Meno costi e burocrazia per le PMI in materia di privacy in azienda, norme più chiare e mirate a garantire la protezione dei dati: sono le linee guida del nuovo RegolamentoUE , approvato il 15 dicembre ed entro i primi mesi del 2016 da includere in una Riformadella Privacy che gli Stati membri dovranno adottare entro due anni (2018). L’obiettivo è rendere uniforme la normativa, garantire una più efficace tutela dei propri dati personali e stimolare la creazione di un mercato unico digitale europeo.

 Authority unica

Le nuove norme sulla privacy in azienda si applicheranno alle imprese dell’Unione e a quelle extraeuropee che offrono servizi all’interno dell’UE; le regole saranno più semplici e gli oneri meno gravosi, semplificando anche l’attività oltre-frontiera; in tutti i Paesi UE opererà un un’unica autorità di controllo. 

Oneri proporzionali

La filosofia generale è quella di un approccio basato sull’effettivo rischio nelle singole aziende, senza più obblighi uguali per tutti, spesso inutili ed eccessivamente onerosi. In particolare, per le PMI vengono aboliti gli obblighi di notifica alle autorità di controllo (“formalità” da 130 milioni l’anno), di valutazione d’impatto (sempre che non ci sia un effettivo rischio elevato) e di nomina del responsabile per la protezione dei dati (se il trattamento dei dati non rappresenta la loro attività principale). In caso di richieste di accesso ai dati manifestamente infondate o eccessive, le piccole e medie imprese potranno persino esigere il pagamento delle relative spese.

Utenti al sicuro

Per quanto riguarda i cittadini, la riforma tende a dare risposte precise a una serie di preoccupazioni rilevate da un’indagine di Eurobarometro: pieno controllo delle informazioni che forniscono online (67%); potenziale uso delle imprese informazioni divulgate (70%). Le nuove norme garantiscono infatti maggiore trasparenza sul trattamento dei propri dati personali. Introdotte poi semplificazioni per la portabilità dei dati, un rafforzamento del diritto all’oblio, il diritto ad essere informati in caso di violazionedei dati.  Infine, le garanzie privacy saranno previste per prodotti e servizi già in fase di progettazione, così da consentire l’utilizzo di tecnologie come i big data senza ledere i diritti degli utenti (ad esempio, attraverso l’utilizzo di pseudonimi).

Controlli

La riforma introduce nuove regole in materia di indagini di polizia e procedimenti giudiziari, che da una parte garantiscono un più efficiente scambio di informazioni fra le autorità competenti dei vari Stati, mentre dall’altro prevedono una maggior protezione dei dati (di vittime, testimoni, autori di reati) quando utilizzati per attività di contrasto alla criminalità. 

Guida alla Privacy in azienda

La gestione della privacy nei luoghi di lavoro: guida agli obblighi per le aziende alla luce dei riferimenti normativi e delle semplificazioni negli adempimenti previste per le PMI.

Con questa guida vogliamo intraprendere un percorso all’interno del Codice della Privacy evidenziando ogni aspetto utile per le imprese nella gestione e nel trattamento dei dati personali, nelle figure prevista dal decreto e negli obblighi che l’azienda è tenuta a rispettare fino ad arrivare alle sanzioni previste per le aziende inadempienti e al documento programmatico sulla sicurezza.

La gestione della privacy in azienda – ossia la tutela della riservatezza di dati personali, curriculum e informazioni sulle persone giuridiche – è uno degli adempimenti più importanti, tanto da richiedere al legislatore l’emanazione di uno specifico decreto legislativo, il 196/2003 (Codice Privacy). Per regolamentare casi specifici sono poi state introdotte disposizioni ad hoc, come ad esempio il registro delle opposizioni, volto a regolamentare l’invio di proposte commerciali telefoniche, via Internet e su carta.

Regolamento Privacy

Definizione di dati personali

La normativa sulla privacy permette di tutelare il trattamento dei dati personali. Con il termine dati personali si intende qualunque informazione relativa a persona fisica, persona giuridica, ente o associazione identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.

Sono considerati dati personali sia quelli identificativi veri e propri come il nome, il cognome, la denominazione, l’indirizzo, la fotografia, la registrazione della voce, il filmato, le impronte digitali, sia le informazioni che risultano essere oggettivamente idonee a individuare un determinato soggetto come ad esempio il Codice Fiscale, la Partita IVA, gli estremi del documento d’identità o della patente, le coordinate bancarie o l’indirizzo e-mail.

