A cura di Sofia Telese – Avvocato & Privacy Officer
Una violazione privacy da parte di un lavoratore dipendente durante lo svolgimento delle proprie mansioni comporta, a carico dello stesso, effetti pregiudizievoli sia in relazione al GDPR sia in materia giuslavoristica. Tuttavia, al fine di scongiurare di tali eventi, sussistono degli obblighi e adempimenti in capo al datore di lavoro per gestire l’attività dei dipendenti/collaboratori.
Date le gravi implicazioni connesse alla violazione della privacy in ambito aziendale (sia per le conseguenze dannose in capo ai soggetti interessati a cui i dati personali violati si riferiscono che per la rilevanza sotto il profilo disciplinare e risarcitorio in capo al dipendente autore della violazione), viene richiesta al datore di lavoro, nella sua qualità di titolare del trattamento, l’adozione di adeguate misure tecniche ed organizzative volte a disciplinare, informare e formare il personale che, nell’esercizio dei propri compiti, tratta dati personali.
ADEMPIMENTI DEL TITOLARE DEL TRATTAMENTO
Per il principio dell’accountability, il datore di lavoro – come anche precisato dal Garante per la protezione dei dati personali – al fine di assicurare un trattamento legittimo di dati personali, deve garantire:
- locali ove si svolge il trattamento dei dati opportunamente protetti da intrusioni da parte di soggetti non autorizzati;
- comunicazioni aziendali realizzate con modalità volte ad escludere l’indebita conoscenza dei dati ad opera di soggetti terzi ed in ogni caso non specificamente autorizzati;
- istruzioni chiare e precise circa l’osservanza del principio di riservatezza e segretezza, anche con riguardo ad altri dipendenti del medesimo datore di lavoro che non siano stati espressamente autorizzati al trattamento.
Inoltre, è onere del Titolare del trattamento adottare nei confronti dei propri incaricati al trattamento misure tecnico-organizzative adeguate alla specifica realtà aziendale di riferimento ed alla categoria di dati personali trattati e, in particolare, realizzare lettere di incarico specifiche per il ruolo e la mansione ricoperta dall’incaricato, individuando in maniera puntuale il perimetro del trattamento autorizzato nonché specifiche istruzioni operative vincolanti. Gli incarichi dovranno essere redatti in forma scritta e firmata dallo stesso per accettazione.
Gli incaricati al trattamento dovranno anche ricevere e sottoscrivere un regolamento aziendale per conoscere le direttive del Titolare circa il corretto utilizzo degli strumenti informatici, dei dispositivi aziendali, della posta elettronica e della rete internet al fine di codificare le regole comportamentali.
Il Titolare dovrà altresì programmare, in maniera costante nel tempo, un’adeguata formazione in materia di corretto trattamento dei dati personale. L’obbligatorietà di tale adempimento è precisata sia all’art. 29 che all’art. 39 del Regolamento europeo.
Infine, il Titolare dovrà attuare idonee misure di sicurezza onde evitare una indebita conoscenza o conoscibilità dei dati personali da parte di dipendenti non espressamente autorizzati o comunque trattati per finalità diverse da quelle aziendali.
È QUINDI FONDAMENTALE PER LE AZIENDE SVILUPPARE LA PROPRIA “RESILIENZA OPERATIVA” ATTRAVERSO LA CREAZIONE DI PROCESSI E SISTEMI IN GRADO DI ANTICIPARE E PREVENIRE LE MINACCE
anche attraverso l’individuazione delle vulnerabilità della propria organizzazione, al fine di garantire, in caso di attacco, una rapida ripresa dell’operatività con riduzione al minimo dei danni subiti. Il primo passo verso la “resilienza operativa” è il CYBER SECURITY ASSESSMENT: attività di verifica e di analisi della resilienza degli asset informatici aziendali e dell’adeguatezza dei controlli di sicurezza nei confronti delle minacce che i nostri specialisti effettuano seguendo la metodologia proposta dal Framework Nazionale per la Cybersecurity e la Data Protection (adottato dalla Direttiva NIS (UE) 2016/1148), ispirato al Cyber Security Framework del NIST ed alla norma ISO:IEC 27001.
