Nell’ambito delle attività di consulenza e allineamento delle imprese ai principi del GDPR ci si imbatte, ormai quasi sempre, nella generalizzata disarmonia dell’organico del personale con il sistema di autorizzazioni ben delineato dal Regolamento Europeo.
Affrontare e disciplinare i ruoli all’interno delle imprese per riformare l’intero sistema privacy aziendale è senz’altro prioritario.
I compiti e le funzioni connessi al trattamento di dati personali sono attribuiti a persone fisiche, espressamente designate ed autorizzate, che operano sotto l’autorità della Titolare del Trattamento. In occasione di una nuova assunzione, l’ufficio risorse umane autorizza il dipendente, con apposita lettera, al trattamento dei dati personali impartendo le istruzioni necessarie, formando il neo assunto e consegnando allo stesso, ove presente, un disciplinare sul corretto utilizzo degli assets aziendali.
Il singolo soggetto designato potrà trattare i dati personali nei limiti delle finalità relative al ruolo allo stesso assegnato all’interno dell’unità organizzativa di appartenenza. Tali autorizzazioni sono rese conoscibili a tutti i dipendenti tramite consultazione del registro dei trattamenti. L’assegnazione formalizzata del dipendente ad altro ruolo aziendale, comporterà la conseguente assunzione delle autorizzazioni riferibili al nuovo incarico; detto meccanismo consente di individuare tempo per tempo i soggetti designati del trattamento e l’ambito dei dati loro accessibili nel rispetto di quanto previsto dalla normativa.
Nel rispetto del principio di accountability sancito dal GDPR, all’assunzione di un nuovo dipendente, l’ufficio risorse umane provvede a consegnare al dipendente le istruzioni in materia di privacy e data protection, nonché tutte le istruzioni utili per lo svolgimento delle operazioni di trattamento, anche mediante l’affiancamento di personale di esperienza.
Prima dell’abilitazione dei privilegi connessi alle applicazioni pertinenti al trattamento affidatogli, il dipendente deve, da ultimo, prendere visione dei trattamenti di dati personali a lui affidati dall’ufficio di appartenenza e censiti all’interno del Registro dei trattamenti.
Abilitazione ed eventuale disattivazione di privilegi e applicazioni.
Il Responsabile dell’area nella quale viene inserito il nuovo incaricato, in ragione dell’assunzione o del cambio di mansioni, richiede all’ufficio ICT, seguendo le procedure previste all’interno del Regolamento ICT, l’attribuzione dei privilegi connessi alle applicazioni comprese nel trattamento affidato all’incaricato.
Conseguentemente, nell’ipotesi di cambio di mansioni, l’ufficio ICT provvede alla disattivazione degli accessi alle applicazioni connesse ai trattamenti eseguiti in precedenza.
Il dipendente svolge l’attività lavorativa assegnatagli entro il perimetro stabilito ed effettua i trattamenti previsti per le mansioni allo stesso affidate. I trattamenti saranno gli stessi o un sottoinsieme di quelli effettuati dalla funzione sulla base di quanto definito a livello di Registro dei trattamenti.
Durante il periodo di svolgimento dell’attività lavorativa, il dipendente è tenuto a frequentare le attività di formazione pianificate dal Titolare del Trattamento
In base agli obblighi di legge posti dalla normativa vigente privacy, nonché in ragione delle necessità aziendali derivanti da un’analisi dei fabbisogni formativi, il Titolare del Trattamento provvede a pianificare le attività di formazione.
Il dipendente è tenuto a seguire i corsi di formazione e a sostenere (laddove previsti) test di verifica dell’apprendimento al termine di ciascun corso. La funzione delegata dal Titolare raccoglie i test di verifica svolti dai dipendenti e ne analizza i risultati al fine di valutare l’efficacia del piano delle attività formative a fronte del livello di apprendimento dimostrato dai dipendenti.
Anche l’interruzione del posto di lavoro va ben disciplinata, comportando la revoca dell’autorizzazione al trattamento dei dati del soggetto interessato.
L’ufficio ICT si occuperà, quindi, della disattivazione dell’accesso alle applicazioni connesse alle operazioni di trattamento precedentemente poste in essere dal dipendente cessato dal soggetto designato. La funzione delegata dal Titolare provvede ad aggiornare il database in cui sono registrate le associazioni dei dipendenti con i corrispondenti trattamenti a loro affidati.
All’indomani della chiusura dei lavori del Security Summit tenutosi a Milano, un breve contributo sulla situazione nazionale in tema di cybersicurezza alla luce dei dati del Rapporto Clusit 2024 sulla sicurezza ICT in Italia e del Rapporto annuale sull’evoluzione della cybersecurity, realizzato da Assintel – Confcommercio.
La normativa in materia di whistleblowing pone al 17 dicembre 2023 la seconda scadenza per l’adeguamento, termine ultimo che interessa le PMI. Nel contributo si effettua una panoramica degli enti interessati e delle attività che è necessario vengano realizzate ai fini della compliance.
L’Italia è da sempre conosciuta in tutto il mondo per le proprie eccellenze alimentari. Il settore agroalimentare si è rivelato essere una delle principali industry dell’economia italiana. Perciò, il Governo italiano è intervenuto per supportare il primato mediante il DDL Made in Italy. Quest’ultimo prevede molteplici misure volte ad intensificare il sistema sanzionatorio nell’ambito della lotta alla contraffazione e ad agevolare le modalità d’investimento.
In un momento storico in cui i canoni degli affitti aumentano vertiginosamente anche a causa del fenomeno del Fast Tourism, il legislatore italiano tenta di individuare una soluzione regolamentando gli affitti brevi. Tale proposta di intervento normativo, tuttavia, non ha incontrato il favore delle associazioni competenti del mondo immobiliare e turistico, i quali affermano che sia lesiva sul piano del diritto di proprietà.
La partita sul tema resta ancora aperta e nell’articolo si analizzano i punti principali e le critiche della proposta di legge.
SAPG è uno studio legale internazionale con solide basi tradizionali orientato alla continua innovazione