabili eventuali problematiche legate al trattamento dei dati, ad esempio violazioni e data breach;
La formazione degli Autorizzati
Le istruzioni per gli Autorizzati derivanti dall’applicazione del Regolamento sono l’elemento portante per rispettare quanto previsto dall’art. 29 ed è opportuno/necessario che siano supportate da adeguata formazione.
Il Regolamento non fornisce indicazioni vincolanti e men che meno prescrizioni circa le modalità con le quali formare gli Autorizzati. Di nuovo, questo margine di manovra che il legislatore europeo lascia, consente che le organizzazioni aziendali diano vita a diverse manifestazioni operative.
Come studio suggeriamo alcuni metodi formativi che riteniamo, per esperienza, efficaci:
- Corso di base o videocorso generale, eventualmente arricchito da interventi mirati successivi
- Materiale informativo interno, come brochure, opuscoli e grafiche su norme e procedure interne (es. data breach, uso di immagini e phishing).
- Newsletter interna
- Tavole rotonde composte per ragionare, a valle di un evento critico, e imparare dall’evento stesso
- Affiancamenti specifici per introdurre al ruolo i nuovi collaboratori
- Raccolta di prove dell’avvenuta formazione e indicatori oggettivi sull’efficacia
- Sceenening sulla conoscenza del personale.
La formazione verrà effettuata dal DPO, nelle realtà aziendali in cui questa figura esiste (si veda sul punto il nostro approfondimento L’attività del DPO raccontata da un DPO: consigli pratici per svolgere i compiti previsti dal GDPR.); in alternativa è opportuno far riferimento a soggetti esterni esperti in materia.
Il processo formativo è da ritenersi requisito fondante ed imprescindibile per un legittimo utilizzo dei dati e ciò significa che l’Autorizzato non può trattare i dati senza averla ricevuta.
A sottolineare l’importanza della formazione è stata l’autorità dell’autorità inglese, la quale ha sanzionato un’azienda locale per una cifra di 4.400.00 sterline in quanto ritendo che la causa di un attacco phishing subito da due dipendenti era da ravvisarsi nel fatto che l’azienda non li avesse formati adeguatamente in materia di protezione di dati personali. (Per una panoramica più ampia di casi in cui si sono commessi errori a causa di assenza di formazione adeguata si rimanda al nostro approfondimento Formazione sulla privacy: un investimento vincente).
I Titolari dovranno garantire una formazione continua e aggiornata ai propri Autorizzati, soprattutto sensibilizzandoli a conoscere le opportunità ma anche i rischi che le nuove tecnologie possono porre
Gli Autorizzati dovranno rendere propri i concetti appresi durante le sessioni di formazione
La responsabilità degli Autorizzati
E in caso di violazioni compiute dagli autorizzati?
Il regolamento europeo non ha previsto un meccanismo sanzionatorio che li coinvolge: ci si rifà, dunque, al Codice civile.
Pertanto, in forza dell’art. 2104 c.c., gli autorizzati al trattamento devono usare la diligenza richiesta dalla natura della prestazione, dall’interesse dell’impresa e della produzione nazionale e devono osservare le disposizioni impartite dai propri superiori gerarchici.
L’autorizzato sarà quindi anche tenuto all’obbligo di fedeltà di cui all’art. 2105 c.c., per cui non dovrà divulgare notizie attinenti all’organizzazione e ai metodi di produzione, o farne uso in modo da recare pregiudizio.
Infine, ai sensi dell’art 2106 c.c., può essere destinatario di sanzioni disciplinari, secondo la gravità dell’infrazione e in conformità alle norme dell’azienda.
I Titolari sono direttamente sanzionabili per inadempimenti del GDPR
Gli Autorizzati dovranno rispettare gli obblighi contrattuali e, in particolare, seguire diligentemente le istruzioni ricevute e osservare gli obblighi di fedeltà per non incorrere in sanzioni