un unico regime di protezione dei dati personali dei cittadini e residenti dell’Unione, all’interno ed all’esterno dei suoi confini, comune e omogeneo a tutto il territorio dell’UE.
Il Regolamento 679/2016 è portatore di importanti novità, comporta una serie di nuovi obblighi a carico delle aziende e impone l’adozione di misure di protezione fin dalla fase di progettazione
del trattamento. Viene introdotto il concetto di responsabilizzazione del titolare e del responsabile
del trattamento che devono operare la raccolta in modo lecito, corretto e soprattutto trasparente.
La normativa si applica ogni volta che avviene una qualsiasi operazione compiuta sui dati personali (es. visualizzare un codice fiscale, un numero di telefono, la localizzazione satellitare, un
nickname), esclusi i trattamenti effettuati per attività esclusivamente personale o domestica.
La tenuta del registro dei trattamenti, in forma scritta o elettronica e dove bisogna indicare una serie precisa di informazioni, è un obbligo, ma non si applica alle imprese e organizzazioni con meno
di 250 dipendenti, a meno che il trattamento non sia occasionale o ad alto rischio, o includa particolari categorie di dati (es. dati sensibili).
Il Garante Privacy ha pubblicato le istruzioni sul Registro, che le PMI possono tenere in forma semplificata, e ha chiarito che devono tenerlo liberi professionisti, esercizi commerciali o artigiani
con almeno un dipendente (bar, officine, negozi) o che trattano dati sanitari dei clienti (estetisti, ottici,
odontotecnici, tatuatori) o dati relativi a condanne penali o reati. Il Responsabile del trattamento
è un soggetto particolarmente qualificato e esterno all’impresa, al quale il titolare ha delegato lo svolgimento di determinate attività (es. consulente del lavoro).
L’informativa, in forma concisa, trasparente, intelligibile per l'interessato e facilmente accessibile, va data al massimo entro 1 mese dalla raccolta o dalla comunicazione dei dati. La forma scritta per il consenso, ove previsto, resta la forma più idonea. Restano validi l’informativa e il consenso prestati ante 25 maggio 2018 se hanno tutte le caratteristiche previste dal Regolamento.
Deve sempre essere indicato il periodo di conservazione dei dati e, se non è possibile, i criteri utilizzati per determinarlo (es. termini prescrizionali di 5 o 10 anni). Il CV va conservato solo per il tempo necessario alla verifica dei requisiti degli aspiranti lavoratori, salvo che si sia specificato che può essere usato per eventuali altre posizioni. Per i dati trattati elettronicamente è necessario
fare un’analisi dei rischi e poi adottare soluzioni di sicurezza informatica per neutralizzarli.
0 commenti:
Posta un commento