La gestione dei provvedimenti disciplinari in ambito aziendale, con particolare riferimento al connesso trattamento di dati, sia in formato cartaceo che elettronico, solleva questioni di notevole delicatezza e complessità anche in riferimento al ruolo di oversight del DPO nelle politiche aziendali.
Tali provvedimenti, infatti, rappresentano uno dei pochi strumenti a disposizione del titolare del trattamento per dimostrare l’effettivo esercizio del controllo. Nel caso in cui un dipendente si renda responsabile di violazioni delle norme attinenti alla sicurezza dei dati, che possono riguardare non esclusivamente le informazioni personali ma anche il know-how aziendale, si impone l’adozione di sanzioni disciplinari nei suoi confronti.
Le sanzioni devono essere irrogate dalla funzione Risorse Umane (HR), previa segnalazione dell’organo aziendale competente, in conformità a quanto stabilito dal Contratto Collettivo Nazionale di Lavoro (CCNL) del settore di riferimento e dalle disposizioni del Codice Etico.
Ma la natura sensibile delle informazioni coinvolte richiede un approccio sistematico e rigorosamente monitorato e postula la necessità di sottoporre tali processi ad audit periodici.
Affinché un provvedimento disciplinare sia considerato legittimo, è essenziale che l’azienda abbia definito in modo chiaro e accessibile le regole di condotta e le relative sanzioni.
I collaboratori devono essere messi nella condizione di conoscere e comprendere tali regole, attraverso una comunicazione efficace e una formazione adeguata.
Questo contribuisce a costruire un ambiente di lavoro più sicuro e conforme e, nel contempo, rafforza anche la posizione dell’azienda in caso di eventuali contestazioni legate ai provvedimenti disciplinari.
La gestione dei provvedimenti disciplinari in ambito aziendale rappresenta, quindi, una sfida complessa che richiede un approccio equilibrato tra la tutela dei dati personali e la necessità di mantenere un ambiente di lavoro sicuro e “compliant”.
Il DPO, attraverso attività di audit e la redazione di relazioni dettagliate, si conferma come un pilastro fondamentale nella governance aziendale, capace di orientare l’azienda verso pratiche disciplinari trasparenti, giuste e conformi alla normativa privacy.
I flussi di comunicazione all’interno dell’azienda costituiscono un pillar strategico per la gestione efficace delle questioni legate alla protezione dei dati.
Ecco perché, informare tempestivamente il DPO delle violazioni aventi rilevanza disciplinare e delle relative misure disciplinari adottate permette di assicurare che tutte le azioni intraprese siano in linea con la normativa e con le migliori pratiche in materia di protezione dei dati personali.
Per questo motivo l’assetto disciplinare all’interno delle aziende rappresenta un ambito di particolare interesse nel panorama della protezione dei dati personali.
In questo scenario, il DPO emerge come figura chiave, la cui attività di oversight si rivela indispensabile per assicurare che le pratiche disciplinari siano attuate in maniera conforme ai principi di protezione dei dati personali e di corretta governance aziendale.
Un lavoratore dipendente che non rispetti, in modo totale o parziale, misure previste dalle procedure e dai regolamenti aziendali deve essere sottoposto ad un procedimento disciplinare.
In particolare, può accadere che, in esito a tale procedimento venga irrogata una sanzione disciplinare per avvenuta violazione di una misura che per sua natura è volta a proteggere integrità, riservatezza, disponibilità delle informazioni – laddove questa afferisce alla protezione dei dati personali o più in generale all’insieme dei dati -.
In questi casi dovrebbe sempre essere data comunicazione del provvedimento sanzionatorio al DPO.
Pertanto, è auspicabile che venga fornita una comunicazione tempestiva ed esauriente di ogni provvedimento disciplinare, rientrante nell’ambito di competenza del DPO, irrogato a un lavoratore dipendente. Tale comunicazione dovrebbe essere inserita in specifici flussi informativi diretti verso il DPO.
Analogamente, il DPO dovrebbe essere informato, ad esempio dall’ODV, circa provvedimenti a seguito del compimento di reati che rientrano nei temi di interesse di entrambi gli organismi.
Ovviamente, il DPO non deve essere informato di provvedimenti disciplinari che esulano dal tema della protezione dei dati.
In tale quadro, il DPO, disponendo delle informazioni relative ad un provvedimento ed all’evento che lo ha generato ed eventualmente, procedendo con ulteriori indagini, non solo ha contezza dei presidi posti in essere da parte dell’organizzazione, ma può anche valutare l’adozione di ulteriori misure che possono essere poste in atto per evitare il ripetersi dell’evento.
Nei pressi della macchinetta del caffè, appoggiata su un tavolino, viene ritrovata una chiavetta USB priva di alcun segno d’identificazione. Chi ha trovato la chiavetta, attendendosi alle regole interne che vietano l’utilizzo di tali strumenti, la consegna all’Ufficio Personale.
Gli addetti dell’ufficio attendono qualche giorno. Poi, non essendo pervenuta alcuna richiesta, visto che la chiavetta è stata trovata all’interno del perimetro aziendale, legittimamente procedono alla verifica del suo contenuto (nel caso anche con il supporto della funzione ICT).