La raccolta dei dati tramite moduli o formulari comporta la nascita di diritti per il soggetto che fornisce i dati e di doveri da parte del soggetto che li richiede, li raccoglie e li conserva per utilizzarli successivamente. Ci riferiamo sia alla raccolta tramite moduli cartacei come l’attivazione di una polizza assicurativa, l’apertura di un conto corrente bancario, la sottoscrizione di un mutuo o la formulazione di un’offerta, sia alla compilazione di moduli tramite Internet come ad esempio la raccolta di curriculum o dei nominativi di persone interessate a ricevere proposte commerciali.

Definizione di dati sensibili

Si considerano sensibili i dati personali in grado di rilevare l’origine razziale ed etnica, le convinzioni religiose, filosofiche e di altro genere, le opinioni politiche, l’adesione a partiti o sindacati nonché ogni dato in grado di rilevare lo stato di salute e la vita sessuale.

La disciplina del trattamento dei dati prevede che per la gestione dei dati sensibili è necessario il consenso dell’interessato e l’autorizzazione del Garante il quale comunica la decisione adottata in base alla richiesta di autorizzazione entro quarantacinque giorni, decorsi i quali la mancata pronuncia equivale a rigetto.

Il Codice della Privacy ha comunque escluso la necessità del consenso scritto per il trattamento dei dati sensibili dei dipendenti quando tale trattamento è necessario ad adempiere a specifici obblighi previsti dalla legge per la gestione del rapporto di lavoro. Pertanto, per il trattamento dei dati necessari per l’ordinaria gestione del rapporto di lavoro non sono necessarie né autorizzazioni del Garante né consensi scritti del lavoratore.

I dati sensibili contenuti in elenchi, registri o banche dati, nel caso in cui sono tenuti con strumenti elettronici, devono essere trattati con tecniche di cifratura affinché vengano resi inintelligibili.

Trattamento dei dati personali

All’attualità il rischio più grande in tema di protezione dei dati personali è quello di perdere il controllo su tutti quei dati oggetto di esternalizzazione delle banche dati aziendali per essere ospitate presso reti di data center gestiti da terzi.

A dire il vero il decreto legislativo n. 196/2003 non tutela le banche dati (che invece sono tutelate dalla legge sul diritto d’autore) ma piuttosto il trattamento dei dati personali. Questo significa che il Codice della Privacy tutela i dati personali anche se non organizzati o registrati in una banca dati.

Il trattamento dei dati consiste in tutte le operazioni relative ai dati compiute anche senza l’ausilio di strumenti elettronici e può essere suddiviso in 2 grandi categorie a seconda che siano rivolti all’interno o all’esterno della struttura del titolare del trattamento.

Il trattamento delle informazioni nei rapporti con l’interno comprende le varie operazioni effettuate da chi raccoglie informazioni stesse al fine di organizzarle e renderle fruibili da se stessi o da altri soggetti autorizzati. Queste operazioni possono essere sintetizzate in: raccolta, registrazione su supporti informatici o cartacei, organizzazione ossia il processo del trattamento che ne favorisce la fruibilità, conservazione, consultazione, elaborazione, selezione, modifica e cancellazione.

Il trattamento delle informazioni nei rapporti con l’esterno comprende una serie di trattamenti che se applicati in maniera errata potrebbero portare ad una violazione della privacy e, nello specifico, riguardano l’utilizzo dei dati personali. I dati possono essere diretti a instaurare un rapporto con la persona cui si riferiscono oppure possono essere messi a disposizione di terzi.

Privacy all’interno dell’azienda

In ambito aziendale i dati personali sono presenti ovunque per lo svolgimento dell’attività d’impresa: dall’ufficio Personale a quello Commerciale, all’Amministrazione, agli Archivi, al Magazzino e all’Ufficio Tecnico. In effetti questa diffusione dei dati personali non può costituire elemento di criticità a condizione che siano gestiti a norma di legge.

La gestione e il trattamento dei dati personali per certi versi possono rappresentare deicosti per l’azienda. Pertanto è necessario che l’impresa razionalizzi i dati da raccogliere e da conservare. In questo modo riuscirà a comprendere quali dati sono necessari e quali non lo sono. Questo perché la normativa italiana tutela tutte le informazioni in possesso del titolare del trattamento, anche quelle inutili.

Figure previste dalla normativa

Titolare del trattamento

La normativa italiana di tutela della Privacy oltre al soggetto interessato a cui si riferiscono i dati personali prevede anche una serie di figure coinvolte nell’intero processo di acquisizione e trattamento dei dati. Ad alcuni di questi soggetti viene affidato un particolare compito affinché il trattamento dei dati sia corretto. Il primo soggetto di cui parleremo è il titolare del trattamento.

