Il rispetto della normativa in materia di protezione dei dati personali quale elemento di valutazione delle risorse umane che operano all’interno dell’organizzazione del titolare del trattamento.

In dottrina spesso si è rilavato come l’applicazione della normativa in materia di protezione dei dati personali, in particolare all’interno di aziende o di enti complessi, non possa essere disgiunta da una corretta gestione del capitale umano di cui il titolare si serve per dare vita alle attività di trattamento dei dati personali che rientrano nelle finalità istituzionali, degli enti, oppure che fanno parte del core business delle aziende.

Come noto, per titolare del trattamento si fa riferimento, nella maggior parte dei casi, ad una organizzazione in quanto tale e non una persona fisica all’interno dell’organizzazione (come l’amministratore delegato, un dipendente o un membro del consiglio di amministrazione) che agisce in qualità di titolare del trattamento. Il titolare del trattamento è il soggetto che decide in merito a determinati elementi chiave del trattamento stesso. La titolarità può essere definita a norma di legge o può derivare da un’analisi degli elementi di fatto o delle circostanze del caso. Talune attività di trattamento possono essere considerate come naturalmente connesse al ruolo ricoperto da un determinato soggetto (il datore di lavoro rispetto ai dipendenti,). In molti casi, le condizioni previste da un contratto possono agevolare l’individuazione del titolare del trattamento, sebbene non siano sempre determinanti. Il titolare stabilisce le finalità e i mezzi del trattamento, ossia il motivo e le modalità del trattamento. Il titolare del trattamento è chiamato a decidere tanto sulle finalità quanto sui mezzi. Tuttavia, taluni aspetti più prettamente pratici legati all’implementazione del trattamento («mezzi non essenziali») possono essere delegati al responsabile del trattamento. Per essere qualificato come titolare del trattamento non è necessario che tale soggetto abbia accesso effettivo ai dati trattati.

L’articolo 5, paragrafo 2[1], del GDPR introduce esplicitamente il principio di responsabilizzazione.

Ciò significa che:

 il titolare del trattamento è responsabile del rispetto dei principi di cui all’articolo 5, paragrafo 1,[2] del GDPR;

 il titolare del trattamento è in grado di dimostrare il rispetto dei principi di cui all’articolo 5, paragrafo 1, del GDPR.

L’obiettivo di integrare il principio di responsabilizzazione nel GDPR e di renderlo un principio centrale era volto a sottolineare che i titolari del trattamento devono attuare misure adeguate ed efficaci ed essere in grado di dimostrare la conformità al regolamento.

A tale riguardo, i principi contenuti nell’art. 5 (principi di liceità, correttezza e trasparenza, limitatezza delle finalità, minimizzazione ed esattezza dei dati, limitazione della conservazione, integrità e riservatezza dei dati, responsabilizzazione del titolare del trattamento sono da ritenersi essere alla base del sistema aziendale di compliance.

L’articolo 24[3] specifica ulteriormente il principio di responsabilizzazione, prevedendo l’obbligo in capo al titolare del trattamento di mettere in atto misure tecniche e organizzative adeguate per garantire ed essere in grado di dimostrare che il trattamento è effettuato in conformità del GDPR. Tali misure sono riesaminate e aggiornate, se del caso.

Anche l’articolo 28, che stabilisce gli obblighi del titolare del trattamento laddove si avvalga di un responsabile del trattamento, richiama il principio di responsabilizzazione.

Il principio di responsabilizzazione si rivolge direttamente al titolare del trattamento. Che può essere oggetto di sanzioni in caso di inadempimento degli obblighi di legge (GDPR in primis) ed è direttamente responsabile nei confronti delle autorità di controllo, in virtù dell’obbligo di conservare e fornire la documentazione adeguata su richiesta, di cooperare in caso di indagini e di ottemperare ai 3 provvedimenti amministrativi.

Il principio di responsabilizzazione, insieme alle altre norme che disciplinano in modo più specifico le modalità di adempimento del GDPR e la ripartizione delle responsabilità, rende pertanto necessario definire i diversi ruoli dei vari soggetti coinvolti in un’attività di trattamento di dati personali.

A tale proposito, il Considerando (29) stabilisce che al fine di creare incentivi per l’applicazione della pseudonimizzazione nel trattamento dei dati personali, dovrebbero essere possibili misure di pseudonimizzazione con possibilità di analisi generale all’interno dello stesso titolare del trattamento, qualora il titolare del trattamento abbia adottato le misure tecniche e organizzative necessarie ad assicurare, per il trattamento interessato, l’attuazione del presente regolamento, e che le informazioni aggiuntive per l’attribuzione dei dati personali a un interessato specifico siano conservate separatamente. Il titolare del trattamento che effettua il trattamento dei dati personali dovrebbe indicare le persone autorizzate all’interno dello stesso titolare del trattamento.

L’Articolo 29 del GDPR, rubricato “Trattamento sotto l’autorità del titolare del trattamento o del responsabile del trattamento (C81)”, afferma che Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.

Ad esso si ricollega il legislatore nazionale attraverso l’Art. 2-quaterdecies (Attribuzione di funzioni e compiti a soggetti designati) il titolare può disporre, sotto la propria responsabilita’ e all’interno del proprio modello organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità. Il titolare del trattamento individua le modalita’ più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta.

Il raggiungimento della compliance in ottica aziendale.

In premessa va chiarito che un efficace modello di compliance GDPR ha valenza non solo ai fini del rispetto della normativa in materia di protezione dei dati personali ma costituisce un elemento fondativo per il successo di un ente o di una azienda.

