Premessa
Le informazioni che circolano in rete spesso sono vaghe e non sempre di aiuto. Spesso agiscono sul dubbio e sulla paura di sanzioni, spingendo quindi le aziende e fare di tutto e di più, anche quando non sono adempimenti richiesti effettivamente dalla normativa. Andiamo ad analizzare alcuni aspetti e cerchiamo di “calarli” nel mondo Automotive.
L’informativa della privacy ed il consenso al trattamento dei dati personali sono la stessa cosa?
Assolutamente no: chiariamo bene cosa sia l’uno e cosa sia l’altro.
- L’informativa sulla privacy è quel documento con cui un’azienda porta a conoscenza della sua clientela la propria privacy policy e quali siano i diritti ed i doveri delle parti e le modalità con le quali questi vengono esercitati.
- Il consenso al trattamento dei dati personali è invece il benestare concesso all’azienda e fornito da colui che indica i propri dati personali, consistente nell’utilizzare in un modo o nell’altro i dati ricevuti.
Cosa intende il GDPR per trattamento e per dato personale?
- Per dato personale si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile. Per identificabile si intende la persona fisica che possa essere identificata direttamente o indirettamente con riferimento ad un elemento identificativo; questo può essere il nome un numero di telefono, il codice fiscale e dati relativi alla residenza o altri elementi utili.
- Per trattamento si intende invece qualsiasi operazione o insieme di operazioni sia esse effettuate con sistemi elettronici o anche in modo cartaceo consistenti nella raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione diffusione e qualsiasi altra forma di messa a disposizione del dato personale acquisito.
La normativa e una breve analisi
L’articolo 6 del Regolamento Europeo GDPR definisce che i trattamenti sono leciti solo nella misura in cui ricorre almeno una delle condizioni indicate. Tra queste condizioni :
punto a) : “l’interessato abbia espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità”.
punto b) : il trattamento è lecito quando “è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso”.
L’articolo 7 del regolamento “Condizioni per il consenso” al primo comma recita: “Qualora il trattamento sia basato sul consenso, il titolare del trattamento dovrà essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali”.
Se il GDPR effettua una distinzione tra i trattamenti leciti e inserisce differenti casi (tra questi anche quando il soggetto fornisce il proprio consenso), è possibile dedurre che il trattamento è lecito anche senza il consenso esplicito solo nei casi previsti dallo stesso articolo. Da questo se ne deduce che non sempre l’interessato debba esprimere il proprio consenso affinché vengano trattati i propri dati come per esempio nel caso di cui al punto b) sempre e solo nella misura in cui il trattamento dei dati sia necessario allo svolgimento dell’attività. A conferma di questa deduzione si aggiunge la possibilità che si intravede nella lettura dell’articolo 7, ovvero che il trattamento non sia basato sul consenso. E questo appunto è la casistica prevista dall’articolo 6.
Facciamo un esempio.
Un cliente deve effettuare un tagliando presso l’officina di una concessionaria. Ovviamente il cliente fornisce tutti i dati personali per la fattura. E siccome questi dati vengono archiviati, gestiti ecc. sarà necessario ottenere il consenso nel quale devono essere esplicitati tutti i diritti dell’interessato quali modifiche, cancellazione ecc. Quindi, il titolare del trattamento deve essere in grado di dimostrare che l’interessato abbia prestato il proprio consenso.
E’ necessario nominare un D.P.O. (Data Protection Officer)?
Secondo il GDPR non sono obbligati a nominare un D.P.O. i liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti
La documentazione necessaria: il “registro delle attività del trattamento”.
Questo altro non è che il vecchio Documento Programmatico sulla Sicurezza previsto dal D.L.gs 196/2003 leggermente modificato. Deve individuare il titolare del trattamento, le categorie dei dati trattati, le finalità ed una descrizione generale delle misure di sicurezza tecniche organizzative dell’azienda (in allegato un template in formato excel come linea guida).
Conclusioni
Per quanto riguarda l’applicazione della privacy prevista dal Regolamento Europeo, in relazione alle imprese medio piccole, non cambia molto rispetto alla vigente normativa. Bisognerà aggiornare i moduli già esistenti relativi all’informativa della privacy e fare molta attenzione alle modalità di utilizzo dei dati raccolti. A seconda infatti delle modalità di utilizzo dei dati personali sarà necessario predisporre dei moduli contenenti il consenso al trattamento che dovrà essere accettato dal cliente.
Se non avete ancora provveduto tramite vostri fornitori, DL@net è disponibile ad offrire consulenza per l’adeguamento alla nuova normativa.
Vi consiglio di leggere la guida del Garante che trovate in allegato, e per maggiori approfondimenti andate qui http://www.garanteprivacy.it/web/guest/regolamentoue/guida-all-applicazione-del-regolamento-europeo-in-materia-di-protezione-dei-dati-personali
GDPR_Template_Registro_dei_trattamenti
Guida all applicazione del Regolamento UE 2016 679