POLICY E REGOLAMENTI INTERNI

NORMATIVA

Mostra

  • GDPR – art. 24, C74, C78

Articolo 24

Responsabilità del titolare del trattamento

1. Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.

2. Se ciò è proporzionato rispetto alle attività di trattamento, le misure di cui al paragrafo 1 includono l’attuazione di politiche adeguate in materia di protezione dei dati da parte del titolare del trattamento.

3. L’adesione ai codici di condotta di cui all’articolo 40 o a un meccanismo di certificazione di cui all’articolo 42 può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento.

Considerando 74

È opportuno stabilire la responsabilità generale del titolare del trattamento per qualsiasi trattamento di dati personali che quest’ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto. In particolare, il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l’efficacia delle misure. Tali misure dovrebbero tener conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche.

Considerando 78

La tutela dei diritti e delle libertà delle persone fisiche relativamente al trattamento dei dati personali richiede l’adozione di misure tecniche e organizzative adeguate per garantire il rispetto delle disposizioni del presente regolamento. Al fine di poter dimostrare la conformità con il presente regolamento, il titolare del trattamento dovrebbe adottare politiche interne e attuare misure che soddisfino in particolare i principi della protezione dei dati fin dalla progettazione e della protezione dei dati per impostazione predefinita. […]

POLICY INTERNE

Mostra

  • PERCHÉ ADOTTARE DELLE POLICY

I regolamenti aziendali (policy) sono i documenti con i quali l’azienda datore di lavoro istruisce il personale sui comportamenti corretti da tenere. Ad esempio, negli anni recenti il ricorso a policy aziendali relative al corretto utilizzo degli strumenti informatici è sempre più frequente e rilevante per proteggere le informazioni patrimonio dell’organizzazione aziendale.

Il Titolare del trattamento stabilisce quali regolamenti adottare e, periodicamente, ne verifica la corretta applicazione e l’aggiornamento. Si può anche notare che “l’adozione da parte dell’azienda di una regolamentazione aziendale aggiuntiva trova la sua legittimazione dalla previsione civilistica di cui agli artt. 2104 e 2015 c.c.” (C. Ciccia Romito, “Il GDPR nella micro, piccola e media impresa”, Giuffrè Francis Lefevbre – Milano 2021).

L’osservanza del principio di accountability, che guida il GDPR, impone al Titolare di dimostrare che il trattamento è effettuato conformemente ai principi del Regolamento tramite misure “tecniche ed organizzative” (art. 24 GDPR). Anche l’art. 32 del GDPR richiama la necessità per il Titolare (e per il Responsabile) di adottare “procedure per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche ed organizzative al fine di garantire la sicurezza del trattamento” ed impone di istruire “chiunque agisca sotto la loro autorità e abbia accesso ai dati personali”. L’istruzione deve necessariamente passare attraverso regolamenti interni e sessioni di formazione.

Una attenzione particolare va posta nella redazione dei regolamenti relativi all’utilizzo degli strumenti informatici che, in generale, permettono di tracciare le attività degli utenti con conseguente possibilità di monitoraggio del datore di lavoro sulle attività del lavoratore (art. 4 dello Statuto dei Lavoratori). I regolamenti dovranno tenere conto del divieto a tale monitoraggio.

  • QUALI POLICY ADOTTARE?

A seconda dell’organizzazione del Titolare del trattamento, si potranno considerare regolamenti più o meno specifici. Nelle organizzazioni più semplici potrà essere sufficiente una politica generale su trattamento dei dati personali, nelle organizzazioni più ramificate potrebbero essere utili regolamenti specifici, ad esempio, sui seguenti argomenti:

  • Policy per la tenuta del registro dei trattamenti

  • Policy per l’analisi dei rischi di trattamento e la valutazione di impatto

  • Policy per la gestione dei data breach

  • Policy per la gestione dei diritti degli interessati

  • Policy per la redazione di “informative” e per la gestione dei consensi

  • Policy per l’uso di strumenti e servizi informatici aziendali

  • Policy per il trattamento tramite documentazione cartacea o a voce

  • Policy per l’attuazione dei principi di data protection by design e data protection by default

  • Policy per la conservazione e l’eliminazione dei dati personali

  • Policy per le attività promozionali e la presenza su Internet

  • Social media policy (regolamento sulla presenza dei dipendenti sui social network)