news
AREA LEGALE: entra in vigore il GDPR, nuovo regolamento UE sulla privacy
25.05.2018

AREA LEGALE: entra in vigore il GDPR, nuovo regolamento UE sulla privacy

Dal 25 maggio 2018 vede la sua piena applicazione il Regolamento UE 2016/679 sulla privacy (GDPR - general data protection regulation), che stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati. Sono tenute al rispetto di tali norme tutte le imprese, di qualsiasi dimensione, indipendentemente dal loro settore di attività. Pertanto, anche le imprese agricole, gli studi professionali e le associazioni devono conoscere e rispettare il regolamento e le norme che ne discenderanno.

Tutte le persone giuridiche, infatti, trattano i cosiddetti "dati personali", ossia "qualsiasi informazione riguardante una persona fisica identificata o identificabile" (come, ad esempio, i dipendenti, collaboratori, fornitori, clienti).

Il regolamento fornisce alcune informazioni di massima su come ogni impresa deve trattare i dati, ma viene data libertà a ciascuno, a seconda della propria situazione, di valutare le misure più idonee ed efficaci.

Il Regolamento – che è applicabile in tutti gli Stati membri, senza che sia necessario un recepimento nazionale - detta nuove norme in materia di privacy, apportando al precedente sistema una serie di importanti novità e inasprendo il sistema sanzionatorio per le violazioni.

 

Cosa cambia per le imprese agricole?

il quadro normativo comunitario evidenzia che qualunque soggetto che, in qualche modo e a determinate finalità, tratta dati personali dovrà adeguarsi alle nuove disposizioni in materia di privacy. In via preliminare si segnala che, pur essendo intervenute in questi mesi alcune precisazioni ed istruzioni da parte del Garante nonché alcune Linee Guida sull’applicazione della nuova normativa da parte di una apposita Commissione costituita a livello comunitario (il cosiddetto Gruppo “Articolo 29”), molti profili applicativi delle nuove disposizioni restano ancora estremamente dubbiosi.

Peraltro è ancora in itinere il decreto legislativo che, in attuazione della legge delega n. 163/2017, dovrebbe coordinare le norme europee con il Codice della privacy attualmente in vigore in Italia (D.Lgs. n.196/2003).

Da segnalare quindi che le imprese agricole, nella persona del loro rappresentanteovvero rappresentante legale in caso di società, sono da considerare “titolari” ai sensi della normativa privacy“Dati personali” oggetto della tutela sono solo quelli delle persone fisiche, mentre i dati relativi alle persone giuridiche (enti, società, associazioni, consorzi, etc.) non sono oggetto di tutela.

 

Quali dati "trattano" le imprese agricole?

In linea generale, che le imprese detengono e trattano le seguenti categorie di dati:
• dati del personale impiegato in azienda: comprensivo di tutti coloro che prestano, a qualunque titolo, attività lavorativa subordinata (operai, impiegati, quadri, dirigenti) o autonoma (collaboratori, contoterzisti, etc.);

• dati dei fornitori: tutti coloro che intrattengono rapporti con l’impresa per l’approvvigionamento di beni e/o risorse necessarie allo svolgimento dell’attività;
• dati dei clienti: tutti coloro che intrattengono con l’azienda rapporti commerciali o utilizzo di beni e/o risorse dell’azienda (acquirenti di prodotti, fruitori di agriturismi, etc.).

Avuto riguardo al trattamento di questi dati, ricordiamo il concetto di “accountability”, ovvero sulla responsabilizzazione di titolari e responsabili, nel senso che viene affidato ad essi il compito di decidere le modalità, le garanzie ed i limiti del trattamento, nel rispetto dei criteri specifici previsti dal Regolamento.

 

Come valutare i rischi per un'impresa agricola?

Ricordiamo che una delle novità della nuova normativa è data dalla redazione di una “Valutazione di impatto privacy” (detta anche DPIA: Data Privacy Impact Assessment), ossia di una procedura che descrive il trattamento effettuato per valutarne la necessità, le proporzionalità ed i relativi rischi così da poter adottare misure idonee (in base alla normativa) a gestirli.

Quando un tipo di trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare effettua una valutazione sull’impatto dei trattamenti. Il rischio elevato sussiste quando vengono effettuati trattamenti di “dati particolari” (gli attuali dati sensibili) su larga scala.

In sostanza la preventiva valutazione dei “rischi privacy” sarebbe obbligatoria solo nei casi suddetti (personale, fornitori e clienti) A prescindere tuttavia dalla difficoltà, nel concreto, di determinare l’ambito di applicazione di dette ipotesi, si raccomanda di far uso della DPIA in quanto essa contribuisce all’osservanza delle norme in materia di protezione di dati da parte dei titolari del trattamento.

 

Cosa è il registro dei trattamenti?

Ogni titolare del trattamento ed ogni responsabile del trattamento tengono altresì un Registro delle attività di trattamento svolte. Il Registro, come dispone l’art. 30 del Reg. UE, contiene tutte le informazioni relative ai trattamenti effettuati dal titolare (fra gli altri elementi, risultano dal Registro: i dati del titolare, le finalità del trattamento, la descrizione di categorie di interessati e delle categorie di dati personali, etc.).

Analogo Registro deve essere tenuto dall’eventuale Responsabile nominato dal titolare, dove annotare da parte di questi i trattamenti svolti per conto dello stesso titolare. Va precisato che, anche per tale adempimento, la normativa comunitaria dispone che esso si applica alle “imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’art. 9 par. 1, o i dati personali relativi a condanne penali e a reati di cui all’art.10”.

Anche per la tenuta del Registro, a prescindere dai limiti in cui esso è previsto come “obbligatorio” (fra cui si evidenziano i casi in cui il trattamento è “non occasionale”, ipotesi in cui ricadono molti trattamenti di dati di interesse per le imprese), segnaliamo che il Garante si è così pronunciato: “La tenuta del registro dei trattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali. Per tale motivo, si invitano tutti i titolari dei trattamenti ed i responsabili, a prescindere dalla dimensione dell’Organizzazione, a compiere i passi necessari per dotarsi di tale Registro e, in ogni caso, a compiere un’accurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche – ove già non condotta”.
Ciò detto, riteniamo consigliabile che il Registro sia tenuto da tutte le imprese interessate. Il Registro, non è un documento “statico”, ma un documento che va aggiornato in caso di nuovi trattamenti operati dal titolare ovvero nuovi trattamenti operati dal Responsabile per conto del titolare.