Il personale dipendente in azienda

E’ ormai noto come il Regolamento Europeo in materia di protezione delle persone fisiche con riguardo al trattamento dei dati personali nr. 679/2016 abbia posto al centro del proprio sistema regolatorio la responsabilizzazione degli operatori economici: già l’art. 5, p. 2, in tema di principi statuisce in modo estremamente chiaro che il titolare del trattamento è competente in relazione al necessario rispetto di tali principi ed “è in grado di comprovarlo.”

La governance aziendale, anche in tema di sicurezza, conosce da tempo policy, regolamenti e procedure che, da un lato, sono certamente tese a formare, istruire e preparare le persone che lavorano in azienda ma, dall’altro, servono anche a documentare la consapevolezza e il concreto adeguamento normativo[1].

E’ evidente che, in generale, in un’azienda, il personale dipendente che a vario titolo ponga in essere operazioni di trattamento di dati personali debba, in qualche modo, essere “inquadrato” nell’ambito di ruoli e funzioni che consentano, anche nell’ottica dell’accountability, di dare conto delle scelte effettuate dal titolare.

Mentre l’art. 4, c. 1, lett. h) del Codice Privacy del 2003, oggi abrogato a seguito delle disposizioni contenute nel D.Lgs. 101/2018, contemplava espressamente la presenza e insieme la necessità di individuare, autorizzare e istruire gli “incaricati”, ossia le “persone fisiche autorizzate a compiere operazioni di trattamento”, la formulazione dell’art. 29 del Reg. Europeo nr. 679/2016, a mente del quale “il responsabile o chiunque agisca sotto la sua autorità o sotto quella del titolare … che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso … salvo lo richieda il diritto dell’unione o degli Stati membri”, aveva fatto sorgere alcuni dubbi sulla compatibilità della menzionata figura degli “incaricati” con il nuovo testo europeo[2].

Tuttavia, proprio la lettura del menzionato art. 29 porta a ritenere che chiunque possa accedere ai dati personali (trattati dal titolare o dal responsabile) debba essere specificamente autorizzato e, come subito vedremo, adeguatamente istruito.

L’art. 32, 4., in tema di sicurezza del trattamento, conferma infatti a chiare lettere che il titolare e il responsabile del trattamento devono far ‘sì “che chiunque agisca sotto la loro autorità e abbia accesso ai dati personali non tratti tali dati se non è istruito in tal senso…”.

[1] Si veda G. Ziccardi, GDPR e set di istruzioni per i soggetti che trattano dati: l’uso degli strumenti informatici, la gestione di possibili data breach e la protezione dal phishing, in Diritto di Internet, 1/2019, pagg. 223 e ss., Pacini Giuridica.

[2] V. A. D’Ottavio, Ruoli e funzioni privacy principali ai sensi del regolamento: Cap. VI, in Circolazione e Protezione dei Dati personali, tra Libertà e Regole del Mercato, Commentario al Reg. Eu n. 679/206, a cura di R. Panetta, Giuffré Francis Lefebvre, 2019, in particolare pagg. 178 e ss..

CONTINUA A LEGGERE

L'articolo I soggetti che trattano dati personali sembra essere il primo su Euroconference Legal.