Sono ormai passati due anni dall’entrata in vigore del Gdpr (General Data Protection Regulation) o Regolamento Generale sulla Protezione dei Dati (UE) 2016/679, ma ancora molto deve essere fatto da parte delle aziende per la tutela delle persone fisiche riguardo al trattamento dei dati personali.
A cura di Cristian Pisoni e Morena Lucchese
Dal 25 maggio 2018 il regolamento obbliga le aziende, e in generale i titolari del trattamento dei dati, a rafforzare la protezione dei dati personali dei cittadini dell’Unione Europea e gestire i dati stessi in maniera più oculata, adempiendo ad obblighi specifici. Se da un lato il legislatore ha voluto ampliare con forza l’orizzonte normativo della “vecchia” legge sulla Privacy (196/2003), dall’altro le aziende si sono dovute, o meglio si sarebbero dovute impegnare in una riorganizzazione puntuale ed efficace di modelli e procedure in grado di tutelare al massimo i dati personali delle persone fisiche. Il nuovo Gdpr ha comportato dei cambiamenti concettuali nel trattamento dei dati in relazione a quattro punti fondamentali: il periodo di conservazione dei dati personali – cosiddetto data retention -, l’obbligo di protezione dei dati, l’accountability e la definizione di “dati personali”.
I 4 punti cardine del nuovo Gdpr
Il primo punto riguarda l’esigenza di stabilire un periodo di conservazione oltre il quale i dati personali devono essere cancellati. Tale esigenza nasce in materia normativa sui sistemi di gestione e trova un’applicazione specifica nell’ambito della sicurezza delle informazioni. Si tratta, infatti, di un tempo conservativo, come è richiesto per esempio per i dati di backup (salvataggio dei dati).
Il secondo concetto introduce il principio di privacy by design e privacy by default, che impone alle aziende l’obbligo di avviare un progetto prevedendo, fin dal principio, gli strumenti e le impostazioni adeguate a tutela dei dati personali. L’introduzione di questa nuova modalità di prevenzione obbliga le aziende a realizzare, già nella fase progettuale, una tutela della privacy ad ampio spettro, coinvolgendo gli elementi fondamentali di funzionalità, sicurezza, visibilità e trasparenza, centralità dell’utente.
Per quanto riguarda l’accountability, il legislatore ha introdotto un principio di responsabilità di cui l’azienda si fa carico nel trattamento dei dati personali. Il professionista, l’ente, l’associazione o l’azienda devono essere consapevoli che le informazioni che trattano non sono di loro proprietà e che devono fare tutto il possibile per tutelare il soggetto titolare dei dati.
Infine, il Regolamento amplia il perimetro entro il quale erano definiti i dati personali, estendendolo a tutte quelle informazioni che identificano, direttamente o indirettamente, una persona fi sica. Pertanto, a titolo esemplificativo e non esaustivo, si procede attraverso una maggiore cura dei dati riguardanti, ad esempio, le immagini o le registrazioni audio, l’indirizzo di posta elettronica o l’indirizzo Ip e via dicendo.
I criteri fondamentali del Gdpr
Di seguito, in sintesi, alcune specifi cazioni in ordine ai principali aspetti normativi del Regolamento in esame.
Diritto alla cancellazione – diritto all’oblio: l’art. 17 del Regolamento sembrerebbe voler fondere due concetti: il diritto alla cancellazione e il c.d. “diritto all’oblio”. Quest’ultimo si configura come un diritto alla cancellazione dei propri dati personali in forma rafforzata e prevede l’obbligo per i titolari (se hanno “reso pubblici” i dati personali dell’interessato: ad esempio, pubblicandoli su un sito web) di informare della richiesta di cancellazione altri titolari che trattano i dati personali cancellati, compresi “qualsiasi link, copia o riproduzione”.
