INAIL, istruzioni privacy per le sedi territoriali

Con la Circolare 20 ottobre 2020, n. 37, la Direzione generale dell'Istituto assicurativo fornisce le istruzioni operative per le strutture centrali e territoriali circa gli obblighi in materia di privacy.

In particolare, la Direzione centrale per l'organizzazione digitale, previe intese con il Responsabile della protezione dei dati (RPD) rammenta, alle strutture centrali e territoriali, secondo i propri ambiti di competenza, il rispetto degli obblighi sanciti dal GDPR, nonché del modello organizzativo privacy dell'Istituto emanato con determinazione del Presidente INAIL del 12 marzo 2020, n. 53.

Relativamente agli adempimenti in materia di privacy, la direzione segnala che:

• il registro delle attività di trattamento (art. 30, GDPR), deve essere corretto ed aggiornato nel tempo, costituendo lo strumento fondamentale, anche in eventuali attività di controllo, per far emergere la responsabilizzazione del titolare e del responsabile del trattamento. Tale strumento è la fonte primaria per lo svolgimento delle attività di analisi e valutazione degli impatti in materia di privacy;
• quando un trattamento può comportare un rischio elevato per i diritti e le libertà delle persone interessate deve essere svolta una valutazione di impatto sulla protezione dei dati (DPIA). Qualora, nonostante eventuali misure tecniche ed organizzative adottabili il rischio per la protezione dei dati rimanga elevato, sarà necessario consultare l'autorità di controllo. Si rammenta, a tal fine, che la valutazione d'impatto deve essere condotta prima che il trattamento abbia inizio, in fase di definizione dello stesso e deve essere sottoposta a continuo riesame con intervalli regolari o qualora intervengano sostanziali modifiche al contesto del trattamento;
• in  caso di data breach, le strutture coinvolte dovranno segnalare al RPD ogni situazione di violazione dei dati personali di cui sono venuti a conoscenza, nonché fornire l'opportuno supporto alle attività di indagine concorrendo alla gestione delle eventuali violazioni di dati, in relazione alla propria competenza;
• l'esercizio dei diritti degli interessati (artt. da 15 a 22, GDPR) è garantito dal servizio presente sul portale "Inail Risponde". Altresì, nel caso in cui l'interessato chiede l'esercizio dei propri diritti a mezzo mail o pec, sarà cura della struttura territoriale inoltrare tempestivamente le richiesta alla casella protezionedati@inail.it.

Per quanto concerne la gestione dei documenti informatici e cartacei:

• è opportuno agevolare l'uso sicuro di stampanti o fax posizionandoli opportunamente e facendo sì che il personale possa stampare dati personali solo qualora sia ritenuto strettamente indispensabile ed utilizzando appositi pin per il recupero della stampa;
• i documenti cartacei dovranno essere custoditi e dovrà essere impedito qualsivoglia accesso non autorizzato;
• i documenti informatici non dovranno essere archiviati su supporti esterni non espressamente autorizzati.