Protezione dei dati personali: adempimenti in caso di cessazione rapporto di lavoro

I datori di lavoro, nell’utilizzare informazioni sensibili relative al proprio personale in attuazione della normativa in materia di instaurazione e gestione di rapporti di lavoro di qualunque tipo, per finalità di formazione, nonché per concedere benefici economici e altre agevolazioni, sono tenuti ad adottare una serie di misure di sicurezza tecniche ed organizzative; ciò vale anche in occasione del trattamento di dati personali in caso di cessazione del rapporto di lavoro.

Utili spunti si possono cogliere attraverso l’attenta lettura dei seguenti documenti:

•  "Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico" - 14 giugno 2007; (link: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/1417809), pubblicate dal garante per la protezione dei dati personali.
• GRUPPO DI LAVORO SULLA PROTEZIONE DEI DATI – ARTICOLO 29 Parere 8/2001 sul trattamento di dati personali nell´ambito dei rapporti di lavoro adottato il 13 settembre 2001; (link: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/1390186).

Il verificarsi delle fattispecie riconducibili alla cessazione del rapporto di lavoro fa sorgere, in capo al titolare del trattamento (in questo caso ci si riferisce al datore di lavoro) una serie di obblighi al fine di rendere l’operato della organizzazione conforme alle prescrizioni in materia di trattamento dei dati personali.

Di seguito si riportano, a titolo non esaustivo ed in estrema sintesi, le misure a carico del Titolare del trattamento che vedono intervenire diverse unità operative, all’interno della organizzazione del titolare del trattamento, che svolgono compiti di tipo orizzontale in quanto vanno ad incidere su tutte, o quasi, le singole funzioni aziendali.

Tra le Unità coinvolte, le Dinamiche del Personale (HR) hanno un ruolo predominante sia in fase di adempimenti delle proprie obbligazioni che in fase di comunicazioni ai Soggetti autorizzati che hanno il compito di coordinare i propri collaboratori sia in fase di raccordo con le altre funzioni aziendali.

Gli adempimenti di seguito riportati hanno ad oggetto in prevalenza il personale dipendente ma alcuni di essi sono spendibili anche nei confronti del personale somministrato e dei tirocinanti/stagisti e volontari.

Di seguito è riportata una lista di adempimenti, suddivisi sulla base delle funzioni aziendali chiamate a rispettarli pedissequamente.

Gratis le Notizie di Fisco e Tasse. Vai al canale WhatsApp di FISCOeTASSE.com

1) Protezione dati personali e adempimenti: titolare del trattamento

I compiti del Titolare del trattamento (datore di lavoro) sono i seguenti:

• se il collaboratore era in possesso di deleghe e procure provvede ad effettuare le modifiche necessarie;
• se il collaboratore ricopriva il ruolo di RPD/DPO (Responsabile Protezione Dati) interno, provvede, tramite la Direzione Strategica, ad identificare e nominare un nuovo DPO, ovvero valuta di ricorrere ad una risorsa esterna e, comunque, effettua la relativa comunicazione al Garante per la protezione dei dati personali.

Gratis le Notizie di Fisco e Tasse. Vai al canale WhatsApp di FISCOeTASSE.com

2) Protezione dati personali e adempimenti: la Funzione Risorse Umane HR

Cosa fa la Funzione Risorse Umane:

