L’argomento “Privacy” è uno dei più affrontati negli ultimi periodi, pertinentemente e spesso a sproposito.
In fin dei conti, cosa preme sapere all’interlocutore?! Di seguito si riportano le tematiche principali che ci sono state sottoposte.
L’RPD (o DPO) dev’essere obbligatoriamente designato da:
E’ comunque sempre possibile la nomina su base volontaria.
Secondo il GPDR, il consenso è definito come “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.
Esso è solo uno dei casi possibili affinché il trattamento dei dati personali possa essere considerato lecito.
Il trattamento dei dati è in ogni caso legittimo se sussiste una delle basi giuridiche previste dall’art. 6 del Reg. UE 2016/679 e / o dall’art. 9 dello stesso Regolamento per i dati particolari, quindi il consenso non diventa obbligatorio.
Tutti i Titolari e i Responsabili del Trattamento sono tenuti a redigere il Registro delle attività di trattamento.
In particolare, in ambito privato, sono obbligati alla redazione
Il Garante raccomanda in ogni caso l’adozione del Registro dei Trattamenti a tutti i soggetti che trattano i dati personali, indipendentemente dal possesso dei predetti requisiti.
Il datore di lavoro non può acquisire, neanche con il consenso del dipendente o tramite il medico compente, i nominativi del personale vaccinato o la copia delle certificazioni vaccinali.
Il datore di lavoro può invece acquisire i soli giudizi di idoneità alla mansione specifica redatti dal medico competente.
In materia di conservazione dei dati l'art. 3 del decreto-legge n. 127/2021 prevede solamente un obbligo per i dipendenti di possedere ed esibire a richiesta del datore di lavoro le certificazioni verdi, demandando a quest'ultimo l'attività di verifica.
Il testo normativo non pare tuttavia prevedere la possibilità per il datore di lavoro di conservare alcun dato contenuto nelle certificazioni verdi dei propri dipendenti né, più semplicemente, di segnarsi su un foglio di carta chi è in regola o meno.
I dati inerenti le certificazioni verdi sono pur sempre dati personali relativi alla salute della persona, il cui trattamento richiede una corretta base giuridica.
In linea teorica, quindi, in assenza di esplicite previsioni, al datore di lavoro parrebbe consentita la sola verifica del possesso della certificazione verde da parte del dipendente.
La profilazione consiste nella raccolta e nell’elaborazione dei dati con lo scopo di valutare determinati aspetti personali relativi ad una persona fisica (ovvero l’interessato).
Tale attività prende in considerazione quanto direttamente riferibile all’interessato (come per esempio età, sesso, situazione economica, stato familiare), sia quanto lo circonda o con cui interagisce.
I controlli datoriali devono essere sempre improntati al principio di proporzionalità e posti in essere solo a fronte della rilevazione di specifiche anomalie (es. presenza di virus sui pc aziendali) e all’esito dell’esperimento di misure preventive meno limitative dei diritti dei lavoratori (sistemi di filtraggio/blocco dei siti a rischio).
In ogni caso, non sono comunque consentite al datore di lavoro la lettura e registrazione sistematica delle e-mail e delle pagine web visualizzate dal lavoratore, la lettura e registrazione dei caratteri inseriti tramite tastiere, l’analisi occulta dei pc portatili assegnati.