Privacy: Adempimenti obbligatori

• In caso di assegnazione a dipendenti di caselle di posta elettronica e di elaboratori con accesso alla rete internet va adottato, approvato e distribuito agli interessati un regolamento interno (conforme alle linee guida del Garante) sull’utilizzo di tali strumenti in ambito aziendale;
• Va sempre adottato in ambito aziendale un regolamento/disciplinare sul corretto utilizzo delle risorse informatiche aziendali;
• In caso di adozione di sistemi di videosorveglianza va consegnata ai dipendenti adeguata informativa e vanno nominati formalmente gli incaricati che possono avere accesso alle immagini, in conformità al provvedimento del 2010;
• In caso di adozione di sistemi di videosorveglianza è necessario richiedere all’installatore apposita dichiarazione di conformità sul rispetto delle misure di sicurezza (allegato B) del D.Lgs. n. 196/2003;
• In caso di adozione di sistemi di videosorveglianza le videocamere non possono riprendere aree pubbliche;
• In caso di adozione di sito internet va verificata la cookies policy del sito e la pubblicazione di idonea informativa e, qualora si intenda adottare cookies di profilazione, va raccolto il consenso specifico dell’interessato ed effettuata la prescritta notifica preventiva all’Autorità Garante;
• Ogni attività di profilazione nei confronti degli interessati deve essere preceduta da idonea informativa e da raccolta di consenso;
• In caso di attività di marketing nei confronti di terzi nella prescritta informativa va specificato quale canale viene utilizzato (telefonico, app. etc.);
• In caso di utilizzo di app, lo sviluppatore deve essere nominato quale responsabile esterno del trattamento;
• In caso di attività di geolocalizzazione di dipendenti va previsto nelle procedure la conservazione massima dei dati per 2 anni;
• Il responsabile del trattamento deve riferire annualmente al titolare circa l’attività svolta e le eventuali criticità riscontrate nelle procedure di trattamento;
• Le lettere di incarico rilasciate agli addetti devono identificare in modo preciso le mansioni svolte dall’incaricato;
• È necessario conservare e aggiornare l’elenco degli incaricati nell’ambito della struttura;
• Nei documenti di informativa deve essere riportato chiaramente il riferimento all’art. 7 (diritti degli interessati);
• Ogni richiesta degli interessati deve essere riscontrata entro 15 giorni dal ricevimento; può essere opportuno creare idonee caselle di posta elettronica riservate alle segnalazioni in materia di privacy;
• Nei documenti di informativa vanno indicati i riferimenti del responsabile del trattamento, ove nominato;
• Nei documenti di informativa ai dipendenti va chiaramente indicato che i dati potranno essere comunicati all’esterno, qualora ci si avvalga di provider esterno per l’elaborazione dei cedolini paga e degli adempimenti connessi;
• In fase si selezione del personale deve essere erogata adeguata informativa al candidato in sede di colloquio;
• In caso di servizi di pulizia e vigilanza esterni è opportuno prevedere contrattualmente il rispetto della riservatezza e l’obbligo dell’impresa di istruire adeguatamente i propri incaricati;
• È opportuno adottare un modello operativo in materia di privacy che raccolga le procedure adottate nell’ambito del trattamento;
• Va verificato attentamente di aver attribuito all’amministratore di sistema (che deve avere un profilo idoneo alla carica) il compito di custode delle parole chiave;
• Va attentamente verificato il rispetto delle misure minime di sicurezza informatica (allegato B) con il nominato amministratore di sistema;
• Secondo le ultime indicazioni in materia di amministratore di sistema, lo stesso deve essere una persona fisica (interna od esterna); in caso di affidamento del servizio a società esterna, la stessa deve essere nominata quale responsabile esterno del trattamento e la stessa deve nominare i propri tecnici quali AS interni fornendone poi l’elenco al committente;
• La struttura deve mantenere aggiornato l’elenco degli amministratori di sistema e consegnarlo ai propri dipendenti (con riferimento a quelli che possono accedere ai dati dei dipendenti);
• È necessaria l’adozione di software di LOG che tracci e registri gli accessi al sistema;
• In caso di adozione del DSE deve avvenire la registrazione dei log di tutti gli utenti che accedono al DSE;
• L’omessa nomina dell’AS e l’omesso adempimento degli obblighi connessi è punito con rilevante sanzione pecuniaria;
• È opportuno prevedere idonee polizze assicurative che coprano eventuali danni nei confronti di terzi nell’ambito delle operazioni di trattamento dei dati personali.

Si invitano le strutture interessate, e per esse i responsabili del trattamento, a verificare il corretto assolvimento degli obblighi ed aspetti di cui sopra, che, in mancanza, rappresentano fattispecie sanzionabili.