L’Accordo di contitolarità

Come si avuto modo di evidenziare, nell’ambito della Confederazione l’individuazione del titolare del trattamento è questione particolarmente complessa dato che, come noto, l’art. 4 del RGDP prevede genericamente che il “titolare del trattamento” è, per quanto qui interessa, l’associazione “che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”.

La CGIL, come noto, non è un unico soggetto ma una Confederazione, quindi un’organizzazione che raggruppa una moltitudine di organizzazioni sindacali, strutturate su livelli orizzontali e verticali, tutte allineate sul perseguimento di un fine unitario e che, insieme, attraverso i loro organi di rappresentanza, stabiliscono le finalità comuni dei trattamenti di dati e i relativi mezzi.

In CGIL, quindi, tutte le strutture statutarie (quindi la CGIL Nazionale, le singole Federazioni e i singoli Sindacati Nazionali di Categoria, le singole CGIL Regionali, le Camere del Lavoro Territoriali e/o Metropolitane, le singole Federazioni o Sindacali regionali di categoria, così come le singole categorie territoriali, lo SPI, nazionale, regionale e territoriale) sono tra loro contitolari del trattamento dei dati degli iscritti, dei dipendenti e di tutti coloro che hanno contatti regolari con l’associazione sindacale nel suo complesso.

La “contitolarità” del trattamento è quella particolare situazione in cui “due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento” (art. 26, par. 1, del RGPD), ed è quel contesto in cui la normativa prevede espressamente l’obbligo per i contitolari di determinare in modo trasparente, mediante un accordo interno,

a) le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal RGPD, con particolare riguardo all’esercizio dei diritti dell’interessato, e

b) le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14 del Regolamento UE.

Alla luce di tale obbligo, ed in considerazione del numero particolarmente elevato dei contitolari del trattamento che costituiscono la Confederazione, l’art. 26 dello Statuto prevede che l’accordo debba essere raggiunto tra i Centri Regolatori (CGIL nazionale, le CGIL regionali e le Federazioni o Sindacati nazionali di categoria e lo SPI) i quali, peraltro, intervengono in tale accordo anche in rappresentanza delle altre strutture orizzontali e verticali che non lo sottoscrivono direttamente.

L’Accordo di contitolarità stipulato nell’ambito della CGIL riflette, come imposto dalla normativa, i ruoli e i rapporti di ciascuna contitolare con gli interessati e i suoi contenuti essenziali possono riassumersi come segue:

  1.  Principi applicabili al trattamento dei dati personali.

La CGIL Nazionale, laddove lo ritenga opportuno, potrà approvare linee guida finalizzate a determinare le modalità per l’applicazione dei principi generali per il trattamento dei dati personali e i principi di liceità del trattamento. Tali linee guida devono essere a loro volta rispettate, oltre che dalla CGIL Nazionale stessa, anche dalle altre strutture orizzontali e verticali.

Le altre strutture potranno comunque approvare delle linee guida specifiche, pur rispettose delle prime, per i trattamenti di loro specifica pertinenza (es. trattamento necessari per la specifica Categoria oppure trattamenti su esclusiva base regionale).

  1. Informazioni all’interessato e consenso al trattamento dei dati.

La modulistica contenente la “informativa” e il “consenso” al trattamento dei dati su base nazionale deve essere predisposta dalla CGIL Nazionale che, inviandola alle strutture, determina anche le modalità per rendere l’informativa stessa agli interessati, per acquisire il loro consenso e, comunque, per la conservazione della relativa modulistica.

Le altre strutture orizzontali e verticali della CGIL potranno elaborare una modulistica specifica con riferimento a specifici trattamenti di dati (es. trattamenti di dati svolti da una o più Categorie o da una o più Camere del Lavoro), che comunque dovranno rispettare le linee guida della CGIL Nazionale.

3. Soggetti autorizzati e obblighi di informazione e formazione.

I soggetti che procedono al trattamento devono essere autorizzati dai singoli Centri regolatori secondo le modalità che verranno determinate da ciascuno di essi. I medesimi Centri regolatori provvederanno anche alla formazione dei predetti soggetti autorizzati.

I soggetti che devono procedere al trattamento e che operano a livello territoriale devono essere autorizzati dai rispettivi contitolari del trattamento, invece, secondo le modalità determinate dalle singole CGIL Regionali, le quali determineranno anche le modalità per procedere alla loro formazione.

  1.  Esercizio dei diritti dell’interessato e punto di contatto per gli interessati.

L’interessato che vuole esercitare i suoi diritti (articoli 15 e seguenti del RGPD) potrà scrivere direttamente alla struttura sindacale di riferimento (le sedi possono essere reperite su www.cgil.it/sedi) oppure scrivendo direttamente al Responsabile della Protezione dei Dati ai seguenti recapiti:

Il Responsabile della Protezione dei dati potrà riscontrare direttamente l’istanza oppure individuare e trasmettere la stessa alla struttura che ritiene debba riscontrarla.

  1. Designazione del responsabile del trattamento

Il responsabile del trattamento può essere designato dalla struttura che procede alla stipula del contratto che comporta l’esternalizzazione del trattamento dei dati.

