Quando possiamo realmente parlare di gestione ottimale della privacy, quindi essere definiti compliant, nella sfera della gestione del personale dipendente? Quali sono, pertanto, gli adempimenti che il Titolare del Trattamento dati dovrà obbligatoriamente adottare per essere conforme al Regolamento (UE) 2016/679, rispettandone i princìpi e adottando procedure organizzative e di sicurezza per assicurare, sui dati trattati, un rischio definibile basso? Per adottare il linguaggio del Regolamento (UE) 2016/679 il Titolare del Trattamento dovrà, solamente, agire con accountability, pertanto con consapevolezza, competenza e responsabilità.
Prerequisito fondamentale al fine di poter trattare un dato è, come ci è stato insegnato, l’istruzione. Tale nuova terminologia, che ritroviamo nella sua etimologia originaria di “formazione” solo nell’art. 39 del GDPR, fa presagire un percorso di apprendimento molto più strutturato rispetto al passato; infatti, istruire un soggetto significa procedere con un percorso teorico e pratico specifico di una determinata attività (il sostantivo “istruzione” è derivato dalla parola latina instruĕre, che significa “costruire, dare una struttura”). Vorrà dunque il nuovo Regolamento (UE) 2016/679 farci trasparire la necessità che la sola teoria senza un’applicazione pratica non potrà essere di reale impatto su coloro che trattano dati?
Se prima dell’avvento del Regolamento (UE) 2016/679 si poteva definire il soggetto che trattava i dati, per conto del Titolare del trattamento, con il nome di “Incaricato al trattamento dati”, notiamo che negli articoli che chiariscono il concetto sicurezza, istruzione e formazione si parla solo ed esclusivamente di “chiunque abbia accesso a dati personali” (art. 29 GDPR), “chiunque agisca sotto la loro autorità e abbia accesso a dati personali” (art. 32 GDPR), “formazione del personale che partecipa ai trattamenti” (art. 39 GDPR), “attribuiti a persone fisiche, espressamente designate” (art. 2-quaterdecies, D.Lgs. n. 196/2003 come modificato dal D.Lgs. n. 101/2018).
Sebbene, quindi, sia formalmente sparita la figura dell’Incaricato al trattamento dati, appare evidente che sia stata solo una epurazione di tipo lessicale; cambiata la forma ma non la sostanza.
Il Titolare del Trattamento dovrà, per adempiere correttamente ai dettami del Regolamento (UE) 2016/679, non dimenticare il monito dell’art. 25 istruendo tutti gli incaricati sul significato di minimizzazione del dato e pseudonimizzazione dello stesso; sarà sua cura far percepire agli incaricati sia la necessità di evitare la ridondanza di un dato trattato, sia la peculiarità e l’importanza di tutte le operazioni effettuate, inserendo nelle Istruzioni Operative cosa si debba intendere per pseudonimizzazione e minimizzazione del trattamento. Continua qui
Lascia un commento