MOP: l’importanza di una solida architettura del modello organizzativo privacy in azienda sin dall’instaurazione del rapporto di lavoro
Dall’entrata in vigore del Regolamento Europeo 2016/679 i soggetti sottoposti alla sua applicazione si sono trovati a dover adeguare i processi gestionali relativi ai dati personali trattati, sia degli interessati esterni alla realtà aziendale sia ai dati dei propri dipendenti e collaboratori. Dal maggio 2018 si è assistito, infatti, ad una convulsa ed improduttiva corsa all’ottenimento del miglior modulo per l’informativa privacy o all’acquisto di software nel tentativo di eliminare il costo del data protection officer (DPO o RPD), avendo al contempo un completo formulario per adeguare la documentazione aziendale; con totale travisamento delle finalità (e degli adempimenti, non solo e non tanto formali) previsti dal Regolamento. Da tale data ci si è trovati davanti a quella che da molti è stata definita come una burocratizzazione degli adempimenti privacy, alla stregua di quanto accaduto con l’introduzione della normativa antiriciclaggio (D.lgs. 231/2007 e s.m.i.).
Tali adempimenti in ambito HR, e la connessa data protection, devono essere applicati e trasposti nell’organizzazione aziendale in maniera precisa, completa nonché “sartoriale” adattando la nuova normativa alla concreta realtà non potendo – come purtroppo accaduto a vari livelli – applicare modelli previsti per le multinazionali alle piccole e medie imprese.
Ogni realtà ha necessità di una propria modulistica e di protocolli (o regolamenti) interni da predisporre per poter essere da un lato effettivamente compliant e, dall’altro lato, evitare di cadere nell’eccesso di “burocratizzazione”, inutile e controproducente.
Questo tipo di organizzazione trova la sua massima realizzazione nei modelli organizzativi privacy (MOP) che, alla stregua di come già avviene in altri ambiti (es. Modelli Organizzativi di Gestione e Controllo ex D.lgs. 231/2001) permettono di regolare e definire la struttura aziendale, nonché inserire la gestione dei dati personali in adempimenti automatizzati (privacy by design) che a loro volta attivano correttivi (privacy by default) in caso di necessità (data breach e data security).
Con riguardo alla privacy nella gestione del personale, l’instaurazione del rapporto di lavoro prevede, già nella fase prodromica dell’assunzione, molteplici adempimenti che se previsti ed inseriti all’interno del MOP consentiranno una fluida e conforme gestione dei dati riguardanti il personale, sin dall’avvio del rapporto di lavoro.
Si pensi, ad esempio, all’importanza di autorizzare un dipendente o collaboratore ad un particolare trattamento in base al ruolo ricoperto all’interno dell’azienda. Questo adempimento è previsto dal regolamento all’art. 4, n. 10 ed è già noto al nostro ordinamento essendo simile alla figura dell’ex incaricato del trattamento ex art. 30, D.lgs. 196/2003, seppur oggi abrogato dal decreto di armonizzazione.
Dunque, la designazione di persona autorizzata al trattamento consentirà, da un lato, di tutelare i dati personali degli interessati; dall’altro di poter legittimare l’esercizio del potere disciplinare datoriale nel caso si verificasse un data breach e si rinvenisse una responsabilità dell’incaricato interno (dipendente) per trattamento difforme rispetto alle istruzioni ricevute in sede di designazione.
La nomina della persona autorizzata al trattamento non presenta connotati di obbligatorietà (espressa) rispetto ad altre designazioni, previste nel regolamento e necessarie al verificarsi di determinate situazioni, ma è caldamente consigliata. Infatti, se processata nella maniera corretta consentirà al datore di lavoro di avere ben chiara la collocazione del lavoratore nell’organigramma privacy, potrà facilmente organizzare l’infrastruttura informatica insieme all’Amministratore di sistema rilasciando le credenziali di accesso correlate al ruolo aziendale e gestire in maniera ottimale i controlli ispettivi ad opera dell’Autorità Garante o delle autorità ausiliari del GPDP.