GDPR , chi deve adeguarsi e perché

Il 25 maggio scorso è entrata in vigore la disciplina dettata dal Regolamento europeo UE/679/2016 sulla protezione dei dati personali  ovvero il GDPR il quale impone ai soggetti che effettuano trattamento dati personali di adeguarsi alla normativa.

Concretamente chi è obbligato ad adeguarsi alle disposizioni di legge?

Il regolamento nel fissare gli obblighi del titolare– cioè del soggetto responsabile delle scelte aziendali in materia di privacy-   indica proprio  nel TRATTAMENTO il criterio in base al quale stabilire se un soggetto debba o meno conformarsi alle disposizioni di legge;  nei fatti, però,  il significato dell’espressione trattamento non viene in alcun modo esemplificato limitandosi, la norma ad elencare  solo le varie operazioni di trattamento esemplificandone il significato senza però spiegare cosa debba intendersi con trattamento dati.

Tale espressione può  quindi interpretarsi come il legame che intercorre tra il titolare del trattamento- soggetto obbligato a rispettare la norma- ed i dati personali; in altre parole la ragione per cui il titolare entra in contatto con i dati.

Di fatto chi è il titolare del trattamento e che cosa fa?

Questa è la prima domanda da porsi prima di accertarsi se effettivamente si debbano o meno rispettare le disposizioni dettate dal GDPR. Il soggetto che entra in contatto con i dati personali altrui lo fa certamente nell’esercizio di un’attività commerciale piuttosto che professionale, non certo per motivi personali, e proprio tale finalità gli  impone di adottare una politica aziendale che, fin dalla sua origine, deve avere come finalità principale la tutela dei dati personali degli interessati al fine di evitare il concretizzarsi di situazioni di danno di cui certamente risponderà il titolare in prima persona secondo il principio della responsabilizzazione ( accountability).

Non importa quale sia il settore di attività del titolare ciò che rileva è che il titolare entri in contatto con i dati personali dei soggetti con i quali si relaziona che certamente non sono solo i clienti. Dobbiamo quindi abbandonare il vecchio diffuso concetto in forza del quale gli obblighi di procedere agli adeguamenti privacy sorgono solo ed esclusivamente nei confronti dei clienti e qualora si faccia attività di marketing o di fidelizzazione.

E’ lo stesso Garante della privacy – nelle FAQ pubblicate lo scorso mese di ottobre sull’argomento- ad aver stabilito che il registro del trattamento- ovvero quel documento che riassume tutti gli adempimenti posti in essere dal titolare per conformarsi alla normativa- debba essere istituito  non solo nelle ipotesi espressamente indicate dal legislatore ma anche nei casi di :

– esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o che trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.);

– liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);

– associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (i.e. organizzazioni di tendenza; associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso);

– il condominio ove tratti “categorie particolari di dati” (es. delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali).

Il documento redatto dal Garante è importante perché riporta  un’elencazione dei soggetti obbligati ad applicare l’art. 30 del  Regolamento privacy ed implicitamente di tutti i soggetti obbligati ad adeguarsi alle disposizioni dettate dal GDPR individuati nei soggetti che esercitano un’attività imprenditoriale, indipendentemente dalla forma e dal settore ( commerciale e/o professionale)  che certamente trattano dati personali in quanto si rapportano alternativamente o contemporaneamente con i clienti, fornitori e/o dipendenti e per questo   hanno l’obbligo di progettare una politica di tutela della riservatezza dei dati nonché procedere all’adozione di tutte le misure tecniche ed organizzative necessarie ad evitare la violazione  del diritto alla riservatezza dei soggetti tutelati dalla normativa.

Perché è necessario adeguarsi al GDPR

La risposta più immediata è quella di evitare di incorrere in sanzioni di natura pecuniaria anche piuttosto ingenti- si parla di  cifre esorbitanti imposte forse a titolo di monito da parte del legislatore- anche se a parere di chi scrive l’adeguamento al disposto normativo  garantisce comunque un’efficiente gestione aziendale  abituando il titolare a  ragionare costringendolo ad acquisire un metodo di analisi del rischio ( individuazione, previsione e gradazione) e di individuazione delle misure più opportune per risolvere le problematiche concrete, metodo che una volta acquisito può certamente essere applicato anche in altri settori migliorando la funzionalità dell’azienda.

Per qualsiasi dubbio sul GDPR non esitare a contattarci