Per discutere il contenuto dell'articolo e richiedere chiarimenti è possibile lasciare un commento a fondo pagina. Per assistenza e consulenza professionale specifica è possibile scrivere all'indirizzo e-mail info@marcostrada.it o contattare gli altri recapiti dello Studio
Ogni operatore economico deve verificare la propria conformità alla c.d. “Riforma Privacy” entrata in vigore nel 2018 (Regolamento Europeo 2016/679 e decreto legislativo n. 101/2018).
Per adempiere agli obblighi di legge è però necessario innanzitutto analizzare profondamente la propria organizzazione e il modo in cui questa acquisisce e conserva i dati dei terzi.
Di seguito, con la massima sintesi possibile e cercando di evitare tecnicismi per favorire la comprensione, si riassumono i tratti fondamentali per programmare un intervento in materia di privacy.
Concetti fondamentali
La tutela della privacy riguarda principalmente il rapporto tra un interessato, la persona fisica i cui dati personali (qualsiasi informazione che riguardi una persona identificabile) vanno tutelati, e un titolare del trattamento, l’operatore economico che gestisce questi dati.
Ogni attività riguardante i dati personali, dall’acquisizione alla semplice conservazione in archivio, è detta trattamento.
I dati personali godono di una tutela particolarmente forte quando appartengono a categorie particolari (dati idonei a rivelare l’origine razziale o etnica, le proprie convinzioni, opinioni di politiche, stato di salute e vita sessuale o dati biometrici che possano identificare una persona) o riguardano la materia penale.
I – Individuare i trattamenti effettuati nell’ambito dell’attività svolta.
È il primo passo per analizzare le propria organizzazione. Vanno valutati tutti i casi di acquisizione o conservazione di dati personali e le ragioni per cui i dati vengono trattati.
Va ricordato che il trattamento è lecito solo se avviene per una ragione autorizzata dalla normativa europea, chiamata base giuridica, che va individuata. Ad esempio perché il trattamento è necessario all’esecuzione dell’incarico (si pensi all’indirizzo del cliente che richiede una consegna) o all’adempimento di obblighi di legge (ad esempio contabili e fiscali), oppure perché l’interessato ha espresso il suo consenso.
Va anche evidenziato che normalmente un operatore economico non effettua un solo tipo di trattamento. Accanto al trattamento dei dati dei clienti per fornire i propri servizi e per i correlati obblighi contabili-fiscali, si affiancano ad esempio l’acquisizione e conservazione dei dati dei dipendenti, le informazioni dei visitatori del proprio sito web acquisite attraverso l’uso dei cosiddetti “cookies”, le immagini riprese da telecamere ad uso di sorveglianza, e così via dicendo.
II – Individuazione degli eventuali responsabili del trattamento.
A volte il trattamento può avvenire da parte di un soggetto delegato dal titolare, esterno alla sua organizzazione. Questo delegato, chiamato responsabile del trattamento, deve -tra l’altro- essere nominato per iscritto e impegnarsi a trattare i dati ricevuti in modo conforme alla disciplina privacy.
È quindi necessario individuare i casi in cui dati acquisiti o conservati dalla propria organizzazione vengano trattati da terzi. Le ragioni sono le più varie.
Esempi di responsabile del trattamento:
-il soggetto che si occupa della tenuta della contabilità, con riguardo ai dati dei clienti presenti nei documenti fiscali;
-il soggetto che si occupa dell’assistenza informatica, quando abbia accesso (almeno potenziale) ai dati personali di interessati archiviati sui supporti informatici;
-il fornitore di servizi che comportano l’archiviazione di dati al di fuori dell’organizzazione.
Quanto all’archiviazione dei dati al di fuori dell’organizzazione, i casi più frequenti sono:
-l’utilizzo di posta elettronica, quando i messaggi vengano archiviati sui server del gestore (come accade ogni volta in cui un’organizzazione non scelga di dotarsi di un server di posta aziendale interno);
-l’archiviazione di dati dell’interessato su spazi “in cloud” (onedrive, dropbox, google drive, icloud e simili);
-l’utilizzo di calendari (ad esempio outlook, google calendar, icloud) accessibili da più dispositivi, i cui dati siano conservati su server esterni del fornitore.
III – Individuazione degli adempimenti previsti dalla normativa privacy e applicabili all’organizzazione.
Solo dopo le fasi precedenti è possibile valutare in concreto a quali adempimenti sia tenuto l’operatore economico nel rispetto della normativa privacy.
Sulla loro individuazione pesano altri elementi relativi alla propria organizzazione e alle modalità del trattamento: ad esempio se il trattamento comprenda dati soggetti a particolare protezione, se venga effettuato “su larga scala”, quali siano le dimensioni dell’organizzazione, se nel trattamento vengano utilizzate tecnologie innovative o procedure automatizzate.
Per un sintetico elenco dei possibili adempimenti previsti per il titolare, si rimanda, per ragioni di spazio, a questo articolo.