Come specificato dall’articolo 28 del Codice della Privacy, il titolare del trattamento è l’entità che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza. Titolare del trattamento può essere una persona fisica ossia l’imprenditore o giuridica ossia la società stessa. In tal caso ogni responsabilità cadrà in capo alle persone fisiche che hanno la rappresentanza legale pro tempore o che hanno avuto una delega formale.

Compito del titolare del trattamento è quello di rispettare gli obblighi in materia di protezione dei dati, osservare le scadenze predisponendo la modulistica richiesta, aggiornando e monitorando costantemente l’attuazione delle prescrizioni.

Il titolare del trattamento può designare uno o più responsabili del trattamento a cui impartire specifiche istruzioni. Resta inteso che dovrà ugualmente vigilare sul corretto operato dei responsabili. Dovrà, inoltre, attivare e controllare periodicamente il sistema di sicurezza per il trattamento dei dati, inviare l’informativa a clienti, fornitori e a tutti coloro di cui tratta i dati, rispettare l’esercizio dei diritti dell’interessato, predisporre e sottoscrivere l’eventuale notifica al Garante, formare i propri collaboratori in merito alla gestione dei dati personali, decidere se adottare ulteriori misure di sicurezza non previste dal codice Privacy.

Il titolare del trattamento è chiamato a rispondere di ogni omissione o violazione anche con pesanti sanzioni amministrative e penali.

Responsabile del trattamento

Come già accennato, il responsabile del trattamento è una figura, nominata dal titolare del trattamento, che collabora attivamente per dare piena attuazione alla normativaall’interno dell’impresa.

Il responsabile del trattamento deve essere individuato con atto scritto nel quale vanno indicati dettagliatamente i compiti affidati e le istruzioni impartite. La normativa prevede che nell’individuazione del responsabile del trattamento occorre far riferimento a soggetti che per esperienza, capacità e affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.

In merito a questa figura la normativa prevede obblighi specifici ma altrettante libertà: la presenza del responsabile del trattamento in azienda è facoltativa, non viene stabilito il numero dei responsabili da nominare all’interno di una struttura organizzativa, non è stabilito se il responsabile deve essere un soggetto interno o esterno all’azienda. Tutto ciò è di esclusiva discrezionalità dell’impresa. Se nominato, il responsabile del trattamento può essere chiamato a rispondere sia civilmente che penalmente per il suo operato.

Incaricato del trattamento

Chi compie materialmente le operazioni di trattamento dei dati su incarico del titolare prende nome di incaricato del trattamento. Questi opera sotto l’autorità del titolareattenendosi alle disposizioni impartite. L’incaricato non ha alcun potere decisionale poiché è previsto che esegua esclusivamente le indicazioni impartite, può accedere ai soli dati personali necessari per il corretto svolgimento della propria attività lavorativa.

Sono incaricati del trattamento tutti i soggetti che trattano dati personali per conto dell’azienda indipendentemente dal rapporto che li lega all’impresa. Resta inteso che anche gli incaricati, così come i responsabili, devono essere nominati per iscritto tramite una lettera contenente l’indicazione dei dati ai quali potranno accedere e le istruzioni per il corretto trattamento degli stessi. Dovranno, inoltre, ricevere adeguata formazione.

Amministratore del sistema informativo

La normativa sulla Privacy non prevede che debba essere obbligatoriamente nominato un amministratore del sistema informativo. Resta il fatto che è compito del titolare del trattamento provvedere all’obbligo di assicurare la custodia delle componenti riservate delle credenziali di autenticazione nonché provvedere a realizzare copie di backup e gestire i sistemi di autenticazione e autorizzazione.

Poiché nelle grandi aziende questa figura risulta essere praticamente necessaria e non essendo prevista in maniera obbligatoria dalla normativa, solitamente si nomina un incaricato del trattamento a cui vengono dati i compiti di responsabilità al settore informatico o attribuendo compiti specifici in merito all’individuazione e all’implementazione delle misure di sicurezza informatiche.

Nel caso in cui l’azienda non debba avere risorse in grado di svolgere tale funzione potrà fare riferimento a soggetti esterni quali la software house che ha realizzato il sistema informatico o che ha in gestione la manutenzione hardware e software.

