Il cliente ti chiama. Ha ricevuto una richiesta di accesso ex art. 15 GDPR da un ex dipendente: \u00abvoglio tutti i miei dati personali in vostro possesso, comprese le valutazioni di performance, mail, videoregistrazioni, log di accesso\u00bb. Hai trenta giorni per rispondere, il cliente non ha registro dei trattamenti aggiornato, e la cartella personale del dipendente sta in tre posti diversi: paghe, gestionale HR, drive condiviso del responsabile.
Tu come CdL non sei DPO (a meno che tu non lo sia formalmente) ma il cliente conta su di te. L'IA puo\u0300 aiutarti a strutturare la risposta, redigere il registro, fare la DPIA. Pero\u0300 va usata bene, perche\u0300 sul GDPR le allucinazioni costano caro.
Cosa serve davvero in uno studio HR
Cinque documenti minimi per ogni cliente: 1) registro dei trattamenti ex art. 30 GDPR, 2) informativa dipendenti aggiornata ex art. 13, 3) informativa candidati selezione, 4) DPIA dove necessaria (videosorveglianza, valutazioni automatizzate, monitoraggio sistematico), 5) procedure per gestione diritti interessati (artt. 15-22).
Aggiungi: nomine responsabili esterni ex art. 28 (paghe, gestionale, cloud), nomine autorizzati al trattamento, registro data breach, policy conservazione documenti, accordo con DPO se nominato.
Se uno solo di questi manca, in caso di ispezione Garante o contenzioso giudiziario il cliente e\u0300 esposto. E spesso, da quello che vedo, manca quasi tutto.
Il prompt per il registro trattamenti
Anonimizza dati cliente. Lavora su template settoriali. Poi:
Sei un consulente del lavoro esperto in GDPR per il settore HR. Devi redigere il registro dei trattamenti ex art. 30 GDPR per un'azienda di [settore], [N] dipendenti, [presenza/assenza videosorveglianza, smart working, badge].
Output: tabella con una riga per trattamento. Colonne: 1) denominazione trattamento, 2) finalita\u0300, 3) base giuridica (art. 6 e/o 9 GDPR con specifica lettera), 4) categorie interessati, 5) categorie dati, 6) destinatari, 7) trasferimenti extra-UE, 8) tempi conservazione, 9) misure sicurezza, 10) responsabili esterni coinvolti.
Includi almeno: gestione paghe, gestione assenze, valutazione performance, selezione candidati, videosorveglianza, accessi badge, formazione, infortuni, contenzioso, whistleblowing.
Cita correttamente articoli GDPR. Non inventare riferimenti. Se mancano informazioni evidenzia [da completare cliente]. Settore: [...]
L'IA ti tira fuori una tabella decorosa. Tu la rivedi punto per punto: la base giuridica e\u0300 il punto piu\u0300 critico, qui si sbaglia spesso. Per le paghe e\u0300 art. 6 par. 1 lett. b e c (obblighi contrattuali e di legge), non lett. a (consenso). Per il monitoraggio prestazioni puo\u0300 essere lett. f (legittimo interesse) ma con bilanciamento documentato.
I quattro errori frequenti
Primo: usare il consenso come base giuridica per quasi tutto. Errore grossolano. Il consenso del dipendente verso il datore e\u0300 quasi sempre invalido per squilibrio di potere (Considerando 43 GDPR, EDPB Opinion 2/2017). Usa obblighi contrattuali, obblighi di legge, legittimo interesse.
Secondo: copiare informative da Internet senza personalizzarle. L'informativa generica e\u0300 nulla. Il dipendente di un'azienda metalmeccanica con badge biometrico e videosorveglianza ha diritto a sapere esattamente cosa succede ai suoi dati, non a leggere un testo generico.
Terzo: dimenticare la DPIA quando serve. Videosorveglianza estesa, geolocalizzazione veicoli aziendali, valutazione algoritmica candidati, monitoraggio email sistematico richiedono DPIA (art. 35 GDPR e provvedimenti Garante). Se manca e ti ispezionano, sanzione assicurata.
Quarto: non aggiornare il registro. Il registro vivo si aggiorna a ogni nuovo trattamento (nuovo software, nuovo fornitore cloud, nuova valutazione, nuovo controllo). Programma revisione semestrale.
Riferimenti normativi e deontologici
Cornice: Reg. UE 2016/679 (GDPR), D.Lgs 196/2003 come modificato dal D.Lgs 101/2018 (Codice privacy italiano), Provvedimenti Garante su lavoro (settembre 2023 \u00abLinee guida trattamento dati lavoro\u00bb), Statuto Lavoratori L. 300/1970 art. 4 e 8, D.Lgs 24/2023 whistleblowing.
