GDPR

General Data Protection Regulation

Cos’è il GDPR?

Il GDPR, ovvero il General Data Protection Regulation è un regolamento europeo entrato definitivamente in vigore dal 25 maggio 2018  in tutti gli Stati membri dell’Unione Europea. Il suo scopo è garantire e regolare la protezione dei dati personali delle persone fisiche.

Fino al  2018 la normativa sulla protezione dei dati personali era contenuta nel Codice della privacy nazionale ed, in seguito alla emanazione del GDPR, le sue disposizioni sono state modificate e rafforzate, al fine di armonizzare la disciplina nazionale con quella europea.

Cos’è un dato personale?

Ai sensi dell’art. 4 del GDPR il «dato personale» consiste in “qualsiasi informazione riguardante una persona fisica”. Nello specifico, con la definizione di dati personali si intendono tutte le informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc.

Ad esempio, sono dati personali: i dati anagrafici (nome, cognome, codice fiscale…); i dati relativi alle comunicazioni elettroniche (numero di telefono, indirizzo email); e i cosiddetti dati sensibili, riguardanti l’etnia, la razza, l’orientamento sessuale, la biologia di un individuo.

Soggetti obbligati all'adeguamento privacy - GDPR

titolare

Sono obbligati ad adeguarsi alla normativa privacy tutti i soggetti che facciano uso dati riguardanti persone fisiche. questi soggetti sono sia le amministrazioni pubbliche che i privati, quali, per esempio, gli studi medici, le concessionarie d’auto ecc.

responsabile del trattamento

Soggetto delegato dal Titolare che interviene nel processo di trattamento. (Inquadrabili in tal senso i professionisti fiscali – il cliente/Titolare del trattamento deve effettuare un atto di nomina con specificazione dei compiti e dati da essi trattati).

ineressato

É la persona fisica alla quale si riferiscono i dati personali. Costui ha dei poteri ben definiti al fine di gestire i propri dati e, in generale, al fine di tutelare la sua privacy.

 

Cosa accade se non si rispettano gli obblighi imposti dal GDPR

Le conseguenze previste dal GDPR per i responsabili inadempienti sono varie e sono tutte di non scarsa importanza. queste sono sanzioni di natura amministrativa (che devono essere commisurate affinché siano effettive, proporzionate e dissuasive) e penali (in particolar modo si deve far riferimento al nuovo articolo 167-bis del codice della privacy).

Chi e’ il DPO (o RPD)

Il Responsabile della protezione dei dati è un consulente specializzato in materia privacy che ha il compito di fornire consulenza tecnica al Titolare del trattamento, nonché affiancarlo nella corretta gestione dei dati, occupandosi, inoltre, di gestire i rapporti tra lo stesso Titolare del trattamento e l’Autorità garante Privacy (l’autorità di sorveglianza in materia). L’istituzione di tale figura in taluni casi è obbligatoria.

Dati Particolari

Il GDPR identifica particolari categorie di dati il cui trattamento deve essere effettuato in maniera più rigorosa, trattasi dei cosiddetti “dati sensibili” (es. dati relativi alla salute). Di norma il trattamento di tali dati è vietato, salvo gli specifici casi autorizzati dalla legge.

COVID-19 e privacy

La diffusione della pandemia da Covid-19 ha comportato la necessità di permettere la gestione dei dati sensibili anche da parte di soggetti a cui era prima vietato, ad esempio ai datori di lavoro. Di fatti è stato emanato un apposito protocollo indirizzato ai datori di lavoro per la corretta gestione del rischio da contagio covid-19 all’interno del luogo di lavoro.

Tale protocollo ha previsto, tra le varie misure, l’obbligo di rilevazione della temperatura corporea del personale lavorativo ad ogni ingresso presso i locali d’impresa. Tale dato è qualificabile quale dato sensibile, poiché inerente alla salute della persona.

  • Questi dati sono spesso trattati con negligenza e, pertanto, è sempre consigliabile richiedere assistenza ai professionisti privacy.

 Spesso i dipendenti e i datori di lavoro sono in dubbio su come comportarsi in caso di infezione da Covid. Occorre dichiararla al datore di lavoro? occorre informare i dipendenti se un loro collega risulta positivo? Per rispondere occorre sempre tenere a mente che si parla di dati sensibili e, pertanto, soggetti a tutele importanti. Occorre far riferimento al GDPR e ai protocolli appositi.

Il Testo Unico per la Sicurezza sul Lavoro stabilisce l’obbligo della sorveglianza sanitaria obbligatoria nei casi in cui vi siano dei rischi per la salute dei lavoratori in funzione dell’attività lavorativa svolta nell’azienda.

Si tratta dell’obbligo in capo al datore di lavoro di controllo periodico della salute dei lavoratori, da eseguirsi attraverso la nomina del cosiddetto “Medico competente”.

Nelle aziende alle cui dipendenze siano occupati più di 15 lavoratori, il luogo di custodia  del fascicolo sanitario relativo ad ogni dipendente deve essere concordato tra medico e datore di lavoro. Nell’ipotesi in cui tale documentazione venga conservata all’interno dell’azienda, tale conservazione deve essere effettuata con particolari modalità idonee a garantire la sicurezza dei dati contenuti nei fascicoli.

A causa della recente emergenza sanitaria, come accennato, i ruoli del datore di lavoro e del Medico Competente sono stati “rafforzati”; infatti, il medico competente ha l’onere di eseguire uno “screening” sui dipendenti al fine di identificare i ”lavoratori fragili” ovvero quei lavoratori che a causa di determinate patologie pregresse, risultino maggiormente a rischio contagio all’interno dei luoghi di lavoro e per i quali il Datore di lavoro dovrà adottare specifiche misure volte ad una maggiore protezione di tali soggetti.

L’Unione Europea e i singoli Stati si stanno organizzando al fine di permettere ai cittadini, in possesso di determinati requisiti sanitari, di poter ottenere un pass che consenta la libera circolazione negli Stati membri in sicurezza, nonostante la persistente pandemia da Covid19. Tale pass dovrà essere rilasciato ai cittadini europei che siano stati vaccinati contro il Covid, che siano immuni poiché guariti dalla malattia o che siano risultati negativi al test diagnostico.

Ovviamente questo sistema esporrà i cittadini alla diffusione e al trattamento dei loro dati sensibili e, pertanto, coinvolgerà i Titolari del trattamento dati in prima persona, obbligandoli a prendere misure di protezione adeguata.

Videosorveglianza

tobias-tullius-4dKy7d3lkKM-unsplash

Hai applicato un sistema di videosorveglianza all’interno della tua azienda?

Se la risposta è positiva, sappi che per la corretta gestione del dato “immagine” è necessario il rispetto di una serie di rigorose prescrizioni, quale, ad esempio, conferire specifico incarico ad un soggetto predeterminato, il cui accesso a tali dati deve essere minuziosamente tracciato.

Ricorda che il costo dell'adeguamento privacy sarà un costo deducibile per la tua attività.

Check list per scoprire se sei a norma:

Registro attività del trattamento dei dati

Nomine soggetti che intervengono nell’attività di trattamento

Predisposizione di un’adeguata Informativa (tradotta anche per i cittadini stranieri)

Raccolta del Consenso

DPIA - valutazione d’impatto sulla protezione dei dati

Procedure organizzative e di sicurezza sul trattamento dei dati

Nomina DPO - Responsabile della Protezione dei dati

Formazione del personale

Contattaci con fiducia tramite il seguente modulo