Penso tu già conosca la definizione di dipendente, una persona fisica che presta la propria opera lavorativa in modo subordinato, dietro compenso detto retribuzione, presta il proprio lavoro intellettuale o manuale alle dipendenze e sotto la direzione del “datore di lavoro”.
Giusto per capire se siamo allineati, nel momento in cui Mario è dipendente della “Ditta SRL”, la propria prestazione lavorativa è, di fatto, l’opera dell’azienda stessa.
Detto in altre parole, usando un esempio, se Mario è autorizzato a stipulare contratti o a rispondere ai clienti che chiamano, Mario sta agendo, seppur indirettamente, per conto dell’azienda per cui lavora.
Nella pratica, infatti, è l’azienda che risponde per l’attività di Mario nel confronto di terzi, quando Mario fa dei danni.
Parlando di privacy la sostanza non cambia, l’azienda risponde per gli errori di Mario. Ma può rivalersi su di lui?
Il Regolamento obbliga il Titolare del trattamento a istruire il proprio personale, sia da un punto di vista generale che impartendogli le necessarie istruzioni in tema di privacy.
Non è un fatto casuale, ma rientra a pieno titolo nell’Accountability, ovvero quanto a cuore l’azienda ha preso la gestione della protezione dei dati personali.
Sappiamo per esperienza che a nulla serve avere un sistema informatico super protetto, se poi qualcuno spiffera la password o la scrive su di un post-it. Penso sia logico da capire.
Nel Regolamento si fa menzione più volte a quanto sia necessario formare il personale preposto al trattamento di dati personali. Per mia esperienza il personale da escludere dalla formazione, nell’azienda tipica, è veramente esiguo. Più o meno tutto il personale tratta dati personali. Basta pensare allo scambio di e-mail.
All’interno della vecchia norma la persona preposta a trattare dati personali veniva chiamata incaricato al trattamento, nel Regolamento viene chiamato autorizzato, ma la sostanza è la medesima.
Per sua caratteristica, l’autorizzato potrebbe anche essere un consulente che svolge una mansione simile ad un dipendente o a questo assimilabile.
Non è mia pretesa spingermi nel campo delle norme che regolano il rapporto di lavoro subordinato, è però interessante sottolineare quanto sia necessario capire come un lavoratore “esterno” venga inquadrato, perché da questo ne discende la corretta assegnazione in ambito privacy.
Quanto descritto fino a qui non è altro che la prima faccia e si traduce formalmente in alcuni documenti/azioni da compiere.
- Una lettera di autorizzazione al trattamento, nella quale devono essere indicati, anche per sommi capi, quali dati personali verranno gestiti dall’autorizzato. Il mansionario, se esiste, può essere utile allo scopo.
- Una formazione, reale, in tema di privacy, toccando sia i concetti generali sia l’ambito specifico nel quale il dipendente opera. L’autorità non considera attendibile un corso inferiore alle quattro ore. Il corso deve concludersi sempre con un test di valutazione.
- Un regolamento interno, a supporto della formazione, che ufficializza meglio le istruzioni impartite all’autorizzato.
È IMPORTANTE FORMARE I DIPENDENTI
I dipendenti di un’azienda trattano continuamente dati, molti sono dati personali, altri invece no ma sempre di dati parliamo.
In più i dati, personali o meno, possono avere un valore economico per la nostra azienda: pensiamo ai dati “passati” ai nostri concorrenti, come le offerte ai clienti.
Formare i dipendenti sugli effetti negativi di un errata gestione dei dati è fondamentale per tutti gli aspetti aziendali, non solo quello della privacy personale.
La seconda faccia, spesso ignorata, riguarda il trattamento dei dati personali del lavoratore stesso, quei dati che servono sia da un punto di vista contrattuale sia del lavoro quotidiano.
L’ampiezza dei tipi di dati gestiti copre quasi tutti i casi. Parliamo di dati normali, tipo nome e cognome, dati sanitari riguardo lo stato di salute, dati bancari, situazioni finanziarie e, per chi si è adeguato alla norma 231 del 2001, anche di dati giudiziari.
Veramente molto, forse dati più delicati di quelli dei clienti di una tipica azienda.
Su questo i dipendenti sono molto suscettibili, anche se non te lo verranno mai a dire.
Se pensano di essere in qualche modo trattati male, dal punto di vista dei dati personali (per loro = privacy), potrebbero usarla come giustificazione, nascosta, per “combattere” l’azienda: il problema è che difficilmente lo diranno e quando lo fanno è un campanello d’allarme importante.
(questa cosa l’ho scoperta lavorando a stretto contatto con i dipendenti, che in alcuni casi hanno confessato questa cosa)
Il Regolamento prevede la possibilità di gestire i dati sensibili quando questi riguardano il lavoro subordinato, proprio perché sono una caratteristica ormai consolidata. Ma ciò non ci esime dal gestirli bene, come fossero i dati sensibili di clienti.
Richiedi la nostra Consulenza Prima Base, un servizio pensato per le aziende, al fine di verificare quanto siano a norma, anche per chi non ha mai fatto nulla, studiato per le piccole e medie imprese, pensato per individuare le aree veramente importanti e fornire la soluzione meno impegnativa possibile.
Vignetta di Paolo Tacconi – TAP
--> QUALE LIVELLO DI ADEGUAMENTO PRIVACY HAI?
Scopri con un semplice e veloce test, in piena autonomia, il livello di adeguamento della tua azienda:
Fai il test
