Dal 2018 il Regolamento Europeo 679/2016 ha imposto a tutti gli stati un nuovo approccio alla protezione dei dati Personali.
Le aziende devono agire secondo i seguenti principi fondamentali:
– ACCOUNTABILITY: vuol dire responsabilità e quindi significa essere responsabili, essere degni di fiducia. Accountable è l’azienda, l’ente, l’associazione o il professionista che tratta i dati personali con la consapevolezza che quelle informazioni non sono sue e che deve fare tutto il possibile perché non accada loro nulla di male. Il Titolare del Trattamento (’azienda, l’ente, la persona giuridica, ecc.) inoltre “essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento.” (art. 24)
– RISK BASED THINKING: Approccio basato sul rischio. «Il rischio è la misura di quanto un soggetto è minacciato da un evento o da una circostanza potenziale, ed è funzione dell’impatto negativo che deriverebbe dall’effettivo verificarsi dell’evento o della circostanza e della probabilità di accadimento di questi ultimi».
– PRIVACY BY DESIGN: Significa introdurre la gestione dei dati personali come uno step necessario, dal quale non si può prescindere, sin dalla progettazione di un servizio o prodotto che comporti una qualsiasi raccolta di dati personali.
– PRIVACY BY DEFAULT: Significa mettere in atto i principi di minimizzazione e limitazione di conservazione: bisogna stabilire sin dall’inizio quali sono i dati personali strettamente necessari a ciascuna finalità di trattamento, definendo con esattezza la quantità dei dati e la durata della loro conservazione.
Oltre a quanto sopra, il titolare dovrà prevedere azioni di sensibilizzazione sul tema della protezione dei dati personali nei confronti dei propri dipendenti.
Infatti, quella che viene indicata come privacy altro non è che il diritto alla riservatezza delle informazioni personali e della propria vita privata. Questo diritto è sancito anche nella Carta dei diritti fondamentali dell’Unione Europea, nell’articolo 8 (paragrafo 1) afferma che
“Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano”
Questo vuol dire che si deve assicurare all’individuo il controllo su tutte le informazioni e i dati riguardanti la sua vita privata, fornendogli gli strumenti per la tutela di queste informazioni.
Il GDPR, quindi, va inteso come uno strumento posto a salvaguardia e a tutela della sfera privata del singolo individuo e che il titolare del trattamento dovrà impegnarsi nel rendere i propri dipendenti consapevoli dell’importanza della riservatezza.
La confidenzialità dovrà essere un atteggiamento da utilizzare non solo per ciò che riguarda le attività specifiche del business, ma dovrà, a maggior ragione, essere adottato nel trattamento dei dati personali. Per questo i lavoratori devono essere sensibilizzati a non divulgare le informazioni riguardanti la sfera personale dell’interessato senza la sua preventiva autorizzazione.
Questo vuol dire che anche la “diffusione” inconsapevole fatta “al bar” o alla “macchina del caffè”, può essere vista dall’interessato come un’illecita intromissione nella propria vita personale.
Le Risorse Umane, che accedono ai dati personali dei lavoratori, e ad alcune informazioni particolarmente “sensibili” per l’interessato, devono porre particolare attenzione al trattamento dei dati personali e al tema della riservatezza. Analogamente il titolare del trattamento dovrà realizzare delle autorizzazioni al trattamento che lo tutelino dal punto di vista della riservatezza.
