Il 25 maggio scorso è entrato in vigore il GDPr: la disciplina dettata dal Regolamento europeo UE/679/2016 sulla protezione dei dati personali che l’adeguamento alla stessa ai soggetti che effettuano trattamento dati personali.
Concretamente chi è obbligato ad adeguarsi alle disposizioni di legge?
Il regolamento nel fissare gli obblighi del titolare – cioè del soggetto responsabile delle scelte aziendali in materia di privacy – indica proprio nel TRATTAMENTO il criterio in base al quale stabilire se un soggetto debba o meno conformarsi alle disposizioni di legge; nei fatti, però, non viene spiegato cosa debba intendersi con trattamento dati.
Tale espressione può quindi interpretarsi come il legame che intercorre tra il titolare del trattamento – soggetto obbligato a rispettare la norma – ed i dati personali; in altre parole la ragione per cui il titolare entra in contatto con i dati.
Di fatto chi è il titolare del trattamento e che cosa fa?
Questa è la prima domanda da porsi prima di accertarsi se effettivamente si debbano o meno rispettare le disposizioni dettate dal GDPR. Il soggetto che entra in contatto con i dati personali altrui lo fa certamente nell’esercizio di un’attività commerciale piuttosto che professionale, non certo per motivi personali.
Proprio tale finalità gli impone di adottare una politica aziendale che, fin dalla sua origine, deve avere come finalità principale la tutela dei dati personali degli interessati al fine di evitare il concretizzarsi di situazioni di danno di cui certamente risponderà il titolare in prima persona secondo il principio della responsabilizzazione (accountability).
Non importa quale sia il settore di attività del titolare, ciò che è rilevante è il fatto che il titolare entri in contatto con i dati personali dei soggetti con i quali si relaziona che, certamente, non sono solo i clienti.
Dobbiamo quindi abbandonare il vecchio concetto secondo il quale gli obblighi di procedere agli adeguamenti privacy sorgono solo ed esclusivamente nei confronti dei clienti e qualora si faccia attività di marketing o di fidelizzazione.
E’ lo stesso Garante della privacy ad aver stabilito che il registro del trattamento, ovvero quel documento che riassume tutti gli adempimenti posti in essere dal titolare per conformarsi alla normativa, debba essere istituito non solo nelle ipotesi espressamente indicate dal legislatore ma anche nei casi di:
– esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o che trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.);
– liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);
– associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (i.e. organizzazioni di tendenza; associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso);
– il condominio ove tratti “categorie particolari di dati” (es. delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali).
Perché è necessario adeguarsi al GDPR
La risposta più immediata è quella di evitare di incorrere in sanzioni di natura pecuniaria anche piuttosto ingenti:
si parla di cifre esorbitanti imposte forse a titolo di monito da parte del legislatore.
L’adeguamento alla norma garantisce comunque un’efficiente gestione aziendale abituando il titolare a ragionare, costringendolo ad acquisire un metodo di analisi del rischio (individuazione, previsione e gradazione) e di individuazione delle misure più opportune per risolvere le problematiche concrete: è un metodo che una volta acquisito può certamente essere applicato anche in altri settori migliorando la funzionalità dell’azienda.
Per saperne di più o per richiedere una consulenza gratuita non esitare a contattarci a info@studioevoluto.it oppure compila il form sottostante e ti contatteremo al più presto
