Rapporti di lavoro

Privacy con trattamento su misura

di Riccardo Imperiali

Modalità di adeguamento, nuovi ruoli e nuove funzioni previste dal Gdpr, il regolamento europeo sulla privacy che sarà in vigore dal 25 maggio: sono alcuni dei temi emersi nel corso del videoforum trasmesso lunedì sulla pagina Facebook de «Il Sole 24 Ore», caratterizzato da un intenso scambio di domande e risposte che hanno consentito di mettere a fuoco alcuni punti importanti della normativa di prossima applicazione. Il dato comune emerso durante l'intera sessione è una diffusa paura che genera la scadenza oramai prossima e la confusione che regna sovrana.

Chi dovrà adeguarsi

Se è vero che la normativa riguarda tutti indistintamente, dal mondo pubblico a quello delle imprese che devono trattare i dati personali degli interessati (cittadini, dipendenti, utenti eccetera), è vero anche che l'adeguamento al Gdpr da parte dei titolari del trattamento (ministeri, Comuni, Asl ovvero imprese, banche, cliniche, associazioni, studi professionali e così via) andrà fatto con buon senso e considerando la concreta attività che viene svolta sui dati personali, in considerazione soprattutto delle finalità per cui quei dati sono stati raccolti e trattati. Infatti, una delle maggiori novità introdotte dal regolamento, rispetto all'attuale Codice privacy, è il principio di accountability e cioè di responsabilizzazione del titolare rispetto al trattamento che compie. In base a questo principio, il titolare dovrà individuare il trattamento da svolgere e comprendere i rischi che può correre l'interessato rispetto all'uso dei dati che verrà fatto; all'esito di tanto, predisporrà i presidi adeguati per evitarli; quindi implementerà adeguate misure di sicurezza e istruirà coloro che devono accedere a quei dati per raggiungere appunto le finalità per cui sono stati raccolti (gestire un rapporto di lavoro, una campagna marketing, un servizio richiesto, eccetera).

Il registro dei trattamenti

Tra le altre novità degne di rilievo e che possono aiutare a navigare verso un corretto adeguamento, vi è il registro dei trattamenti. Esso è obbligatorio solo per le aziende o gli enti che occupano più di 250 dipendenti o per coloro che effettuano trattamenti considerati a rischio, ma è consigliabile a tutti coloro che intendono adeguarsi correttamente. In altre parole, il registro può rappresentare un utile momento di ricognizione. Una sorta di radiografia del proprio patrimonio informativo e del perché si hanno e si trattano quei dati; un buon motivo, quindi, anche per fare pulizia di un superfluo che potrebbe ora diventare pericoloso possedere.

In estrema sintesi, stiamo parlando di una scheda dove annotare il nome del titolare, le categorie di interessati, il tipo di dato (comune o particolare), l'ambito di circolazione (Ue o extra Ue), il tempo di utilizzo e le eventuali misure di sicurezza previste. La mappatura di queste informazioni consentirà di dare un perimetro al trattamento e di individuare più facilmente gli adempimenti da porre in essere: informative, consensi, nomina di Responsabili esterni coinvolti nel trattamento, ecc.

La nomina del Dpo

Il responsabile della protezione dei dati (Dpo) è una nuova figura introdotta dal regolamento, obbligatoria per gli enti pubblici e per coloro che trattano dati particolari su larga scala o svolgono trattamenti che, per loro natura, richiedono un monitoraggio continuo e un'attenzione particolare, ma è consigliabile a tutte le aziende che, vuoi per dimensione, vuoi per tipologia di trattamento, necessitano di una figura che possa – concretamente – verificare la tenuta delle misure di sicurezze, degli adempimenti posti in essere e dell'attenzione che, all'interno dell'azienda, viene posta sull'argomento.

Per saperne di piùRiproduzione riservata ©

Gli ultimi contenuti di Rapporti di lavoro