GDPR e addetti alle pulizie

Quale “ruolo” per gli addetti alle pulizie secondo il GDPR?
Tale personale è all’interno degli ambienti dell’organizzazione e potenzialmente può avere accesso a dispositivi, archivi cartacei e dati personali. E dunque è un fattore che in qualche modo deve essere considerato nella compliance GDPR (sì, quel fare le carte della privacy): ma come?

Alla risposta provvede direttamente l’EDPB:

La società A stipula un contratto con un’impresa di servizi di pulizia per i propri uffici. Gli addetti alle pulizie non sono tenuti ad accedere ai dati personali o a trattarli. Anche se occasionalmente possono venire in contatto con i dati quando operano all’interno dell’ufficio, essi possono svolgere i compiti loro assegnati senza accedervi e per contratto è fatto loro divieto di accedere ai dati personali che la società A detiene in quanto titolare del trattamento o di trattarli in qualsivoglia modalità. Gli addetti alle pulizie non sono dipendenti dalla società A né sotto la diretta autorità di quest’ultima. Non vi è alcuna intenzione di ricorrere all’impresa di servizi di pulizia o ai suoi dipendenti per trattare dati personali per conto della società A.
L’impresa di servizi di pulizia e i relativi dipendenti devono pertanto essere considerati terzi e il titolare del trattamento deve assicurare l’esistenza di misure di sicurezza adeguate atte a impedire l’accesso ai dati e stabilire un obbligo di riservatezza in caso di accesso accidentale a tali dati.

( Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR )

Insomma: in tutti i casi comuni e ordinari sono dei soggetti terzi. Ovverosia quei soggetti che all’interno di una situazione specifica non hanno il ruolo di interessato, titolare, responsabile o addetto alle operazioni di trattamento. Possono essere o meno destinatari dei dati: nel primo caso saranno titolari autonomi in quanto in seguito al trasferimento svolgono attività di trattamento per proprie finalità; nel secondo sono soggetti cui è precluso l’accesso ai dati personali.

Nonostante l’apparente chiarezza delle indicazioni a riguardo, non mancano proposte di soluzioni creative. Alcuni hanno addirittura paventato la possibilità di definirli come responsabili del trattamento. E dunque di ricorrere ad un accordo ai sensi dell’art. 28 GDPR che, nella maggior parte dei casi, è invalido.

Gli addetti alle pulizie come responsabili del trattamento secondo il GDPR

Nel mondo di relativismo della consulenza bisogna precisare ciò che non è o che non può essere, altrimenti il rischio è che si finisca a discettare di convegni, lezioni o dirette live in cui qualche sagace, innominato ma senz’altro prezzolato relatore ha indicato l’opzione più fantasiosa come percorribile. Le motivazioni che sentiamo di solito sono: nel più c’è il meno! o anche tanto vale fare una nomina ex art. 28 per sicurezza!

In casi singolari si pretende di fare regola di un’eccezione.
L’esempio è il soggetto a cui si dà l’incarico di smaltire (leggasi: distruggere) archivi cartacei, o altrimenti supporti digitali (ma pochi ricordano di citare che si tratta di RAEE). In questo caso c’è un rapporto titolare-responsabile dal momento che la cancellazione o distruzione dei dati è un’operazione di trattamento delegata. Ma qui si va ben oltre l’incarico ordinario che – quanto meno nel parlare comune – viene svolto da parte di una ditta di pulizie e dei suoi addetti.

adempimenti GDPR addetti pulizie responsabili trattamento
Lascio qui questo meme per shitposting di protesta a eccessi di creatività.

Ricordiamoci un sempre valido: “Se senti gli zoccoli pensi al cavallo, non alla zebra”. Dopodiché è ovvio che considerando il contesto (trovarsi in africa, ad esempio) e svolgendo un’analisi più profonda (si scopre che è stato riprodotto un audio) si può giungere alla soluzione corretta. Questo non vale solo per il GDPR. Perché ci sono più cose in cielo e in terra, Orazio, della tua amata privacy compliance (più o meno era così, vero?).

L’errore fondamentale sta nel (voler) considerare chi non è autorizzato all’accesso ai dati personali come responsabile del trattamento. Per il solo fatto che tale accesso si può realizzare in maniera occasionale e accidentale. Ben strana capriola dell’assurdo soprattutto nel voler evitare di affrontare la dura realtà, ovverosia che tale evenienza è una violazione dei dati personali.

Tutto sembra più logico invece se intendiamo la presenza di soggetti terzi all’interno degli ambienti in cui sono svolte le operazioni come una minaccia per la sicurezza.

E quindi?

Sa ragioniamo (come è corretto in questo caso) in ambito di gestione della sicurezza, ecco che si valuta la presenza di soggetti terzi come fattore di rischio riferibile al contesto fisico-ambientale. E quindi si agisce per individuare misure adeguate di prevenzione e mitigazione.

Alcuni esempi:
(i) politiche di clean desk o scrivania pulita;
(ii) presidiare gli ambienti durante le pulizie;
(iii) adottare una procedura di scarto documentale cartaceo;
(iv) definire alcune istruzioni sulla modalità di svolgimento delle pulizie.

Certo, nulla impedisce di responsabilizzare contrattualmente il fornitore di servizi, ma bisogna ricordare che non esiste solo l’art. 28 GDPR. C’è un ben più ampio novero di contratti, clausole e tutti gli strumenti forniti dal diritto civile. Strumenti che sono utili, se non addirittura essenziali, per garantire ed essere in grado di dimostrare le misure organizzative adottate.

La privacy spiegata bene e fatta meglio. Artigianale. A misura d’uomo.

Servizi

DAL BLOG