Il GDPR, entrato in vigore il 25 maggio 2018, non ha abrogato il D.Lgs. n. 196/2003, ma le due normative coesistono e si applicano congiuntamente. Il D.Lgs. n. 101 del 10 agosto 2018 ha completato l'armonizzazione tra la normativa europea e quella italiana in materia di protezione dei dati personali. La privacy in azienda non è un concetto monolitico, ma richiede una distinzione delle informative in base al tipo di trattamento, alla finalità e alla tipologia di dati (clienti esterni o dipendenti).

 

La videosorveglianza è strettamente legata al trattamento dei dati, ma anche in questo caso è necessario calibrare gli adempimenti. Il cartello indicativo della presenza di videosorveglianza può sostituire l'informativa, ma è consigliabile avere sia un'informativa sintetica che una estesa. Per quanto riguarda le fidelity card, la problematica varia a seconda che siano nominative o meno. Le fidelity card non nominative non presentano problemi di privacy, mentre quelle nominative richiedono un'informativa corretta per la raccolta dati e il consenso espresso dell'interessato.

 

Il GDPR si applica solo al trattamento di dati personali di persone fisiche. L'onere della prova dell'adeguatezza del sistema di gestione della privacy spetta all'azienda. È fondamentale informare gli interessati sul periodo di conservazione dei dati, sulle modalità di conservazione, sui sistemi di protezione e su chi ha accesso ai dati. Gli interessati hanno il diritto di revocare il consenso al trattamento dei dati e di esercitare il diritto all'oblio. L'informativa deve essere personalizzata e specifica per le finalità del trattamento, il titolare del trattamento, il periodo di conservazione dei dati e il diritto di recesso.