Vista l’imminente applicazione del nuovo regolamento europeo in materia di privacy la Fondazione Studi dei Consulenti del Lavoro ha pubblicato una guida con l’obiettivo di indicare le novità più significative.
Il 25 maggio 2018 entrerà in vigore il regolamento approvato dall’Unione Europea in materia di privacy.
Proprio per questo motivo la Fondazione Studi CDL ha deciso di pubblicare una guida per i Consulenti del Lavoro con l’obiettivo di indicare le novità più significative in relazione agli adempimenti necessari ai fini del rispetto della normativa in materia di trattamento dei dati personali, alla luce della applicazione del Regolamento UE 2016/679.
Il documento pubblicato dalla Fondazione Studi Consulenti del Lavoro si limita a tracciare le regole basilari comuni previste nel Regolamento comunitario, che come tale è immediatamente e direttamente applicabile per gli Stati membri ed i singoli cittadini.
Vediamo nel dettaglio quali sono le indicazioni che sono state fornite dalla Fondazione Consulenti del Lavoro sul nuovo regolamento sulla privacy.
Trattamento dei dati personali
Il regolamento europeo in materia di privacy prevede che i dati debbano essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato. Inoltre al trattamento dei dati deve essere garantita un’adeguata sicurezza.
Ai titolari dei dati deve essere garantita l’informazione, chiara, semplice e facilmente accessibile, delle modalità attraverso le quali avviene l’utilizzazione, la consultazione e il trattamento dei dati personali che li riguardano.
La Fondazione Studi Consulenti del Lavoro spiega che l’elemento fondamentale della liceità del trattamento è il consenso che deve essere prestato in maniera chiara e semplice, in forma comprensibile e facilmente accessibile, ma non necessariamente in forma scritta.
Oltre alle suddette condizioni il regolamento impone che deve essere chiaro anche il riconoscimento del diritto a revocare il proprio consenso in qualsiasi momento.
La prestazione del consenso deve essere tale da rendere chiaro e inequivocabile:
- che l’interessato ha acconsentito al trattamento;
- che l’interessato ha prestato il consenso nella piena consapevolezza della misura e delle modalità con le quali il trattamento avviene;
- forma accessibile e linguaggio semplice ed inequivocabile;
- l’indicazione dell’identità del titolare del trattamento dei dati;
- la finalità del trattamento cui sono destinati i dati personali;
- la specifica indicazione del diritto alla revoca del consenso;
- la separazione tra i consensi prestati rispetto ai dati ed alle finalità di trattamento, laddove distinti.
Il trattamento è considerato comunque lecito quando è necessario:
- nell’ambito di un contratto o ai fini della sua conclusione o esecuzione;
- per adempiere ad un obbligo legale;
- per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
- per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento.
Categorie particolari di dati
L’articolo 9 del Regolamento UE 2016/679 prevede che il consenso all’acquisizione dei dati sensibili deve essere esplicito, eccetto il caso in cui sia necessario per assolvere agli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato.
Adempimenti obbligatori e facoltativi
Il Regolamento europeo in materia di privacy non prevede una specifica forma di informativa, sebbene ne disponga la forma scritta anche con modalità telematica. Non è però esclusa la forma orale, su richiesta dall’interessato, dovendo però comprovare l’identità di quest’ultimo.
Il contenuto dell’informativa deve includere:
- il diritto di accesso ai dati (art. 15);
- il diritto di rettifica (art. 16);
- il diritto alla cancellazione (c.d. “diritto all’oblio”, art. 17);
- il diritto di limitazione del trattamento (art. 18);
- il diritto alla portabilità dei dati (art. 20);
- il diritto di opposizione (art. 21).
Il registro dei trattamenti non deve essere obbligatoriamente istituito dal titolare del trattamento che occupi meno di 250 dipendenti. L’obbligo però prescinde dal requisito dimensionale nel caso in cui i dati oggetto del trattamento possano presentare un rischio per i diritti e le libertà degli interessati, il trattamento non sia occasionale o includano dati sensibili, genetici, biometrici, giudiziari.
La Fondazione spiega che sono obbligati alla valutazione d’impatto i titolari che debbano iniziare un trattamento molto rischioso per i diritti e le libertà delle persone fisiche, per le caratteristiche del trattamento o degli strumenti adottati per esso.
Quando la valutazione di impatto indica che il trattamento presenta un rischio elevato, prima di procedere al trattamento, il titolare è tenuto a consultare l’autorità di controllo. Viene chiarito infine che al di fuori di tali esigenze specifiche non è un adempimento standard riferibile all’attività di consulenza del lavoro.
Data Protection Officer e Data breach
Per ciò che riguarda i Data Protection Officer la Fondazione chiarisce che la normativa non prevede tassativi requisiti per rivestire il ruolo di DPO.
Tale nomina non è obbligatoria per lo studio del singolo professionista, in quanto le attività principali dello stesso non consistono in trattamenti che, per loro natura, ambito di applicazione o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala. La nomina è invece raccomandata per i professionisti che svolgono la professione in forma associata o STP.
Per ciò che concerne invece i Data breach viene spiegato che tutti i i titolari del trattamento devono notificare all’autorità di controllo le violazioni di dati personali senza ingiustificato ritardo e, dove possibile, entro 72 ore dal momento in cui ne sono venuti a conoscenza, a meno che sia improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche.
Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, dovrà essere corredata dei motivi del ritardo.
Infine la Fondazione ha specificato che quando la violazione dei dati personali presenta un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento deve comunicare, con un linguaggio semplice e chiaro, la violazione all’interessato senza ingiustificato ritardo.
Per ulteriori informazioni i lettori possono consultare la guida pubblicata dalla Fondazione Studi Consulenti del Lavoro il 2 maggio 2018.
© RIPRODUZIONE RISERVATA