Alla vigilia dell’applicazione del GDPR (General Data Protection Regulation) previsto dal Regolamento Europeo sulla privacy Reg. (UE) 679/2016, c’è tanta confusione in giro. C’è la convinzione che non ci sia differenza tra una piccola azienda e una multinazionale. Cerchiamo di far chiarezza mettendo dei punti fermi, cercando di valutare gli aspetti applicativi del regolamento sulla nuova privacy europea in relazione alle piccole imprese ed a quelle a conduzione familiare.
E’ bene chiarire che non ci sono ad oggi delle direttive chiare e certe in relazione a tutte le singole specifiche attività. La mia analisi (che non è ovviamente a prova di errore) sarà basata solo ed esclusivamente sul dato strettamente normativo. Quando autorità giudiziaria, il Garante della Privacy oppure lo stesso legislatore (Schema-dlgs-Privacy 2018) forniranno ulteriori specificazioni, probabilmente verranno chiariti molti dubbi in merito e verranno fornite definizioni e casistiche certe che al momento possiamo solo presumere. Per ulteriori chiarimenti in merito al diritto all’oblio ed alla figura del DPO cliccare qui. (Diritto all’oblio – Data Protection Officer)
I dubbi principali.
Parlando con clienti, amici e conoscenti ho avuto modo di comprendere che le informazioni sino ad oggi conosciute sono vaghe e del tutto imprecise. Soprattutto che nel dubbio e con la paura di sanzioni, sono disposti e fare di tutto e di più, anche quando non sono adempimenti richiesti effettivamente dalla normativa. Andiamo quindi ad analizzare alcuni aspetti del GDPR che generano il maggior numero di dubbi nella loro applicazione tra piccole imprese.
Che differenza c’è tra l’informativa della privacy ed il consenso al trattamento dei dati personali.
Nonostante l’informativa sulla privacy e il consenso ai trattamenti dei dati personali siano due cose differenti vengono spesso accomunati e considerati un’unica cosa. Chiariamo bene cosa sia l’uno e cosa sia l’altro.
- L’informativa sulla privacy: è quel documento con cui un’azienda porta a conoscenza della sua clientela la propria privacy policy e quali siano i diritti ed i doveri delle parti e le modalità con le quali questi vengono esercitati.
- Il consenso al trattamento dei dati personali: invece è il benestare concesso all’azienda e fornito da colui che indica i propri dati personali, consistente nell’utilizzare in un modo o nell’altro i dati ricevuti. Questo deve essere libero, inequivoco e specifico. E’ escluso il consenso tacito o mediante opzioni preselezionate
La sottoscrizione della informativa sulla privacy ed il consenso al trattamento dei dati.
Partiamo dal chiarire cosa il GDPR intende per trattamento e per dato personale.
- Per dato personale si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile. Per identificabile si intende la persona fisica che possa essere identificata direttamente o indirettamente con riferimento ad un elemento identificativo; questo può essere il nome un numero di telefono, il codice fiscale e dati relativi alla residenza o altri elementi utili.
- Per trattamento si intende invece qualsiasi operazione o insieme di operazioni sia esse effettuate con sistemi elettronici o anche in modo cartaceo consistenti nella raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione diffusione e qualsiasi altra forma di messa a disposizione del dato personale acquisito.
La normativa.
L’articolo 6 del Regolamento Europeo GDPR definisce che i trattamenti sono leciti solo nella misura in cui ricorre almeno una delle condizioni indicate. Tra queste condizioni al punto a) si legge che: “l’interessato abbia espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità”. Al punto b) si legge il trattamento è lecito quando “è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso”.
L’articolo 7 del regolamento “Condizioni per il consenso” al primo comma recita: “Qualora il trattamento sia basato sul consenso, il titolare del trattamento dovrà essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali”.
L’analisi del dato normativo.
Ora se il GDPR effettua una distinzione tra i trattamenti leciti e inserisce differenti casi (tra questi anche quando il soggetto fornisce il proprio consenso), è possibile dedurre che il trattamento è lecito anche senza il consenso esplicito solo nei casi previsti dallo stesso articolo. Da questo se ne deduce che non sempre l’interessato debba esprimere il proprio consenso affinché vengano trattati i propri dati come per esempio nel caso di cui al punto b) sempre e solo nella misura in cui il trattamento dei dati sia necessario allo svolgimento dell’attività. A conferma di questa deduzione si aggiunge la possibilità che si intravede nella lettura dell’articolo 7, ovvero che il trattamento non sia basato sul consenso. E questo appunto è la casistica prevista dall’articolo 6.
Facciamo un esempio.
Un tipografo deve stampare carta intestata e biglietti da visita ad un medico. Ovviamente il medico fornisce tutti i dati personali. In tal caso per l’esecuzione del contratto di opera il tipografo deve necessariamente ottenere i dati personali che vengono forniti direttamente dal medico. Tale attività di trattamento (consistente nell’utilizzare i dati personali solo ed esclusivamente per la realizzazione della carta intestata e dei biglietti da visita) da parte del tipografo è considerato lecito e pertanto non è necessario il consenso. Ovviamente dopo aver eseguito il contratto i dati devono essere distrutti. In caso contrario, ovvero qualora questi dati dovessero venire archiviati, gestiti ecc. sarà necessario ottenere il consenso nel quale devono essere esplicitati tutti i diritti dell’interessato quali modifiche, cancellazione ecc.
