Da qualche tempo a questa parte nella vita di aziende, partite Iva e professionisti si è affacciata una questione molto importante che riguarda la salvaguardia dei dati di ognuno di noi. Stiamo parlando del GDPR, il regolamento generale sulla protezione dei dati che norma il trattamento degli stessi da parte di enti, aziende, professionisti e persone che per una qualsivoglia ragione hanno la necessità di conservare i nostri dati sensibili.
A questa domanda, per la nostra rubrica “L’avvocato risponde”, chiariranno tutti i vostri dubbi l’avvocato Federico Serratore e l’avvocato Jean Claude Gagné, dello studio legale Serratore-Gagné, che ci aiuteranno nei prossimi mesi a dirimere i tanti dubbi legali della vita di tutti i giorni.
L’avvocato risponde
Si è tanto parlato, e ancora si continua a discutere, del GDPR e di come la sua entrata in vigore avrebbe, ed effettivamente ha, impattato fortemente sul trattamento dei dati personali. L’entrata in vigore del Reg. UE 2016/679 – Regolamento Generale sulla Protezione dei Dati, operativo dal 25 maggio 2018 ha, infatti, segnato un passo importante in materia di privacy.
Il legislatore italiano, uniformandosi al GDPR (che, trattandosi di Regolamento è fonte normativa direttamente applicabile nei paesi membri dell’UE), con il D. Lgs. 108/2018 ha apportato le necessarie e dovute modifiche al Codice della Privacy di cui al D. Lgs. 196/2003 al fine di rimuovere tutte quelle norme incompatibili con la fonte gerarchicamente superiore. Alla luce di quanto sopra, anche a seguito dell’importanza assoluta che i dati personali oggi rivestono nell’odierna società, si è tentato di armonizzare e garantire una corretta protezione dei dati personali dei cittadini europei e dei residenti nel territorio dei Paesi membri.
Per questa ragione, con l’entrata in vigore del GDPR, che determina, tra le tante, le modalità di raccolta, quelle di gestione e conservazione, oltreché quelle di trasferimento dei dati, la tutela armonica per un corretto trattamento dei dati personali è divenuta una priorità assoluta per privati, imprese e pubbliche amministrazioni. Con il suo intervento, infatti, è stato previsto un vero e proprio modello di compliance orientato a rafforzare la tutela dei dati personali, attraverso la previsione di nuovi adempimenti oltreché l’introduzione di nuove figure poste al controllo degli stessi, oltreché implementare quanto già precedentemente previsto.
La necessità di adeguarsi a questo nuovo modello di protezione dei dati nasce non solo dalla previsione di sanzioni piuttosto significative da parte del Garante della Privacy (finanche al 4% del fatturato delle società e fino a 20 milioni di euro per i singoli) ma anche dal crescente valore economico dei dati raccolti dalle imprese e quindi dal maggior interesse di eventuali “malintenzionati” a entrare, illegittimamente, in possesso degli stessi.
Più da vicino, il GDPR – uniformando le normative dei Paesi UE – è un testo che ha conferito ai cittadini europei e ai residenti nei paesi dell’Unione il diritto (e, dall’altra parte, un dovere per imprese e amministrazioni che raccolgono i dati) di avere un pieno e completo controllo sulle informazioni che ci riguardano, oltreché avere una chiara e precisa conoscenza sui termini del trattamento adottati.
Composto di 99 articoli, il GDPR ha istituito una serie di novità in tema, oltreché fornire le linee guida a tutti gli operatori, commerciali e non, sulla corretta impostazione delle proprie attività in tema di Privacy, sempre e comunque nell’interesse della parte ritenuta debole: il soggetto interessato, ossia colui che conferisce i propri dati personali.
Ma perché è così importante essere in regola? Il soggetto Titolare (ossia colui che raccoglie, custodisce e tratta i dati personali) ha oggi, come allora, l’onere di dover adottare una serie di accorgimenti necessari a un conforme adempimento della normativa di cui al GDPR.
Tra i tanti, vi è l’onere di fornire in forma chiara e precisa, con un “linguaggio semplice e comprensibile” (art. 7 GDPR), informativa, in modo tale da ricevere da parte del soggetto interessato, il necessario consenso al conferimento dei dati. Altresì, è stata introdotto, l’obbligo di tenere il registro delle attività (art. 30 GDPR), oltreché l’indicazione dei soggetti responsabili al trattamento (art. 37 GDPR), e non meno importante è stata l’introduzione, in taluni casi specifici obbligatoria, del Data Protection Officer (DPO), una figura consulenziale esterna alle società che svolge funzioni di “vigilanza” sulla corretta esecuzione del trattamento dei dati personali in qualunque forma acquisiti.
Pertanto, è opportuno, previa individuazione delle necessità a seconda della tipologia di operatore di cui trattasi, adeguarsi al GDPR e, soprattutto, non in forma standardizzata. Sono, infatti, molteplici le differenze, anche a seguito delle progressive specificazioni fornite via via dai provvedimenti del Garante Privacy italiano, a seconda delle aree di attività in cui si opera.
Pensiamo alle differenze tra il ramo sanitario, quello commerciale puro, il ramo digitale, le attività bancarie. Ognuna di queste ha delle sue peculiarità e certamente il GDPR è un servizio su misura che deve rispondere alle effettive esigenze dell’operatore in questione. Vi è chi, infatti, acquisisce dati per la mera esecuzione di un servizio, chi invece profila i dati degli utenti creando delle campagne marketing (online e offline) targetizzate sulle preferenze di quell’utente specifico attraverso servizi di CRM (Customer Relationship Management), chi ancora svolge delle analisi statistiche, chi li utilizza a scopi scientifici e di ricerca.
In chiusura, mi preme segnalare che, nonostante si sia parecchio argomentato e discusso, a oggi una buona parte degli operatori del mercato risulta ancora carente, in tutto o in parte, sul tema Privacy, non curandosi della fondamentale importanza che oggi i dati rivestono. E, soprattutto, risulta necessario rimanere costantemente aggiornati sul tema anche in virtù del fatto che la normativa risulta, soprattutto in alcuni settori (quale quello sanitario), lacunosa e in continua evoluzione.
Per informazioni consultare il sito www.studioserratoregagne.com o inviare una mail a: info@studioserratoregagne.com