Nell’ambito delle attività di consulenza e allineamento delle imprese ai principi del GDPR ci si imbatte, ormai quasi sempre, nella generalizzata disarmonia dell’organico del personale con il sistema di autorizzazioni ben delineato dal Regolamento Europeo.
Affrontare e disciplinare i ruoli all’interno delle imprese per riformare l’intero sistema privacy aziendale è senz’altro prioritario.
I compiti e le funzioni connessi al trattamento di dati personali sono attribuiti a persone fisiche, espressamente designate ed autorizzate, che operano sotto l’autorità della Titolare del Trattamento. In occasione di una nuova assunzione, l’ufficio risorse umane autorizza il dipendente, con apposita lettera, al trattamento dei dati personali impartendo le istruzioni necessarie, formando il neo assunto e consegnando allo stesso, ove presente, un disciplinare sul corretto utilizzo degli assets aziendali.
Il singolo soggetto designato potrà trattare i dati personali nei limiti delle finalità relative al ruolo allo stesso assegnato all’interno dell’unità organizzativa di appartenenza. Tali autorizzazioni sono rese conoscibili a tutti i dipendenti tramite consultazione del registro dei trattamenti. L’assegnazione formalizzata del dipendente ad altro ruolo aziendale, comporterà la conseguente assunzione delle autorizzazioni riferibili al nuovo incarico; detto meccanismo consente di individuare tempo per tempo i soggetti designati del trattamento e l’ambito dei dati loro accessibili nel rispetto di quanto previsto dalla normativa.
Nel rispetto del principio di accountability sancito dal GDPR, all’assunzione di un nuovo dipendente, l’ufficio risorse umane provvede a consegnare al dipendente le istruzioni in materia di privacy e data protection, nonché tutte le istruzioni utili per lo svolgimento delle operazioni di trattamento, anche mediante l’affiancamento di personale di esperienza.
Prima dell’abilitazione dei privilegi connessi alle applicazioni pertinenti al trattamento affidatogli, il dipendente deve, da ultimo, prendere visione dei trattamenti di dati personali a lui affidati dall’ufficio di appartenenza e censiti all’interno del Registro dei trattamenti.
Abilitazione ed eventuale disattivazione di privilegi e applicazioni.
Il Responsabile dell’area nella quale viene inserito il nuovo incaricato, in ragione dell’assunzione o del cambio di mansioni, richiede all’ufficio ICT, seguendo le procedure previste all’interno del Regolamento ICT, l’attribuzione dei privilegi connessi alle applicazioni comprese nel trattamento affidato all’incaricato.
Conseguentemente, nell’ipotesi di cambio di mansioni, l’ufficio ICT provvede alla disattivazione degli accessi alle applicazioni connesse ai trattamenti eseguiti in precedenza.
Il dipendente svolge l’attività lavorativa assegnatagli entro il perimetro stabilito ed effettua i trattamenti previsti per le mansioni allo stesso affidate. I trattamenti saranno gli stessi o un sottoinsieme di quelli effettuati dalla funzione sulla base di quanto definito a livello di Registro dei trattamenti.
Durante il periodo di svolgimento dell’attività lavorativa, il dipendente è tenuto a frequentare le attività di formazione pianificate dal Titolare del Trattamento
In base agli obblighi di legge posti dalla normativa vigente privacy, nonché in ragione delle necessità aziendali derivanti da un’analisi dei fabbisogni formativi, il Titolare del Trattamento provvede a pianificare le attività di formazione.
Il dipendente è tenuto a seguire i corsi di formazione e a sostenere (laddove previsti) test di verifica dell’apprendimento al termine di ciascun corso. La funzione delegata dal Titolare raccoglie i test di verifica svolti dai dipendenti e ne analizza i risultati al fine di valutare l’efficacia del piano delle attività formative a fronte del livello di apprendimento dimostrato dai dipendenti.
Anche l’interruzione del posto di lavoro va ben disciplinata, comportando la revoca dell’autorizzazione al trattamento dei dati del soggetto interessato.
L’ufficio ICT si occuperà, quindi, della disattivazione dell’accesso alle applicazioni connesse alle operazioni di trattamento precedentemente poste in essere dal dipendente cessato dal soggetto designato. La funzione delegata dal Titolare provvede ad aggiornare il database in cui sono registrate le associazioni dei dipendenti con i corrispondenti trattamenti a loro affidati.