GDPR - Tutela dati personali

Decreto Trasparenza: novità per le aziende

L’entrata in vigore del Decreto Trasparenza rafforza ed amplia il raggio d’azione del GDPR e introduce importanti novità per le imprese dal punto di vista informativo e sanzionatorio. 

Il Decreto Trasparenza, in vigore dal 13 agosto 2022, interviene nella legislazione italiana a rafforzare ed ampliare il raggio di azione della normativa GDPR, con novità sul fronte organizzativo, informativo e sanzionatorio. A queste novità si aggiungono gli impegni presi dall'Unione europea con la Dichiarazione europea sui diritti e principi digitali del 15 dicembre 2022, che assume una serie di impegni anche in materia di privacy e tutela dei dati personali.

Decreto Trasparenza: quali conseguenze sulla privacy?

Il D.Lgs. 104/22, cosiddetto Decreto trasparenza, è entrato in vigore in attuazione della direttiva UE 2019/1152 relativa a condizioni di lavoro trasparenti e prevedibili nell'Unione europea. É dunque intervenuto per aggiornare e ampliare gli obblighi dei datori di lavoro in merito alle informative da fornire ai lavoratori. Il che ha comportato una serie di novità su diversi fronti:

  • organizzazione aziendale;
  • gestione del rapporto di lavoro fin dal momento dell'assunzione;
  • adempimenti in materia di GDPR e dunque di privacy.

Ci interesseremo dunque di quest'ultimo punto, osservando in che modo la nuova normativa si sposi con quella preesistente sulla GDPR e rilevando chi è pronto all'adeguamento e chi deve fare uno sforzo aggiuntivo. Innanzitutto è il Decreto Trasparenza stesso a fare esplicito richiamo alla normativa europea sulla privacy, dal momento che richiede al datore di lavoro, e titolare del trattamento, di integrare con le nuove previsioni di legge gli adempimenti già previsti dalla GDPR.
La prima novità riguarda l'aggiornamento del registro del trattamento e dell'informativa, poiché occorre inserire le "istruzioni per il lavoratore in merito alla sicurezza dei dati". Informazioni che però sono già richieste dalla normativa GDPR, che recita: "l’esistenza di un processo decisionale automatizzato, compresa la profilazione [...] informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato."
La sovrapposizione fra le tue normative rende dunque ancora più stringente la necessità di adeguarsi sotto ogni punto di vista:

  • informativo, con la definizione della policy interna;
  • organizzativo, attraverso la nomina del soggetto designato o autorizzato;
  • formativo, con l'aggiornamento del personale in materia di protezione dei dati.

 

GDPR: valutazione d'impatto

Un altro aspetto che il Decreto Trasparenza fa tornare alla ribalta e ribadisce come fondamentale è il Data Protection Impact Assessment (DPIA), la cosiddetta valutazione d'impatto, con l'obiettivo imposto di: "verificare che gli strumenti utilizzati per lo svolgimento della prestazione lavorativa siano conformi." Conformi alla normativa GDPR, in sostanza.
Anche in questo caso il nuovo decreto fa richiamo agli obblighi delle norme europee sulla privacy e invita le organizzazioni ad adeguarsi ad essa, senza indugiare ancora.
La valutazione di impatto, peraltro, può rappresentare un importante passaggio culturale nel caso in cui le organizzazioni incomincino a vederla come un investimento per monitorare e mitigare il rischio, anziché un mero obbligo di legge finalizzato ad evitare di essere sottoposte a sanzioni pecuniarie e amministrative.
Le informazioni e gli aggiornamenti richiesti, inoltre, devono essere comunicati a lavoratori e rappresentanze sindacali: "in modo trasparente, in formato strutturato, di uso comune e leggibile da dispositivo automatico."
Si richiedono quindi chiarezza e fruibilità delle informazioni prodotte, in modo che siano effettivamente utilizzabili dai destinatari per acquisirne consapevolezza.

