Cosa trovi in questo articolo
Che cosa vuol dire “trattamento dei dati personali”?
Le nuove norme in materia di trattamento dei dati personali sono contenute all’interno del GDPR (acronimo di General Data Protection Regulation), il nuovo regolamento europeo sulla privacy.
In questo importantissimo documento, entrato in vigore il 25 maggio 2018, si definiscono i diritti dei cittadini europei circa il trattamento dei propri dati personali da parte delle aziende.
Ma cosa vuol dire “trattamento dei dati personali”? Con questa formula si indica qualsiasi operazione o insieme di operazioni compiute sui dati personali, come la raccolta, la registrazione, l’organizzazione, la conservazione, l’utilizzo, la consultazione o la distruzione di essi.
Con “dati personali” invece si indica qualsiasi informazione riguardante una persona fisica identificata o identificabile, direttamente o indirettamente, tramite nome, indirizzo o elementi caratteristici della sua identità fisica, genetica, psichica, economica, culturale o sociale.
L’autorizzazione al trattamento dei dati personali
L’autorizzazione al trattamento dei dati personali da parte dell’interessato deve possedere alcune caratteristiche specifiche, affinché sia ritenuta valida.
Innanzitutto il consenso deve essere manifestazione di libera volontà, oltre che specifico per un determinato fine e inequivocabile, e in aggiunta a ciò il GDPR prevede che l’autorizzazione al trattamento dei dati personali avvenga in maniera informata, ovvero che l’interessato sia posto in condizioni di sapere esattamente quali dati sono trattati, con quali modalità e finalità.
Il consenso deve essere anche verificabile, ossia l’azienda deve essere in grado di dimostrare che l’interessato lo ha conferito con riferimento a quello specifico trattamento.
Il consenso al trattamento dati, infine, deve essere revocabile da parte dell’interessato in qualsiasi momento e non deve essere necessario alcun obbligo di motivazione: è in questo modo che si permette di esercitare il diritto di cancellazione dei dati.
Secondo il GDPR, il trattamento dati dev’essere corretto e le modalità con cui i dati sono raccolti devono essere conosciute.
Il trattamento dei dati personali nel CV
Inserire l’autorizzazione al trattamento dei dati personali nel proprio CV significa autorizzare chi lo riceve al trattamento dei dati coperti e tutelati dalla legge sulla Privacy italiana e dal GDPR.
Questo consenso permette al datore di lavoro di procedere con le fasi successive della selezione lavorativa, oppure può conservarli in vista di future ricerche di lavoro.
Una tipica dicitura sul trattamento dei dati da inserire nel CV è la seguente: “Autorizzo il trattamento dei miei dati personali presenti nel curriculum vitae ai sensi del Decreto Legislativo 30 giugno 2003, n. 196 e del GDPR (Regolamento UE 2016/679)”.
La trasparenza del trattamento e l’informativa agli interessati
Il GDPR ha stabilito che, nell’ambito del trattamento dei dati personali dell’interessato, devono vigere i principi di correttezza e trasparenza. Per correttezza si intende che le modalità di raccolta e di utilizzo dei dati devono essere corrette, così come il trattamento dei dati in ogni suo aspetto.
La trasparenza, invece, è un vero e proprio diritto dell’interessato a conoscere le modalità con cui i dati sono raccolti, utilizzati e consultati grazie ad informazioni e comunicazioni dell’azienda facilmente accessibili e comprensibili, con un linguaggio semplice e chiaro: questo è il principio cardine su cui si basa il rapporto tra l’intera azienda e l’interessato.
Infine i titolari d’azienda e i responsabili del trattamento dati devono garantire agli interessati che i dati saranno trattati secondo liceità e correttezza, in modo da conformarsi, per quanto possibile, alla volontà degli stessi interessati.
Tutte le tipologie di trattamento dei dati
Esistono tantissime e diverse tipologie del trattamento dati, basate sul processo in cui i dati personali di qualcuno vengono acquisiti da un’azienda.
La raccolta dei dati è la prima operazione, seguita poi dalla registrazione e organizzazione degli stessi su un supporto e con metodi specifici.