Analizzando il contenuto si riesce ad individuare il proprietario della chiavetta e si verifica che su di essa sono stati scaricati documenti aziendali in piena violazione del regolamento interno. Il collaboratore che ha dimenticato la chiavetta viene quindi convocato, gli viene comminata una sanzione disciplinare congruente non soltanto alla violazione stessa ma anche alla mancata salvaguardia del contenuto della chiavetta.
Il provvedimento viene portato anche all’attenzione del DPO che, d’intesa con l’ufficio Personale e la funzione ICT, dovrebbe valutare l’opportunità di disinibire l’utilizzo delle porte USB dei dispositivi aziendali a seguito di questo evento, irrobustendo così le misure applicate, per evitare il ripetersi di episodi come quello descritto.
L’audit rappresenta uno strumento fondamentale per valutare l’efficacia e la conformità delle procedure disciplinari.
Attraverso un esame sistematico e obiettivo, il DPO è in grado di identificare eventuali criticità o carenze nel trattamento dei dati personali associati ai processi disciplinari.
L’audit contribuisce a garantire che ogni azione disciplinare sia giustificata, proporzionata e basata su una documentazione adeguata e conforme alle normative sulla protezione dei dati.
Ecco perché, oltre a essere informato dei provvedimenti disciplinari che afferiscono ai dati, il DPO dovrebbe valutare di pianificare ed effettuare, nell’ambito delle verifiche presso l’Ufficio Risorse Umane, un controllo della gestione dei provvedimenti disciplinari di qualunque natura.
È chiaro che per far questo non deve accedere ai provvedimenti stessi, perché il suo compito consiste nel verificare le misure poste in atto come, ad esempio: “dove”, “per quanto tempo” sono conservati, “come” sono protetti e, più in generale la gestione di tali documenti (sia in formato cartaceo che elettronico) in modo congruente con quanto riportato nel registro dei trattamenti.
Quindi una possibile checklist per questo tipo di audit potrebbe prevedere di indagare i seguenti temi:
È stata predisposta una procedura di riferimento per la gestione dei provvedimenti disciplinari? |
In caso affermativo, tale procedura contempla, sia per le registrazioni elettroniche sia per quelle cartacee, i seguenti aspetti:la posizione in cui sono conservate e la responsabilità della loro custodia;le modalità di conservazione impediscono l’accesso al personale non autorizzato;la durata del periodo di conservazione;le modalità di distruzione. |
Gli aspetti di cui sopra sono congruenti con quanto previsto dal registro dei trattamenti per questo specifico trattamento? Verificare a campione la corrispondenza tra le procedure effettivamente adottate, il registro dei trattamenti e l’informativa destinata agli interessati (dipendenti che possono essere soggetti a provvedimenti disciplinari). |
Quali sono i rischi identificati per questo specifico trattamento? |
Quali le misure di sicurezza definite? Verificare a campione l’implementazione efficace. |
Verificare a campione atto di nomina, responsabilità e formazione dei soggetti autorizzati a trattare i provvedimenti disciplinari. |
Campionare alcuni provvedimenti disciplinari relativi alla sicurezza dei dati e verificare che: gli interessati “sanzionati” fossero consapevoli di compiere un atto contrario alle politiche aziendali, avendo a disposizione le necessarie informazioni e supporti;le azioni intraprese dagli interessati “sanzionati” siano state neutralizzate;siano state adottate azioni correttive per limitare ulteriormente il ripetersi delle azioni oggetto della sanzione. |
La relazione di fine periodo redatta dal DPO gioca un ruolo essenziale nella promozione della trasparenza e della responsabilità aziendale.
La documentazione e l’analisi delle quantità di provvedimenti disciplinari, nonché delle misure correttive, preventive e di miglioramento adottate, offrono una visione chiara dell’impegno dell’azienda nel mantenere un ambiente di lavoro etico e sicuro.
Tra le misure che il DPO potrebbe richiedere di adottare è inclusa certamente una attività di formazione mirata a far acquisire al personale dipendente una maggiore consapevolezza. Analogamente il DPO, nella relazione di fine periodo, potrebbe evidenziare l’esigenza di ulteriori risorse necessarie per introdurre nuove o più valide misure di sicurezza.
Queste informazioni sono vitali per valutare l’efficacia delle politiche aziendali e per adeguare le strategie di prevenzione in modo da minimizzare i rischi di future violazioni.
In sintesi, l’efficacia delle misure tecniche ed organizzative finalizzate alla protezione dei dati in ambito aziendale dipende, in modo significativo, dalla capacità di integrare processi disciplinari chiari e giusti all’interno di una strategia complessiva di compliance.
Il DPO, grazie alla sua posizione unica di “custode della conformità” e di esperto in materia di protezione dei dati, svolge un ruolo fondamentale nel garantire che le misure disciplinari siano adeguatamente comunicate, proporzionate e efficaci.
In ultima analisi, la protezione dei dati e la gestione disciplinare non sono da vedersi in contrapposizione, ma come elementi sinergici di una governance aziendale oculata e responsabile.
Resta comunque da sottolineare che i provvedimenti disciplinari possono essere somministrati solo laddove un titolare del trattamento ha adeguatamente definito le regole e posto i collaboratori nelle condizioni di conoscerle e rispettarle.