di Avvocato Carlo Cavallologo_espansione_2010

Articolo comparso sulla rivista Espansione (luglio-agosto 2016).

 

Il tema della raccolta e dell’utilizzo dei dati personali (in una parola, della gestione della privacy) costituisce uno dei profili più rilevanti e, al contempo, più problematici anche per la vita di un’impresa. In questa rubrica, a partire da questo numero ed anche nel successivo, si intendono trattare alcuni degli aspetti più rilevanti in materia.

La delicatezza e l’importanza del tema trattato ha fatto sì che lo stesso Garante nazionale per la Protezione dei Dati Personali abbia emanato, nel maggio 2013, un utile vademecum contenente la sintesi delle best practices operative nel settore del trattamento dei dati in azienda.

È bene muovere, in proposito, da una prima definizione di “dati personali”, che la stessa Autorità descrive come “tutte le informazioni relative a una persona fisica, identificata o identificabile, anche indirettamente (mediante riferimento a qualsiasi altra informazione)”, includendovi, a titolo esemplificativo, gli indirizzi IP ed e-mail, i recapiti telefonici, le immagini di persone, ecc. All’interno della classe dei dati personali, particolare rilevanza assumono i dati c.d. sensibili (che rivelano informazioni su aspetti strettamente privati della persona, come l’etnia, l’orientamento sessuale, religioso, politico, le condizioni di salute, ecc.) ed i dati giudiziari (relativi ad eventuali pendenze o precedenti penali dell’individuo). Sono esclusi, per contro, dal novero dei dati personali tutti i dati afferenti a persone giuridiche, siano queste imprese, associazioni o altri enti.

Nell’ambito delle funzioni rilevanti rispetto alla materia del trattamento dei dati personali, così come regolata dal Codice della Privacy (D.Lgs. 196/2003), debbono vanno individuati gli specifici soggetti che hanno la possibilità di trattare i dati personali. Il titolare del trattamento, in primo luogo, è il soggetto che concretamente stabilisce finalità e modalità del trattamento e può coincidere sia con l’imprenditore (persona fisica) sia con la società; immediatamente dipendente dal titolare è la figura (solo eventuale) del responsabile del trattamento, ovvero un soggetto designato dal primo, per ragioni di organizzazione interna all’impresa, che viene incaricato – per iscritto – di specifici compiti in materia di trattamento dei dati raccolti. Spesso questi è un soggetto esterno, che stipula un contratto con l’impresa, in particolare un soggetto dotato di requisiti di professionalità, esperienza, capacità e affidabilità in grado di garantire il rispetto delle norme vigenti in materia di privacy e la sicurezza nella lavorazione dei dati. Al termine della “filiera” dei soggetti coinvolti nel processo di gestione dei dati troviamo gli incaricati del trattamento: le persone fisiche che effettuano materialmente le operazioni sui dati, sotto la diretta autorità del titolare (o del responsabile se designato).

La normativa definisce poi come interessato il soggetto i cui dati vengono richiesti, raccolti e trattati da parte dell’impresa (e dei soggetti titolari, responsabili e incaricati, nell’ambito di questa): interessati dal trattamento dei dati, in particolare, possono essere i dipendenti, i clienti ed i fornitori ed anche i consumatori (se vengono direttamente in contatto con l’azienda). In proposito, le linee guida dell’Autorità Garante specificano la necessità di fornire agli interessati (a prescindere dalla categoria cui appartengano), informative sul trattamento dei dati complete e chiare, contenenti obbligatoriamente: l’origine (o la fonte) di prelevamento dei dati, le finalità e le modalità del trattamento, l’eventuale necessità o facoltatività di fornire i dati richiesti, i soggetti o le categorie di destinatari ai quali i dati raccolti possono essere comunicati o che possono venirne a conoscenza ed il nome di almeno un responsabile del trattamento, qualora designato. Forme semplificate dell’informativa sul trattamento dei dati sono previste, in particolare, dal Garante in relazione a specifici settori imprenditoriali, limitatamente a talune forme di raccolta di dati (si pensi ai sistemi di videosorveglianza, ad esempio, all’interno di un grande magazzino, per i quali è sufficiente un’informativa su cartello, con indicazione delle finalità del trattamento e del soggetto responsabile). Finalità diretta dell’informativa è la raccolta del consenso (libero e documentato) dell’interessato per il trattamento dei dati richiesti, da cui l’impresa può essere dispensata solo in caso di trattamento obbligatorio, previsto per legge (si pensi, ad esempio, all’obbligo per gli albergatori di fornire i dati degli ospiti alle autorità di Pubblica Sicurezza), o di trattamento specificamente richiesto dall’interessato (si pensi all’istruttoria per una pratica di mutuo bancario).

More...