BOTTA E RISPOSTA: GDPR E I DUBBI PIU’ FREQUENTI

L’argomento “Privacy” è uno dei più affrontati negli ultimi periodi, pertinentemente e spesso a sproposito.

In fin dei conti, cosa preme sapere all’interlocutore?! Di seguito si riportano le tematiche principali che ci sono state sottoposte.

Quando è necessario nominare il Responsabile della Protezione dei Dati

L’RPD (o DPO) dev’essere obbligatoriamente designato da:

  • amministrazioni, enti pubblici e autorità giudiziarie nell’esercizio delle loro funzioni;
  • tutti i soggetti la cui attività principale consiste in trattamenti che, per loro natura, oggetto o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  • tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati particolari (salute, vita sessuale, genetici, giudiziari e biometrici).

E’ comunque sempre possibile la nomina su base volontaria.

Il consenso esplicito è sempre obbligatorio?

Secondo il GPDR, il consenso è definito come “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”. 

Esso è solo uno dei casi possibili affinché il trattamento dei dati personali possa essere considerato lecito.

Il trattamento dei dati è in ogni caso legittimo se sussiste una delle basi giuridiche previste dall’art. 6 del Reg. UE 2016/679 e / o dall’art. 9 dello stesso Regolamento per i dati particolari, quindi il consenso non diventa obbligatorio.

Chi deve redigere il Registro dei Trattamenti?

Tutti i Titolari e i Responsabili del Trattamento sono tenuti a redigere il Registro delle attività di trattamento.

In particolare, in ambito privato, sono obbligati alla redazione

  1. imprese o organizzazioni con  almeno 250 dipendenti;
  2. qualunque titolare o responsabile (anche con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio  anche non elevato  per i diritti e le libertà dell’interessato, che effettui trattamenti non occasionali e che effettui trattamenti delle categorie particolari di dati ai sensi dell’art. 9, par. 1, GDPR, o di dati personali relativi a condanne penali e a reati ai sensi dell’art. 10, GDPR.

Il Garante raccomanda in ogni caso l’adozione del Registro dei Trattamenti a tutti i soggetti che trattano i dati personali, indipendentemente dal possesso dei predetti requisiti.

Il datore di lavoro può chiedere al proprio collaboratore la conferma dell’avvenuta vaccinazione?

Il datore di lavoro non può acquisire, neanche con il consenso del dipendente o tramite il medico compente, i nominativi del personale vaccinato o la copia delle certificazioni vaccinali.

Il datore di lavoro può invece acquisire i soli giudizi di idoneità alla mansione specifica redatti dal medico competente.

Il datore di lavoro può conservare i dati relativi al certificato verde (green-pass) dei propri collaboratori?

In materia di conservazione dei dati l’art. 3 del decreto-legge n. 127/2021 prevede solamente un obbligo per i dipendenti di possedere ed esibire a richiesta del datore di lavoro le certificazioni verdi, demandando a quest’ultimo l’attività di verifica.

Il testo normativo non pare tuttavia prevedere la possibilità per il datore di lavoro di conservare alcun dato contenuto nelle certificazioni verdi dei propri dipendenti né, più semplicemente, di segnarsi su un foglio di carta chi è in regola o meno.

I dati inerenti le certificazioni verdi sono pur sempre dati personali relativi alla salute della persona, il cui trattamento richiede una corretta base giuridica.

In linea teorica, quindi, in assenza di esplicite previsioni, al datore di lavoro parrebbe consentita la sola verifica del possesso della certificazione verde da parte del dipendente.

Cos’è la profilazione del dato?

La profilazione consiste nella raccolta e nell’elaborazione dei dati con lo scopo di valutare determinati aspetti personali relativi ad una persona fisica (ovvero l’interessato).

Tale attività prende in considerazione quanto direttamente riferibile all’interessato (come per esempio età, sesso, situazione economica, stato familiare), sia quanto lo circonda o con cui interagisce.

Sicurezza informatica e protezione dei dati: il datore di lavoro può controllare le mail e la navigazione web dei propri collaboratori?

I controlli datoriali devono essere sempre improntati al principio di proporzionalità e posti in essere solo a fronte della rilevazione di specifiche anomalie (es. presenza di virus sui pc aziendali) e all’esito dell’esperimento di misure preventive meno limitative dei diritti dei lavoratori (sistemi di filtraggio/blocco dei siti a rischio).

In ogni caso, non sono comunque consentite al datore di lavoro la lettura e registrazione sistematica delle e-mail e delle pagine web visualizzate dal lavoratore, la lettura e registrazione dei caratteri inseriti tramite tastiere, l’analisi occulta dei pc portatili assegnati.