La protezione dei dati non va in vacanza

Ogni azienda, che in base al GDPR è obbligata ad incaricare un Responsabile per la protezione dei dati, deve prevedere la sua assenza per vacanza o per malattia.

Poiché la Privacy non fa ferie!

Ma che cosa si deve fare in quei casi? E perché è cosi importante che qualcuno sia reperibile?

Regolamento di sostituzione per vacanza

Generalmente, in ogni posto di lavoro va prestata molta attenzione affinché ogni addetto abbia un sostituto e che quest’ultimo sia informato in tempo sui lavori in corso e sui termini/appuntamenti da rispettare.

Poi, ufficialmente ne consegue il passaggio dei lavori che, in base alla grandezza dell’azienda, può avvenire in modo differente. Normalmente, due impiegati dello stesso reparto si riescono a sostituire facilmente. Sono informati dei lavori del collega e ascoltano quotidianamente i casi dell’altro. Quindi, all'interno del team sono costantemente aggironati circa le problematiche e le situazioni particolari. Molte aziende gestiscono la sostituzione per malattia o vacanza in modo che ogni assunto abbia il proprio sostituto fisso, facendo sì che i lavori possano proseguire senza interruzione.

Questo metodo è consigliato anche per la sostituzione del Responsabile per la protezione dei dati (RPD).

Sostituzione del RPD

Purtroppo la figura del Responsabile per la Protezione dei dati può essere ricoperta soltanto da persone con specifiche competenze in materia. L’art. 37 comma 5 GDPR prevede che il Responsabile per la protezione dei dati debba soddisfare alcuni importanti requisiti affinché possa essere incaricato di questo ruolo. Costui deve possedere la qualifica professionale, la conoscenza specifica nella protezione dei dati e l’esperienza specifica in questo ambito, oltre alla capacita di adempire ad ogni compito del suo ruolo. Il sostituto dovrebbe quindi possedere lo stesso profilo professionale. In tante aziende, specialmente nelle piccole realtà, è difficile trovare, tra pochi dipendenti, due collaboratori con lo stesso profilo. Per questo motivo molte aziende incaricano un RPD esterno. Alcune società specializzate possiedono un’ampia quantità di collaboratori competenti che sono in grado di gestire le sostituzioni per malattia o vacanze senza interruzione di servizio.

Perché non gestire il problema dopo le vacanze?

Se un interessato si accorge che qualcosa non va con i suoi dati ed inoltra un reclamo, ha diritto ad rimedio immediato da parte del responsabile. Il Responsabile per la protezione dei dati deve quindi essere sempre raggiungibile da ogni interessato, in modo da potergli subito presentare un problema e richiederne la risoluzione. Tra le varie soluzioni ci sono per esempio:

  • Articolo 16 – Diritto di rettifica dei dati personali inesatti
  • Articolo 17 – Diritto alla cancellazione dei dati personali che lo riguardano

Gli interessati hanno, inoltre, il diritto di porre reclamo all’autorità di controllo (art.77).

Tanti interessati, però, non si rivolgeranno direttamente alle autorità ma cercheranno di risolvere il problema in modo diretto. Sarebbe quindi inopportuno che nella tua azienda non fosse raggiungibile nessun responsabile, costringendo in tal modo l’interessato a rivolgersi direttamente all'autorità di controllo. Fare reclamo all’autorità è tra l’altro facile, tramite modulo facsimile da inviare per mail, raccomandata o consegna a mano.

Che cosa bisogna fare in caso di reclamo?

Poiché i reclami devono essere elaborati subito e i dati sono da correggere o da cancellare immediatamente nel momento in cui l’interessato lo segnala, è indispensabile avere un sostituto in caso di assenza del RPD. Dopo la ricezione di un reclamo, è opportuno verificare la competenza nella gestione dei reclami che, nel periodo di vacanza, a volte è più difficoltosa. Infatti, se durante il periodo di ferie il personale è ridotto alla meta o addirittura l’azienda è completamente chiusa, anche i reparti IT o altri reparti rilevanti non sono reperibili come di consuetudine. Per questi casi è necessario che l’azienda abbia adottato un regolamento di gestione con i processi da seguire. Per il periodo di vacanze, nel regolamento di gestione deve essere integrato il piano di sostituzione. In questo modo è chiaro chi dovrà essere contattato per la cancellazione o correzione dei dati sul server oppure in quale archivio si trovano i Backup da controllare o cancellare.

In mancanza dei requisiti legali: consigli pratici

Nel GDPR non viene descritto, per le aziende, un preciso programma da seguire per la sostituzione per malattia o ferie. Tuttavia, nella pratica si sono consolidate alcune procedure utili. Anche se il regolamento non prevede esplicitamente un sostituto, si tratta della soluzione più semplice e evidente. L’azienda deve quindi formare contemporaneamente il Responsabile per la protezione dei dati e il suo sostituto oppure incaricare due esterni, tramite un’azienda specializzata, oppure reclutare il RPD di un ramo d’azienda collegata. Il sostituto, proveniente da un ramo di azienda della società, ha il vantaggio di conoscere già i sistemi operativi ed ha familiarità con le procedure e processi aziendali. Inoltre, in tal modo si riescono ad abbassare i costi di formazione, e le informazioni aziendali interne e riservate non vengono trasmesse ad estranei.

