Alcune prime indicazioni in relazione al tema in oggetto.
Il regolamento è del 24/5/2016, per cui entra in vigore dopo 2 anni, il 25/5/2018. Riguarda la sicurezza relativa al trattamento di dati “personali” (di persone fisiche) non di aziende. La norma non “limita” il trattamento dei dati, ma stabilisce le forma di “protezione” degli stessi. Si tratta delle riproposizione delle norme già previste con i precedenti regolamenti (Leggi 675/96 e 196/2003), con modifiche, nell’obiettivo di una maggior chiarezza, e di adempimenti non solo formali ma sostanziali. La norma quindi tratta dell’informativa e del consenso al trattamento dei dati, della sicurezza nella conservazione, e dei limiti della conservazione, sia nel tempo che nel luogo (es. al di fuori dell’Europa)
Le principali novità rispetto alle norme precedenti, in generale, sono
- Il DATA BREACH (la procedura in caso di perdita o danneggiamo dei dati, che prevede l’obbligo di informazione del Garante della Privacy entro 72 ore)
- Il diritto all’Oblio e alla Portabilità dei dati personali
- L’introduzione della figura del DPO (data protection officer) in italiano RPD (responsabile protezione dati) obbligatorio solo nelle aziende con più di 250 dipendenti e che trattano dati su “larga scala” (il concetto di larga scala non è al momento ben delineato, può essere legato al numero di dati trattati rispetto al territorio in cui agisce); il DPO deve essere comunicato al Garante della Privacy laddove appunto sia obbligatorio.
I “TERMINI” USATI DALLA NORMA CON I RELATIVI OBBLIGHI
- INTERESSATI AL TRATTAMENTO: le persone fisiche i cui dati vengono trattati (nel caso dei rapporti di lavoro sono i lavoratori o altri soggetti persone fisiche dei quali l’azienda o il consulente trattano i dati (esempio canditati all’assunzione).
- DATI PERSONALI: si distinguono in COMUNI e PARTICOLARI (una volta definiti “sensibili”, cioè salute, razza, religione, provvedimenti giudiziari … ); nel rapporto di lavoro sono COMUNI i dati vari anagrafici e relativi all’inquadramento, PARTICOLARI possono essere i dati relativi alle maternità, le diagnosi degli infortuni e delle malattie professionali, le adesioni al sindacato); la norma impone il trattamento “limitato” allo stretto indispensabile.
- ARCHIVIO: insieme strutturato di dati personali, sia informatico che cartaceo (gli archivi informatici ma anche i faldoni cartacei conservati sulle scrivanie o negli scaffali); nel caso dello studio sono tutti i dati conservati relativi ai lavoratori, sia informatici che cartacei; la norma impone che siano attuate tutte le misure generalmente previste per la protezione, sia informatica (firewall, antivirus, copie fisiche degli archivi) sia del cartaceo (procedura antiincendio, non accessibilità del dato da terzi, controlli sulla sicurezza dell’accesso agli ambienti ecc.).
- TRATTAMENTO; l’uso che si fa giornalmente dei dati; tale uso è LECITO e non necessità di consenso se deriva da un obbligo di contratto o di LEGGE; nel caso del datore di lavoro e dello studio CdL, certamente il trattamento deriva da un obbligo di legge.
- ADDETTI AUTORIZZATI: sono il datore di lavoro e i suoi delegati, e il titolare e i dipendenti dello studio CDL; la norma impone che siano adeguatamente formati;
- RESPONSABILE DEL TRATTAMENTO: è colui il quale individua le modalità di trattamento, in particolare la “Privacy compliance”, cioè le procedure necessarie per una corretta gestione dei dati. Può essere interno o esterno all’azienda. Nel caso del personale dipendente, il responsabile interno è il datore di lavoro o un suo delegato interno, mentre lo scrivente Consulente del Lavoro diventa il RESPONSABILE ESTERNO DEL TRATTAMENTO DEI DATI, in forza della delega che ha di trattare appunto i dati del personale, attuando tutte le misure necessarie per la sicurezza e la conservazione dei dati, per conto del titolare del trattamento di cui al punto successivo. Lo scrivente Studio provvederà a formalizzare tale incarico nei prossimi giorni. Analogamente lo scrivente studio provvederà a rielaborare il modello di informativa sul trattamento dati personali già fornito insieme alle pratiche di assunzione, sulla base della nuova norma. Allego, solo in via preliminare, anche per una valutazione da parte dei consulente privacy delle aziende che già si sono attivate autonomamente sull’argomento, una BOZZA DI INFORMATIVA AL DIPENDENTE, sulla base del format fornito dal nostro software gestionale.
