ADDETTI ALLA GDO: L’IMPORTANZA DELLA FORMAZIONE PRIVACY

L’istruzione delle persone autorizzate al trattamento dei dati personali è uno degli aspetti del Regolamento UE 2016/679 che ha destato particolare clamore e confusione.

Abbiamo approfondito in un recente articolo del blog il rapporto tra GDPR e formazione obbligatoria dei dipendenti.

In modo particolare, sappiamo che la formazione dei dipendenti si configura a tutti gli effetti come un obbligo per il Titolare del trattamento e il Responsabile, in virtù di quanto sancito dall’art. 29 del GDPR, il quale enuncia:

“Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso ai dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.”

 

Formazione dei dipendenti e mondo GDO

Consideriamo in questo approfondiment una delle categorie di Titolari del trattamento più coinvolte nell’adeguamento alla normativa comunitaria relativa alla protezione dei dati personali: il mondo della grande distribuzione organizzata.

Le attività di trattamento dei dati gestite dai grandi canali di distribuzione, quali a titolo esemplificativo ipermercati, supermercati e discount, coinvolgono differenti tipologie di dati: immagini acquisite dagli impianti di videosorveglianza, dati di contatto e anagrafici richiesti per il rilascio delle carte fedeltà, profili dei clienti attinenti i loro comportamenti e le loro propensioni al consumo, dati per assunzioni, vendite e assistenza al cliente, etc…

Data la numerosità e la tipologia di dati acquisiti si richiede ai titolari interessati un’attenzione particolare alla formazione degli addetti, che si aggiunge inevitabilmente all’implementazione delle differenti misure di sicurezza, tecniche ed organizzative, richieste per dare attuazione al principio dell’accountability, previsto dall’art. 24 della normativa comunitaria.

 

Perché la formazione è così importante?  

Nel settore commerciale, il rischio che la cosiddetta RID (riservatezza, integrità e disponibilità dei dati) venga violata, è alto.

Il valore del rischio è ottenuto dal prodotto tra la probabilità che l’evento accada e il danno cagionato, qualora l’evento negativo si verifichi.

Considerata la mole di dati e la natura particolare degli stessi, il danno cagionato agli interessati comporta il raggiungimento del massimo valore complessivo di rischio.

Dunque il must della formazione in ambito privacy è particolarmente sentito nelle grandi catene di distribuzione commerciale. Per tale ragione i corsi formativi si estendono a tutti i soggetti che trattano dati personali, dall’addetta all’ufficio risorse umane o HR che si occupa di assunzioni e cessazioni di incarico, buste paga e molto altro, ma anche alla cassiera che richiede al cliente la compilazione del modulo per l’iscrizione al programma di fedeltà.

La formazione è finalizzata a sensibilizzare il personale all’acquisizione lecita dei dati ed alla trasparenza verso il cliente, in linea con quanto previsto dalla normativa europea succitata.

 

Come formare il dipendente

Nonostante il legislatore europeo nulla preveda in merito alla modalità di realizzazione della formazione, è bene che ciascun addetto sia informato e formato adeguatamente in relazione alla mansione lavorativa svolta ed ai dati effettivamente acquisiti e trattati dallo stesso.

Sono molti i casi in cui sono emerse minacce alla riservatezza, integrità e disponibilità delle informazioni personali , ricondotte all’attività dei lavoratori per la diffusione, volontaria o meno, delle informazioni e l’utilizzo erroneo delle stesse.

Pertanto un programma formativo adeguato alle attività di trattamento svolte dai singoli dipendenti è essenziale al fine di evitare un data breach, ossia una violazione di dati.

 

Formazione dei dipendenti in ambito privacy collettiva o specializzata?

Ogni categoria di addetto necessita di una base di conoscenza comune, cui seguirà una formazione specifica in linea alla mansione lavorativa svolta.

Pertanto è necessario che, in prima battuta, i titolari impartiscano a tutti i propri sottoposti istruzioni corrette riguardo gli aspetti chiave della normativa che prevede tra i principi fondamentali, la liceità, la correttezza e la trasparenza dei dati trattati, nonché l’adeguatezza e la pertinenza degli stessi alle finalità per le quali sono raccolti.

Il personale verrà responsabilizzato in merito alle politiche di conservazione dei dati e alla trattazione dei soli dati indispensabili al raggiungimento dei fini cui sono preposti.

Successivamente verrà richiesto al singolo incaricato di applicare in concreto le regole comuni acquisite all’attività lavorativa svolta nello specifico.

 

L’importanza della gestione dei dati 

Chi gestisce dati di natura particolare ex art.9 del GDPR, come il personale impiegato nella gestione risorse umane, gli incaricati alla videosorveglianza che accedono alle immagini live trasmesse dai monitor piuttosto che gli addetti al marketing, seguiranno una formazione specifica volta a fornire indicazioni dettagliate sulle misure di sicurezza da implementare per ridurre il rischio di compromettere le informazioni raccolte.

Tra le indicazioni principali fornite, si richiederà all’incaricato alla videosorveglianza di non diffondere le registrazioni delle immagini, salvo provvedimento dell’autorità giurisdizionale, ai responsabili dell’ufficio marketing di attuare politiche promozionali riconducibili a basi giuridiche ben definite, alla cassiera e/o commessa di consegnare l’informativa per il trattamento dei dati, prima del modulo per il rilascio della carta sconti.

Istruito il personale, nel rispettivo ambito di competenza, il titolare dimostrerà di aver ottemperato a quanto previsto dall’art. 29. Si precisa che l’eventuale mancata applicazione degli obblighi e delle istruzioni impartite, non comporterà alcuna sanzione di natura penale e/o amministrativa in capo agli incaricati.

Le sanzioni penali, ai sensi del D.lgs. 101/2018 si pongono soltanto in capo al Legale Rappresentante, fermo restando che nulla toglie al titolare la possibilità di comminare eventuali sanzioni disciplinari in base al CCNL di riferimento.

 

LA TUA AZIENDA HA BISOGNO DI CONSULENZA PRIVACY OPPURE DI CORSI DI FORMAZIONE? CONTATTACI!

 

Barbara Martire

About Barbara Martire

Laureata in Giurisprudenza e certificata Privacy Specialist. Giovane e solare affianca i clienti nelle attività di consulenza e formazione.