Istruzioni ai collaboratori ma la responsabilità resta sempre al titolare
Anche in una piccola organizzazione è difficile che il titolare riesca a trattare i dati da solo, senza ricorrere alla collaborazione di altri soggetti. Certo il regolamento Ue, a differenza del vecchio Codice privacy, non prevede espressamente la figura degli “incaricati” del trattamento. Ma la spiegazione va piuttosto ricercata nell’aspettativa del legislatore europeo di un’applicazione della disciplina più sostanziale che formale. Il tema, infatti, a ben guardare, è affrontato e risolto dall’articolo 29 che precisa: «Chiunque agisca sotto l’autorità del Titolare o del responsabile…non può trattare dati se non è istruito».
Le istruzioni
Sarà bene fornire indicazioni per iscritto e tracciare il momento in cui sono state date, con un passaggio formativo, per sottolinearne senso e portata. Nelle istruzioni vanno riportati i principi generali che attengono alla materia e quindi la riservatezza, la diligenza nel trattare i dati, la “minimizzazione” secondo cui i dati vanno trattati e raccolti solo se ciò è strettamente necessario per il raggiungimento della finalità perseguita, nonché la pertinenza e la non eccedenza. Ciascuno, ovviamente, riceverà le istruzioni in relazione al trattamento che svolge: quello eseguito da una risorsa di segreteria sarà in parte diverso da quello svolto da un assistente e quindi ciascuno sarà formato tenendo conto dell’ambito di trattamento.
Con le istruzioni e la formazione che riceverà, il collaboratore (che anche con il Regolamento potremmo definire “incaricato” se lo preferiamo), diventerà il braccio consapevole e operativo del titolare o del responsabile che, comunque, risponderanno del trattamento eseguito nei confronti degli interessati e dell’Autorità garante. Da questo momento, il collaboratore avrà le capacità e la sensibilità per valutare che il trattamento si svolga nel rispetto dei diritti e delle garanzie verso l’interessato e avrà sempre cura di verificare che lo stesso sia stato informato e che il dato venga adeguatamente conservato e, raggiunta la finalità, cancellato nel rispetto di quanto indicato nel Registro.
Dati particolari
In questa categoria rientrano i dati relativi alla salute o quelli relativi a condanne penali o reati nonché le altre tipologie che il Codice privacy archiviato definiva come sensibili. Per questi dati le istruzioni dovranno prevedere che sia prestata la maggior cautela che la stessa delicatezza delle informazioni comporta e quindi ancora più diligenza nel tenerli riservati e non divulgarli.
La dotazione tecnologica
Il titolare dovrà fornire a tutti i collaboratori indicazioni in relazione all’uso delle stazioni di lavoro (i singoli Pc, siano essi fissi o portatili), e agli smartphone (che per molti professionisti costituiscono uno strumento di lavoro al pari di un tradizionale computer). Andranno anche indicati i sistemi di autenticazione (user id e password) e di archiviazione dei dati; andranno, altresì, illustrati i principi che regolano l’utilizzo della posta elettronica e quello di Internet che, come strumenti esclusivamente di lavoro, consentiranno al Titolare di poter effettuare i cosiddetti controlli datoriali, nel rispetto delle regole dettate dallo Statuto dei lavoratori.