Quando è necessario sottoscrivere l’informativa sulla privacy ed il consenso sul trattamento dei dati?
La norma non parla di sottoscrizione! Solo che il titolare del trattamento deve essere in grado di dimostrare che l’interessato abbia prestato il proprio consenso. Quindi paradossalmente tale dimostrazione potrebbe avvenire anche per testi, qualora non si sia in presenza di una sottoscrizione ma di consenso prestato oralmente. Mi sembra abbastanza ovvio che il consiglio migliore è sempre quello di far sottoscrivere il consenso così da non aver problemi.
Per rispondere alla domanda sulla necessità di sottoscrivere il consenso informato sul trattamento dei dati, posso dire che non è necessario in tutti i casi che sono espressamente previsti dall’articolo 6 del GDPR. Ovvero il trattamento si considera necessario:
- per l’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
- al fine di salvaguardare degli interessi vitali dell’interessato o di altra persona fisica;
- nell’esecuzione di un interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
- quando si persegue un legittimo interesse del titolare del trattamento o di terzi […]
Ovviamente queste circostanze non operano quando si tratti di fattispecie previste dall’articolo 9 del regolamento. Casi che fondamentalmente riguardano i dati sensibili (secondo la dicitura della vecchia normativa).
Per quanto riguarda invece l’informativa sulla privacy, ritengo che sia sempre necessario informare il proprio cliente sui propri diritti e sulle modalità con cui l’azienda o il titolare del trattamento gestisce i dati forniti. Questo non è diverso rispetto alla previsione normativa del D.Lgs 196/2003.
E’ importante sapere che anche nei casi in cui non sia obbligatorio sottoscrivere l’informativa sulla privacy o il consenso ai trattamenti dei dati personali, farla sottoscrivere rappresenta comunque una sicurezza in più da parte dei titolari del trattamento.
La necessità di nominare un D.P.O.
Sono tenuti alla designazione del responsabile della protezione dei dati personali il titolare e il responsabile del trattamento che rientrino nei casi previsti dall’art. 37, par. 1, lett. b) e c), del Regolamento (UE) 2016/679. Si tratta di soggetti le cui principali attività consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati.
Ricorrendo i suddetti presupposti, sono tenuti alla nomina, a titolo esemplificativo e non esaustivo: istituti di credito, imprese assicurative, sistemi di informazione creditizia, società finanziarie, società di informazioni commerciali, società di revisione contabile, società di recupero crediti, istituti di vigilanza, partiti e movimenti politici, sindacati, caf e patronati ecc.
Pertanto secondo il GDPR non sono obbligati a nominare un D.P.O. i liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti
La necessità di tenere un registro delle attività del trattamento.
Innanzitutto chiariamo cos’è il registro delle attività del trattamento. Questo altro non è che il vecchio Documento Programmatico sulla Sicurezza previsto dal D.L.gs 196/2003 leggermente modificato. Deve individuare il titolare del trattamento, le categorie dei dati trattati, le finalità ed una descrizione generale delle misure di sicurezza tecniche organizzative dell’azienda.
L’articolo 30 del Regolamento prevede la necessità di redigere un registro delle attività di trattamento. Questo registro però non è in alcun modo obbligatorio per tutte le aziende. Il comma 5 del predetto articolo infatti prevede una deroga per le aziende con meno di 250 dipendenti. Tranne il caso in cui il trattamento che esse effettuano possano rappresentare un rischio per i diritti e le libertà dell’interessato; il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9 paragrafo 1; oppure i dati personali relativi a condanne penali e a reati di cui all’articolo 10.
Quale norma applicare? Quella europea, quella nazionale od entrambe?
Fino a che il D.Lgs 196/2003 non venga ufficialmente abrogato resta in vigore. Questo comporterà comunque che per tutte le disposizioni contrarie al regolamento comunitario il precedente decreto legislativo non potrà essere applicato. Ovviamente questo comporta non poca confusione. Allo stato degli atti è in fase di approvazione definitiva un nuovo decreto legislativo che ha il compito di modificare la previgente normativa sulla privacy ed adeguarla al nuovo regolamento europeo così da abrogare la normativa nazionale incompatibile con i dettami dell’Unione (scarica qui il testo Schema-dlgs-Privacy 2018).
Conclusioni
Per quanto riguarda l’applicazione della privacy prevista dal Regolamento Europeo, in relazione alle imprese medio piccole, non cambia molto rispetto alla previgente normativa. Bisognerà aggiornare i moduli già esistenti relativi all’informativa della privacy e fare molta attenzione alle modalità di utilizzo dei dati raccolti. A seconda infatti delle modalità di utilizzo dei dati personali sarà necessario predisporre dei moduli contenente il consenso al trattamento che dovrà essere accettato dal cliente. Le modalità con cui preparare i predetti moduli sono ampiamente spiegati sul sito del Garante (clicca qui per approfondire).