Laddove, invece, l’esternalizzazione del servizio sia relativo a trattamenti svolti da più contitolare, la designazione può essere conferita dalla struttura sindacale superiore.

  1. Valutazione di impatto e consultazione preventiva

La valutazione di impatto, e l’eventuale consultazione preventiva, relativamente a trattamenti svolti in ambito nazionale, sono di competenza della CGIL Nazionale, salvo che il trattamento concerna dati di iscritti ad una sola Categoria, nel quale caso sono di competenza di tale Categoria.

Laddove, invece, il trattamento abbia ad oggetto dati personali svolti in ambito esclusivamente territoriale, la valutazione di impatto e la consultazione preventiva sono di competenza della CGIL Regionale.

7. Registro delle Attività di Trattamento.

La CGIL Nazionale e le singole Categorie nazionali tengono, ciascuna, il proprio Registro dei Trattamenti.

Le singole CGIL Regionali tengono il proprio Registro Trattamenti che, a sua volta, contiene il Registro Trattamenti delle altre strutture sindacali regionali e territoriali.

  1. Violazione dei dati e Registro delle violazioni.

La CGIL Nazionale elabora le linee guida da rispettare per lo svolgimento del processo di notifica al Garante e di comunicazione all’interessato delle violazioni di dati.

In ogni caso il processo di istruzione, notifica e comunicazione delle ipotesi di data breach è di competenza della CGIL Nazionale, delle singole Categorie Nazionali e delle CGIL Regionali, le quali ultime possono procedervi anche per il tramite dei Segretari Generali ed Organizzativi delle singole strutture territoriali ove è avvenuta la violazione dei dati o, laddove trattasi di Categoria, dei Segretari Generali ed Organizzativi della Categoria nazionale.

Il Registro Data Breach è istituito, tenuto e completato dalla CGIL Nazionale per le violazioni ivi avvenute, dalle singole Categorie Nazionali per le violazioni ivi avvenute e dalle CGIL Regionali, le quali vi annotano anche le violazioni avvenute nelle strutture del territorio di competenza.

  1.  Misure di sicurezza organizzative e tecniche.

La CGIL Nazionale elabora le linee guida nazionali per l’adozione delle misure tecniche ed organizzative finalizzate a garantire un livello di sicurezza adeguato al rischio.

Le singole Categorie, e lo SPI, possono fissare specifiche linee guida per l’applicazione di misure tecniche e organizzative, laddove necessarie, con riferimento ai trattamenti di dati svolti dalle medesime.

Le CGIL Regionali determinano, nel rispetto delle linee guida elaborate dalla CGIL Nazionale, le modalità per l’implementazione delle misure di sicurezza organizzative e tecniche nei trattamenti svolti dalle strutture sindacali verticali e orizzontali della regione di riferimento.

  1.  Responsabile della protezione dei dati (RPD).

Il RPD è designato dalla CGIL Nazionale, dalle Categorie Nazionali e dallo SPI, nonché dalle CGIL Regionali, i quali concordano anche il soggetto da designare.

Il RPD designato svolge i suoi compiti anche nei confronti di tutte le strutture sindacali verticali e orizzontali.

Ciascun contitolare del trattamento è tenuto a coinvolgere il RPD, attraverso il punto di contatto messo a disposizione dalla CGIL Nazionale (privacy [at] cgil [punto] it), in ogni questione inerente il trattamento dei dati personali e, in ogni caso, sono tenuti a procedere al trattamento nel rispetto delle sue indicazioni.

Nel caso in cui i contitolari intendano discostarsi dalle indicazioni del RPD sono tenuti a darne notizia alla CGIL Regionale o, laddove intenda discostarsene una CGIL Regionale o una Categoria Nazionale, alla CGIL Nazionale, le quali potranno a loro volta fornire indicazioni alle strutture locali su come procedere.

Il RPD riferisce quanto di sua competenza al Segretario Generale, al Segretario Organizzativo e all’Amministratore dei singoli Centri regolatori per quanto di competenza degli stessi. In ogni caso può riferire direttamente al Segretario Generale, al Segretario Organizzativo e all’Amministrazione della CGIL Nazionale anche per trattamenti svolti in ambito territoriale.

  1. Potere di intervento della CGIL Nazionale

Al fine di tutelare la Confederazione sindacale nel suo complesso e di garantire la protezione dei dati la CGIL Nazionale può individuare specifiche misure di sicurezza e/o specifiche istruzioni finalizzate a rendere conforme alle altre norme in materia di protezione dei dati i trattamenti svolti da qualsiasi struttura della Confederazione stessa.

Compete alla CGIL Nazionale e, per quanto di loro competenza, alle singole CGIL Regionali, dirimere ogni eventuale contrasto tra i diversi Centri Regolatori e/o le diverse strutture per quanto concerne l’applicazione della normativa in materia di protezione dei dati personali.

La CGIL Nazionale è competente a dare indicazioni sulle strutture competenti a provvedere ad adempimenti non disciplinati dall’accordo di contitolarità.

[Pagina aggiornata al 28 novembre 2019 e redatta con la consulenza del RPD designato dalla CGIL]