D'altro canto, non è cosi facile spostare il RPD da un’altra azienda per il periodo di vacanza; inoltre, l’azienda collegata potrebbe essere molto distante e il sostituto responsabile non riuscirebbe ad essere in più luoghi contemporaneamente per controllare e supervisionare i procedimenti.

Come procedi al meglio di fronte ad un reclamo?

Il punto più importante è che tu risponda immediatamente al reclamo. Se ricevi quindi un reclamo, rispondi al reclamante che hai ricevuto la sua notifica e che tu, o chi di competenza, te ne occuperai subito. Nella prima comunicazione non devi necessariamente fornire ulteriori informazioni.

Se il reclamo vi giunge nel periodo di sostituzione per vacanza, e il sostituto non è molto ferrato nella materia, è fondamentale che la persona sia responsabile e riservata e che conosca le documentazioni riguardo alla gestione della privacy. Ciò significa anche controllare regolarmente la posta e le e-mail del RPD ed ottenere, in caso di emergenza, le informazioni rilevanti e sapere dove, per esempio, si trova una lista con gli interlocutori del caso.

Tempo di elaborazione

In base all‘art. 12 comma 3 GDPR hai un mese di tempo per informare l’interessato. Sembra che sia tanto tempo. Ma il reclamo richiede un procedimento accurato e occorre dare o controllare tante informazioni, oltre alla procedura di cancellazione o correzione dei dati.

In effetti, il tempo a disposizione non è poi così tanto!

Se tutto il lavoro deve poi essere svolto da un sostituto che non lo fa di routine, il lasso di tempo a disposizione potrebbe essere anche poco.

Informazione pubblica delle persone interessate

Un reclamo potrebbe riguardare non soltanto un singolo caso, ma una perdita massiva di dati.

Casi del genere, come ad esempio l’accesso o la divulgazione non autorizzata di dati personali, sarebbe un grosso rischio!

In tal caso, devi addirittura informare le persone interessate tramite i mass-media, come giornali o radio, o in altri modi adeguati.

Coinvolgimento del Garante

Inoltre, l’autorità di controllo deve essere immediatamente informata. In questo caso, però, non puoi soltanto dire che c’è stata una segnalazione.

Sarai costretto a spiegare in modo esaustivo l’accaduto, includendo anche un rapporto che spieghi il motivo dell’accaduto e il prospetto delle contromisure che metti in atto affinché non possa più accadere. Per mettere insieme le molteplici informazioni disponibili, anche in situazioni di quotidiana amministrazione, avrai bisogno di diverso tempo. Nel periodo di ferie, raramente le aziende sono preparate a questi casi di emergenza, anche se impiegano un sostituto che, di regola, è meno coinvolto nella gestione ordinaria della privacy.

Anche per questo motivo, affidarsi ad un responsabile esterno è un enorme vantaggio.

Rivolgersi ad un’azienda di servizi che, con esperienza nell’ambito, ti supporti nella gestione e che sappia esattamente che cosa fare rappresenta una soluzione vincente.

I molteplici vantaggi te li spieghiamo dettagliatamente nel prossimo capitolo.

I vantaggi di un RPD esterno

Affinché venga garantito che durante tutto l’anno sia reperibile un interlocutore competente che elabori correttamente i reclami o le richieste delle persone interessate, ricorrere ad un’azienda di servizi esterna si è rivelato nel tempo la migliore soluzione. In particolar modo, ciò dimostra l’efficacia dell’impresa nei periodi di vacanza, chiusura per festività o in mancanza di personale.

Esperti sostituiscono esperti

Soprattutto, noi di WB Trade-it raggruppiamo esperti di ogni settore che possono essere inseriti in ogni reparto d’azienda. Ad una collaborazione di fiducia con una prospettiva di lungo termine, aggiungiamo il know-how specifico e la conoscenza di tutte le strutture necessarie per supportare al meglio il titolare d’azienda.

GDPR è di routine

Mentre per un’azienda i nuovi requisiti del GDPR sono ancora insoliti e eventualmente difficoltosi nell’implementazione, per il team di WB Trade-it si tratta di routine quotidiana.

Reperibilità permanente

Anche noi e i nostri esperti abbiamo bisogno di vacanza. Tuttavia, durante il periodo di ferie, non fermiamo o rallentiamo i servizi perché tutti i nostri esperti sono allo stesso livello d’informazione e perché sono reperibili in ogni momento, grazie a processi collaudati e piani di sostituzione perfezionati.

Accordi dettagliati con il cliente

Concordiamo individualmente, e in base alle esigenze di ogni singolo cliente, i nostri servizi e i piani di sostituzione, cosi come la nomina di un Responsabile per la protezione dei dati esterno.

Infatti, le specifiche esigenze come la grandezza, il settore d‘attività e le richieste specifiche dell’azienda, vengono sempre valutate attentamente e condivise con il cliente finale.

Consulenza individuale

Siamo sempre felici di poterti spiegare, in un colloquio personale, tutte le possibilità di gestione.

Naturalmente supportiamo i nostri clienti non solo nell’adeguamento al GDPR, bensì in tutti gli altri ambiti aziendali.