Privacy e GDPR: Le 3 figure professionali (e relativi corsi)

Privacy e GDPR sono concetti di vitale importanza anche nel contesto della sicurezza sul lavoro. Il tema della privacy è quanto mai attuale e torna ciclicamente alla ribalta di pari passo con lo sviluppo tecnologico.

In questo articolo vedremo in cosa consistono privacy e GDPR, quest’ultimo chiamato anche Regolamento Ue 2016/679, in quali categorie si dividono i dati personali, cos’è la privacy by default, quali sono le figure che si occupano del trattamento dei dati personali in un’azienda e i relativi corsi.

 

Cos’è il GDPR

 

GDPR è un acronimo che sta per General Data Protection Regulation (Regolamento Generale sulla Protezione dei Dati), sotto il profilo legislativo è conosciuto come Regolamento Ue 2016/679, che si compone di 11 Capi e 99 articoli. Il GDPR è entrato in vigore il 25 maggio 2018.

Con lo sviluppo di nuovi modelli di crescita economica e tecnologica, era necessario aggiornare il quadro normativo relativo alla tutela e il trattamento dei dati personali dei cittadini UE.

Il GDPR stabilisce così nuovi requisiti in materia di privacy, regolamentando le modalità del trattamento dei dati personali. La gestione dei dati personali, in questo modo, viene affidata in gran parte alle scelte dei soggetti direttamente interessati che li detengono.

A questo punto vediamo però in cosa consiste la privacy e in quali categorie si suddividono i dati personali.

 

Privacy: dati personali e dati sensibili

Lo scopo della privacy è quello di mantenere la riservatezza della vita privata di una persona. Il diritto alla privacy non solo è garantito sotto il profilo legale in molti Stati del mondo, ma in alcuni casi sono le Costituzioni stesse a difenderlo.
Concetto in realtà di natura antichissima, nel moderno mondo occidentale si è evoluto per indicare il diritto della persona al controllo dei suoi dati personali.

Secondo quanto regolato dal GDPR, il cui testo è reso disponibile dal Garante della privacy, il trattamento dei dati personali di una persona può essere effettuato sia in modo cartaceo che in formato digitale. In questo caso la parola “trattamento” racchiude tutto un insieme di operazioni applicabili ai suddetti dati (GDPR, art. 4 par. 1, n. 7): la loro raccolta, la loro organizzazione e conservazione, così come la loro modifica o trasmissione/messa a disposizione, persino la loro distruzione o cancellazione.

I dati si suddividono in 3 categorie: i dati personali, i dati sensibili e i dati giudiziari.

 

I dati personali

 

I dati personali sono tutte quelle informazioni che rendono una persona fisica identificabile (GDPR, art. 4 par. 1, n. 1). I dati personali sono:

• Nome
• Numero di identificazione
• Informazioni legate all’ubicazione
• Identificativi on-line

A questi si aggiungono tutte le informazioni specifiche del soggetto, legate alla sua identità:

• Fisica
• Fisiologica
• Genetica
• Psichica
• Economica
• Culturale o sociale

 

I dati sensibili

 

I dati sensibili (detti anche “particolari”), rispetto a quelli personali, sono suscettibili di rivelare aspetti ancora più intimi della persona. Il loro trattamento è vietato, a meno che non sia stato il soggetto stesso che li detiene a concederne la diffusione. Tra questi rientrano i dati che rivelano:

 

• Origine razziale o etnica
• Opinioni politiche
• Convinzioni religiose o filosofiche
• Appartenenza sindacale
• Aspetti genetici, biometrici, relativi alla salute o alla vita sessuale
• Orientamento sessuale

 

I dati giudiziari

 

I dati giudiziari sono invece quelli relativi alle condanne penali, alla commissione di reati e annesse misure di sicurezza e prevenzione.

Il trattamento dei dati giudiziari deve avvenire soltanto sotto il controllo dell’autorità pubblica, oppure se il loro trattamento è autorizzato dal diritto dell’Unione Europea o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà dei soggetti interessati.

Di conseguenza, il GDPR all’art. 10, per permettere il trattamento dei dati giudiziari, prevede la tenuta di un registro completo delle condanne penali sotto il controllo dell’autorità pubblica.

 

Privacy by design: La novità più importante introdotta dal GDPR

 

Il GDPR introduce il concetto di privacy by design, al posto di quello di privacy by default.
Con la privacy by design, la sicurezza dei dati viene garantita già a partire dalla fase di progettazione della banca dati, mentre la privacy by default prevedeva il trattamento dei dati esclusivamente necessari per il raggiungimento delle finalità del trattamento stesso.
Si passa quindi da degli standard minimi di sicurezza e tutela ad un approccio invece proattivo, basato sull’auto responsabilizzazione del trattamento dei dati personali.