Il mantenimento di un sistema basato sulla compliance presuppone il coinvolgimento dell’intera organizzazione aziendale, da realizzare attraverso un processo di tipo top-down, ove, nei confronti del management, la privacy venga intesa come un driver a vantaggio dell’organizzazione e nei confronti delle maestranze il rispetto della privacy sia considerato un fattore di valutazione delle performance del singolo lavoratore, oltre che dell’intera unità operativa ove il lavoratore è inserito ed opera (in questo modo il lavoratore/soggetto autorizzato al trattamento dei dati personali agirà anche come “presidio privacy”nei confronti dei colleghi).

Questi concetti devono essere veicolati su almeno tre direttive:

1. nell’immediato, attraverso un piano di comunicazione;

2. a regime, ricorrendo all’adozione di pacchetti formativi in materia di protezione dei dati personali;

3. in aggiunta ai punti 1 e 2, si rende necessario esplicitare, in dettaglio, le responsabilità, a livello di singolo soggetto autorizzato al trattamento dei dati; da formalizzare in regolamenti e policy aziendali oltre che nei contratti di assunzione.

Agendo su questi aspetti, si garantirà una sedimentazione dei concetti, una loro metabilizzazione, in modo da rendere la compliance privacy parte della cultura aziendale, da tradursi in un comportamento del singolo lavoratore/autorizzato al trattamento dei dati personali in una condotta proattiva atta a fare emergere problemi, criticità o lacune.

Volendo ancorare l’esposizione a dei riferimenti, si rinvia allo Standard ISO 37301 che nell’Introduzione recita: “Le organizzazioni che ambiscono ad avere successo nel lungo periodo necessitano di stabilire e mantenere una cultura della compliance, che consideri le esigenze e aspettative delle parti interessate. La compliance è pertanto non solo la base, ma anche un’opportunità, per un’organizzazione di successo e sostenibile. La compliance è un processo su base continuativa e il risultato di un’organizzazione che soddisfa i propri obblighi. La compliance è resa sostenibile incorporando essa stessa nella cultura dell’organizzazione e nei comportamenti e attitudini delle persone che lavorano al suo interno”.[4]

Ciò permetterà al titolare del trattamento di garantire l’applicazione dei principi del GDPR nelle singole attività di trattamento che giorno per giorno vengono poste in essere all’interno della propria organizzazione.

[1] Articolo 5 Principi applicabili al trattamento di dati personali

(omissis)

2. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione»). (C74)

[2] Articolo 5 Principi applicabili al trattamento di dati personali

1. I dati personali sono: (C39)

a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»);

b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»);

c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);

d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);

e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»);

f ) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).

[3] Articolo 24 Responsabilità del titolare del trattamento (C74-C78)

1. Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato

conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.

2. Se ciò è proporzionato rispetto alle attività di trattamento, le misure di cui al paragrafo 1 includono l’attuazione di politiche adeguate in materia di protezione dei dati da parte del titolare del trattamento.

3. L’adesione ai codici di condotta di cui all’articolo 40 o a un meccanismo di certificazione di cui all’articolo 42 può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento.

[4] Volendo ancorare l’esposizione a dei riferimenti, si rinvia allo Standard ISO 37301 (che permette di implementare, valutare, mantenere e migliorare un sistema di gestione per la compliance aziendale. La ISO 37301:2021 permette alle aziende di adottare un approccio integrato per il controllo dei rischi di compliance e pone l’accento verso una cultura aziendale improntata su condotte e comportamenti responsabili e consapevoli a tutti i livelli dell’organizzazione, a partire dal top management), che ha numerosi punti di contatto con il GDPR, a tale proposito basti pensare alla politica per la compliance, al personale, alla comunicazione, ecc.

Articoli

Categorie

Eli e Sofi: le gemelle virtuali influencer.

MARKETING: team interno vs outsourcing

Fundraising: cos’è e come nasce. Tutti i modi per fare fundraising.

L’utilizzo di sistemi di Intelligenza Artificiale in ambito lavorativo.

Il Responsabile della Conservazione Digitale: gli obblighi in capo agli enti pubblici ed ai soggetti privati.

Propaganda elettorale: Garante, no all’uso dei dati dei pazienti

Il Garante dà l’ok al nuovo sistema di fatturazione elettronica per gli operatori sanitari che andrà in vigore dal 1° gennaio 2026.

L’autenticità dei dati, quale ulteriore criterio – insieme alla riservatezza, alla integrità e alla disponibilità – per determinare il livello di sicurezza di una organizzazione.

Il Governo della Intelligenza Artificiale Generale: visto dall’altra sponda dell’Oceano. Come delineare un profilo di rischio per il futuro.

La necessità di una Governance per i sistemi di Intelligenza Artificiale.

La Determinazione 164179 del 14 aprile 2025, ACN con le specifiche di base per l’adempimento agli obblighi previsti dagli articoli 23, 24, 25, 29 e 32 del decreto NIS.

La minaccia cibernetica al settore sanitario: ACN gennaio 2023 – marzo 2025

L’istituzione scolastica e la pubblicazione di foto degli alunni su un social network senza il consenso degli alunni.

Il rispetto della normativa in materia di protezione dei dati personali quale elemento di valutazione delle risorse umane che operano all’interno dell’organizzazione del titolare del trattamento.

About Author / Davide De Luca

L’autenticazione multi fattore quale misura di sicurezza attraverso il ricorso all’utilizzo di sms. Criticità.

Lascia un commento Annulla risposta

Articoli

Categorie

Il rispetto della normativa in materia di protezione dei dati personali quale elemento di valutazione delle risorse umane che operano all’interno dell’organizzazione del titolare del trattamento.

About Author / Davide De Luca

L’autenticazione multi fattore quale misura di sicurezza attraverso il ricorso all’utilizzo di sms. Criticità.

Lascia un commento Annulla risposta

Potrebbe piacerti