Il Codice Deontologico CNOCDL all'art. 11 ti vincola al segreto professionale anche sui dati che tratti per conto del cliente. Quando paghi le buste tratti dati per nome e per conto del datore: tecnicamente sei \u00abresponsabile del trattamento\u00bb ex art. 28 GDPR e devi avere nomina formale firmata dal cliente, con clausole minime previste dall'articolo.
Se non hai la nomina e tratti dati dei dipendenti del cliente, sei in violazione tu, e il cliente e\u0300 in violazione perche\u0300 affida dati a un soggetto non formalmente designato. Doppia sanzione.
Per approfondire leggi privacy buste paga, antiriciclaggio per CdL. Sul concetto di responsabile esterno usa la voce DPA del dizionario.
IA e GDPR: la regola d'oro
Mai dati personali su IA pubblica. Mai. Anche se l'output e\u0300 una bozza interna. Anche se \u00abtanto cancello\u00bb. I termini di servizio di molti servizi consumer si riservano l'uso dei tuoi input per addestramento, e tu non controlli dove finiscono. Usa solo versioni enterprise con DPA firmato, zero data retention, server UE.
Per la maggior parte delle attivita\u0300 di drafting documenti ti basta lavorare su dati fittizi o aggregati: il template di registro trattamenti non ha bisogno dei nomi reali dei dipendenti.
La risposta alla richiesta di accesso ex art. 15
Torniamo al caso iniziale. L'ex dipendente chiede tutti i suoi dati. Hai trenta giorni (prorogabili di altri 60 in casi complessi con comunicazione motivata). Cosa fai concretamente:
Primo: identifica con certezza l'istante (documento di identita\u0300 valido). Non rispondere mai a richieste anonime o non verificate. Rischi di consegnare dati alla persona sbagliata.
Secondo: ricostruisci tutti i trattamenti che riguardano l'interessato. Paghe, presenze, valutazioni, mail aziendali, video di sorveglianza (in genere gia\u0300 cancellate ma documenta), accessi badge. Richiede coordinamento con HR, IT e responsabili.
Terzo: pondera eventuali limiti (diritti dei terzi, segreto professionale altrui, dati di altri lavoratori che emergono in valutazioni di team). Anonimizza dove necessario.
Quarto: rispondi per iscritto, struttura per categorie di dati, indica fonti, base giuridica, conservazione prevista, diritti residui dell'interessato.
L'IA aiuta a strutturare la risposta, costruire l'indice, redigere le sezioni standard. Mai usarla per ragionare su quali dati \u00abnascondere\u00bb. Il rifiuto parziale richiede motivazione giuridica precisa, non si improvvisa.
Il data breach: protocollo in 3 step
Quando succede (e prima o poi succede) hai 72 ore. Step 1: contenimento immediato (revoca accessi, segregazione sistema compromesso). Step 2: valutazione rischio per interessati (probabilita\u0300, gravita\u0300, categorie dati, numerosita\u0300). Step 3: notifica al Garante se il rischio non e\u0300 improbabile, notifica agli interessati se rischio elevato.
Tieni in studio un template di notifica gia\u0300 pronto. L'IA aiuta a personalizzarlo rapidamente nei momenti di stress.
Domande frequenti
Il consulente del lavoro deve nominare il DPO?
Lo studio CdL deve nominare DPO se rientra nei casi obbligatori (art. 37 GDPR): autorita\u0300 pubblica, monitoraggio sistematico su larga scala, trattamento su larga scala di categorie particolari. Molti studi non rientrano, ma una valutazione documentata e\u0300 sempre opportuna.
Posso usare ChatGPT per scrivere informativa dipendenti del cliente?
Si\u0300 ma solo su modello anonimo. L'output e\u0300 una bozza, non un documento finale. Va calata sull'organizzazione concreta, verificata articolo per articolo, firmata e datata.
La DPIA va depositata al Garante?
No in generale. Va conservata e mostrata in caso di ispezione. Solo se la DPIA evidenzia rischi residui elevati che non si riescono a mitigare scatta la consultazione preventiva ex art. 36 GDPR.
Se il cliente non vuole firmarmi la nomina ex art. 28 come gestisco?
Non lavori. La nomina e\u0300 obbligo di legge. Spiega per iscritto al cliente che senza nomina entrambi siete in violazione, con possibili sanzioni. Allega bozza di accordo. Se persiste rifiuto, valuta seriamente la rinuncia al mandato.