2. REGOLAMENTAZIONI SULLA PRIVACY
Base giuridica (legittimità) del trattamento dei dati personali Le Organizzazioni necessitano di una base giuridica (legittimità) per il trattamento dei dati personali di un dipendente. La legittimità comporta: che il dipendente abbia fornito il consenso al trattamento; il trattamento dei dati è necessario per completare le parti del contratto del dipendente; il trattamento è necessario per rispondere alla richiesta di un dipendente prima di stipulare il contratto. (per esempio, su questioni relative alla retribuzione nel contesto lavorativo); rispettare un obbligo legale (per esempio, un obbligo di leggere di tenere registri dei dipendenti); il trattamento è necessario per soddisfare gli interessi vitali del dipendente (per esempio, laddove l’anamnesi di un individuo viene comunicata all’ospedale che lo cura dopo un grave incidente); per soddisfare gli interessi legittimi dell’Organizzazione. Consenso Il consenso è un motivo di legittimità per il trattamento dei dati personali di un dipendente e dovresti ottenere il consenso, se nessuna delle fattispecie appena elencate si verifica. Devi essere consapevole dei tuoi doveri quando chiedi il consenso ai dipendenti. Il regolamento afferma che il consenso dev’essere “dato liberamente, specifico, consapevole, e chiaro”. Questo significa che chi fornisce i dati dev’essere consapevole che sta acconsentendo al loro trattamento e non dovrebbe essere forzato a dare il consenso. Prima che un dipendente dia il consenso al trattamento dei dati, il datore di lavoro deve dimostrare che ha comunicato ai dipendenti perché i loro dati personali vengono raccolti e come verranno utilizzati e trattati. Silenzio, caselle preselezionate o inattività non possono essere presi come consenso. L'interessato può revocare il consenso in qualsiasi momento e deve essere altrettanto facile revocarlo quanto concederlo. La formazione e la comunicazione del RGPD ai dipendenti e le loro prospettive I datori di lavoro devono informare i dipendenti su: quali dati personali raccoglierai (o saranno raccolti da terzi); come i dati saranno trattati; perché saranno trattati. Il RGDP richiede che certe informazioni vadano fornire ai candidati prima che i loro dati vengano raccolti e trattati. Questa informazione dev’essere chiara e accessibile e potrebbe avere la forma di una notifica sulla privacy sul sito o una lettera al candidato. La formazione dei dipendenti sulla politica di protezione dei dati avviene dopo che il candidato diventa un dipendente. Richieste di accesso ai dati I datori di lavoro devono predisporre procedure per rispondere alle richieste di accesso ai dati personali da parte dei dipendenti entro 1 mese. Questo può essere esteso ad altri 2 mesi se le richieste sono complesse o numerose. Obblighi di sicurezza I dati devono essere protetti da adeguate misure tecniche e organizzative. Devono essere tenuti al sicuro adottando, per esempio, misure di anonimato, criptaggio o antivirus oppure facendo il backup dei dati. I datori di lavoro devono testare queste misure di sicurezza e mostrare che hanno rispettato gli obblighi di sicurezza disciplinati dal RGPD. Registrazione e diritto alla correzione Le organizzazioni dovrebbero conservare i dati solo per il tempo necessario a completare il compito per cui sono stati raccolti o secondo quanto richiesto dalla legge. I datori di lavoro dovrebbero avere una politica di conservazione in atto ed essere in grado di giustificare il motivo per cui i dati sono stati conservati. I dipendenti hanno il diritto di sapere quali dati ha un datore di lavoro e hanno anche il diritto di correggere questi dati. Ciò che accade ai dati dei dipendenti quando un contratto di lavoro viene interrotto dovrebbe essere regolamentato nelle politiche delle risorse umane. Condivisione e trasferimento dei dati personali Le organizzazioni che utilizzano terze parti, come le agenzie del lavoro o addetti alle buste paga per elaborare i dati dei dipendenti, saranno responsabili di garantire che la terza parte sia conforme al RGDP e che debbano avere accordi appropriati in atto. È inoltre necessario rispettare gli obblighi stabiliti nel RGDP sul trasferimento dei dati al di fuori dell'UE. Responsabile della protezione dei dati Ai sensi del RGDP, alcune Organizzazioni devono nominare un Responsabile della Protezione dei Dati, ad esempio autorità e organismi pubblici, dipartimenti governativi, organizzazioni coinvolte nel trattamento dei dati su larga scala e organizzazioni che elaborano dati sensibili o di soggetti appartenenti a categorie speciali. Segnalare violazioni I datori di lavoro devono segnalare le violazioni dei dati alla Commissione per la protezione dei dati entro 72 ore dal rilevamento di una violazione. Se non informano il responsabile della protezione dei dati entro 72 ore, devono fornire una giustificazione del ritardo. Le violazioni che possono danneggiare l'interessato, ad esempio il furto di identità, devono essere segnalate anche alla persona interessata. Sanzioni È importante rispettare la legislazione e attuare politiche e procedure adeguate. Le organizzazioni possono essere ispezionate e potrebbero incorrere in sanzioni significative se le loro pratiche violano il RGDP.