Il lavoratore che, per svolgere le proprie mansioni, tratta dati personali, può essere legittimamente sospeso dal proprio datore di lavoro, titolare del trattamento, qualora si rifiuti di accettare la nomina di incaricato al trattamento dei dati personali. Dal regolamento Ue sulla privacy (679/2016, il Gdpr), infatti, discendono precisi obblighi e responsabilità per il titolare nel trattamento dei dati personali, dalla cui violazione discendono responsabilità civili, sanzionatorie e di natura amministrativa.

Nello specifico, il titolare-datore di lavoro deve garantire che i dati trattati dai propri incaricati-designati avvenga nel rispetto degli obblighi di legge. Deve anche formare adeguatamente i propri designati al trattamento e tenere aggiornata tale formazione; deve “dimostrare” che i soggetti siano designati al trattamento in modo legittimo.

Il Tribunale di Udine ha enunciato questi principi nell’ordinanza pronunciata lo scorso 1° agosto, a conclusione di un procedimento cautelare ex articolo 700 del Codice di procedura civile, iniziato da una lavoratrice che, per l’appunto, era stata sospesa dal lavoro in quanto si era rifiutata di accettare l’atto di nomina in base all’articolo 29 del Gdpr. Tale ordinanza offre lo spunto per analizzare le figure e i ruoli richiesti dal Gdpr, che devono comporre l’organigramma privacy dell’azienda. La mancata nomina di queste figure può comportare sanzioni comminate dal Garante per la protezione dei dati personali (si veda ad esempio il provvedimento del Garante del 20 giugno 2024).

Il ruolo del titolare - Un ruolo fondamentale riveste sicuramente il titolare del trattamento. Al titolare (società o impresa individuale) è riservato il compito di determinare le finalità del trattamento, ossia lo scopo per il quale il trattamento dei dati personali è effettuato.

Il titolare, poi, determina le misure tecniche e organizzative necessarie per garantire la sicurezza dei dati, oltre a conformare il trattamento alla normativa nazionale e internazionale in materia. In alcuni casi, le finalità di trattamento dati sono determinate da più soggetti definiti contitolari. Il titolare tratta dati personali di persone fisiche, definiti interessati, ossia coloro i cui dati personali sono trattati.

Il titolare non ha necessità di una nomina specifica per assumere quel ruolo e responsabilità. Diversamente, in caso di contitolarità, sarà necessario stipulare un accordo tra i vari titolari, affinché possano concordare, tra le altre cose, finalità e misure di sicurezza tecniche o organizzative a tutela dei dati trattati.

La designazione di incaricati - Quando il titolare, per l’esercizio della propria attività, si avvale di lavoratori nel trattamento di dati personali, questi sono definiti designati al trattamento. La figura di designato, o autorizzato al trattamento, si acquisisce attraverso una nomina che, sebbene si tratti di un atto unilaterale, dovrà essere accettata dal lavoratore stesso per essere effettiva e reale. Diversamente, come ha stabilito il tribunale di Udine, il lavoratore potrà essere sospeso dall’attività, sempreché non possa essere ricollocato in una mansione che non preveda la gestione di dati personali.

Il lavoratore incaricato dovrà essere formato sui propri compiti e sulle proprie responsabilità, oltre a ricevere istruzioni dal proprio datore di lavoro-titolare. La normativa non prevede requisiti quantitativi, rispetto al trattamento di dati persionali, per essere considerati autorizzati. Ad esempio, è considerato trattamento di dati l’attività dell’addetto alle risorse umane che consulta i dati personali per l’elaborazione delle buste paga; quella del magazziniere che analizza la bolla di consegna e quella del postino che consegna la posta.

L’incaricato al trattamento svolge l’ulteriore attività richiesta dal Gdpr senza la necessità che gli sia corrisposto un compenso aggiuntivo alla retribuzione concordata per le ordinarie mansioni e il ruolo ricoperto all’interno dell’azienda.

Responsbaili esterni - Qualora i dati siano trattati da un soggetto esterno in nome e per conto del titolare, questi, definito responsabile del trattamento, dovrà sottoscrivere un accordo ex articolo 28 del Gdpr, con il quale saranno concordate le finalità e le misure di sicurezza tecniche e organizzative che il responsabile dovrà osservare nell’esercizio della propria attività.

Può assumere ad esempio la veste di responsabile la società che gestisce il sito internet dell’azienda, alla quale possono essere conferiti dati personali, o anche la società esterna che si occupa dei servizi IT in azienda, il consulente del lavoro e così via.

Da ultimo, ma non meno importanti, sono le figure del responsabile della protezione dei dati (Dpo), da nominare nei casi previsti dalla legge, e dell’amministratore di sistema, ossia colui che si dedica alla gestione e alla manutenzione di impianti di elaborazione con i quali vengono effettuati trattamenti di dati personali.

Fonte: Il Sole 24 Ore - di Daniele Colombo

Altri articoli

Scopri altre novità sulla protezione dati e GDPR.

Corte di Giustizia UE: sia il Garante Privacy che il giudice devono disapplicare il CCNL se in violazione del Gdpr

Anche il contratto collettivo di lavoro è una fonte della disciplina della privacy e deve garantire anche la trasparenza del trattamento e sul trasferimento dei dati personali

Artificial Intelligence Act: dal 2 febbraio scatta lo stop per i sistemi vietati

Dal 2 febbraio 2025 saranno espressamente vietati i sistemi di AI che comportano rischi per la salute, la siurezza e i diritti fondamentali delle persone

Il Vaticano vieta utilizzi dell'intelligenza artificiale che creino diseguaglianze

Anche il Vaticano definisce le linee guida per lo sviluppo etico dell'AI seguendo l'esempio dell'Unione Europea