In Italia, il trattamento dei dati personali è disciplinato da una serie di normative, tra cui il Regolamento Generale sulla Protezione dei Dati (GDPR) e il Codice della Privacy. Queste leggi, con il passare del tempo e l’evoluzione delle forme di comunicazione, hanno avuto sempre maggior rilievo. Sono state introdotte per garantire la tutela della privacy e dei diritti fondamentali delle persone in relazione alla raccolta, all’elaborazione e alla conservazione dei loro dati personali. Le organizzazioni sono tenute a rispettare i principi di liceità, trasparenza e minimizzazione dei dati, sotto la supervisione del Responsabile della Protezione dei Dati. Il rispetto di queste norme è fondamentale per proteggere la privacy delle persone e promuovere la fiducia nel trattamento dei dati personali.
Il GDPR
Il GDPR rappresenta il quadro normativo principale e stabilisce i principi fondamentali per il trattamento dei dati personali. Si tratta dei principi di liceità, trasparenza e minimizzazione.
Principio di liceità:
Trattamento dei dati personali deve essere sempre basato su una base legale cioè in conformità con una base legale valida, come il consenso dell’interessato o altre basi legali previste dal GDPR. Inoltre, alla luce di questo principio, i dati personali devono essere trattati per scopi specifici e legittimi, e non devono essere utilizzati in modo incompatibile con tali scopi.
Principio di trasparenza:
Le persone devono essere informate in modo chiaro e completo sul trattamento dei loro dati personali, inclusi i motivi per cui vengono raccolti, le modalità di utilizzo e le eventuali condivisioni con terze parti. Le informazioni sul trattamento dei dati devono essere facilmente accessibili, ad esempio tramite una privacy policy o una dichiarazione di informativa sulla privacy.
Principio di minimalizzazione:
Le organizzazioni devono raccogliere e conservare solo i dati personali necessari per il perseguimento delle finalità dichiarate e limitarsi a ciò che è proporzionato rispetto agli scopi del trattamento. Inoltre, i dati personali devono essere conservati solo per il periodo di tempo strettamente necessario per raggiungere gli scopi dichiarati, a meno che non siano richiesti obblighi legali di conservazione più lunghi.
Questi principi sono fondamentali per garantire un trattamento lecito, trasparente e responsabile dei dati personali, preservando la privacy e i diritti delle persone coinvolte.
Il Codice della Privacy
Il Codice della Privacy integra il GDPR fornendo ulteriori dettagli e prescrizioni specifiche per determinati settori o tipologie di dati personali. Ad esempio, disciplina il trattamento dei dati sensibili, come quelli relativi alla salute o all’orientamento sessuale, imponendo misure di sicurezza aggiuntive per la loro protezione.
La tutela dei dati sensibili. Cosa sono e perché sono importanti?
I dati sensibili sono informazioni personali che riguardano questioni particolarmente delicate o intime di un individuo. Proprio per questo, il legislatore ha riservato a questo tipo di dati, un’attenzione e una tutela speciale. Questi dati forniscono dettagli specifici sulla sfera personale di una persona e possono rivelare informazioni sensibili e private.
Le categorie di dati sensibili, generalmente, comprendono le seguenti informazioni sulla salute (si pensi alle informazioni genetiche, biomediche o legate a malattie, interventi, trattamenti terapici e disabilità); all’orientamento sessuale e all’identità di genere; all’origine etnica o razziale di una persona; alle convinzioni religiose e filosofiche e poi, ancora, all’appartenenza di ciascun individuo ad associazioni o sigle sindacali. È importante precisare, tuttavia, che la definizione dei dati sensibili può variare tra le giurisdizioni e le leggi sulla protezione dei dati personali.
Il Responsabile della Protezione dei Dati (RPD)
Il rispetto di tutte le norme sopracitate e soprattutto del trattamento dei dati personali, sensibili e non, è demandata ad una particolare figura chiamata a garantire il rispetto di queste norme: il Responsabile della Protezione dei Dati (RPD). Egli ha il compito di vigilare sull’applicazione delle disposizioni di legge all’interno delle organizzazioni che trattano dati personali.
Il trattamento dei dati personali in azienda
Di protezione dei dati personali si parla anche, e soprattutto, nelle aziende di piccole, medie o grandi dimensioni.
Per garantire un adeguato trattamento dei dati personali è importante
- Individuare il titolare del trattamento cioè identificare una persona, all’interno dell’organizzazione, che si assumerà decisioni riguardanti il trattamento dei dati personali. Può trattarsi di un amministratore unico, un membro del consiglio con competenze specifiche o un team dedicato alla privacy.
- Successivamente, sarà necessario creare un registro dei trattamenti effettuati, come richiesto dall’articolo 30 del GDPR. Il registro dovrebbe contenere informazioni dettagliate sui trattamenti, inclusi scopi, basi giuridiche, categorie di dati trattati, destinatari e misure di sicurezza adottate.
- L’azienda, per proteggere i dati raccolti, deve predisporre misure di sicurezza adeguate. Queste possono includere l’uso di antivirus, firewall e backup regolari dei dati. Potrebbe essere importante anche la formazione dei dipendenti e collaboratori.
- Infine, ultimo step, occorre verificare l’esistenza e il contenuto delle nomine dei responsabili del trattamento, come richiesto dall’articolo 28 del GDPR. Assicurarsi che i responsabili del trattamento abbiano le competenze e le istruzioni necessarie per trattare i dati personali in conformità alle disposizioni normative.
Le sanzioni
Le sanzioni previste, per la violazione delle normative sulla protezione dei dati personali, prevedono multe fino a un massimo di 20 milioni di euro o fino al 4% del fatturato annuo globale dell’azienda, a seconda di quale sia l’importo maggiore.