La nuova Guida del Garante per la protezione dei dati personali, La privacy dalla parte dell’impresa, offre anche alle PMI una serie di pratiche aziendali per migliorare il business ed agire in conformità normativa nella gestione dei dati di clienti e dipendenti, alla luce delle nuove tecnologie (biometria, geolocalizzazione) e attività di Marketing.
Dati da tutelare
- Personali: indirizzi fisici o email, immagini fotografiche, codice fiscale, numero di telefono, targa automobilistica.
- Sensibili: religione, adesione a partiti o sindacati, salute, vita sessuale.
- Giudiziari: casellario giudiziale, posizione di indagato o imputato in procedimenti penali.
- Biometrici (consulta le norme su biometria e controllo accessi)
Responsabilità
L’azienda o l’imprenditore individuale è il titolare del trattamento (data controller), che può nominare con atto scritto un responsabile (data processor) interno o esterno all’impresa, precisandone i compiti. Gli incaricati sono le persone che materialmente accedono e gestiscono i dati, designati per iscritto o facenti parte dell’unità responsabile (es.: ufficio del personale).
L’amministratore di sistema ha accesso (tracciabile) a dati molto riservati , è sotto il diretto controllo del titolare del trattamento.
=>Scopri tutti gli obblighi per gli amministratori di sistema
Informativa e consenso
L’impresa deve informare dipendenti e clienti in modo completo e chiaro, specificando: le finalità del trattamento, a chi possono essere comunicati i dati o chi può venirne a conoscenza, nome del responsabile del trattamento se c’è. Per contattare molte persone si può disporre la pubblicazione sul sito aziendale o altri media.
Un call center può usare un messaggio preregistrato (es. per chiamare un taxi).
L’utilizzo a fini di marketing non può mai essere obbligatorio, ponendolo come condizine per accedere a contenuti informativi o servizi. Oltre a informare l’interessato va chiesto il consenso per l’utilizzo dei dati, liberamente espresso in forma scritta e differenziato a seconda del trattamento. Soft spam: un’azienda può inviare messaggi promozionali via mail o per posta ma il cliente può opporsi, anche a voce.
Via libera del Garante: necessario per salute, biometria, rischio di solvibilità economica, situazione patrimoniale, informazioni creditizie, comportamenti illeciti o fraudolenti, non basta il consenso dell’interessato.
=>Approfondisci la privacy nel Marketing
CV
Chiedere al candidato che invia un curriculum il consenso al trattamento dei dati, è superfluo, a meno che i dati siano destinati a comunicazioni a terzi. L’impresa è tenuta a fornire l’informativa sul trattamento dei dati quando avvia un selezione di personale.
=>Leggi tutto sulla Privacy in azienda
Tecnologie
Per alcune tecnologie (monitoraggio della posta o della navigazione del dipendente, flotta aziendale con localizzazione Gps, geolocalizzaizone smartphone) ci sono regole generali: cautela e informativa con finalità dichiarate, che non possono essere sproporzionate. Per avvisare che un veicolo aziendale è sottoposto a geolocalizzazione, per esempio, si può applicare apposito adesivo sulla vettura.
Per i sistemi di videosorveglianza dei dipendenti vanno rispettate le norme dello Statuto dei Lavoratori (vietato il controllo a distanza fine a se stesso, deve essere legittimato da esigenze di sicurezza, o di prevenzione rischi). Le immagini possono essere conservate per massimo sette giorni. Per esigenze particolare serve verifica al Garante, che può dare un via libera condizionato (approfondisci le norme sul controllo a distanza).
Stessa procedura (verifica preliminare e autorizzazione del Garante) per i dati biometrici: la misura deve comunque essere giustificata da condizioni di particolare rischio.
=> Rilevamento biometrio: le norme privacy
Sul Cloud Computing c’è una guida apposita del Garante (scaricala) che segnala buone pratiche: un’attenta valutazione del provider a cui affidarsi, privilegiare i servizi che favoriscono la portabilità dei dati (per poter eventualmente passare da un sistema all’altro), disponibilità dei dati in caso di necessità, dove risiederanno concretamente (dove sono i server), tempi e modalità di conservazione, clausole contrattuali sulla perdita o violazione dei dati, sicurezza:
=>Consulta lo Speciale Cloud Computing
Quando si smaltiscono hard disk, apparecchiature, telefonini, cancellare tutti i dati che contengono. Opportuna l’adozione di specifici software.
Difesa dei dati
Per ridurre il rischio di distruzione, perdita e accessi non autorizzati, ecco le misure minime: convalida dell’indentità (password), sistema che consenta solo determinate azioni predefinite, antivirus e software di sicurezza, copie di backup, crittografia per i dati sensibili. Non è più necessario il “documento programmatico sulla sicurezza” che elenchi le misure adottate.
Dati bancari o fiscali, richiedono particolari protezioni, alert automatici che segnalino intrusioni, anomalie, comportamenti illeciti. L’impresa, se chiamata in tribunale per un’azione risarcitoria in sede civile, deve dimostrare di averle adottate.
Export di dati
I dati personali possono circolare liberamente all’interno della UE. Quanto agli Stati Terzi, il Garante pubblica sul sito l’elenco aggiornato di quelli ritenuti affidabili. Per gli Stati Uniti, si può controllare se i dati confluiscono in imprese che appartengono a un accordo bilaterale Ue-Usa, come il Safe Harbour.
Nel caso di multinazionali si può controllare che abbiano policy vincolanti (binding corporate rules), che comunque devono essere controllate dalle autorità europee. In tutti gli altri casi di paesi terzi, sono necessarie pratiche di controllo.
Customer care
L’interessato può sempre informarsi sui propri dati, come sono stati raccolti ed elaborati, può richierne l’aggiornamento, la cancellazione, la correzione, la trasformazione in forma anonima.
Buone pratiche: conservare i dati solo per il tempo necessario alle finalità a cui servono, avvisare gli interessati quando si verificano intrusioni o violazioni (obbligatorio per società di tlc e fornitori di servizi internet).