A breve vedremo nel dettaglio le figure professionali legate al trattamento dei dati personali. Privacy e sicurezza sul lavoro, infatti, sono più connesse fra loro di quanto si pensi. Approfondire un tema importante come questo è fondamentale, per questo siamo a disposizione per togliere ogni dubbio a riguardo. Contattarci tramite l’apposita sezione è il metodo più rapido ed efficace per ottenere ulteriori informazioni su questo e altri temi relativi alla sicurezza sul lavoro.

 

Data privacy e sicurezza sul lavoro: le 3 figure fondamentali

Le tre figure fondamentali legate al trattamento dei dati personali sono il Titolare del trattamento (Data controller), il Responsabile del trattamento e il Responsabile per la protezione dei dati (Data Protection Officer, o DPO). Vediamole nel dettaglio.

Il Titolare del trattamento

 

Il GDPR, all’art. 4 par. 1 n. 7, definisce il Titolare del trattamento come la figura fisica o giuridica (o qualsiasi altro organismo) che, singolarmente o con l’aiuto di altri, determina le finalità e i mezzi del trattamento dei dati personali. Dunque, il Titolare è il soggetto che decide come e perché devono essere trattati i dati.

Questa figura designa il Responsabile della protezione dei dati che, come vedremo più avanti, svolge un compito di consulenza.
Inoltre, predispone il Registro delle attività del trattamento, cioè il documento di censimento e analisi dei trattamenti effettuati dal Titolare o dal Responsabile.

Il Titolare del trattamento ha anche il compito di segnalare al Garante della privacy eventuali casi di data breach, cioè la violazione di dati personali, ai sensi dell’art. 33 del GDPR.

In caso di violazioni nel trattamento dei dati, il Titolare e la sua azienda possono incorrere in diverse sanzioni:

 

• Sanzioni penali.
• Sanzioni amministrative anche fino a 20 milioni di euro.
• Risarcimento danni in favore del soggetto interessato, detentore dei dati.
• Divieto di trattamento dei dati personali fino all’adozione di ulteriori misure per porre rimedio alla non conformità.

 

Il Responsabile del trattamento

 

Il Responsabile del trattamento – secondo il GDPR – è la figura che tratta i dati personali per conto del Titolare.

Il Responsabile del trattamento mette dunque in atto misure tecniche e organizzative per far sì che il trattamento dei dati soddisfi i requisiti previsti dal GDPR, di conseguenza tutela i diritti dei soggetti detentori dei dati.
Per avvalersi dell’aiuto di un altro Responsabile, deve disporre di un’autorizzazione scritta – specifica o generale – del Titolare del trattamento.
Nel caso l’autorizzazione scritta fosse generale, il Responsabile deve informare il Titolare circa l’aggiunta o la sostituzione di altri responsabili del trattamento.

 

Il Responsabile per la protezione dei dati (DPO)

 

Il Responsabile per la protezione dei dati può essere un soggetto interno all’azienda, come ad esempio un dipendente, oppure un soggetto esterno che opera in base a un contratto di servizi.

Ai sensi dell’art. 37 del GDPR, il DPO fornisce consulenza al Titolare e alla sua organizzazione in merito agli adempimenti da effettuare conformemente al GDPR.

 

Il corso per Titolare o Responsabile

 

In questo articolo abbiamo approfondito ogni aspetto relativo al Regolamento Ue 2016/679 e al concetto moderno di trattamento dei dati personali. A questo punto è importante approfondire anche l’aspetto della formazione.

Esistono dei corsi per poter diventare Titolare o Responsabile del trattamento dei dati personali. Tali corsi forniscono le conoscenze utili per apprendere il corretto trattamento dei dati e i principi da applicare per tutelarli.

Gli argomenti principali affrontati in questo tipo di corsi sono:

 

• Quadro normativo nazionale ed internazionale relativo al trattamento dei dati, con relativo sviluppo.
• Principi da applicare in relazione al trattamento dei dati.
• Strumenti di tutela.
• Obblighi e responsabilità del Titolare del trattamento dei dati personali.
• Sicurezza nel trattamento dei dati personali.
• Protezione dei dati personali nello smart working.
• Videosorveglianza e impianti audiovisivi sul luogo di lavoro.

 

Noi di SEF mettiamo a disposizione, in formato videocorso da 8 ore, il nostro corso di formazione GDPR per Titolare/Responsabile, con programma in costante aggiornamento sulle norme europee e con garanzia di rilascio dell’attestato di frequenza a conclusione del percorso.