Scarica qui l’allegato: BOZZA INFORMATIVA SUL TRATT DATI PERS dipendente (16Kb)
- TITOLARE DEL TRATTAMENTO; è il datore di lavoro, che determina le finalità e gli strumenti per la protezione dei dati. E’ affiancato dal Responsabile trattamento dati dove presente
I 3 PRINCIPI FONDAMENTALI DELLA NUOVA NORMA
- ACCOUNTABILITY; cioè responsabilizzazione, con un approccio non formale ma sostanziale, per cui è necessario dimostrare l’attuazione di procedure per la sicurezza “fisica” dei dati, di misure organizzative interne anche per la formazione del personale, e di verifiche periodiche sull’adeguamento alle procedure, anche attraverso un sistema di documenti che lo dimostrino
- PRIVACY BY DESIGN; il sistema di protezione dei dati deve essere attuato da subito, a monte del trattamento.
- PRIVACY BY DEFAULT: deve essere impostato il programma da seguire nel corso del trattamento dei dati, che devono essere conservati solo nella misura minima, in base allo stretto indispensabile, e con un limite temporale di utilizzo.
Per quanto riguarda il datore di lavoro e il consulente del lavoro, la norma quindi impone la massima “responsabilizzazione” e l’utilizzo di tutti gli strumenti tecnologici necessari alla sicurezza del dato. Per quanto riguardi i termini di conservazione dei dati, alla luce del diritto all’”oblio” e alla portabilità del dato da parte della persona fisica – lavoratore – interessato al trattamento, che ad esempio cessa il rapporto di lavoro, ovviamente tale diritto deve essere contemperato all’obbligo che hanno il datore di lavoro e il consulente di conservare il dato sia nei termini della prescrizione, riguardo ai rapporti con gli enti previdenziali, assicurativi, Agenzie Entrate, ma anche per i periodi superiori legati ad esempio alla richiesta di malattie professionali, o problematiche sulla pensione, che necessitano una conservazione del dato anche superiore alla prescrizione.
I 3 PRINCIPIALI ADEMPIMENTI
- IL REGISTRO; che dimostra l’attuazione degli adempimenti (necessario solo nelle aziende con più di 250 addetti ovvero dove ci sono dati su larga scala o dati di particolare delicatezza sempre non in via occasionale, ad esempio dati relativi a procedimenti giudiziari)
- ANALISI DEL RISCHIO; di possibili perdite, modifica o distruzione dei dati.
- NOTIFICA DI VIOLAZIONE DEI DATI AL GARANTE; il cosiddetto DATA BREACH entro 72 ore, qualora si accertino perdite dei dati o violazioni degli archivi
I 10 PUNTI DELL’ADEGUAMENTO AL GDPR
- L’INFORMAZIONE del titolare e degli addetti sulla nuova norma
- La rilevazione delle CATEGORIE DI DATI CONSERVATI
- Che TRATTAMENTI vengono effettuati
- I RUOLI all’interno dell’azienda o dello studio
- I PROCESSI che si attuano
- Gli ASSET (le sedi, gli uffici, le attrezzature..)
- L’ANALISI DEI RISCHI
- La LISTA DELLE CRITICITA’
- STILARE LA DOCUMENTAZIONE necessaria
- FORMARE gli addetti
Poiché nel caso dello studio CDL il 90% del trattamento dei dati avviene con il programma gestionale paghe, lo studio verifica le procedure adottate sia come software che come hardware. In particolare, per ciascuno dispositivo (PC, SERVER, PORTATILE) viene verificata la RISERVATEZZA, l’INTEGRITA’ e la DISPONBILITA’ (RID), al fine di analizzare per ogni dispositivo il possibile impatto di rischi.
Seguiranno ulteriori indicazioni. Chi è interessato ad altre informazioni o un’assistenza specifica in relazione al tema, anche per proprie attività al di fuori della gestione del rapporto di lavorio dipendente, può rivolgersi allo scrivente studio a vittorino@studiocdlzubin.it.
Cordiali saluti
CdL Roberto Zubin
N° 103 Ordine di Trieste
Via San Francesco d’Assisi 14/1
34133 TRIESTE
Tel. 040773859 / Fax 0403478684
Lascia il tuo commento