Uno degli ambiti dove occorre prestare molta attenzione alla gestione dei dati personali, e quindi all’adeguamento al GDPR, è quello degli appalti e subappalti per tre motivi principali: il primo è che i dati personali dei collaboratori all’interno dell’azienda escono fuori dai confine aziendali e trattati da diversi soggetti esterni; secondo, le normative nazionali che obbligano la comunicazione dei dati personali; il terzo è che riguarda una moltitudine di aziende, dalla grande organizzazione alla piccola, che si possono trovare a dover gestire o partecipare ad appalti e subappalti sia pubblici che privati.
Indice degli argomenti
Il GDPR negli appalti e nei subappalti: uno scenario
Nell’ambito degli appalti avremo un contratto di appalto dove un’azienda, il committente, incarica per la realizzazione di un lavoro o esecuzione di un servizio un’altra azienda, l’appaltatore. Ci possono essere dei casi nei quali l’appaltatore, incaricato di realizzare un’opera o un servizio dal committente, affidi a un altro soggetto, il subappaltatore, il compimento degli stessi lavori.
In questa catena committente, appaltatore e subappaltatore per obblighi normativi e/o contrattuali avvengono richieste, trasmissioni, comunicazione di dati personali, anche particolari, legati alla singola persona, che deve essere identificata ai fine dell’esecuzione del lavoro.
Le norme di sicurezza, in particolare del POS (Piano Operativo di Sicurezza), e del controllo accessi al cantiere impone di identificare sicuramente le persone dell’appaltatore o subappaltatore che devono eseguire il lavoro.
Questo avviene comunicando i dati personali alla committente o appaltatore, attraverso per esempio il documento d’identità, il passaporto o permesso di soggiorno. Per l’identificazione in cantiere, invece, la persona si identifica attraverso un tesserino con foto rilasciato dalla propria azienda.
Oltre a questi dati la committente o appaltatore dovranno verificare, per motivi di sicurezza, anche l’idoneità dell’esecuzione di alcuni lavori: tali soggetti si troveranno ad avere anche eventuali certificazioni, attestati di partecipazione a corsi, idoneità, che hanno solitamente una data di scadenza, entro la quale poi deve essere previsto un aggiornamento o una ulteriore visita di controllo. Senza queste informazioni e verifiche i lavori non possono essere eseguiti.
In merito ad alcuni obblighi previsti in alcuni contratti di appalto e conseguente subappalto, può essere previsto che la committente o appaltatrice richiedano altri dati personali, come per esempio le buste paga dei collaboratori dell’azienda appaltatrice o subappaltatrice.
Consigli pratici per l’adeguamento al GDPR
Come si può facilmente vedere, la mole di dati personali che vengono comunicati, diffusi, trattati in generale, sono molteplici.
Considerando poi che gli appalti possono riguardano opere che coinvolgono una moltitudine di azienda appaltatrici e subappaltatrici, occorre prestare molta attenzione sia in termini di GDPR che di sicurezza delle informazioni.
Quando si parla di GDPR, appalti e subappalti è dunque necessario un alto grado di attenzione del committente in merito ai dati personali provenienti dall’appaltatore ed eventuali subappaltatori. Alla luce di questo, i principali punti da tenere in considerazione sono i seguenti:
- i dati personali andranno trattati secondo gli ambiti strettamente necessari e per il periodo strettamente necessario all’esecuzione dei lavori e ai termini previsti dagli obblighi di legge e contrattuali;
- il committente e appaltatore, in particolare, dovranno adottare misure per verificare la veridicità, integrità e l’aggiornamento dei dati personali per evitare che possano esserci violazioni e impatti negativi sugli addetti;
- vanno adottate misure di sicurezza per la protezione dei dati personali e predisposizione di misure di accesso ai dati personali perché non vengano utilizzate per scopi diversi andando non solo ad arrecare danno alle persone ma anche ad appaltatori e subappaltatori;
- in base ai contratti e deleghe, predisporre le nomine a responsabili esterni del trattamento con quelle aziende e professionisti che vengono coinvolti e sono incaricati ad eseguire determinati lavori e trattano dati personali della propria azienda;
- predisporre sistemi che permettano di monitorare l’eventuale scadenza di documenti, attestati, e che impatterebbero negativamente sia sulla persona che sull’esecuzione dei lavori, generando anche ritardi e penali.
Per poter gestire e affrontare questi punti andrebbero, infine, valutate queste indicazioni:
- prevedere la nomina di un DPO (Data Protection Officer) esperto di appalti e cantieristica, per quelle aziende committenti e appaltatrici che trattano dati personali, nonché particolari, su larga scala;
- aumentare il livello di sicurezza dei dati con investimenti in ICT e cyber security;
- gestire la mole di dati e informazioni, nonché la cancellazione, aggiornamento e controllo passaggio da una gestione dei documenti in modalità cartacee a sistemi digitali che supporterebbero nella gestione di tali dati.
