Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

ADEGUAMENTI PRIVACY

Il GDPR nelle attività produttive minori: la guida agli adempimenti

Un’attenta lettura del GDPR chiarisce che sono chiamati ad applicarlo tutti coloro che esercitano un’attività commerciale o professionale e quindi anche bar, ristoranti, negozi, centri estetici, parrucchieri, officine meccaniche e via dicendo. Ecco come ottenere la compliance al GDPR nelle attività produttive minori

25 Gen 2019
P
Simona Persi

Consulente in materia di trattamento dati personali e D.P.O.


L’applicazione del Regolamento Gdpr riguarda anche le attività produttive minori, considerate – da molti interessati – erroneamente escluse: quali ristoranti, centri estetici, parrucchieri, bar, officine meccaniche eccetera (come peraltro già era per il D.lgs. 196/2003).

Infatti, secondo quanto disposto dall’art. 2 del GDPR, il Regolamento “si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi” e, come esplicitato nel Considerando 14, ha come scopo “la protezione delle persone fisiche, a prescindere dalla nazionalità o dal luogo di residenza, in relazione al trattamento dei loro dati personali con esclusione dei dati personali relativi a persone giuridiche, in particolare imprese dotate di personalità giuridica, compresi il nome e la forma della persona giuridica e i suoi dati di contatto”.

I soggetti chiamati ad applicare il Regolamento UE 2016/679 (GDPR) sono dunque tutti coloro che esercitano un’attività commerciale o professionale, con esclusione quindi delle persone fisiche nell’ambito di attività a carattere esclusivamente personale o domestico.

GDPR per bar, ristoranti, centri estetici, negozi e officine meccaniche: l’obbligo del registro dei trattamenti

L’attenzione su queste categorie di professionisti/attività si è accesa a seguito della pubblicazione da parte del Garante Privacy delle istruzioni sul registro delle attività di trattamento, previsto dall’Art. 30 Regolamento UE 2016/79 (GDPR).

Come specificato nelle FAQ del Garante, sono tenuti a redigere il registro:

  • le imprese o le organizzazioni con almeno 250 dipendenti;
  • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato;
  • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali di dati;
  • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti di particolari categorie di dati (come i dati biometrici, dati genetici, quelli sulla salute, sulle convinzioni religiose, sull’origine etnica ecc.).

Le FAQ chiariscono quindi che, tra gli altri, sono tenuti all’obbligo di redazione del registro, ad esempio:

  • esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o che trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.)

Vediamo quindi nel dettaglio ciò che anche i titolari di queste attività dovrebbero porre in essere per garantire il rispetto della normativa.

Linee guida di adeguamento di bar, centri estetici, ristoranti e altre attività minori

Intanto occorre fare una valutazione circa i trattamenti di dati personali posti in essere.

In alcuni casi le attività sono svolte senza l’ausilio di dipendenti/collaboratori e i clienti sono prevalentemente anonimi (pensiamo ai baristi) o comunque i loro dati non sono organizzati in archivi o banche dati (si pensi alle estetiste o parrucchiere che si limitano a fissare appuntamenti su agende cartacee con annotazione solo di nomi e numeri di telefono senza cognome o altri tipi di dati).

In tutti questi casi, seppur non si possa escludere un minimo di trattamento di dati personali, certamente non sarà tale da imporsi il dovere di registro dei trattamenti o analisi dei rischi.

Le strutture più articolate invece potrebbero avere un impatto privacy rilevante.

Sia per la presenza di personale dipendente sia perché spesso attività che offrono servizi di estetica o parrucchiere possono effettuare raccolte di dati personali dei clienti non soltanto comuni ma anche particolari quali quelli sanitari.

Si pensi alle parrucchiere o alle estetiste che raccolgono dati personali di tutti i clienti annotandoli su schede cartacee o registrandole su software gestionali evidenziando non soltanto dati anagrafici ma annotando i clienti che soffrono di determinate allergie, quelli che non possono effettuare determinati trattamenti perché magari in stato di gravidanza o chemioterapici ecc.

Tutti questi dati comuni e particolari richiedono agli operatori l’adozione di opportune cautele e l’adozione di idonee misure di sicurezza.

In questi casi, come specificato anche dal Garante Privacy, dovrà essere predisposto il registro dei trattamenti redatto ai sensi dell’art. 30 del GDPR 679/2016 contenente un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile per ogni attività di valutazione o analisi del rischio.

Il Registro potrà avere forma scritta o elettronica e dovrà essere esibito su richiesta al Garante o agli organismi preposti ai controlli (nuclei speciali della Guardia di Finanza).

La redazione del registro dei trattamenti non è però l’unico adempimento da porre in essere da parte del titolare.

