Al di là dell'obbligo di informativa e richiesta di consenso all'interessato, si propongono i seguenti organigrammi relativi ad uno studio di commercialista che non elabora buste paga per conto dei clienti, sottolineando che
tutti gli incarichi e le designazioni effettuate necessitano di documentazione scritta e dovranno essere indicati nel documento relativo alla valutazione del rischio, oppure in quello che si è soliti definire "faldone privacy", come riportato in calce ad ogni organigramma.
Occorre rammentare che, per quanto si possa far riferimento a dei fac simili, la normativa va applicata in base alla realtà dello studio e che gli adempimenti in materia di trattamento di dati personali non possono essere assolti unicamente inserendo dei dati su moduli precompilati, essendo appunto necessaria un'attenta analisi della realtà dello studio e delle procedure adottate.
Clicca sull'immagine per ingrandirla.
In base all'organigramma di cui sopra nel documento di valutazione del rischio (di seguito "valutazione") o in altro separato documento dovrà essere quindi specificato che:
a) il titolare dello studio assume in proprio la funzione di responsabile generale per la sicurezza dei dati
b) il titolare dello studio assume la funzione di custode delle credenziali
c) è stata redatta apposita lettera di incarico con relative istruzioni per il responsabile cartaceo dei dati dei dipendenti
d) sono state redatte le informative ed acquisito il consenso scritto dei dipendenti ai fini degli obblighi derivanti dal rapporto di lavoro
e) è stata redatta apposita lettera di incarico con relative istruzioni per il responsabile delle copie di back up
f) è stata redatta apposita lettera di incarico con relative istruzioni per il sostituto del responsabile delle copie di back up
g) sono state redatte le designazioni degli incaricati del trattamento, con indicati i dati cui hanno accesso
h) sono state fornite agli incaricati del trattamento istruzioni scritte sulle modalità di trattamento dei dati
i) è stata acquisita dalla ditta esterna che si occupa della manutenzione hardware e software la documentazione attestante la realizzazione ed il funzionamento delle misure di sicurezza sopra indicate
j) lo studio esterno che si occupa dell'elaborazione delle buste paga dei dipendenti dello studio è stato designato quale responsabile esterno nel trattamento dei dati ed ha rilasciato apposita dichiarazione attestante che il trattamento avviene nel rispetto delle norme in vigore, con adozione di misure di sicurezza ritenute idonee a garantire la correttezza del trattamento stesso
k) nel caso di dipendente che si occupa del servizio di pulizia dei locali viene redatta apposita comunicazione relativa alla non designazione quale incaricato del trattamento ed istruzioni circa le modalità di svolgimento dei compiti
l) nel caso in cui il servizio di pulizia dei locali avvenga da parte di un'impresa terza viene redatta un'apposita comunicazione circa il divieto di consultazione di dati da parte dei dipendenti dell'impresa terza
m) qualora lo studio abbia un proprio sito internet e vengano pubblicati dati relativi ai dipendenti e/o collaboratori, anche con fotografie degli stessi, deve essere fatta sottoscrivere agli interessati apposito consenso per la pubblicazione di quanto sopra
n) qualora lo studio disponga di telecamere (con o sena registrazione delle immagini) dovrà essere specificato che sono stati assolti tutti gli obblighi previsti in materia di videosorveglianza ed allegata copia della documentazione inoltrata e dell'autorizzazione rilasciata dalla Direzione Provinciale del Lavoro
o) creare un'apposita cartella sul server, consultabile da parte di responsabili ed incaricati, nella quale inserire la normativa, documentazione sul trattamento dei dati, il modello con il quale si richiede il consenso all'interessato etc.
Nel caso di assunzione di nuovo personale dovrà essere redatta l'informativa di cui al punto d), la designazione di cui al punto g), così come nel caso di "stage" presso lo studio.
Nel caso di installazione di telecamere (in via preventiva) occorrerà assolvere gli obblighi di cui alla lettera n).
Nel caso di variazioni sostanziali degli strumenti informatici e/o del software, delle procedure di salvataggio dei dati, di variazioni relative a quanto sopra indicato (variazione dello studio esterno che si occupa dell'elaborazione delle buste paga, variazioni del soggetto che si occupa del servizio di pulizia, variazione del responsabile e/o del sostituto delle copie di back up etc. la documentazione dovrà essere costantemente aggiornata)
Clicca sull'immagine per ingrandirla.