Data retention: si tratta senz’altro di uno degli adempimenti maggiormente discussi dal Regolamento UE 2016/679 ed è il “periodo di conservazione dei dati personali” (appunto data retention) e, in particolare, i “criteri utilizzati per determinare tale periodo” (art. 13, comma 2, lettera a del Regolamento). L’attenta valutazione dell’estensione temporale di tale periodo di conservazione permette di ottenere la compliance in merito a data retention e Gdpr. Infatti, detto requisito viene ricompreso fra le informazioni che dovranno essere inserite nella “nuova” informativa privacy che il titolare al trattamento deve fornire all’interessato proprio al fine di garantire un trattamento corretto e trasparente.
Accountability: letteralmente significa responsabilità ovvero essere degni di fiducia. Significa, più esattamente, che l’azienda, l’ente, l’associazione o il professionista che tratta i dati personali deve avere la consapevolezza che quelle informazioni non sono sue e, pertanto, deve – appunto – trattarle con la massima attenzione. Chi raccoglie i dati personali deve essere responsabile.
Il principio della responsabilità lo stabilisce il Regolamento Europeo sulla protezione dei dati, ma è anche una questione di etica e di buon senso. I dati personali sono dei dipendenti, dei clienti, dei pazienti, degli alunni, dei cittadini non sono di chi li raccoglie e, come tutte le cose che vengono affidate, devono essere protette. Il Gdpr ha, dunque, formalizzato questo dovere di responsabilità con il concetto di accountability.
L’applicazione nel settore florovivaistico
Chiarito di cosa si tratta, va detto che le modalità di applicazione del Gdpr all’interno del settore florovivaistico e più in generale della filiera verde spesso non sono in linea con i principi e le regole del dispositivo normativo 2016/679.
Questo a nostro avviso a causa di due fattori: la mancanza di una cultura della privacy, che caratterizza soprattutto il nostro paese, e la mancanza di un approccio multidisciplinare al trattamento di dati personali. In primo luogo, molte aziende non sono pienamente coscienti del nuovo quadro normativo che impone un approccio più responsabile in merito ai doveri a loro carico, in particolare nell’ambito del nuovo perimetro indicato dal Gdpr in relazione alla definizione dei dati personali.
Da una ricerca eseguita su un campione di siti web che operano come punti vendita garden center (fonte: Rp Soft) è emerso che la redazione dell’informativa sulla privacy e della cookie policy rivela diverse lacune, in quanto è rimasta ferma all’ambito di applicazione della legge 196/2003 e non è mai stata aggiornata.
In seconda istanza, si assiste a una confusione dei ruoli di coloro ai quali dovrebbe essere demandata la realizzazione dei documenti e dei processi aziendali che svolgono il controllo sul trattamento dei dati delle persone che entrano in contatto con le realtà dei centri di giardinaggio. Per esemplificare basti pensare che si chiede al webmaster di un sito web di “occuparsi” dell’inserimento dell’informativa sulla privacy, come se la stesura di questo documento fosse un elemento isolato dal ben più vasto e integrato processo di costruzione della documentazione in linea con il dispositivo Gdpr. È auspicabile, invece, da parte del moderno imprenditore del settore verde, un approccio multidisciplinare alla privacy che sappia individuare delle figure professionali capaci di lavorare in squadra per quanto concerne gli aspetti normativi e informatici.
Questo anche alla luce di un regime sanzionatorio consistente, che nel 2019 ha visto comminare sul territorio italiano sanzioni per 4,3 milioni di euro (fonte: studio Federprivacy). Risulta, pertanto, sempre più evidente e indispensabile che, per adottare le misure adeguate in materia privacy, sia necessaria una sinergia tra i professionisti dell’area legale e quelli dell’area informatica, in grado di unire le competenze per realizzare il “prodotto privacy” in modo efficace, aiutando l’azienda della filiera verde a prevenire le possibili problematiche che possono insorgere dal mancato adempimento del Gdpr.
