Privacy: Adempimenti obbligatori
A tutti gli interessati dagli adempimenti di cui al D.Lgs. n. 196/2003 (testo unico sulla privacy)
In previsione dell’entrata in vigore del regolamento UE n. 679/2016 (GDPR) ed al connesso aumento delle misure sanzionatorie, si ritiene opportuno richiamare l’attenzione dei responsabili del trattamento e dei titolari su alcuni adempimenti e misure di sicurezza obbligatori ed essenziali ai fini della compliance della struttura in materia di privacy:
- In caso di assegnazione a dipendenti di caselle di posta elettronica e di elaboratori con accesso alla rete internet va adottato, approvato e distribuito agli interessati un regolamento interno (conforme alle linee guida del Garante) sull’utilizzo di tali strumenti in ambito aziendale;
- Va sempre adottato in ambito aziendale un regolamento/disciplinare sul corretto utilizzo delle risorse informatiche aziendali;
- In caso di adozione di sistemi di videosorveglianza va consegnata ai dipendenti adeguata informativa e vanno nominati formalmente gli incaricati che possono avere accesso alle immagini, in conformità al provvedimento del 2010;
- In caso di adozione di sistemi di videosorveglianza è necessario richiedere all’installatore apposita dichiarazione di conformità sul rispetto delle misure di sicurezza (allegato B) del D.Lgs. n. 196/2003;
- In caso di adozione di sistemi di videosorveglianza le videocamere non possono riprendere aree pubbliche;
- In caso di adozione di sito internet va verificata la cookies policy del sito e la pubblicazione di idonea informativa e, qualora si intenda adottare cookies di profilazione, va raccolto il consenso specifico dell’interessato ed effettuata la prescritta notifica preventiva all’Autorità Garante;
- Ogni attività di profilazione nei confronti degli interessati deve essere preceduta da idonea informativa e da raccolta di consenso;
- In caso di attività di marketing nei confronti di terzi nella prescritta informativa va specificato quale canale viene utilizzato (telefonico, app. etc.);
- In caso di utilizzo di app, lo sviluppatore deve essere nominato quale responsabile esterno del trattamento;
- In caso di attività di geolocalizzazione di dipendenti va previsto nelle procedure la conservazione massima dei dati per 2 anni;
- Il responsabile del trattamento deve riferire annualmente al titolare circa l’attività svolta e le eventuali criticità riscontrate nelle procedure di trattamento;
- Le lettere di incarico rilasciate agli addetti devono identificare in modo preciso le mansioni svolte dall’incaricato;
- È necessario conservare e aggiornare l’elenco degli incaricati nell’ambito della struttura;
- Nei documenti di informativa deve essere riportato chiaramente il riferimento all’art. 7 (diritti degli interessati);
- Ogni richiesta degli interessati deve essere riscontrata entro 15 giorni dal ricevimento; può essere opportuno creare idonee caselle di posta elettronica riservate alle segnalazioni in materia di privacy;
- Nei documenti di informativa vanno indicati i riferimenti del responsabile del trattamento, ove nominato;
- Nei documenti di informativa ai dipendenti va chiaramente indicato che i dati potranno essere comunicati all’esterno, qualora ci si avvalga di provider esterno per l’elaborazione dei cedolini paga e degli adempimenti connessi;
- In fase si selezione del personale deve essere erogata adeguata informativa al candidato in sede di colloquio;
- In caso di servizi di pulizia e vigilanza esterni è opportuno prevedere contrattualmente il rispetto della riservatezza e l’obbligo dell’impresa di istruire adeguatamente i propri incaricati;
- È opportuno adottare un modello operativo in materia di privacy che raccolga le procedure adottate nell’ambito del trattamento;
- Va verificato attentamente di aver attribuito all’amministratore di sistema (che deve avere un profilo idoneo alla carica) il compito di custode delle parole chiave;
- Va attentamente verificato il rispetto delle misure minime di sicurezza informatica (allegato B) con il nominato amministratore di sistema;
- Secondo le ultime indicazioni in materia di amministratore di sistema, lo stesso deve essere una persona fisica (interna od esterna); in caso di affidamento del servizio a società esterna, la stessa deve essere nominata quale responsabile esterno del trattamento e la stessa deve nominare i propri tecnici quali AS interni fornendone poi l’elenco al committente;
- La struttura deve mantenere aggiornato l’elenco degli amministratori di sistema e consegnarlo ai propri dipendenti (con riferimento a quelli che possono accedere ai dati dei dipendenti);
- È necessaria l’adozione di software di LOG che tracci e registri gli accessi al sistema;
- In caso di adozione del DSE deve avvenire la registrazione dei log di tutti gli utenti che accedono al DSE;
- L’omessa nomina dell’AS e l’omesso adempimento degli obblighi connessi è punito con rilevante sanzione pecuniaria;
- È opportuno prevedere idonee polizze assicurative che coprano eventuali danni nei confronti di terzi nell’ambito delle operazioni di trattamento dei dati personali.
Si invitano le strutture interessate, e per esse i responsabili del trattamento, a verificare il corretto assolvimento degli obblighi ed aspetti di cui sopra, che, in mancanza, rappresentano fattispecie sanzionabili.