I soggetti che effettuano il trattamento
Nello svolgimento dell’attività di impresa è normale che vengano trattati dati personali, vale a dire informazioni riferibili a soggetti identificati o identificabili (ad esempio dipendenti, clienti e fornitori). I dati devono essere pertinenti e non eccedenti rispetto a finalità legittime, esatti e aggiornati (art. 11 del Codice). Le operazioni di trattamento (quali la raccolta, comunicazione o diffusione di dati personali) sono effettuate del Titolare del trattamento o dal responsabile (se designato) e dagli incaricati del trattamento. Le designazioni devono essere scritte e controfirmate.
Comunicazione e diffusione dei dati dei lavoratori, clienti e fornitori
Le operazioni di trattamento riguardano per lo più:
- dati anagrafici di lavoratori (assunti o cessati dal servizio), dati dei clienti e dei fornitori, dati biometrici, fotografie e dati sensibili riferiti anche a terzi, idonei in particolare a rivelare il credo religioso o l’adesione a sindacati; dati idonei a rivelare lo stato di salute, di regola contenuti in certificati medici o in altra documentazione prodotta per giustificare le assenze dal lavoro o per fruire di particolari permessi e benefici previsti anche nei contratti collettivi;
- informazioni più strettamente connesse allo svolgimento dell’attività lavorativa, quali la tipologia del contratto (a tempo determinato o indeterminato, a tempo pieno o parziale, etc.); la qualifica e il livello professionale, la retribuzione individuale corrisposta anche in virtù di provvedimenti “ad personam”; l’ammontare di premi; il tempo di lavoro anche straordinario; ferie e permessi individuali (fruiti o residui); l’assenza dal servizio nei casi previsti dalla legge o dai contratti anche collettivi di lavoro; trasferimenti ad altra sede di lavoro; procedimenti e provvedimenti disciplinari.
I medesimi dati sono:
- contenuti in atti e documenti prodotti dai lavoratori in sede di assunzione
- contenuti in documenti e/o file elaborati dal (o per conto del) datore di lavoro in pendenza del rapporto di lavoro per finalità di esecuzione del contratto e successivamente raccolti e conservati in fascicoli personali, archivi cartacei o elettronici aziendali;
- resi disponibili in albi e bacheche o nelle intranet aziendali.
In particolare, il Codice in materia di protezione dei dati prescrive che il trattamento di dati personali avvenga:
- nel rispetto di principi di necessità e liceità e che riguardano la qualità dei dati (artt. 3 e 11);
- informando preventivamente e adeguatamente gli interessati (art. 13);
- chiedendo preventivamente il consenso solo quando, anche a seconda della natura dei dati, non sia corretto avvalersi di uno degli altri presupposti equipollenti al consenso (artt. 23, 24, 26 e 43 del Codice);
- rispettando, se si trattano dati sensibili o giudiziari, le prescrizioni impartite dal Garante nelle autorizzazioni anche di carattere generale rilasciate (artt. 26 e 27 del Codice);
- adottando le misure di sicurezza idonee a preservare i dati da alcuni eventi tra i quali accessi ed utilizzazioni indebite, rispetto ai quali può essere chiamato a rispondere anche civilmente e penalmente (artt. 15, 31, 167 e 169 del Codice).
All’interno del pacchetto semplificazioni varate dal Governo Monti, è stato abolito il Documento Programmatico per la sicurezza (DPS), in quanto “non previsto tra le misure di sicurezza richieste dalla Direttiva europea, e adempimento meramente superfluo”.
Restano comunque confermate tutte le altre misure di sicurezza previste dalla normativa vigente (nomine e istruzioni operative).