• comunica alle funzioni aziendali, quali: Privacy Officer, Sistemi Informativi; Ingegneria Clinica-HTA (qualora il trattamento posto di cui il cessante è incaricato attiene anche l’utilizzo di device medici), RSPP, SATD competente, la cessazione del rapporto di lavoro, affinché essi prendano in carico gli adempimenti di propria competenza;
• fa sottoscrivere una Dichiarazione di riservatezza in merito, appunto, alla riservatezza dei dati (comprese le eventuali proprietà intellettuali), di cui il collaboratore è venuto a conoscenza nel corso del rapporto contrattuale, a valere anche dopo la cessazione del rapporto di lavoro. Un accordo di non divulgazione (non-disclosure agreement, NDA), detto anche accordo di riservatezza, accordo di confidenzialità, o accordo di segretezza, è un negozio giuridico di natura sinallagmatica che designa informazioni confidenziali e con il quale le parti si impegnano a mantenerle segrete, pena la violazione dell'accordo stesso e il decorso di specifiche clausole penali in esso previste. In altre parole, è un contratto attraverso il quale le parti decidono di non svelare le informazioni indicate dall'accordo. Esso crea una relazione confidenziale tra le parti al fine di proteggere qualche tipo di informazione condivisa dalle parti (tipico è il caso della tutela di riservatezza su informazioni di natura proprietaria o su segreti industriali) salvaguardando informazioni che non si vuole che diventino di pubblico dominio (attesa la specificità della normativa, per la redazione del NDA si suggerisce il coinvolgimento, qualora presente, della funzione legal aziendale).
• archivia la documentazione relativa al collaboratore, per almeno 10 anni dalla conclusione del rapporto; tempi che devono essere congruenti con quelli riportati nei seguenti documenti:
  1. Registro dei trattamenti, ex art. 30, paragrafo 1, lett, f) GDPR, a mente del quale il titolare deve riportare nel Registro in parola “ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati”;
  2. modello di Informativa, (viene consegnato al lavoratore all’atto della sua assunzione), che ai sensi dell’art 13, paragrafo 2, lett. a) GDPR, impone al titolare di comunicare al soggetto interessato, le informazioni riguardanti “il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo”, 

Gratis le Notizie di Fisco e Tasse. Vai al canale WhatsApp di FISCOeTASSE.com

3) Protezione dati personali e adempimenti: Il Privacy Officer con l’Ufficio Privacy

I compiti del Privacy Officer sono:

• aggiornare l’organigramma in materia di protezione dei dati personali e l’elenco degli autorizzati al trattamento dei dati, laddove il collaboratore ricopriva un ruolo afferente alla protezione dei dati personali, e, laddove necessario, cura la nomina dei sostituti (es. amministratore di sistema);
• archiviare la documentazione relativa alla designazione come Soggetto Autorizzato al Trattamento ed altra documentazione, sottoscritta dall’ex-dipendente, che fornisca evidenza dell’applicazione del GDPR, nel rispetto del principio di accountability di cui all’art. 24 GDPR; in base al quale il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al GDPR.

Gratis le Notizie di Fisco e Tasse. Vai al canale WhatsApp di FISCOeTASSE.com

4) Protezione dati personali e adempimenti: direttore unità operativa

Il Direttore della Unità Operativa (U.O.) ove il dipendente era stato assegnato, con l’ausilio del proprio Referente Privacy:

• gestisce il passaggio di consegne ad un nuovo collaboratore o a collaboratori presenti, o al medesimo responsabile, considerando, tra gli altri, gli aspetti relativi alla protezione dei dati personali;
• analizza gli accessi a siti terzi noti al collaboratore e valuta la necessità di modificare password/chiavi di accesso, nel caso il collaboratore le possedesse, per: posta elettronica certificata, SPID, firma elettronica;
• comunica ai fornitori e ad altri Soggetti che abbiano rapporti con la organizzazione del Titolare ed altre terze parti interessate, la conclusione del rapporto di lavoro;
• comunica i dati di contatto del nuovo autorizzato ai soggetti di cui sopra.

Suggerimenti:

La revoca, nominativa e personale, dovrà essere predisposta in due copie originali e recare la firma 

• del Direttore della U.O. e 
• del soggetto autorizzato (per ricezione); 

l’atto dovrà essere protocollato.

A valle della revoca della designazione del soggetto autorizzato, il Direttore della U.O.  deve aggiornare l’elenco dei soggetti autorizzati che trattano i dati sotto la propria responsabilità; l’aggiornamento va compiuto su base annuale e, comunque, ogni qual volta si proceda ad una cessazione di un soggetto autorizzato (a seguito di quiescenza, trasferimento, altro).