Le informative privacy sono sempre necessarie

I titolari dovranno procedere alla redazione di idonee informative per i clienti e i dipendenti con indicazione puntuale delle finalità di trattamento e delle basi giuridiche che lo legittimano.

Occorrerà soffermarsi sulla necessità o meno di acquisire il consenso degli interessati laddove il trattamento non sia legittimato da altra base giuridica di legittimità prevista sia dall’art. 6 che dall’art. 9 del GDPR.

In particolare, per i clienti occorrerà acquisire il consenso in caso di trattamento dati particolari.

Mentre, infatti, il trattamento dei dati comuni (anagrafici) risulta coperto dalla base giuridica di legittimità prevista dall’art. 6 comma 1 lettera b) (finalità contrattuale), il trattamento dei dati particolari quali quelli sanitari non ricade nelle basi giuridiche di legittimità previste dall’art. 9 comma 2.

Servirà richiedere il consenso anche qualora si volesse attivare un servizio di invio di messaggi contenenti offerte promozionali.

Per i dipendenti, il trattamento dei dati personali comuni e particolari è legittimato dalla necessità di porre in essere tutti gli adempimenti previsti dalla normativa giuslavoristica e quindi non necessita di consenso. Tuttavia, ulteriori trattamenti posti in essere per altre finalità, per esempio la pubblicazione delle foto dei dipendenti sul sito per promuovere l’attività del titolare, richiederebbe il consenso dei dipendenti.

La nomina degli autorizzati al trattamento

L’autorizzato al trattamento è il soggetto persona fisica che effettua materialmente le operazioni di trattamento sui dati personali.

Potrebbe essere un dipendente come uno stagista o collaboratore e ad esso il titolare dovrà fornire le istruzioni operative e la formazione necessaria al fine di garantire un corretto trattamento dei dati personali conferiti dagli interessati. Nomine formali non sorrette da istruzioni e formazione sono prive di valore ed esporrebbero il titolare a responsabilità.

Responsabili esterni: chi sono e come nominarli

Il responsabile del trattamento è la persona fisica, giuridica, pubblica amministrazione o ente che elabora i dati personali per conto del titolare del trattamento (art. 4, par. 1, n. 8 GDPR).

Potrebbero essere responsabili esterni i consulenti del lavoro, società di marketing ecc.

È quindi un soggetto distinto dal titolare che dovrà fornire idonee garanzie al fine di assicurare il pieno rispetto delle disposizioni in materia di trattamento dei dati personali oltre che la tutela dei diritti dell’interessato.

Il titolare dovrà quindi rivedere i propri contratti con i suoi responsabili esterni inserendo in essi idonee clausole nel rispetto di quanto previsto dall’art. 28 del GDPR il quale prevede che “Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”.

Il contratto di nomina dovrà dettagliare la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento.

Valutazione delle misure di sicurezza in essere e analisi dei rischi

Il nuovo regolamento non impone più le misure minime di sicurezza (previste dall’allegato B del D.lgs. 196/2003) ma lascia libertà di adeguamento al titolare, che dovrà garantire un “adeguato” livello di sicurezza dei dati oggetto di trattamento e dimostrare che lo stesso trattamento avvenga in conformità del regolamento europeo.

L’articolo 24 del GDPR prevede che “Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate a garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario”.

L’analisi del rischio privacy rappresenta quindi uno strumento necessario a dimostrare l’adeguatezza delle misure implementate a tutela dei dati trattati.

Ogni titolare dovrà quindi procedere all’analisi dei rischi che incombono sui trattamenti posti in essere in termini di:

  • disponibilità;
  • integrità;
  • accesso non autorizzato.

Tale valutazione è certamente di natura soggettiva ed individuale e sarà parametrata su criteri quali la tipologia e natura dei dati trattati, il contesto, le finalità di trattamento, lo stato dell’arte e i costi di attuazione inevitabilmente diversi per ogni titolare.

Le sanzioni per chi non si adegua

Il GDPR ha come obiettivo la tutela dei dati personali degli interessati.

Il rispetto di tale normativa e gli adempimenti da porre in essere gravano su tutti i titolari compresi coloro che esercitano attività considerate a volte erroneamente a basso impatto privacy.

La non osservanza delle disposizioni espone tutti i titolari ad un rischio di sanzioni di natura amministrativa, come previsto dall’art. 83 del GDPR, ricadendo nel primo o secondo scaglione a seconda del tipo di inosservanza compiuta. Sanzioni che dovranno essere proporzionate, efficaci e dissuasive. Non solo. Le sanzioni possono essere anche penali, previste e disciplinate dal D.lgs. n. 101/2018 novellato Codice Privacy (D.lgs. 196/2003).

@RIPRODUZIONE RISERVATA

Articolo 1 di 5