Privacy e dati personali, regole, rischi e opportunità
Come tutelare i cittadini ed aziende in un settore nel quale è difficile fare chiarezza. Obblighi di legge e regole statuarie. Un asset da difendere a prescindere dalle possibili implicazioni sanzionatorie.
Scarica articolo in pdf Scarica giornale in pdf
Nonostante si parli ormai da molti anni di privacy e di dati personali, non credo si possa ancora dare per acquisita una sufficiente sensibilità sul tema della loro protezione, né tra i cittadini, né nelle organizzazioni di piccole o medie dimensioni, sia private che pubbliche.
Eppure, avrei difficoltà ad individuare un tema con equivalente impatto sulla vita di entrambi.
Come cittadini, è facile non rendersi conto che attraverso l’uso e l’elaborazione dei dati personali che seminiamo durante le nostre attività quotidiane e, soprattutto, nel corso delle attività on-line, siamo costantemente sottoposti a profilazione, direttamente o indirettamente, da parte di chi vuole conquistare e mantenere il più a lungo possibile la nostra attenzione, al fine ultimo di convincerci ad agire in un certo modo: comprare qualcosa, leggere qualcosa, votare in un certo modo.
Il dato personale è un “bene” il cui valore è spesso disconosciuto o sottostimato da chi ne è proprietario, ma ben chiaro a chi agisce per entrarne in possesso. La convinzione ancora diffusa che la privacy sia un tema solo per chi ha qualcosa da nascondere non fa che rendere più facile la vita di questi ultimi.
Poi c’è il mondo delle organizzazioni di vario tipo: le aziende anche piccole o piccolissime, le associazioni, i professionisti, gli enti pubblici di ogni natura. Chi prima e chi dopo, tutti si stanno rendendo conto di quanto l’impatto della normativa sulla protezione dei dati personali sia stato fino ad ora sottovalutato.
Ad esempio, una buona parte di piccole imprese e professionisti il cui business è costituito da appalti o incarichi provenienti dalla P.A. o da imprese più grandi e strutturate, stanno facendo i conti con la necessità delle committenti – Titolari del trattamento ai sensi del Regolamento Europeo EU 679/2016 – di far sì che la sicurezza dei dati personali sia garantita anche nelle attività di trattamento compiute, per loro conto, dalle commissionarie (Responsabili del trattamento), nell’ambito delle opere o dei servizi commissionati, qualora essi consistano in un trattamento di dati personali o lo comportino.
Questo vuol dire che anche quella grande sacca di soggetti che, pur essendo chiaramente destinatari degli obblighi previsti dalla normativa per la protezione dei dati personali, se ne erano sostanzialmente disinteressati o vi avevano adempiuto in modo solo formale o cartolare, contando su una sostanziale impunità, oggi sono costretti a rivedere le loro priorità su istanza dei propri partner commerciali e per non perdere quote di mercato. In generale, penso si possa dire che sebbene i principi fondamentali e le regole di fondo che presidiano il trattamento dei dati personali esistano e si conoscano da tempo, è solo negli ultimi anni, grazie anche all’aumentata attenzione all’argomento suscitata dall’entrata in vigore del Regolamento, che si stanno pienamente manifestando tutte le loro implicazioni ad ogni livello di funzionamento del mercato e di ogni altro tipo di attività sociale.
Ovviamente, non è solo nei confronti delle piccole organizzazioni che la normativa europea sta disvelando il proprio potenziale, passando anche attraverso diverse previsioni normative. Penso, ad esempio, agli effetti della rimodulazione dei doveri dell’imprenditore disposta con l’introduzione del secondo comma dell’art. 2086 c.c., che oggi impone alle imprese in forma societaria o collettiva di istituire un assetto organizzativo, amministrativo e contabile adeguato, anche in funzione della rilevazione tempestiva della crisi dell’impresa e della perdita della continuità aziendale e, di conseguenza, dei doveri di controllo dell’Organo sindacale, che sull’adeguatezza di quegli assetti organizzativi – e del loro effettivo funzionamento – deve vigilare ai sensi dell’art.2403 c.c.
Tra gli adeguati assetti organizzativi e amministrativi che l’imprenditore è tenuto a istituire e l’organo sindacale a controllare rientrano, appunto, quelli necessari a garantire il lecito trattamento e la sicurezza dei dati personali, poiché potenzialmente in grado di determinare (anche e soprattutto a causa della rilevanza delle sanzioni previste dal Regolamento europeo) la crisi dell’impresa e la perdita della continuità aziendale. Tale conclusione, è confermata nel documento denominato “Norme di comportamento del collegio sindacale di società non quotate” edito dal Consiglio Nazionale dei Dottori Commercialisti e degli Esperti Contabili che, nell’approfondire gli aspetti relativi alla vigilanza sull’osservanza della legge e dello statuto, richiama espressamente anche il GDPR.
Il discorso vale, a maggior ragione, per le aziende per le quali i dati personali costituiscono un vero e proprio asset da difendere a prescindere da ogni possibile implicazione sanzionatoria e, ovviamente, per tutte le realtà sia pubbliche che private che curano interessi rilevanti dei cittadini attraverso il trattamento dei loro dati personali, anche sensibili.
di Luigi Occhiuto, Avvocato, consulente di varie aziende private ed enti pubblici per la protezione dei dati personali e DPO (Data Protection Officer). Professore a contratto per l’insegnamento “Business law and data processing” presso l’Università dell’Aquila.