Conoscere come bisogna trattare i dati personali in azienda oggi è obbligatorio.
Il 25 maggio 2018 è diventato applicabile a tutti gli effetti il nuovo Regolamento europeo sulla protezione dei dati personali (GDPR che sta per General Data Protection Regulation).
Le nuove disposizioni sul trattamento dei dati personali sono entrate in vigore dopo sei anni di discussioni tra Parlamento e Commissione andando ad uniformare la materia a livello europeo.
A gennaio del 2012 infatti la Commissione Ue aveva presentato il nuovo pacchetto composto da una proposta di regolamento e una proposta di direttiva che nel corso di questi anni sono state appunto ampiamente discusse divenendo applicabili a maggio di quest’anno.
Riviste anche le regole per la protezione dei dati personali in azienda impostate secondo il principio dell’Accountability, ossia dell’approccio responsabile al trattamento dei dati con una maggiore responsabilizzazione dei titolari e dei responsabili della protezione dei dati personali in azienda.
I principi della protezione dati personali in azienda stabiliti dal GDPR
Secondo le nuove disposizioni europee (Regolamento Ue 2016/679), ogni trattamento dati deve fondarsi sul rispetto dei principi fissati dal nuovo regolamento e garantire agli interessati tutti i diritti previsti.
Va sempre nominato un Responsabile della Protezione dei dati (RPD) che dovrà anche sensibilizzare e formare tutto il personale in materia e fungere da intermediario tra gli interessati e il Garante sull’applicazione del Regolamento.
I titolari possono decidere in autonomia per individuare il rischio svolgendo una valutazione d’impatto anche consultando il Garante.
Devono inoltre redigere un registro dei trattamenti dati aggiornato, in forma scritta o elettronica da esibire al Garante in caso di richiesta.
Dovrà quindi essere garantito un livello di sicurezza adeguato al rischio del trattamento evitando qualsiasi distruzione, sia accidentale che illecita, perdita, modifica, rivelazione e accesso non autorizzato.
Trattamento dei dati personali in azienda e compiti dei titolari
Il regolamento europeo GDPR prevede appunto la responsabilizzazione dei titolari e dei responsabili del trattamento dei dati personali in azienda, titolari che dovranno dimostrare la “concreta adozione di misure finalizzate ad assicurare l’applicazione del Regolamento” (articoli 23-25 e Capo IV).
Questo significa che i titolari potranno decidere in piena autonomia le modalità, le garanzie e i limiti del trattamento dei dati personali ma rispettando la normativa e i criteri del GDPR.
Le garanzie indispensabili dovranno però essere stabilite prima di procedere al trattamento dei dati personali, con un’analisi preventiva e un impegno da parte dei titolari che dovranno studiare tutta una serie di attività specifiche dimostrabili.
Tra queste attività dovranno esserci quelle connesse al criterio di rischio inerente al trattamento dei dati personali in azienda, da intendersi come rischio di impatti negativi sulle libertà e sui diritti degli interessati. Impatti che dovranno essere analizzati attraverso un processo di valutazione che dovrà tenere presente i rischi noti o evidenziabili e le misure tecniche e organizzative che lo stesso responsabile del trattamento dei dati dovrà adottare per limitare al massimo questi rischi.
Trattamento dei dati personali in azienda: il consenso
Il Consenso deve
- essere sempre esplicito
- non deve necessariamente essere documentato per iscritto (anche se deve essere inequivocabile)
- deve dimostrare che l’interessato ha prestato il consenso a uno specifico trattamento
- il consenso dei minori è valido a partire dai 16 anni (che può essere abbassato a 13 anni dalla normativa nazionale) prima occorre il consenso dei genitori o di chi ne fa le veci
- deve essere libero, specifico e inequivocabile
- non è ammesso il consenso tacito o presunto.
Il consenso raccolto prima del 25 maggio 2018 resta valido che rispetta le caratteristiche del nuovo regolamento.
Il responsabile del trattamento deve inoltre verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste e dichiarazioni.
Infine il modulo per richiedere il consenso deve essere semplice, chiaro e comprensibile.
Informativa sul trattamento e protezione dei dati personali in azienda
Questi i contenuti che devono essere chiaramente indicati nell’informativa sul trattamento dei dati personali:
- dati di contatto del RPD-DPO (Responsabile della protezione dei dati-Data Protection Officer)
- se necessario la base giuridica del trattamento e interesse legittimo se costituisce la stessa base giuridica
- se i dati vengono trasferiti in paesi terzi e nel caso attraverso quali strumenti
- specificare il periodo di conservazione dei dati, i criteri seguiti per stabilirlo
- il diritto di presentare un reclamo all’autorità di controllo.
Protezione dati in azienda e diritti degli interessati
Il nuovo GDPR stabilisce che l’interessato ha diritto di ricevere una copia dei dati personali che saranno oggetto di trattamento.
Con il nuovo regolamento viene introdotto il diritto all’oblio, ossia il diritto alla cancellazione dei propri dati personali; i titolari del trattamento, nel caso in cui abbiano reso pubblici i dati personali dell’interessato pubblicandoli ad esempio su di un sito web, sono obbligati ad informare della richiesta di cancellazione, compresi link, copie o riproduzioni.
L’interessato inoltre ha il diritto di chiedere la cancellazione dei propri dati anche dopo la revoca del consenso al trattamento.
Si tratta di un diritto più esteso rispetto al semplice blocco del trattamento e può essere esercitato non solo in caso di violazione ma anche se l’interessato chiede semplicemente la rettifica dei dati o si oppone al loro trattamento.