Privacy

La privacy rappresenta il diritto delle persone fisiche alla protezione dei propri dati personali, allorché gli stessi siano acquisiti e trattati dalle persone giuridiche. Attualmente la materia è regolamentata in modo uniforme a livello europeo, per effetto dell'entrata in vigore nel 2016 del GDPR (regolamento generale per la protezione dei dati). La corretta applicazione della normativa sulla privacy è particolarmente impegnativa, soprattutto per quegli enti che stabilmente trattano dati anche di natura sensibile, come avviene nella . Occorre pertanto sviluppare un vero e proprio per la protezione dei dati, che tratti in maniera sistematica la materia della privacy e disciplini in modo coordinato tutti i diversi adempimenti connessi al trattamento dei dati. In primo luogo, occorre considerare che l'attuale normativa europea sulla privacy si basa sul rispetto dei seguenti principi generali in materia di trattamento dei dati, la cui osservanza da parte di tutti gli addetti dell'ente è di fondamentale importanza per non incorrere in responsabilità: necessità di una base giuridica per trattare un dato personale/effettività del consenso al trattamento dei dati/puntualità e chiarezza delle informative/attribuzione delle specifiche responsabilità all'interno dell'ente mediante la definizione di un organigramma aziendale per la privacy/minimizzazione dei trattamenti che devono essere limitati a quanto strettamente necessario per realizzare le finalità dell'ente. In merito all'organigramma aziendale, le figure coinvolte nell'applicazione della normativa sulla privacy sono le seguenti: titolare interno del trattamento (normalmente il legale rappresentante, che definisce finalità e mezzi del trattamento), eventuali contitolari esterni a cui l'ente cede una parte dei dati (si pensi ad esempio ai gestori delle piattaforme per la a distanza), responsabili interni ed esterni del trattamento (figure dirigenziali che assumono responsabilità nella privacy e che organizzano il trattamento dei dati in conformità con le istruzioni fornite dal titolare, come ad esempio il direttore di un ) e tutti gli altri collaboratori dell’ente che, per poter trattare dati, devono ricevere un’espressa autorizzazione da parte del titolare. Infine, come previsto dagli articoli 37, 38 e 39 del Regolamento europeo, è necessario per gli enti che trattano particolari categorie di dati (come accade nella formazione professionale finanziata) nominare una figura esterna quale responsabile della protezione dei dati, con il compito di revisionare la documentazione, formare il personale, prestare consulenza all'ente rispetto agli adempimenti per la privacy ed intervenire in caso di violazione dei dati. Particolare attenzione va posta alle modalità di raccolta del consenso al trattamento dei dati. La normativa europea al riguardo è ben più prescrittiva delle precedenti leggi nazionali ed impone che il consenso sia prestato mediante una manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento. Le richieste generiche di consenso al trattamento dei dati, ancora molto diffuse nella prassi di alcune aziende, sono pertanto invalide ai sensi del GDPR e possono esporre l’ente a gravi sanzioni amministrative. Una misura particolarmente importante introdotta dal GDPR è la predisposizione del registro dei trattamenti, disciplinata dall’art. 30 del Regolamento europeo e che, per ogni ente, deve contenere un’articolata ricognizione di tutte le attività di trattamento dei dati, con specifica indicazione dei seguenti elementi: nome e dati di contatto del titolare e del responsabile della protezione dei dati; finalità del trattamento; descrizione delle categorie di interessati e delle categorie di dati personali; categorie di destinatari a cui i dati personali sono stati o saranno comunicati; termini ultimi previsti per la cancellazione delle diverse categorie di dati; descrizione generale delle misure di sicurezza tecniche e organizzative adottate dall’ente per la protezione dei dati personali. Il registro dei trattamenti dev’essere messo a disposizione dell’Autorità Garante in caso di accertamenti. La corretta applicazione dell’attuale normativa per la privacy richiede pertanto un insieme coordinato di misure (nomina di un responsabile per la protezione dei dati, formazione di un organigramma aziendale, di tutto il personale, contratti con i contitolari ed i responsabili del trattamento, conferimento degli incarichi al personale, predisposizione del registro dei trattamenti, revisione delle informative, predisposizione delle richieste di consenso agli interessati, procedura per la gestione degli incidenti e la violazione dei dati), da sviluppare in necessaria collaborazione con gli esperti informatici dell’ente e non può pertanto più limitarsi, come accadeva in passato, alla burocratica predisposizione di “formulari-tipo”.