Privacy in azienda: guida completa a tutte le regole

Con questa guida vogliamo intraprendere un percorso all’interno del Codice della Privacy evidenziando ogni aspetto utile per le imprese nella gestione e nel trattamento dei dati personali, nelle figure prevista dal decreto e negli obblighi che l’azienda è tenuta a rispettare fino ad arrivare alle sanzioni previste per le aziende inadempienti e al documento programmatico sulla sicurezza.

La gestione della privacy in azienda – ossia la tutela della riservatezza di dati personali, curriculum e informazioni sulle persone giuridiche – è uno degli adempimenti più importanti, tanto da richiedere al legislatore l’emanazione di uno specifico decreto legislativo, il 196/2003 (Codice Privacy).
Per regolamentare casi specifici sono poi state introdotte disposizioni ad hoc, come ad esempio il registro delle opposizioni, volto a regolamentare l’invio di proposte commerciali telefoniche, via Internet e su carta.

Il recente decreto sviluppo ha poi introdotto una serie di semplificazioni per le imprese che ricevono curricula a seguito di candidature spontanee, e che solitamente riportano una liberatoria generica per il trattamento dei dati che, tuttavia, non libera l’azienda degli adempimenti previsti dal Codice della Privacy in quanto non sono preceduti dalla consegna di una informativa.
Ebbene, il decreto sviluppo ha modificato l’obbligo di dare l’informativa privacy per poter conservare i CV, specificando che non è necessario nel caso di trasmissione spontanea dei curriculum. L’impresa, comunque, dovrà consegnarla al candidato al momento del primo contatto ovvero durante il colloquio.

Normativa europea

Il 24 ottobre 1995 con la Direttiva Comunitaria 95/46/CE il Parlamento Europeo e il Consiglio dell’Unione Europea hanno anticipato le disposizioni in materia di trattamento dei dati personali e di protezione della riservatezza riguardante le persone fisiche chiamato comunemente codice privacy.
La regolamentazione del trattamento dei dati personali a livello comunitario si è reso necessario per agevolare lo sviluppo delle relazioni fra gli individui della Comunità Europea e permettere lo sviluppo economico e sociale dei vari Paesi.

La Direttiva Comunitaria mette in risalto la tutela dei diritti e delle libertà fondamentali delle persone fisiche con particolare attenzione alla vita privata e al trattamento dei dati personali. Per questo motivo pone il divieto a tutti gli Stati membri di adottare misure che vietano o restringono la libera circolazione dei dati personali.

Prima di entrare a fondo nell’argomento è bene precisare sommariamente cosa intende la normativa europea con i termini dati personali e trattamento dei dati personali.
E’ un dato personale qualunque informazione riguardante una persona fisica identificata o identificabile mentre l’operazione o l’insieme delle operazioni attuate per gestire i dati personali ossia raccolta, registrazione, organizzazione, conservazione, elaborazione fino ad arrivare alla trasmissione, diffusione e distruzione, prende nome di trattamento dei dati personali.

La normativa, inoltre, individua un soggetto particolarmente importante: il responsabile del trattamento. In questo modo nasce la figura della persona fisica o giuridica ovvero qualsiasi organismo che in autonomia o con altri organi determina le finalità e gli strumenti del trattamento dei dati personali.

Normativa italiana

L’Italia ha recepito la normativa europea con l’emanazione del decreto legislativo n. 196 del 30 giugno 2003 il quale si pone lo scopo di garantire che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali nonché della dignità dell’interessato con particolare riferimento alla riservatezza, all’identità personale e al diritto della protezione degli stessi dati personali.

La normativa, in pratica dà diritto agli interessati di ottenere la conferma dell’esistenza o meno di dati personali che lo riguardano nonché le finalità e le modalità di trattamento. Tale soggetto può richiedere l’aggiornamento, la rettifica, l’integrazione e la cancellazione dei dati.

La richiesta di accesso ai dati va fatta al responsabile del trattamento mediante lettera raccomandata, fax o posta elettronica. Questi, dopo aver verificato l’identità del richiedente, è tenuto ad agevolare l’accesso ai dati personali da parte dell’interessato anche attraverso l’impiego di appositi software per l’elaborazione.
Il responsabile, quindi, dovrà estrarre i dati e comunicarli, anche oralmente o offerti in visione mediante strumenti elettronici, al richiedente. Se viene fatta richiesta dovrà provvedere alla trasposizione dei dati su supporti cartacei o informatici ovvero alla trasmissione dei dati per via telematica.

Il responsabile del trattamento si riserva la facoltà di richiedere all’interessato un contributo spese non eccedente i costi effettivamente sostenuti per eseguire la ricerca dello specifico caso.