Cessazione del rapporto di lavoro: una check list per la protezione dei dati personali
Le procedure che trattano del tema delle risorse umane hanno un notevole impatto in termini di protezione dei dati personali; tra i vari processi da considerare vi è la cessazione del rapporto di lavoro, che implica una serie di adempimenti; la maggior parte di natura amministrativa, ma altri, e non pochi, impattano su varie funzioni e incidono sulla protezione dei dati personali. In questo articolo si metteranno in evidenza tali aspetti, fermo restando che molti altri potrebbero essere considerati, ad esempio quelli afferenti alla salute e sicurezza. Naturalmente senza alcuna pretesa di esplorare qui tutte le tematiche possibili.
Le misure possono essere organizzate sotto forma di check list che può essere utile anche per la preparazione della procedura relativa alle dimissioni, ovvero come strumento a supporto dell’ufficio HR; lo stesso DPO dovrebbe considerare tali aspetti anche nel corso degli audit pianificati.
Per quanto l’articolo si concentri sui dipendenti, una parte degli adempimenti può essere applicata anche per il personale somministrato e per tirocinanti/stagisti e volontari.
Le indicazioni riportate sono state estrapolate anche da quanto riportato nella Linea Guida UNI CEI EN ISO/IEC 27002:2023 “Sicurezza delle informazioni, cybersecurity e protezione della privacy - Controlli di sicurezza delle informazioni” controllo 6.5 “Responsabilità dopo la cessazione o il cambio di impiego”.
Gli adempimenti per la cessazione del rapporto di lavoro – una proposta di check list - Di seguito è riportata una lista di adempimenti, suddivisi sulla base delle funzioni aziendali che potrebbero essere coinvolte, considerando un’organizzazione di medie dimensioni e solo gli adempimenti relativi alla protezione dei dati personali. La suddivisione in base alle funzioni aziendali è puramente indicativa: non necessariamente rispetta una condizione comune a tutte le organizzazioni.
Naturalmente, la suddivisione degli adempimenti tra le diverse funzioni aziendali è orientativa; ogni organizzazione potrebbe individuare soluzioni diverse, in base al proprio modello organizzativo.
Il Rappresentante legale/Titolare del trattamento/Datore di lavoro:
- se il collaboratore era in possesso di deleghe e procure (eventualmente riportate nella visura camerale) provvede ad effettuare le modifiche necessarie
- se il collaboratore ricopriva il ruolo di DPO interno, provvede, tramite l’organo di governo, ad identifica e nomina un nuovo DPO, nonché effettua la comunicazione al Garante, ovvero valuta di ricorrere ad un esterno
La Funzione HR:
- comunica alle funzioni aziendali, quali: Privacy Officer, Responsabile diretto del collaboratore, Responsabile ICT, Responsabile facility, RSPP, la cessazione del rapporto di collaborazione, affinché essi prendano in carico gli adempimenti di propria competenza
- fa sottoscrivere un NDA in merito alla riservatezza dei dati (comprese le eventuali proprietà intellettuali), di cui il collaboratore è venuto a conoscenza nel corso del rapporto contrattuale, a valere anche dopo la cessazione del rapporto di lavoro
- archivia la documentazione relativa al collaboratore, per almeno 10 anni dalla conclusione del rapporto (tempi che devono essere congruenti con quelli riportati nel Registro dei trattamenti)
Il Privacy Officer:
- aggiorna l’organigramma privacy e l’elenco degli autorizzati al trattamento dei dati, laddove il collaboratore ricopriva un ruolo afferente alla protezione dei dati personali, e, laddove necessario, cura la nomina dei sostituti (es. amministratore di sistema)
- archivia la documentazione relativa alla designazione come autorizzato/designato ed altra documentazione, sottoscritta dall’ex-collaboratore, che fornisca evidenza dell’applicazione del GDRP
Il Responsabile diretto del collaboratore:
- gestisce il passaggio di consegne ad un nuovo collaboratore o a collaboratori presenti, od al medesimo responsabile, considerando, tra gli altri, gli aspetti relativi alla protezione dei dati personali