 

Sanzioni: circolare INL 4/2022

Sul fronte sanzionatorio, elemento fondamentale poiché incide sulle casse delle organizzazioni in caso di mancato rispetto degli adempimenti richiesti, è intervenuta la circolare dell’INL n. 4/2022.
Il documento chiarisce che: "la violazione degli obblighi [...] è punita con la sanzione amministrativa pecuniaria da euro 250 a euro 1.500 per ogni lavoratore interessato."
Rispetto a questa tipologia di violazione trova inoltre applicazione la procedura di diffida di cui all’art. 13 del D.Lgs. 124/2004 e che le stesse violazioni si realizzano allo scadere dei termini previsti (7 giorni o un mese) in relazione alla tipologia delle informazioni omesse.
Le sanzioni, poi, vanno applicate per ciascun mese in cui il lavoratore svolga la propria attività in violazione degli obblighi informativi in esame da parte del datore di lavoro o del committente. La sanzione pecuniaria prevista va da 100 a 750 euro "per ciascun mese di riferimento".
Si tratta di una sanzione per fasce cosicché se la violazione si riferisce a più di cinque lavoratori la sanzione amministrativa è da 400 a 1.500 euro. Se invece la violazione si riferisce a più di dieci lavoratori, la sanzione va da 1.000 a 5.000 euro e non è ammesso il pagamento in misura ridotta e pertanto neanche la procedura di diffida.
Infine, se la comunicazione delle medesime informazioni e dati non viene effettuata anche alle rappresentanze sindacali aziendali ovvero alla rappresentanza sindacale unitaria o, in loro assenza, alle sedi territoriali delle associazioni sindacali comparativamente più rappresentative sul piano nazionale, trova applicazione una sanzione amministrativa pecuniaria, anch’essa diffidabile, da 400 a 1.500 euro per ciascun mese in cui si verifica l’omissione.

Dichiarazione europea sui diritti e principi digitali

Nel contesto normativo di riferimento fin qui illustrato, si innesta anche la recente Dichiarazione europea sui diritti e principi digitali, firmata e pubblicata il 15 dicembre 2022, che illustra l'impegno dell'UE a favore di una trasformazione digitale sicura e sostenibile, che ponga le persone al centro, in linea con i valori fondamentali e i diritti fondamentali dell'UE.
Ursula von der Leyen, Presidente della Commissione europea, ha dichiarato: "La firma della dichiarazione europea sui diritti e i principi digitali rispecchia il nostro obiettivo comune di una trasformazione digitale che metta al primo posto le persone. I diritti contemplati dalla nostra dichiarazione sono garantiti a tutti i cittadini dell’UE sia online che offline. Inoltre i principi digitali sanciti nella dichiarazione orienteranno il nostro lavoro su tutte le nuove iniziative."
Tra le previsioni della dichiarazione, ne rileviamo due che sono legate a doppio filo con la normativa GDPR:

  • un ambiente digitale sicuro per i bambini;
  • il controllo di come vengono utilizzati i dati personali e con chi sono condivisi.

La firma della dichiarazione europea sui diritti e i principi digitali rappresenta l'impegno comune di Stati membri e Unione europea nella promozione e attuazione dei principi enunciati e nel conseguimento degli obiettivi della bussola per il digitale 2030.
Il documento è volto ad orientare i lavori del programma strategico per il decennio digitale, dunque del meccanismo di monitoraggio e cooperazione per conseguire gli obiettivi digitali comuni per la fine degli anni '20. Per non lasciare la dichiarazione lettera morta e consentire che produca effetti tangibili, la Commissione europea si impegna a monitorare gli stati di avanzamento e a produrre la relazione annuale sullo stato del decennio digitale.
Infine la dichiarazione rappresenterà la guida per l’UE nelle sue relazioni internazionali in tema di trasformazione digitale.

 

Adeguamento semplice per chi è GDPR compliant

Gli obblighi in merito alla privacy si sovrappongano quindi tra GDPR e Decreto Trasparenza, con quest'ultimo a rafforzarne obblighi e impianto sanzionatorio.
Questo comporta un evidente vantaggio in termini di compliance per le organizzazioni che si sono dotate di struttura informativa e organizzativa pressoché perfettamente adeguata alla GDPR. L'ulteriore adeguamento al Decreto Trasparenza è allora operazione semplice quanto immediata, dal momento che occorre soltanto allinearsi all'aggiornamento documentale richiesto.
Inoltre nelle aziende in cui è stato nominato e opportunamente formato il Data Protection Officer (DPO), questo soggetto ricoprirà un ruolo strategico nella valutazione delle iniziative da porre in essere. Questo perché proprio la GDPR impone tra le mansioni del DPO quelle di monitoraggio della normativa vigente e attività di adeguamento al fine di rispettare la normativa in materia di protezione dei dati personali.

COMPILA IL MODULO PER RICHIEDERE INFORMAZIONI