La città di Mostropoli è alimentata dall'energia prodotta dalla Monsters & Co., società che ricava corrente elettrica dagli spaventi dei bambini. L'azienda vanta una paurosa squadra di instancabili lavoratori che, irrompendo nelle camerette, terrorizzano i piccoli umani, convertendo le loro urla in energia.
«Facciam paura, ma con cura», questo il motto dei dipendenti della Monsters & Co., fra cui troviamo Sulley, muscoloso mostro azzurro a pois viola, e Mike, dalla forma sferica e con un solo occhio.
Per gestire correttamente il rapporto di lavoro di Sulley, Mike e tutti gli altri dipendenti, Henry J. Waternoose III, direttore generale della Monsters & Co., deve conoscerne i dati anagrafici (nome, cognome, indirizzo di residenza, etc.), le coordinate bancarie, il percorso di formazione, i dati sanitari e molto altro ancora.
In ottica privacy, secondo il Regolamento europeo sulla protezione dei dati personali (GDPR), la Monsters & Co. svolge il ruolo di Titolare del trattamento dei dati personali. Infatti, ai sensi dell'art. 4 del GDPR, la società determina a che scopo e con quali modalità dover trattare i dati di Sulley e Mike.
Quello del Titolare è un ruolo particolarmente delicato, da cui dipende la riservatezza dei dati personali delle persone fisiche (in questo caso, dei dipendenti di un'azienda). Per questo motivo, la legge individua una serie di obblighi in capo alla Monsters & Co.
Ad esempio, nel rispetto del principio di trasparenza, la Società dovrà fornire a tutti i mostri dipendenti un'informativa privacy ex artt. 13 e 14 del GDPR, con cui informare i lavoratori circa le categorie di dati trattati, le finalità del trattamento, eventuali soggetti terzi a cui potrebbero essere comunicati tali dati etc. Oppure, in ossequio al principio di accountability, la Monsters & Co. dovrà curare la tenuta del Registro dei trattamenti, nel quale censire tutte le operazioni inerenti ai dati personali dei lavoratori. E non finisce qui, poiché Henry J. Waternoose III avrà anche l'obbligo di adottare adeguate misure di sicurezza per proteggere i dati trattati all'interno dell'azienda da eventuali attacchi, violazioni, alterazioni e sottrazioni ad opera di soggetti poco raccomandabili, come l'antagonista Randall Boggs, pronto a tutto pur di scalzare Sulley dal titolo di miglior spaventatore.
Fra gli innumerevoli doveri dei Titolare, infine, non possiamo dimenticare l'obbligo della Monsters & Co. di garantire a tutti i dipendenti, in quanto soggetti interessati, i diritti loro riconosciuti dal GDPR. Si tratta del diritto di accesso ai dati, del diritto alla rettifica o alla cancellazione degli stessi, del diritto di limitazione o di opposizione al trattamento e del diritto alla portabilità dei dati.
In particolare, ai sensi dell'art. 22 GDPR, Sulley e Mike vantano anche un diritto a non essere sottoposti a decisioni basate unicamente su trattamenti automatizzati. Il tema assume rilevanza con riferimento alla misurazione delle performance degli spaventatori, la cui bravura è automaticamente rilevata dai misuratori che l'azienda impiega quando i mostri sono chiamati a spaventare i bambini.
