Le norme sulla privacy prevedono diverse figure coinvolte nell’ambito della protezione dei dati personali legati al rapporto di lavoro. Scopriamo chi sono e quali prerogative hanno.
Responsabile esterno
Iniziamo dalla figura meno conosciuta, ovvero il responsabile esterno del trattamento. Si tratta di una figura disciplinata dall’articolo 28 del GDPR che prevede delle specifiche particolari. Infatti quando il titolare deve far effettuare un trattamento per suo conto, dovrà rivolgersi ad una persona che presenti garanzie sufficienti a mettere in atto misure tecniche ed organizzative che garantiscono la tutela dei diritti dell’interessato.
Il responsabile del trattamento dev’essere incaricato in forma scritta e i trattamenti dei dati che andrà ad eseguire devono essere disciplinati da un contratto o comunque da un atto giuridico che vada a vincolare il responsabile esterno al titolare del trattamento.
Responsabile interno
Come sopra, il responsabile interno può essere una persona delegata dal datore di lavoro e individuata all’interno dell’organico aziendale. Vale la pena sottolineare che la nomina del responsabile non è in alcun modo obbligatoria dato che il datore può trattare i dati in prima persona in qualità di titolare del trattamento. Se motivato da esigenze organizzative, il datore può designare più soggetti, anche mediante suddivisione dei compiti, ma dovrà sempre e comunque individuare figure che diano garanzie di affidabilità, esperienza e capacità in materia di trattamento dei dati personali ed anche sotto l’aspetto della sicurezza dei dati stessi.
Medico competente
È deputato a trattare i dati dei lavoratori ed è tenuto a salvaguardare la sicurezza delle cartelle sanitarie da lui compilate. Il datore di lavoro non può accedere direttamente alle cartelle compilate dal medico ma deve comunque collaborare per salvaguardarne la segretezza. Il Garante considera il medico competente un titolare autonomo dei dati personali e può trattarli, per le finalità che gli competono, in piena autonomia. Le linee guida del garante hanno una sezione dedicata al medico competente e nel 2019 lo stesso Garante ha risposto ad un quesito posto dalla Società Italia di Medicina del Lavoro. Clicca qui per consultarlo
Incaricato al trattamento
Sono così definite le persone fisiche autorizzate a trattare i dati, attenendosi alle istruzioni impartite, direttamente dal titolare o dal responsabile. L’incaricato non deve per forza essere un dipendente ma può anche essere individuato tra i consulenti o collaboratori esterni. Il GDPR non cita espressamente l’incaricato ma prevede che chiunque agisca per conto del responsabile o del titolare debba essere adeguatamente istruito in tal senso.
Titolare del trattamento
Il titolare può essere una persona fisica o giuridica e ad essa competono le decisioni sulle modalità di trattamento dei dati e degli strumenti utilizzati ai fini della sicurezza. Il titolare nomina uno o più responsabili anche se va detto che non esiste un vero e proprio obbligo. Al di là della nomina di uno o più soggetti, non è comunque da escludere un’eventuale responsabilità del titolare che deve sempre vigilare sull’operato dei suoi sottoposti. Le linee guida prevedono che il datore di lavoro debba sempre fornire al lavoratore un’informativa completa degli elementi elencati all’art.13 del codice della privacy, ogni qualvolta si renda necessario un trattamento dei dati del lavoratore.
DPO
La figura del responsabile della protezione dei dati è stata introdotta con il GDPR e la sigla DPO deriva dall’inglese data protection officer. Il titolare ed il responsabile del trattamento dei dati devono nominare un DPO in caso di:
- Trattamento effettuato da autorità pubblica
- Attività di trattamento su larga scala
- Trattamento di categorie di dati particolari (art.9 e 10 GDPR)
Non si tratta dunque di una figura presente in tutte le aziende e organizzazioni, ma sarebbe bene che ci fosse poiché possiede prerogative diverse rispetto alle altre figure sopra citate. Le persone interessate dal trattamento dei propri dati personali devono poter contattare direttamente il DPO ove presente.
⇒ Clicca qui per leggere la nostra mini guida sulla privacy nel rapporto di lavoro.