- analizza gli accessi a siti terzi noti al collaboratore (comprese le credenziali per accesso ai profili social /sito) e valuta la necessità di modificare password/chiavi di accesso, nel caso il collaboratore le possedesse, per: posta elettronica certificata, SPID, firma elettronica
- comunica a clienti, fornitori, partner ed altre terze parti interessate, la conclusione del rapporto di lavoro
- comunica i dati di contatto del nuovo autorizzato a clienti, fornitori, agenti e partner; ciò risulta meno complesso se l’autorizzato dimissionato era fornito di un indirizzo di posta elettronica di funzione e non nominativo
La Funzione ICT:
- invia al collaboratore, con qualche giorno di anticipo rispetto alla chiusura del rapporto di lavoro, la richiesta di eliminare eventuali dati personali, non pertinenti all’attività lavorativa, eventualmente archiviati sui dispositivi aziendali e sulla posta elettronica, e di restituire i dispositivi, a lui consegnati, di proprietà dell’organizzazione;
- disattiva la casella di posta elettronica e predispone una risposta standard per eventuali mail in entrata
- disattiva l’utenza per il collaboratore (userid e password) su tutti i dispositivi e sistemi a cui aveva accesso e più in generale effettua la chiusura/passaggio ad altro collaboratore di tutti gli account riferibili all’autorizzato, inclusi quelli relativi a PEC e portali vari, anche quelli esterni
- ritira eventuali dispositivi consegnati al collaboratore (compresi eventuali token smart card), e registra tale restituzione con riferimento alla registrazione di consegna iniziale
- elimina i dati nell’area del server aziendale a disposizione del collaboratore, previa verifica, con il collaboratore, che tale area non contenga dati aziendali (se del caso provvede al loro salvataggio nelle aree deputate)
- procede alla eliminazione dei dati sui dispositivi affidati al collaboratore ed eventualmente al salvataggio di parte degli stessi come previsto dalle procedure interne; se necessario provvede a smaltire gli stessi secondo le procedure definite per la dismissione
- nel caso in cui il collaboratore avesse il permesso di utilizzare i propri dispositivi personali (BYOD) provvede a eliminare o richiede che siano eliminati dal collaboratore stesso i dati aziendali salvati sui suddetti dispositivi, comprese le eventuali APP caricate sugli stessi (ad esempio per il riconoscimento a due fattori)
- archivia la documentazione relativa al collaboratore per almeno 10 anni dalla conclusione del rapporto (tempi che devono essere congruenti con quelli riportati nel Registro dei trattamenti)
Il Responsabile facility:
- invia al collaboratore, con qualche giorno di anticipo rispetto alla chiusura del rapporto di lavoro, la richiesta di restituire i dispositivi (di norma utilizzati per gli accessi), a lui consegnati, di proprietà dell’organizzazione;
- ritira badge, chiavi e smart card in possesso del collaboratore e valuta il cambio del codice di allarme; registra la restituzione effettuata
- ritira eventuali dispositivi consegnati al collaboratore con riferimento alla registrazione di consegna iniziale degli stessi
- archivia la documentazione relativa al collaboratore per almeno 10 anni dalla conclusione del rapporto (tempi che devono essere congruenti con quelli riportati nel Registro dei trattamenti)
L’RSPP:
- archivia la documentazione relativa ad idoneità alla mansione, per almeno 10 anni dalla conclusione del rapporto (tempi che devono essere congruenti con quelli riportati nel Registro dei trattamenti)
Conclusioni - La procedura relativa alla dimissione di un collaboratore presenta una serie di aspetti critici che devono essere individuati ed analizzati al fine di presidiarli quale misura di accountability, analogamente a quanto previsto in occasione dell’introduzione di un nuovo collaboratore. Come tutte le check list, anche quella proposta, dato che il contesto e gli scenari in cui opera la singola azienda sono specifici ed in continuo mutamento, deve essere adattata al caso specifico e verificata con regolarità.