Questa mattina ho deciso di dedicarmi del tempo per coccolarmi un po’; così, dopo una bella colazione, sono andata dalla mia estetista per un trattamento corpo e un bel massaggio rilassante.

Ilaria, come sempre, mi ha accolto con il suo più bel sorriso e dopo qualche chiacchiera, mi ha posto davanti un foglio dicendomi: “dovresti firmarmi la nuova privacy, devo farla firmare a tutti gli interessati… o almeno… CREDO”!

A quel punto ho capito che la mia estetista, come molti altri professionisti del settore, applichi la norma senza in realtà capirla a fondo.

Per aiutare lei e tutti voi operatori del benessere (estetiste, parrucchieri, onicotecniche, massaggiatori) ecco una serie di risposte concrete alle vostre domande.

Chi è l’interessato di un centro estetico o di un salone di bellezza?

In un centro estetico o salone di bellezza possiamo individuare almeno due diverse categorie di interessati:

1. I dipendenti che al momento dell’assunzione sono chiamati a fornire una serie di informazioni e dati, anche particolari, per poter stipulare il contratto di lavoro. Alcuni esempi?
   • Dati identificativi, quali nome, cognome e codice fiscale
   • Indirizzo di residenza e recapiti telefonici
   • Dati relativi a infortuni e malattie
   • Informazioni sensibili sui loro familiari (es. beneficiari della legge 104)
   • Dati giudiziari (es. casellario giudiziale)
2. I clienti, ai quali l’estetista / parrucchiere ha necessità di chiedere alcuni dati, necessari per poter svolgere correttamente il proprio lavoro.

Quali dati dei clienti vengono trattati in un centro estetico/salone di bellezza?

1. Dati identificativi, quali nome e cognome e recapiti, necessari anche soltanto per prendere l’appuntamento

2. Dati di natura sensibile: es. dati sullo stato di salute (es. dati su patologie che sia importante conoscere prima di poter applicare un trattamento, oppure allergie a sostanze utilizzate, quali shampoo, tinture, etc.).

3. Altri dati relativi a interessi, hobbies, passioni, necessari per finalità promozionali e di marketing (es. invio di newsletter, promozioni personalizzate, offerte, etc.).

Cosa prevede la normativa sulla privacy?

A partire dal 25 maggio 2018 è in vigore in tutta Europa il Regolamento Europeo 2016/679 (GDPR) relativo alla protezione dei dati personali.

L’entrata in vigore di tale norma ha modificato il panorama legislativo europeo e dunque anche italiano, introducendo una serie di nuovi, obblighi, più o meno stringenti, a carico di tutte le realtà lavorative, pubbliche e private.

Le principali novità previste dalla norma sono sicuramente l’introduzione della figura del DPO (Data Protection Officer) e la necessità di redigere un registro delle attività di trattamento.

In un centro estetico o in un salone di bellezza è obbligatorio il DPO?

Il Regolamento Europeo prevede l’obbligo di nominare un DPO (Data Protection Officer, in italiano RPD – Responsabile della Protezione dei Dati) nei seguenti casi:

1. il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, […];
2. le attività principali del titolare del trattamento […] consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
3. le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali […] o di dati relativi a condanne penali e a reati […].

In un centro estetico/salone di bellezza dovrà essere valutata, caso per caso, la presenza o meno di trattamento di dati sensibili su larga scala, in modo da capire se ricorre o meno l’obbligo di nomina del DPO.

È importante che il Titolare possa confrontarsi con un consulente di fiducia, al fine di individuare la soluzione migliore.

E il Registro dei Trattamenti è obbligatorio?

Il registro dei trattamenti è un documento mediante il quale il Titolare dovrà tracciare il ciclo di vita dei suoi dati, dal momento della raccolta al momento della distruzione.

Il registro dovrà avere uno schema ben preciso e contenere le informazioni minime previste dal Reg. UE 2016/679.

Indipendentemente dal tipo di realtà aziendale e dal tipo di attività svolta, è bene che ogni Titolare si doti di un Registro dei Trattamenti.

Come posso far capire ai miei clienti che i suoi dati sono al sicuro?

Lo strumento che ogni Titolare può utilizzare per comunicare ai propri clienti le modalità con cui vengono trattati i dati è sicuramente l’informativa.

Tale modulo era già presente nella precedente legislazione italiana e con l’entrata in vigore del nuovo Regolamento ha assunto un ruolo molto più importante e centrale.

Nell’informativa il Titolare dovrà fornire una serie di informazioni dettagliate sulle modalità con le quali i dati saranno trattati. L’informativa, oltre a fornire le informazioni necessarie al cliente, costituisce anche il principale strumento di tutela per il Titolare.

Non dimentichiamoci che, essendo anche i dipendenti degli interessati, come abbiamo visto poco fa, anche loro dovranno essere informati, attraverso una specifica informativa.

E come posso istruire i miei dipendenti sul corretto trattamento dei dati?

Ogni dipendente dovrà ricevere da parte del suo datore di lavoro una specifica nomina di incaricato al trattamento dei dati.

Attraverso la firma della nomina, ogni dipendente sarà autorizzato a trattare i dati e si impegnerà a farlo correttamente, in conformità con la legge, facendo attenzione a non divulgare informazioni sensibili.

Ogni dipendente dovrà inoltre essere adeguatamente istruito sulle corrette modalità di gestione dei dati. Le metodologie che si possono utilizzare per fornire tali istruzioni sono molteplici e molto diverse fra loro. La metodologia migliore potrà essere individuata in collaborazione con il proprio consulente.

Se hai ancora dubbi o vuoi maggiori informazioni per la tua attività, contattaci allo 0574/965334 o scrivici a info@qes.toscana.it

Qualità e Sicurezza S.r.l.