“Quando un errore è commesso da molti resta impunito”. (Marco Anneo Lucano)
Quando parliamo di GDPR, cioè di privacy dei dati personali, tutto diventa più delicato e richiede la maggiore attenzione possibile.
Il GDPR. quale documento europeo, prevede delle figure specifiche, quali Il titolare dei dati, il responsabile e il Data Protection Officer DPO; tra le figure però non prevede espressamente l’incarico al trattamento dei dati.
La normativa italiana invece introduce espressamente la figura del soggetto designato, cioè quella persona che sotto il diretto controllo del titolare del trattamento, esegua specifici compiti e funzioni.
Il Datore quindi, nomina espressamente l’incaricato al trattamento di dati personali, fornendogli anche le istruzioni operative e gli obblighi a cui attenersi per garantire le misure di sicurezza.
Oramai è quasi una abitudine firmare la classica informativa sull’utilizzo e trattamento dei propri dati, meno frequente è invece firmare la nomina ad incaricato, questo perché non è prevista una firma per accettazione, può essere anche una comunicazione collettiva a tutti i dipendenti dell’azienda.
Cosa implica? Che ogni lavoratore direttamente o indirettamente nominato incaricato, deve trattare qualsiasi dato di natura personale, con la specifica attenzione del buon padre di famiglia, applicando le istruzioni operative aziendali.
Ma se il lavoratore si rifiutasse di essere nominato incaricato al trattamento dei dati?
Giunge a noi la recentissima sentenza del Tribunale di Udine, sezione Lavoro che, ad agosto, ha affrontato il caso della caposquadra portalettere che non ha firmato la designazione e ha negato il consenso a trattare dati altrui.
Orbene, il giudice di primo grado ha sentenziato che è corretto sospendere il dipendente dal lavoro e dalla retribuzione, anzi si tratta di atto dovuto ed obbligatorio.
Troppo severo? No, se l’azienda non avesse sospeso il lavoratore, avrebbe potuto violare il GDPR, diventando responsabile di trattamenti illegittimi e conseguentemente di subire pesanti sanzioni pecuniarie.
Nel concreto, l’autorizzazione privacy del lavoratore è un elemento essenziale del contratto di lavoro stesso, è parte integrante dell’atto di assunzione; un rifiuto implica l’impossibilità materiale di permettere al lavoratore di lavorare.
Questo perché nella realtà quotidiana, tutti i lavoratori hanno sempre a che fare con dati personali, dai numeri di telefono della rubrica aziendale, agli indirizzi messi sulle bolle di consegna; quindi, di fatto nessuno può esserne considerato escluso.
L’argomento è stato qui trattato volutamente in modo sintetico e semplificato ad uso esclusivo dei clienti dello studio, di conseguenza, non costituisce un parere giuridico né può in alcun modo considerarsi come sostitutivo di una consulenza specifica.