Qui Privacy si evolve in risposta alla recente introduzione del Green Pass Covid-19 obbligatorio sui posti di lavoro
Qui Privacy e Green Pass Covid-19 nei luoghi di lavoro
La pubblicazione in Gazzetta Ufficiale del 21/9 u.s. del Decreto Legge che prevede l’obbligo di esibire il Green Pass per accedere ai luoghi di lavoro sia pubblici che privati, stabilisce che a verificare il possesso del Certificato Verde sia il datore di lavoro o soggetto da egli incaricato. La verifica implica un trattamento di dati personali, quindi automaticamente il rispetto di regole correlate alla Privacy.
Per svolgere in modo conforme i controlli del certificato, il datore di lavoro è tenuto a garantire che il trattamento di queste informazioni personali dei propri dipendenti e collaboratori sia soggetto alle regole già indicate dal GDPR (regolamento 2016/679/UE).
Il tema del Green Pass ripropone pertanto l’esigenza di gestire al meglio gli obblighi Privacy.
L’applicazione Qui Privacy è un insieme coordinato di software cloud, soluzioni e servizi Dylog che permette di adeguarsi e gestire in modo semplice le frequenti evoluzioni normative introdotte dalla legge sulla Privacy (regolamento europeo GDPR).
Con specifico riferimento all’obbligo del Green Pass Covid-19 sui luoghi di lavoro, Qui Privacy risponde con le seguenti novità:
integrata nell’area “Emergenza COVID-19” i link a siti istituzionali per sapere cos’è e come funziona il green pass
inserita una scaletta di azioni operative da svolgere
integrato il modello specifico di “Trattamento dati controllo Certificazione Verde COVID-19” da integrarenel registro
integrata la nomina “Green Pass – Autorizzato controllo certificazione”
riportate tutte le FAQ ufficiali Green Pass (Governo, Commissione Europea, Garante, Consiglio dei Ministri)
riportati tutti i riferimenti normativi e circolari sul Green Pass (più di 25 link a norme, DL, circolari e quant’altro)
Dopo un lungo iter per l’approvazione l’Unione Europea il 25 maggio 2016 ha approvato la nuova Normativa sulla Privacy 2016/679, più comunemente definita GDPR (General Data Protection Regulation). La norma europea istituisce nuove regole per le organizzazioni che detengono e trattano dati di persone fisiche residenti nella comunità europea, indipendentemente dal luogo in cui si trovano.
Il Regolamento è in vigore in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018.
.
Quali sono le principali novità introdotte dal GDPR?
Il GDPR disciplina la protezione dei dati delle persone fisiche con riferimento sia al trattamento sia alla libera circolazione di tali dati. Persegue due principali finalità:
– sensibilizzare e rendere consapevoli gli “interessati” (le persone fisiche) nel momento in cui rendono disponibili i propri dati personali
– responsabilizzare sia le imprese private sia le autorità pubbliche che utilizzano i dati personali nell’ambito delle loro attività
.
In sintesi:
– Maggiori diritti dell’interessato in termini di privacy personale. Ossia:
– I titolari devono dichiarare agli interessati, in modo trasparente, le finalità del trattamento e le misure di protezione dei dati
– Maggiori doveri per le organizzazioni:
– Il regolamento conferma che ogni trattamento di dati personali deve trovare fondamento in un’idonea base giuridica; i titolari del trattamento dei dati sono tenuti a seguire un percorso di adeguamento alle norme, nel rispetto dei fondamenti di liceità del trattamento, che coincidono, in linea di massima, con quelli già previsti dal Codice privacy d.lgs. 196/2003 (consenso, adempimento obblighi contrattuali, obblighi di legge cui è soggetto il titolare, ecc.).
– Il titolare deve sempre poter dimostrare che è stato fatto tutto il possibile per evitare e prevenire la diffusione non autorizzata di informazioni sensibili, fino anche all’autodenuncia se dovessero verificarsi violazioni o furti di archivi contenenti dati sensibili.
– Il titolare è tenuto a:
– Fornire informazioni chiare agli interessati della raccolta dei dati
– Evidenziare gli scopi dell’elaborazione e i casi di utilizzo
– Definire i criteri di conservazione e di eliminazione dei dati
– Proteggere i dati personali con misure di sicurezza appropriate
– Avvalersi di un responsabile della protezione dei dati (per le organizzazioni di grandi dimensioni)
– Segnalare alle autorità eventuali violazioni
– Conservare la documentazione dettagliata
– Formazione:
– Obbligo di formare personale e dipendenti.
.
Cosa prescrive il nuovo regolamento?
– Dal momento in cui si raccolgono dati personali, la loro protezione e l’uso per il quale si raccolgono le informazioni devono essere dichiarate ed organizzate in modo chiaro; non sarà possibile raccogliere o gestire dati senza specificarne la finalità, nel rispetto della norma
– Diritto all’oblio degli interessati: non possono essere detenute le informazioni una volta venuto meno lo scopo
– Principio di responsabilità (accountability): non c’è un elenco minimo di precauzioni da prendere ma in caso di richiesta dell’autorità o della divulgazione non autorizzata dei dati personali occorre dimostrare di aver fatto il possibile per proteggerli in base ai mezzi disponibili
– Sanzioni: fino a 20 milioni di euro o fino al 4% del fatturato, comminate dall’autorità garante della privacy, e controlli da parte di Guardia di Finanza e tutte le forze di polizia
Queste modifiche influenzeranno i processi organizzativi del business di aziende e professionisti e si applicano a tutti, dalle autorità pubbliche alle piccole e medie imprese
Come previsto dalla normativa, sono già disponibili i registri cartacei per Responsabili e Titolari del trattamento dei dati.