Il Covid ha imposto una revisione delle modalità di gestione della privacy GDPR e della tutela dei dati personali in azienda, che coinvolgono il personale dipendente, le nuove modalità di svolgimento in remoto del lavoro, la gestione e la protezione da violazione dei dati sensibili degli utenti.
I diversi DPCM e le misure emanate dal Governo durante il Lockdown imposte dall’emergenza sanitaria Covid hanno messo a dura prova e determinato cambiamenti non previsti nel trattamento dei dati personali in ambito sanitario, lavorativo, pubblico, privato.
Ecco perché le imprese sono chiamate ad adottare l’adeguamento necessario delle norme che regolano la privacy in azienda e a impedire violazione della privacy in azienda, perché:
- sono cambiati i rapporti con i dipendenti con l’adozione dello smart working e del lavoro a distanza;
- sono cambiati i rapporti con i propri clienti e fornitori con le nuove modalità di offerta online dei servizi e prodotti, per la consegna a domicilio per esempio, oppure per la prenotazione dell’asporto, oppure per l’adozione di piattaforme online per l’erogazione di servizi come il rilascio di documenti, relazioni, ricette di prescrizione di farmaci, visite e prestazioni sanitarie;
- sono cambiate le modalità di incontro collettivo per motivi di lavoro con svolgimento di videoconferenze per trattare materie legali o incontri pubblici e aziendali o esami a scuola.
Insomma, tutto l’intero modo di concepire l’erogazione di prestazione di servizi e la fornitura di prodotti offline è stato stravolto dalla necessità imposta dal Covid di doverli concepire obbligatoriamente online.
La privacy in azienda e le modifiche al trattamento dati personali imposte dalle misure di contenimento e prevenzione del Covid
Tra le misure di maggiore impatto sulla gestione della privacy in azienda e del trattamento dei dati ci sono:
- i controlli dei lavoratori e collaboratori all’ingresso dei luoghi di lavoro per la verifica dello stato di salute;
- la verifica della provenienza o meno da zone di contagio;
- la nuova organizzazione del lavoro nei luoghi di svolgimento;
- le nuove modalità di svolgimento del lavoro in remoto, online, e smart working.
Le nuove criticità post Covid nella gestione in azienda della privacy e delle nuove tipologie dei dati personali e il conseguente adeguamento della compliance GDPR
Alcuni esempi:
Durante la permanenza sul luogo di lavoro, il datore di lavoro potrebbe venire in contatto con alcuni dati personali particolari del dipendente, nel caso questi ravvisi una sintomatologia compatibile con l’infezione da Covid-19. Oppure, la necessità di prendere in considerazione e organizzare forme di svolgimento del lavoro da remoto per limitare le occasioni di contagio come smart working e lavoro a distanza. In casi come questi, il trattamento di questi dati dev’essere garantito e gestito ai sensi delle norme del GDPR per cui nascono alcune nuove necessità:
- obbligo di fornire agli interessati una specifica informativa chiara, precisa e circostanziata sulle finalità del trattamento;
- modalità e durata del trattamento in questione;
- conformità con i principi di necessità, adeguatezza e proporzionalità del trattamento medesimo;
- adozione delle policy BYOD per la regolamentazione dell’utilizzo dei device, software, computer, dispositivi elettronici privati;
- adozione dei necessari dispositivi di sicurezza online ovvero per garantire la cyber security e risk management dei dati e delle informazioni dell’azienda durante l’uso di tecnologie, dispositivi e device privati;
- adeguamento del registro dei trattamenti;
- redazione e adozione degli accordi con le parti sociali per regolare le modalità di svolgimento dello smart working;
- adozione delle modalità di controllo della produzione, delle mansioni affidate e del lavoro svolto a distanza, anche prima di aver stilato gli accordi con le parti sociali, ovviamente nel pieno rispetto della privacy del lavoratore;
- garantire regole e modalità tecniche per l’accesso in sicurezza degli smart workers alla rete aziendale;
- adeguare i sistemi di gestione data breach e violazione dei dati;
- adeguamento delle disposizioni delle compliance aziendali del GDPR per la gestione dei dati personali dei clienti o dei dipendendenti al di fuori dei locali dell’azienda.
Adeguamento della compliance GDPR e i nuovi ruoli del Responsabile della Protezione dei Dati (RPD) e del Responsabile della Privacy in Azienda
Le modifiche alla compliance GDPR imposte dal Covid impongono nuove modalità di gestione della privacy e del controllo del datore di lavoro e investono i ruoli delle figure aziendali preposte alla tutela dei dati, come il Responsabile della Protezione dei Dati (RPD).
Le imprese devono coinvolgere il Responsabile della Protezione dei Dati (RPD) nella rivalutazione del Privacy Impact Assessment, dell’adeguatezza ai sensi dell’art. 32 del GDPR delle misure tecnico-organizzative e di sicurezza del lavoro a distanza, verificando, integrando e portando a conoscenza dei dipendenti di tutte le modifiche e delle innovazioni imposte dalle nuove modalità di lavoro. Inoltre, l’RPD ha una funzione non derogabile rispetto alla privacy compliance aziendale. Deve, per esempio, fornire al Titolare dell’impresa le informazioni pertinenti per la progettazione e il coordinamento dei nuovi flussi di dati che si rendano necessari o opportuni ed esercitare l’attività di vigilanza sulla loro regolare gestione. Infine, il Titolare e il Responsabile del Trattamento dei Dati devono cooperare per adeguare gli strumenti organizzativi di contenimento del contagio conformemente alla normativa in materia di trattamento dei dati personali.
Conclusioni
Può sembrare che le nuove norme siano l’ennesimo impiccio per lo sviluppo del business dell’azienda. Tuttavia, proprio il RPD dev’essere considerato una risorsa per organizzare e pianificare la ripresa del business e la riconquista del mercato, magari proprio con quei nuovi strumenti informatici di trattamento di dati personali che oggi la tecnologia offre. Un’altra opportunità è data dalla riorganizzazione dei servizi, pensiamo ad esempio allo smart working e alle possibilità di razionalizzazione dei costi del lavoro o dei costi di mantenimento delle sedi e delle postazioni aziendali.
Il mutato contesto sociale determinato dal Covid impone la riorganizzazione aziendale sotto molteplici aspetti, per esempio, per il Titolare dell’azienda potrebbe rendersi necessario nuova verifica dei presupposti che rendono obbligatoria, ai sensi del GDPR, la nomina di un RPD. In un così delicato contesto, pertanto, le imprese dovranno opportunamente organizzarsi per far fronte al cambiamento, senza mai perdere di vista la privacy compliance anche nell’eventuale ri-progettazione delle proprie attività.
Lo Studio Legale Damiani&Damiani ti offre uno staff di avvocati esperti per la compliance GDPR. Vai alla sezione del sito. Troverai info su Data Breach – DPO – Smart Working. Compila il Form ed entra in contatto con lo studio D&D per la consulenza online
