In questo articolo analizziamo la normativa sulla Privacy e GDPR che regolano il lavoro nei centri estetici.
In questo articolo analizziamo la normativa sulla Privacy e GDPR che regolano il lavoro nei centri estetici.
Molti degli operatori e operatrici professionisti e di talento che conducono o lavorano all’interno di un centro estetico non conoscono a fondo le norme che regolano il trattamento della Privacy in questo genere di attività.
Abbiamo quindi stilato una guida pratica in supporto agli operatori del benessere (estetiste, parrucchieri, onicotecniche, massaggiatori).
L’interessato è una qualsiasi persona di cui ci si trovi a trattare dei dati personali, in relazione all’attività lavorativa che viene svolta nella propria azienda.
In un centro estetico o salone di bellezza possiamo individuare almeno due diverse categorie di interessati:
I dipendenti che al momento dell’assunzione sono chiamati a fornire una serie di informazioni e dati, anche particolari, per poter stipulare il contratto di lavoro. Alcuni esempi?
I clienti, ai quali l’estetista / parrucchiere ha necessità di chiedere alcuni dati, necessari per poter svolgere correttamente il proprio lavoro.
1. Dati identificativi, quali nome e cognome e recapiti, necessari anche soltanto per prendere l’appuntamento
2. Dati di natura sensibile, es. dati sullo stato di salute (es. dati su patologie che sia importante conoscere prima di poter applicare un trattamento, oppure allergie a sostanze utilizzate, quali shampoo, tinture, etc.).
3. Altri dati relativi a interessi, hobbies, passioni, necessari per finalità promozionali e di marketing (es. invio di newsletter, promozioni personalizzate, offerte, etc.).
A partire dal 25 maggio 2018 è in vigore in tutta Europa il Regolamento Europeo 2016/679 (GDPR) relativo alla protezione dei dati personali.
L’entrata in vigore di tale norma ha modificato il panorama legislativo europeo e dunque anche italiano, introducendo una serie di nuovi, obblighi, più o meno stringenti, a carico di tutte le realtà lavorative, pubbliche e private.
Le principali novità previste dalla norma sono sicuramente l’introduzione della figura del DPO (Data Protection Officer) e la necessità di redigere un registro delle attività di trattamento.
Il Regolamento Europeo prevede l’obbligo di nominare un DPO (Data Protection Officer, in italiano RPD – Responsabile della Protezione dei Dati) nei seguenti casi:
In un centro estetico/salone di bellezza dovrà essere valutata, caso per caso, la presenza o meno di trattamento di dati sensibili su larga scala, in modo da capire se ricorre o meno l’obbligo di nomina del DPO.
È importante che il Titolare possa confrontarsi con un consulente di fiducia, al fine di individuare la soluzione migliore.
Il registro dei trattamenti è un documento mediante il quale il Titolare dovrà tracciare il ciclo di vita dei suoi dati, dal momento della raccolta al momento della distruzione.
Il registro dovrà avere uno schema ben preciso e contenere le informazioni minime previste dal Reg. UE 2016/679.
Indipendentemente dal tipo di realtà aziendale e dal tipo di attività svolta, è bene che ogni Titolare si doti di un Registro dei Trattamenti.
Lo strumento che ogni Titolare può utilizzare per comunicare ai propri clienti le modalità con cui vengono trattati i dati è sicuramente l’informativa.
Tale modulo era già presente nella precedente legislazione italiana e con l’entrata in vigore del nuovo Regolamento ha assunto un ruolo molto più importante e centrale.
Nell’informativa il Titolare dovrà fornire una serie di informazioni dettagliate sulle modalità con le quali i dati saranno trattati. L’informativa, oltre a fornire le informazioni necessarie al cliente, costituisce anche il principale strumento di tutela per il Titolare.
Non dimentichiamoci che, essendo anche i dipendenti degli interessati, come abbiamo visto poco fa, anche loro dovranno essere informati, attraverso una specifica informativa.
Ogni dipendente dovrà ricevere da parte del suo datore di lavoro una specifica nomina di incaricato al trattamento dei dati.
Attraverso la firma della nomina, ogni dipendente sarà autorizzato a trattare i dati e si impegnerà a farlo correttamente, in conformità con la legge, facendo attenzione a non divulgare informazioni sensibili.
Ogni dipendente dovrà inoltre essere adeguatamente istruito sulle corrette modalità di gestione dei dati. Le metodologie che si possono utilizzare per fornire tali istruzioni sono molteplici e molto diverse fra loro. La metodologia migliore potrà essere individuata in collaborazione con il proprio consulente.