In caso di cessazione del rapporto di lavoro del soggetto autorizzato, a qualunque titolo, l’evento dovrà essere annotato sull’elenco dei soggetti autorizzati al fine di indicare la revoca della designazione.

Gratis le Notizie di Fisco e Tasse. Vai al canale WhatsApp di FISCOeTASSE.com

5) Protezione dati personali e adempimenti: sistemi informativi, RSPP, medico competente

I Sistemi Informativi:

• informati dalla HR della imminente cessazione dal servizio, inviano al collaboratore, con qualche giorno di anticipo rispetto alla chiusura del rapporto di lavoro, la richiesta di eliminare eventuali dati personali, non pertinenti all’attività lavorativa, eventualmente archiviati sui dispositivi aziendali e sulla posta elettronica, e di restituire i dispositivi, a lui consegnati, di proprietà del Titolare;
• disattiva la casella di posta elettronica e predispone una risposta standard per eventuali mail in entrata;
• disattiva l’utenza per il dipendente (userid e password) su tutti i dispositivi e sistemi a cui aveva accesso e più in generale effettua la chiusura/passaggio ad altro dipendente di tutti gli account riferibili all’autorizzato, inclusi quelli relativi a PEC e portali vari, anche quelli esterni;
• ritira eventuali dispositivi consegnati al dipendente, e registra tale restituzione con riferimento alla registrazione di consegna iniziale;
• elimina i dati nell’area del server aziendale a disposizione del dipendente, previa verifica, con lo stesso, che tale area non contenga dati aziendali (se del caso provvede al loro salvataggio nelle aree a ciò predisposte);
• procede alla eliminazione dei dati sui dispositivi affidati al dipendente ed eventualmente al salvataggio di parte degli stessi come previsto dalle procedure interne; se necessario provvede a smaltire gli stessi secondo le procedure definite per la dismissione;
• nel caso in cui il dipendente aveva il permesso di utilizzare i propri dispositivi personali (BYOD) provvede a eliminare o richiede che siano eliminati dallo stesso i dati aziendali salvati sui suddetti dispositivi, comprese le eventuali APP caricate sugli stessi;
• archivia la documentazione relativa al dipendente per almeno 10 anni dalla conclusione del rapporto (tempi che devono essere congruenti con quelli riportati nel Registro dei trattamenti, oltre che nel modello di Informativa rilasciato ai dipendenti).

 Il responsabile del servizio di prevenzione e protezione (RSPP) archivia la documentazione relativa all’idoneità alla mansione, per almeno 10 anni dalla conclusione del rapporto (tempi che devono essere congruenti con quelli riportati nel Registro dei trattamenti oltre che nel modello di Informativa). Resta inteso che il corretto adempimento di quanto prescritto dovrà essere oggetto di audit da parte del Responsabile della Protezione dei Dati.

Il medico competente 

• effettua accertamenti preventivi e periodici sui lavoratori (art. 33 d.P.R. n. 303/1956; art. 16 d.lg. n. 626/1994) e 
• istituisce (curandone l´aggiornamento) una cartella sanitaria e di rischio (in conformità alle prescrizioni contenute negli artt. 17, 59-quinquiesdecies, comma 2, lett. b), 59-sexiesdecies, 70, 72-undecies e 87 d.lg. n. 626/1994).

Detta cartella è custodita presso l´amministrazione "con salvaguardia del segreto professionale, e consegnata in copia al lavoratore stesso al momento della risoluzione del rapporto di lavoro, ovvero quando lo stesso ne fa richiesta" (artt. 4, comma 8, e 17, comma 1, lett. d), d.lg. n. 626/1994); in caso di cessazione del rapporto di lavoro le cartelle sono trasmesse all´Istituto superiore prevenzione e sicurezza sul lavoro-Ispesl (artt. 59-sexiesdecies, comma 4, 70, comma 4, 72-undecies, comma 3 e 87, comma 3, lett c), d.lg. n. 626/1994), in originale e in busta chiusa.

Gratis le Notizie di Fisco e Tasse. Vai al canale WhatsApp di FISCOeTASSE.com