Chiamaci ora: 0541 1798723A cura di Sofia Telese – Avvocato & Privacy Officer
Una violazione privacy da parte di un lavoratore dipendente durante lo svolgimento delle proprie mansioni comporta, a carico dello stesso, effetti pregiudizievoli sia in relazione al GDPR sia in materia giuslavoristica. Tuttavia, al fine di scongiurare di tali eventi, sussistono degli obblighi e adempimenti in capo al datore di lavoro per gestire l’attività dei dipendenti/collaboratori.
Date le gravi implicazioni connesse alla violazione della privacy in ambito aziendale (sia per le conseguenze dannose in capo ai soggetti interessati a cui i dati personali violati si riferiscono che per la rilevanza sotto il profilo disciplinare e risarcitorio in capo al dipendente autore della violazione), viene richiesta al datore di lavoro, nella sua qualità di titolare del trattamento, l’adozione di adeguate misure tecniche ed organizzative volte a disciplinare, informare e formare il personale che, nell’esercizio dei propri compiti, tratta dati personali.
ADEMPIMENTI DEL TITOLARE DEL TRATTAMENTO
Per il principio dell’accountability, il datore di lavoro – come anche precisato dal Garante per la protezione dei dati personali – al fine di assicurare un trattamento legittimo di dati personali, deve garantire:
- locali ove si svolge il trattamento dei dati opportunamente protetti da intrusioni da parte di soggetti non autorizzati;
- comunicazioni aziendali realizzate con modalità volte ad escludere l’indebita conoscenza dei dati ad opera di soggetti terzi ed in ogni caso non specificamente autorizzati;
- istruzioni chiare e precise circa l’osservanza del principio di riservatezza e segretezza, anche con riguardo ad altri dipendenti del medesimo datore di lavoro che non siano stati espressamente autorizzati al trattamento.
Inoltre, è onere del Titolare del trattamento adottare nei confronti dei propri incaricati al trattamento misure tecnico-organizzative adeguate alla specifica realtà aziendale di riferimento ed alla categoria di dati personali trattati e, in particolare, realizzare lettere di incarico specifiche per il ruolo e la mansione ricoperta dall’incaricato, individuando in maniera puntuale il perimetro del trattamento autorizzato nonché specifiche istruzioni operative vincolanti. Gli incarichi dovranno essere redatti in forma scritta e firmata dallo stesso per accettazione.
Gli incaricati al trattamento dovranno anche ricevere e sottoscrivere un regolamento aziendale per conoscere le direttive del Titolare circa il corretto utilizzo degli strumenti informatici, dei dispositivi aziendali, della posta elettronica e della rete internet al fine di codificare le regole comportamentali.
Il Titolare dovrà altresì programmare, in maniera costante nel tempo, un’adeguata formazione in materia di corretto trattamento dei dati personale. L’obbligatorietà di tale adempimento è precisata sia all’art. 29 che all’art. 39 del Regolamento europeo.
Infine, il Titolare dovrà attuare idonee misure di sicurezza onde evitare una indebita conoscenza o conoscibilità dei dati personali da parte di dipendenti non espressamente autorizzati o comunque trattati per finalità diverse da quelle aziendali.
È QUINDI FONDAMENTALE PER LE AZIENDE SVILUPPARE LA PROPRIA “RESILIENZA OPERATIVA” ATTRAVERSO LA CREAZIONE DI PROCESSI E SISTEMI IN GRADO DI ANTICIPARE E PREVENIRE LE MINACCE
anche attraverso l’individuazione delle vulnerabilità della propria organizzazione, al fine di garantire, in caso di attacco, una rapida ripresa dell’operatività con riduzione al minimo dei danni subiti. Il primo passo verso la “resilienza operativa” è il CYBER SECURITY ASSESSMENT: attività di verifica e di analisi della resilienza degli asset informatici aziendali e dell’adeguatezza dei controlli di sicurezza nei confronti delle minacce che i nostri specialisti effettuano seguendo la metodologia proposta dal Framework Nazionale per la Cybersecurity e la Data Protection (adottato dalla Direttiva NIS (UE) 2016/1148), ispirato al Cyber Security Framework del NIST ed alla norma ISO:IEC 27001.
Chiamaci ora: 0541 1798723