Come operiamo

LO STUDIO DEL CONSULENTE DEL LAVORO
GDPR – CYBER SICUREZZA – LEGAL
1
Perché adeguarsi?
Consapevolezza e Responsabilità del Consulente
È d’obbligo premettere che l’adeguamento al GDPR costituisce l’occasione per aumentare i livelli di sicurezza e trasparenza nei confronti del cliente, chiarezza, revisione delle procedure e automazione dei processi essendo certamente un obbligo di legge ma anche un’opportunità di crescita e sviluppo, se sapientemente colta.
È evidente che il GDPR costituisce anche un potenziale momento di miglioramento complessivo, di analisi e riflessione sull’intero ciclo di lavoro dello studio del Consulente. Il principio di accountability introdotto dal GDPR impone a chi tratta dati personali il rispetto di due principi fondamentali:
- Consapevolezza dei dati trattati
- Responsabilità del trattamento.
Due pilastri su cui si fonda l’impianto normativo del regolamento europeo sulla protezione dei dati personali e sui quali è molto importante riflettere.
Mappare i trattamenti dello Studio e ruoli del CdL
Per poter essere nelle condizioni di giustificare in modo corretto il rispetto della normativa privacy occorre analizzare una serie di variabili riassumibili nei cinque aspetti che seguono:
- Quali sono i trattamenti dei dati effettuati dalla studio di consulenza
- Quale è la tipologia e la qualità dei dati
- Quali sono le finalità del trattamento
- Quali sono i soggetti e quali le modalità con cui vengono trattati i dati personali (direttamente dal professionista, da un collaboratore in modo automatico, piattaforma software proprietaria di terzi, teamsystem, ranocchi ecc.)
- Quale sia il luogo fisico e/o digitale dove vengono conservati e quali misure di sicurezza tecniche e organizzative sono poste a tutela dei dati
2
3
Le basi giuridiche per il trattamento dei dati
Partiamo da un presupposto: i dati personali hanno ormai acquisito un valore pari, se non superiore, al denaro stesso. Un esempio tra tutti per renderci conto di tale assunto è ad esempio l’utilizzo “gratuito” delle piattaforme Social o di messaggistica istantanea.
Com’è possibile che imprese come Google, Facebook, Whatsapp, per citare le più note, mettano a disposizione il loro servizio in modo gratuito agli utenti?
Ciò avviene attraverso una moneta di scambio costituita dai nostri dati personali: con la cessione dei dati noi acquistiamo un servizio percepito come “gratuito”.
I dati sono immessi consapevolmente in modo diretto o indiretto nelle varie piattaforme digitali: nome, cognome, sesso, stato civile, giorno di nascita, modalità di consultazione, preferenze degli argomenti, frequenza di accesso e acquisto, quantità di denaro che siamo disponibili a spendere per servizi o prodotti, geolocalizzazione, fotografie, ecc…
Decreto trasparenza e informative Privacy
Ulteriore passaggio fondamentale è la redazione di informative specifiche, chiare e complete per ogni categoria di interessati, sulla base di quanto previsto dall’articolo 13 e 14 del GDPR. Sebbene la forma e la modalità di comunicazione delle informazioni agli interessati possano essere liberamente scelte, al fine di poter facilmente documentare il rispetto del principio di trasparenza, è sicuramente preferibile optare per la forma scritta.
L’informativa privacy è il documento in cui sono riportate le modalità in cui il titolare del trattamento (quindi il soggetto che tratta i dati) tratta i dati personali del soggetto (nel caso specifico il dipendente) in modo chiaro e coinciso.
I dati personali sono tutte quelle informazioni che identificano (o rendono identificabile) direttamente o indirettamente, una persona fisica.
4
5
Il DPO CED – Studio professionale
Le “attività principali” di uno studio professionale consistono nelle operazioni necessarie al raggiungimento dei suoi obiettivi primari.
Analizzando l’attività principale di uno studio di CdL ovvero la selezione e la gestione del personale sono gli unici processi aziendali in cui per conto dell’azienda cliente si trova a raccogliere dati particolari o a trattare, in alcuni casi, dati giudiziari.
Dal momento che, come si è visto, siamo fuori dalle attività principali, per stavolta non ci interessa approfondire quanto “importanti” siano state le nuove assunzioni. Siamo già in grado di escludere il criterio c) dell’Art. 37.1.c GDPR.
Il GDPR all’art. 37.1.b GDPR cita poi il concetto di “monitoraggio regolare e sistematico” senza definirlo. Per la sua interpretazione, ci vengono in aiuto le Linee Guida WP243, in cui si fa notare invece il riferimento al “monitoraggio del comportamento degli interessati”. Anche in questo caso si può escludere l’applicabilità della norma allo studio
professionale.
Analisi dei rischi nello studio D.P.I.A.
L’Analisi dei rischi costituisce uno strumento indispensabile per far fronte all’obbligo, di cui all’art. 32 del GDPR, relativo alla sicurezza dei dati personali.
Tale analisi ha lo scopo di:
- formalizzare, razionalizzare e finalizzare le proprie strategie in materia di sicurezza;
- definire opportune strategie per l’informazione e la formazione dei soggetti che trattano i dati sotto la propria autorità;
- determinare la necessità di una valutazione d’impatto sui trattamenti e, se del caso, effettuare la valutazione d’impatto stessa.
Un valido supporto per l’esecuzione dell’analisi dei rischi può essere costituito dalle linee guida 2016 dell’Enisa per le PMI, il cui approccio alla valutazione del rischio si basa su quattro fasi:
- definizione dell’operazione di trattamento e del suo contesto;
- comprensione e valutazione dell’impatto;
- definizione di possibili minacce e valutazione della loro probabilità (probabilità di occorrenza della minaccia);
- valutazione del rischio ( data dalla combinazione tra la probabilità di accadimento della minaccia e l’impatto).
6
7
Autorizzazione al trattamento dei dati
La formazione dei dipendenti è un aspetto fondamentale per garantire la protezione dei dati personali. L’errore umano, a livello statistico, rappresenta la prima e principale causa delle violazioni dei dati personali.
Per questo motivo, è importante che le organizzazioni formino adeguatamente i propri dipendenti, in modo da sensibilizzarli sui rischi connessi al trattamento dei dati personali e sulle misure di protezione.
Ecco alcune strategie per garantire una efficace organizzazione del lavoro ed una adeguata formazione efficace dei dipendenti per la protezione dei dati personali:
- Identificare i dipendenti che hanno accesso ai dati personali e definire le loro responsabilità
- Fornire formazione iniziale e aggiornamenti regolari
- Coinvolgere i dipendenti in esercitazioni pratiche
- Utilizzare strumenti didattici interattivi
- Sensibilizzare i dipendenti sui rischi connessi all’utilizzo di dispositivi personali per il lavoro