1) LE CATENE DI SUBAPPALTO
Ai sensi dell'art. 28, par. 2, GDPR, vige il divieto per il Responsabile del trattamento di ricorrere ad un altro Responsabile (cioè a un subappaltatore, al quale affidare le operazioni di trattamento che il Titolare ha affidato in via principale al fornitore principale - Responsabile del trattamento) senza la previa autorizzazione scritta, specifica o generale, del Titolare del trattamento.
Tale obbligo dovrà di fatto essere riproposto a cascata nei rapporti contrattuali sottostanti: ciascun subappaltatore dovrà informare preventivamente il proprio committente diretto e ottenere il consenso all'affidamento ulteriore a terzi.
Da Leggi d'Italia, in Pratica legale - GDPR, Guida "Le catene di subappalto"
2) REGISTRO DELLE ATTIVITÀ DI TRATTAMENTO E SUO AGGIORNAMENTO
Secondo le indicazioni offerte dal Garante, il Registro di cui all'art. 30 del GDPR deve recare la data di prima istituzione (o di prima creazione di ciascuna scheda di cui sia composto) e dell'ultimo aggiornamento. Tuttavia, si raccomanda di tenere traccia anche delle diverse versioni di registro (il sistema di versioning dei file Word od Excel potrebbero aiutare): si può infatti verificare l'ipotesi di una contestazione relativa a trattamenti poi cessati che pertanto non rientrerebbero più nel perimetro del registro e non si potrebbe fornire traccia dell'eventuale corretta rappresentazione di detto trattamento nel registro a tempo debito. Il Garante suggerisce di utilizzare una voce da inserire sul registro "Scheda creata in data XY", e "ultimo aggiornamento avvenuto in data XY", ma si potranno adottare anche soluzioni di time stamp più tecniche che diano maggior certezza circa tali date.
Il registro è infatti un documento "vivo" e in quanto tale deve essere manutenuto sempre aggiornato, per garantire che esso corrisponda effettivamente alla realtà dei trattamenti svolti dal Titolare o dal Responsabile del trattamento.
Da Leggi d'Italia, in Pratica Legale - GDPR, Guide pratiche - Il registro delle attività di trattamento
3) AUTORIZZAZIONE DEI DIPENDENTI DI UN ENTE AL TRATTAMENTO DEI DATI PERSONALI
L'art. 2-quaterdecies del d.lgs. n. 196/2003 (cd. Codice Privacy) prevede la possibilità che sotto il proprio assetto organizzativo e, soprattutto, sotto la propria responsabilità, tramite le modalità più opportune, il Titolare ed il Responsabile possano attribuire determinate funzioni e compiti, per il trattamento dei dati, a persone fisiche appositamente designate (c.d. "soggetti autorizzati"). Tale figura sostituisce quella dell'incaricato, previsto dal previgente art. 30 del Codice Privacy, la cui disciplina è stata abrogata dal d.lgs. n. 101/2018 di adeguamento al GDPR.
Il nuovo art. 2-quaterdecies assume una particolare rilevanza in quanto risolve in parte le diverse problematiche sorte a seguito di quanto stabilito dall'art. 28 del GDPR che concepisce il solo responsabile esterno del trattamento. Viene poi precisato che il titolare, il quale intenda effettuare un trattamento connesso all'esecuzione di un compito di pubblico interesse che presenta rischi particolarmente elevati, deve obbligatoriamente chiedere la previa autorizzazione del Garante.
Fonti: Guida "Responsabile del trattamento" da Leggi d'Italia, in Pratica Legale - GDPR del 14/11/2018
4) TELECAMERE SUL LUOGO DI LAVORO
La sentenza della Grande Camera della Corte di Strasburgo (caso López Ribalda e altri contro Spagna) se da una parte giustifica, nel caso di specie, le telecamere nascoste, dall'altra conferma però il principio di proporzionalità come requisito essenziale di legittimazione dei controlli in ambito lavorativo.
L'installazione di telecamere nascoste sul luogo di lavoro è stata infatti ritenuta ammissibile dalla Corte solo perché, nel caso che le era stato sottoposto, ricorrevano determinati presupposti: vi erano fondati e ragionevoli sospetti di furti commessi dai lavoratori ai danni del patrimonio aziendale, l'area oggetto di ripresa (peraltro aperta al pubblico) era alquanto circoscritta, le videocamere erano state in funzione per un periodo temporale limitato, non era possibile ricorrere a mezzi alternativi e le immagini captate erano state utilizzate soltanto a fini di prova dei furti commessi.
La videosorveglianza occulta è, dunque, ammessa solo in quanto extrema ratio, a fronte di "gravi illeciti" e con modalità spazio temporali tali da limitare al massimo l'incidenza del controllo sul lavoratore. Non può dunque diventare una prassi ordinaria.
Il requisito essenziale perché i controlli sul lavoro, anche quelli difensivi, siano legittimi resta dunque, per la Corte, la loro rigorosa proporzionalità e non eccedenza.