Blog

GDPR: Processo di Gestione Delle Persone Autorizzate al Trattamento

Nell’ambito delle attività di consulenza e allineamento delle imprese ai principi del GDPR ci si imbatte, ormai quasi sempre, nella generalizzata disarmonia dell’organico del personale con il sistema di autorizzazioni ben delineato dal Regolamento Europeo.

Affrontare e disciplinare i ruoli all’interno delle imprese per riformare l’intero sistema privacy aziendale è senz’altro prioritario.

I compiti e le funzioni connessi al trattamento di dati personali sono attribuiti a persone fisiche, espressamente designate ed autorizzate, che operano sotto l’autorità della Titolare del Trattamento. In occasione di una nuova assunzione, l’ufficio risorse umane autorizza il dipendente, con apposita lettera, al trattamento dei dati personali impartendo le istruzioni necessarie, formando il neo assunto e consegnando allo stesso, ove presente, un disciplinare sul corretto utilizzo degli assets aziendali.

Il singolo soggetto designato potrà trattare i dati personali nei limiti delle finalità relative al ruolo allo stesso assegnato all’interno dell’unità organizzativa di appartenenza. Tali autorizzazioni sono rese conoscibili a tutti i dipendenti tramite consultazione del registro dei trattamenti. L’assegnazione formalizzata del dipendente ad altro ruolo aziendale, comporterà la conseguente assunzione delle autorizzazioni riferibili al nuovo incarico; detto meccanismo consente di individuare tempo per tempo i soggetti designati del trattamento e l’ambito dei dati loro accessibili nel rispetto di quanto previsto dalla normativa.

Nel rispetto del principio di accountability sancito dal GDPR, all’assunzione di un nuovo dipendente, l’ufficio risorse umane provvede a consegnare al dipendente le istruzioni in materia di privacy e data protection, nonché tutte le istruzioni utili per lo svolgimento delle operazioni di trattamento, anche mediante l’affiancamento di personale di esperienza.

Prima dell’abilitazione dei privilegi connessi alle applicazioni pertinenti al trattamento affidatogli, il dipendente deve, da ultimo, prendere visione dei trattamenti di dati personali a lui affidati dall’ufficio di appartenenza e censiti all’interno del Registro dei trattamenti.

Abilitazione ed eventuale disattivazione di privilegi e applicazioni.

Il Responsabile dell’area nella quale viene inserito il nuovo incaricato, in ragione dell’assunzione o del cambio di mansioni, richiede all’ufficio ICT, seguendo le procedure previste all’interno del Regolamento ICT, l’attribuzione dei privilegi connessi alle applicazioni comprese nel trattamento affidato all’incaricato.

Conseguentemente, nell’ipotesi di cambio di mansioni, l’ufficio ICT provvede alla disattivazione degli accessi alle applicazioni connesse ai trattamenti eseguiti in precedenza.

Il dipendente svolge l’attività lavorativa assegnatagli entro il perimetro stabilito ed effettua i trattamenti previsti per le mansioni allo stesso affidate. I trattamenti saranno gli stessi o un sottoinsieme di quelli effettuati dalla funzione sulla base di quanto definito a livello di Registro dei trattamenti.

Durante il periodo di svolgimento dell’attività lavorativa, il dipendente è tenuto a frequentare le attività di formazione pianificate dal Titolare del Trattamento

In base agli obblighi di legge posti dalla normativa vigente privacy, nonché in ragione delle necessità aziendali derivanti da un’analisi dei fabbisogni formativi, il Titolare del Trattamento provvede a pianificare le attività di formazione.

Il dipendente è tenuto a seguire i corsi di formazione e a sostenere (laddove previsti) test di verifica dell’apprendimento al termine di ciascun corso. La funzione delegata dal Titolare raccoglie i test di verifica svolti dai dipendenti e ne analizza i risultati al fine di valutare l’efficacia del piano delle attività formative a fronte del livello di apprendimento dimostrato dai dipendenti.

Anche l’interruzione del posto di lavoro va ben disciplinata, comportando la revoca dell’autorizzazione al trattamento dei dati del soggetto interessato.

L’ufficio ICT si occuperà, quindi, della disattivazione dell’accesso alle applicazioni connesse alle operazioni di trattamento precedentemente poste in essere dal dipendente cessato dal soggetto designato. La funzione delegata dal Titolare provvede ad aggiornare il database in cui sono registrate le associazioni dei dipendenti con i corrispondenti trattamenti a loro affidati.

 

Condividi:

Leggi gli altri articoli del blog

ELARGIZIONI FRA CONIUGI E DONAZIONE INDIRETTA

L’istituto della donazione viene sovente utilizzato per attuare spostamenti di ricchezza, specialmente in ambito familiare.
Tuttavia, è necessario valutarne la concreta convenienza anche alla luce della presenza, nella prassi economica, di elargizioni patrimoniali indirette, ossia effettuate non tramite l’atto pubblico notarile – richiesto dalla legge per la donazione – bensì attraverso diverse forme.

GOOGLE ANALYTICS: LA PRONUNCIA DEL GARANTE ITALIANO TRA SOVRANITÀ DEL DATO E NECESSITÀ DELLE IMPRESE

Il Garante per la Protezione dei Dati, con il Provvedimento n. 224 del 9 giugno 2022, si è allineato alle posizioni assunte in precedenza dal Datenschutzbehörde (DSB) e dalla Commission Nationale de l’Informatique et des Libertés (CNIL), dichiarando non conforme alla normativa europea il trasferimento di dati personali verso gli Stati Uniti tramite Google Analytics. L’Autorità ha ammonito una società italiana intimandole di adeguarsi entro novanta giorni dalla decisione.

LA FUSIONE INVERSA E LE MODALITA’ DI ESECUZIONE

La fusione inversa non è stata disciplinata direttamente dal legislatore italiano. Pertanto, le operazioni societarie in cui la controllata provvede ad incorporare la controllante pongono problemi di carattere operativo.

(AGRO) FOTOVOLTAICO: IL LEGISLATORE NAVIGA A VISTA?

Durante il boom del fotovoltaico iniziò a diffondersi la preoccupazione fra decisori e stakeholders riguardo il consumo di suolo agricolo. Questo determinò la risposta del legislatore che decise inizialmente per limitare la possibilità di installazione degli impianti su terreni a destinazione agricola. Oggi, nonostante un virtuoso cammino sulla strada della semplificazione e dell’incentivazione dei sistemi ibridi agricoltura-produzione energetica, sembra che tale progetto normativo abbia subito una brusca frenata.

Contattaci