In base all'organigramma di cui sopra nel documento di valutazione del rischio (di seguito "valutazione") o in altro separato documento dovrà essere quindi specificato che:
a) il titolare dello studio (lo studio associato) designa quale responsabile del trattamento l'associato XXX con apposita lettera di incarico
b) l'associato YYY viene designato, con apposita lettera di incarico, custode delle credenziali
c) sono state redatte informative ed acquisito il consenso scritto degli associati ai fini del trattamento dei loro dati da parte dello studio associato
d) è stata redatta apposita lettera di incarico con relative istruzioni per il responsabile cartaceo dei dati dei dipendenti
e) sono state redatte le informative ed acquisito il consenso scritto dei dipendenti ai fini degli obblighi derivanti dal rapporto di lavoro
f) è stata redatta apposita lettera di incarico con relative istruzioni per il responsabile delle copie di back up
g) è stata redatta apposita lettera di incarico con relative istruzioni per il sostituto del responsabile delle copie di back up
h) sono state redatte le designazioni degli incaricati del trattamento, con indicati i dati cui hanno accesso
i) sono state fornite agli incaricati del trattamento istruzioni scritte sulle modalità di trattamento dei dati
j) è stata acquisita dalla ditta esterna che si occupa della manutenzione hardware e software la documentazione attestante la realizzazione ed il funzionamento delle misure di sicurezza sopra indicate
k) lo studio esterno che si occupa dell'elaborazione delle buste paga dei dipendenti dello studio è stato designato quale responsabile esterno nel trattamento dei dati ed ha rilasciato apposita dichiarazione attestante che il trattamento avviene nel rispetto delle norme in vigore, con adozione di misure di sicurezza ritenute idonee a garantire la correttezza del trattamento stesso
l) nel caso di dipendente che si occupa del servizio di pulizia dei locali viene redatta apposita comunicazione relativa alla non designazione quale incaricato del trattamento ed istruzioni circa le modalità di svolgimento dei compiti
m) nel caso in cui il servizio di pulizia dei locali avvenga da parte di un'impresa terza viene redatta un'apposita comunicazione circa il divieto di consultazione di dati da parte dei dipendenti dell'impresa terza
n) qualora lo studio disponga di telecamere (con o sena registrazione delle immagini) dovrà essere specificato che sono stati assolti tutti gli obblighi previsti in materia di videosorveglianza ed allegata copia della documentazione inoltrata e dell'autorizzazione rilasciata dalla Direzione Provinciale del Lavoro
o) creare un'apposita cartella sul server, consultabile da parte di responsabili ed incaricati, nella quale inserire la normativa, documentazione sul trattamento dei dati, il modello con il quale si richiede il consenso all'interessato etc.
Nel caso di assunzione di nuovo personale dovrà essere redatta l'informativa di cui al punto e), la designazione di cui al punto g), così come nel caso di "stage" presso lo studio.
Nel caso di installazione di telecamere (in via preventiva) occorrerà assolvere gli obblighi di cui alla lettera n).
Nel caso di variazioni sostanziali degli strumenti informatici e/o del software, delle procedure di salvataggio dei dati, di variazioni relative a quanto sopra indicato (variazione dello studio esterno che si occupa dell'elaborazione delle buste paga, variazioni del soggetto che si occupa del servizio di pulizia, variazione del responsabile e/o del sostituto delle copie di back up etc. la documentazione dovrà essere costantemente aggiornata)
LA CONSERVAZIONE DEI DATI PRESSO TERZI
Nel caso in cui presso lo studio vengano elaborati i dati e questi vengano trasmessi e conservati presso terzi (ad es. elaboro la dichiarazione dei redditi e questa viene memorizzata e conservata su server esterno alla struttura dello studio, di solito su server di proprietà del fornitore del software) dovranno essere indicate le misure adottate circa la sicurezza nella trasmissione dei dati, oltre ad acquisire dalla ditta esterna apposita dichiarazione circa l'adozione di misure di sicurezza ritenute idonee a garantire l'integrità dei dati, il loro corretto trattamento e la loro corretta conservazione; nell'informativa e richiesta di consenso all'interessato dovrà essere precisato che la conservazione avviene presso un responsabile esterno: si tratta di quella che alcuni definiscono "tracciabilità" dei dati, nel senso che l'interessato viene informato di dove e presso chi sono conservati i propri dati.