A suo tempo il DL n.138/2011 (Decreto Sviluppo) ha introdotto una serie di semplificazioni per le imprese che ricevono curricula a seguito di candidature spontanee, e che solitamente riportano una liberatoria generica per il trattamento dei dati che, tuttavia, non libera l’azienda degli adempimenti previsti dal Codice della Privacy in quanto non sono preceduti dalla consegna di una informativa. Ebbene, il Decreto Sviluppo ha modificato l’obbligo di dare l’informativa privacy per poter conservare i CV, specificando che non è necessario nel caso di trasmissione spontanea dei curriculum. L’impresa, comunque, dovrà consegnarla al candidato al momento del primo contatto ovvero durante il colloquio.

Normativa europea

Il 24 ottobre 1995 con la Direttiva Comunitaria 95/46/CE il Parlamento Europeo e il Consiglio dell’Unione Europea hanno anticipato le disposizioni in materia di trattamento dei dati personali e di protezione della riservatezza riguardante le persone fisiche chiamato comunemente “Codice Privacy”. La regolamentazione del trattamento dei dati personali a livello comunitario si è resa necessaria per agevolare lo sviluppo delle relazioni fra gli individui della Comunità Europea e permettere lo sviluppo economico e sociale dei vari Paesi.

La Direttiva Comunitaria mette in risalto la tutela dei diritti e delle libertà fondamentali delle persone fisiche con particolare attenzione alla vita privata e al trattamento dei dati personali. Per questo motivo pone il divieto a tutti gli Stati membri di adottare misure che vietano o restringono la libera circolazione dei dati personali.

Prima di entrare a fondo nell’argomento è bene precisare sommariamente cosa intende la normativa europea con i termini dati personali e trattamento dei dati personali. È un dato personale qualunque informazione riguardante una persona fisica identificata o identificabile mentre l’operazione o l’insieme delle operazioni attuate per gestire i dati personali ossia raccolta, registrazione, organizzazione, conservazione, elaborazione fino ad arrivare alla trasmissione, diffusione e distruzione, prende nome di trattamento dei dati personali.

La normativa, inoltre, individua un soggetto particolarmente importante: il responsabile del trattamento. In questo modo nasce la figura della persona fisica o giuridica ovvero qualsiasi organismo che in autonomia o con altri organi determina le finalità e gli strumenti del trattamento dei dati personali.

Normativa italiana

L’Italia ha recepito la normativa europea con l’emanazione del decreto legislativo n. 196 del 30 giugno 2003 il quale si pone lo scopo di garantire che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali nonché della dignità dell’interessato con particolare riferimento alla riservatezza, all’identità personale e al diritto della protezione degli stessi dati personali.

La normativa, in pratica dà diritto agli interessati di ottenere la conferma dell’esistenza o meno di dati personali che lo riguardano nonché le finalità e le modalità di trattamento. Tale soggetto può richiedere l’aggiornamento, la rettifica, l’integrazione e la cancellazione dei dati.

La richiesta di accesso ai dati va fatta al responsabile del trattamento mediante lettera raccomandata, fax o posta elettronica. Questi, dopo aver verificato l’identità del richiedente, è tenuto ad agevolare l’accesso ai dati personali da parte dell’interessato anche attraverso l’impiego di appositi software per l’elaborazione. Il responsabile, quindi, dovrà estrarre i dati e comunicarli, anche oralmente o offerti in visione mediante strumenti elettronici, al richiedente. Se viene fatta richiesta dovrà provvedere alla trasposizione dei dati su supporti cartacei o informatici ovvero alla trasmissione dei dati per via telematica.

Il responsabile del trattamento si riserva la facoltà di richiedere all’interessato uncontributo spese non eccedente i costi effettivamente sostenuti per eseguire la ricerca dello specifico caso.

We use cookies to improve our website and your experience when using it. Cookies used for the essential operation of this site have already been set. To find out more about the cookies we use and how to delete them, see our privacy policy.

  I accept cookies from this site.
EU Cookie Directive Module Information

I cookie sono piccoli file di testo che possono essere utilizzati dai siti web per rendere più efficiente l'esperienza per l'utente.

La legge afferma che possiamo memorizzare i cookie sul tuo dispositivo se sono strettamente necessari per il funzionamento di questo sito. Per tutti gli altri tipi di cookie ci serve il tuo permesso.

Questo sito utilizza diversi tipi di cookie. Alcuni cookie sono posti da servizi di terzi che compaiono sulle nostre pagine.

Il tuo consenso si applica ai seguenti settori: www.powertobusiness.it, www.bolognatobusiness.it, servizi.powertobusiness.it