Tra le varie tappe di questo processo vi sono poi la strutturazione, la conservazione, la consultazione, l’elaborazione, la selezione, l’estrazione, il raffronto, l’utilizzo.
Seguono infine l’interconnessione, il blocco, la cessione, la diffusione, la cancellazione e la distruzione.
Secondo il GDPR il trattamento dei dati dev’essere corretto e le modalità con cui i dati sono raccolti devono essere note agli utenti.
Trattamento dei dati non autorizzato: le possibili sanzioni
In seguito all’entrata in vigore del nuovo GDPR, qualsiasi azienda che all’interno della sua base di dati o software gestionali ha inserito o consulta una qualsiasi informazione di cittadini europei (nome, cognome, indirizzo, email, codice fiscale, partita iva, preferenze d’acquisto ecc.) deve rispettare il regolamento.
Nel caso in cui il trattamento dati dell’interessato non avvenga secondo disposizioni di legge, sono previste sanzioni pesanti: fino a 20 milioni di euro o il 4% del fatturato, a seconda di qual è il valore più elevato tra i due.
La valutazione di impatto: che cos’è e in cosa consiste
Il GDPR ha previsto anche una valutazione di impatto del trattamento, un onere posto direttamente a carico del titolare del trattamento dei dati.
Con tale valutazione si assicura trasparenza e protezione nelle operazioni di trattamento dei dati personali, inoltre la valutazione d’impatto è lo strumento cardine attraverso cui il titolare effettua l’analisi dei rischi derivanti dai trattamenti posti in essere.
Il titolare dei dati deve quindi effettuare una valutazione preventiva delle conseguenze del trattamento dei dati sulle libertà e i diritti degli interessati: qualora non vi fossero rischi elevati inerenti al trattamento, il titolare potrà procedere, altrimenti dovrà individuare le misure specifiche richieste per attenuare o eliminare tali rischi.
In quest’ottica il GDPR ha cercato di proteggere e prevenire eventuali pericoli che potrebbero gravare sull’interessato. Esempi di impatto che una violazione dei dati personali potrebbe avere sugli interessati sono il furto di identità, l’impatto finanziario e l’impatto reputazionale.
I casi di esenzione dal trattamento dei dati personali
Il GDPR permette in alcune particolari circostanze la raccolta di dati personali per uso strettamente personale, senza la necessità di consenso da parte dell’interessato. Un esempio classico è l’agenda personale, oppure appunti o materiale informativo come libri o giornali, che chiunque può conservare nella propria sfera privata per esigenze personali.
Queste eccezioni sono concesse a patto che tali dati vengano trattati nella sfera esclusivamente personale o domestica della persona che procede a tale trattamento.
I corsi su Privacy e GDPR di Alteredu
Alla luce di quanto abbiamo spiegato in precedenza è ormai chiaro che privacy e GDPR sono temi attuali, specialmente per le aziende, che si trovano spesso a dover gestire i dati personali di clienti o dipendenti.
Per startup o aziende che operano nell’ambito digital questi argomenti sono ancora più centrali, poiché si trovano a gestire piattaforme dove sono richiesti determinati standard di sicurezza e gli utenti, potenzialmente migliaia e migliaia, riversano i dati personali nei loro database, aspettandosi un certo tipo di trattamento.
Garantire delle corrette procedure per il trattamento dei dati personali è diventato dunque fondamentale, non solo per poter operare a norma di legge, ma anche perché si tratta di temi a cui prestano particolare attenzione gli utenti di oggi, molto più consapevoli dei propri diritti digitali.
La formazione è fondamentale in questo settore per poter lavorare e restare aggiornati, ecco perché Alteredu propone numerosi Corsi su Privacy e GDPR, organizzati e tenuti da professionisti esperti che operano ad alti livelli in questo settore.
Grazie ai corsi di formazione professionali di Alteredu potrai porre delle solide basi per lavorare nel settore della Privacy, oppure per fare carriera restando sempre aggiornato sulle ultime novità e procedure a norma di legge.
