Bisogna subito precisare che le disposizioni sulla privacy sono le stesse per tutti i settori e quindi non riservano un trattamento particolare per il settore della fornitura di mezzi e servizi all’agricoltura. È necessario sottolineare che la normativa italiana era già piuttosto precisa sulla materia e pertanto per chi era adempiente alla normativa in vigore prima del regolamento europeo sono necessari solo alcuni maggiori accorgimenti e precisazioni. Ad esempio l’informativa da fornire agli interessati deve essere maggiormente esplicativa e precisa sulla specificità del rapporto tra il titolare del trattamento e il beneficiario del diritto della protezione. Bisogna anche precisare che il regolamento è piuttosto complesso come estremamente diversificato è l’universo delle rivendite, pertanto rimane molto difficile fornire indicazioni pratiche che possano soddisfare le esigenze di tutti ed è consigliabili che ogni singola realtà si rivolga a un professionista. In questa sede daremo delle indicazione di base ma non potremo affrontare situazioni particolare che vi possono essere nelle rivendite e che attengono alla riservatezza dei dati come ad esempio la presenza di un circuito di sorveglianza interno o nel caso di cessione dei dati a terzi.
Ambito di applicazione
Il campo di applicazione del provvedimento comunitario prevede norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali. Il regolamento precisa che il beneficiario del diritto alla protezione dei dati è la persona fisica, mentre le disposizioni richiamate non trovano applicazione per il trattamento dei dati relativi a persone giuridiche.
È bene ricordare, però, che con il dl 201/2011, il Codice privacy aveva già escluso l’applicabilità della normativa privacy al trattamento di tale categoria di dati ma con l’eccezione, prevista dal Provvedimento 2094932 del 20 settembre 2012 del Garante della Privacy, riguardante le comunicazioni elettroniche.
In ogni caso, se il trattamento dei dati riguarda persone fisiche, intendendosi per tali anche i soggetti singoli titolari di partita Iva, troverà applicazione la normativa Privacy, ivi incluse le nuove disposizioni contenute nel Regolamento.
L’informativa
Posto quanto sopra segnaliamo che l’informativa costituisce il presupposto per la raccolta dei dati dell’interessato (persona a cui si riferiscono i dati). Pertanto ogni rivendita, in qualità di titolare del trattamento, prima di raccogliere i dati dei propri dipendenti/clienti/soggetti beneficiari del diritto sancito dalla normativa Privacy, dovrà fornire un’adeguata informativa contenente tutte le indicazioni prescritte dalle disposizioni in vigore. Evidenziamo che, affinché il trattamento dei dati raccolti sia effettuato in conformità alle disposizioni di legge, sarà necessario acquisire specifico consenso da parte degli interessati; detto consenso, per essere validamente manifestato, deve essere libero, espresso e riferito ad una o più finalità. È opportuno specificare che il consenso in alcuni casi non è richiesto, ad esempio: nei casi in cui il trattamento sia necessario per l’esecuzione di un contratto di cui l’interessato è parte, per adempiere ad un obbligo legale al quale è soggetto il titolare del trattamento, per la salvaguardia di interessi vitali dell’interessato o di un’altra persona, per l’esecuzione di un compito di interesse pubblico, per il perseguimento del legittimo interesse subordinandolo al fatto che non prevalgono gli interessi o i diritti e le libertà fondamentali.
Altri adempimenti
Inoltre tra gli ulteriori adempimenti non si può dimenticare l’analisi dei contratti o comunque dei rapporti con i fornitori esterni. Infatti, è molto frequente che si usufruisca di servizi esterni che richiedono, per l’adempimento delle obbligazioni contrattuali, l’accesso a dati sensibili raccolti dall’Azienda. È quanto succede ad esempio se si ricorre ad un servizio esterno per la compilazione/gestione delle buste paga dei dipendenti.
In tali casi le imprese che forniscono detti servizi, al fine di poter legittimamente trattare i dati, dovrebbero ricevere apposita nomina di “responsabili esterni del trattamento”.
Il titolare del trattamento dell’azienda è il legale rappresentante e nel caso volesse delegare tale funzione a persona diversa deve nominare attraverso un incarico scritto il “responsabile del trattamento dei dati personali” Sarebbe, inoltre, opportuno accertarsi che i collaboratori, che hanno accesso ai dati sotto l’autorità diretta del titolare del trattamento siano stati preventivamente ed espressamente autorizzati a ciò mediante specifica designazione. Da ultimo segnaliamo, per completezza di informazione, che l’art. 30 del regolamento comunitario prevede anche l’obbligo, per il titolare o il responsabile del trattamento, di tenere i registri delle attività di trattamento effettuate. L’obbligo di tenuta non si applica alle imprese ed alle organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati ovvero di dati sensibili e biometrici o dati personali relativi a condanne penali o a reati. Il registro dei trattamenti consente tuttavia di disporre di un quadro aggiornato dei trattamenti in essere indispensabile per la valutazione del rischio ed è anche uno strumento che potrebbe essere messo a disposizione dell’Autorità di controllo in caso di ispezioni e controlli. Ci sentiamo pertanto di consigliare in ogni caso la tenuta del registro.
Leggi l’articolo completo su AgriCommercio & Garden Center n. 4/2018
L’edicola di AgriCommercio & Garden Center
