di Elio Franco e Marcello Padovano
La ricerca del significato del termine “sicurezza” si arricchisce di una nuova sfumatura: non soltanto sicurezza sul lavoro, intesa come predisposizione di cautele al fine di evitare eventi infortunistici, ma anche sicurezza nel lavoro in merito alla tutela della privacy sia dei propri dipendenti che dei terzi.
La raccolta ed il trattamento dei dati personali sono, infatti, argomenti sottovalutati all’interno dell’organizzazione aziendale, ma, già da oggi, rappresentano due fasi critiche per quanto attiene alla sicurezza nei flussi di lavoro.
L’attuale disciplina normativa è quella contenuta nel d.lgs. 196/03, in attuazione della direttiva europea 95/46/CE: ciò significa che l’Unione Europea ha lasciato agli Stati membri la libertà di adeguarsi alle finalità previste dalla stessa direttiva nelle modalità ritenute più adeguate. Di conseguenza, ogni Stato ha la propria disciplina in materia di privacy.
Il 4 maggio 2016, però, è stato pubblicato nella Gazzetta Ufficiale dell’Unione Europea il regolamento UE/2016/679, che, già entrato in vigore, troverà applicazione a partire dal 25 maggio 2018.
Ma in cosa la nuova disciplina si differenzia dall’attuale?
Innanzitutto, l’atto normativo adottato dall’Unione (regolamento anziché direttiva) armonizza la disciplina in tutti gli Stati membri e, pertanto, tutti i soggetti operanti nel mercato unico europeo, anche se con sede legale al di fuori della stessa UE, dovranno adeguarsi ed operare nel rispetto delle medesime prescrizioni normative. Ciò, inevitabilmente, garantirà a tutti di operare in condizioni di parità sul mercato, favorendone la concorrenza.
Invero, il progresso tecnologico consente oggi di raccogliere e trattare grandi quantità di dati personali e sensibili: ciò non significa che debba essere vissuto come un ennesimo onere che possa rallentare l’attività di impresa, ma, al contrario, come un vantaggio per migliorare la propria competitività nell’ottica della riduzione dei rischi nel lavoro.
Se, da una parte, il regolamento ha confermato la presenza di figure quali il titolare ed il responsabile del trattamento dei dati, dall’altra ha affiancato loro il data protection officer, il quale potrà essere designato da chi tratta dati personali o sensibili su larga scala. Il titolare del trattamento potrà scegliere il DPO all’interno del personale aziendale o nominarne uno esterno, purché, in entrambi i casi, esso sia scelto fra chi abbia adeguate competenze giuridiche (quindi, un avvocato) e tecnico-informatiche.
Peraltro, il DPO dovrà godere di ampia autonomia gestionale e decisionale, dovrà riferire solo agli alti organi direttivi ed amministrativi dell’azienda e, nel caso sia scelto fra i dipendenti, non potrà essere allontanato per motivazioni connesse al suo ufficio.
Secondo l’art. 39 del regolamento UE/2016/679 (rubricato Compiti del responsabile della protezione dei dati) “Il responsabile della protezione dei dati è incaricato almeno dei seguenti compiti:
- informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
- sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
- fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
- cooperare con l’autorità di controllo e fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.
Nell’eseguire i propri compiti il responsabile della protezione dei dati considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo”.
In ragione delle sue funzioni, il DPO sarà responsabile sia civilmente che penalmente nel caso in cui i dati vengano trattati in maniera difforme da quanto previsto nel regolamento e dovrà dotarsi di apposita assicurazione professionale. Inoltre, qualora faccia parte del personale dipendente, dovrà godere anche di un budget adeguato allo svolgimento dei propri compiti.
Dunque, cosa fare nell’attesa del 25 maggio 2018?
È opportuno rivedere i modelli organizzativi aziendali in materia di privacy, raccolta e trattamento dei dati, sia dell’utenza che dei propri dipendenti, introducendo quanto prima la figura del data protection officer avendo riguardo, nella scelta, delle sue competenze professionali al fine di eliminare il rischio di sanzioni che, a norma del nuovo regolamento, possono arrivare sino a €. 20.000.000,00 o al 4% del fatturato annuo.
Safety Focus – Anno III – Numero 9 – 15 Luglio 2016