DISLESSIA: problemi con il PDP? La scuola risarcisce i danni. Ma non è detto che la causa debba farsi davanti al TAR
16 Novembre 2017“DEEP WEB” : TERRA DI NESSUNO – risvolti giuridici
11 Dicembre 2017Come noto (o come dovrebbe oramai esserlo!) il 25 maggio 2018 diventerà applicabile anche nel nostro paese, come in tutti i paesi dell’Unione, il Regolamento Europeo sulla protezione dei dati personali, oramai già divenutoci familiare come R.G.P.D. (Regolamento Generale sulla Protezione dei Dati).
Com’è altrettanto noto (o dovrebbe esserlo), il regolamento cambia del tutto la prospettiva con cui si affrontavano i problemi di c.d. “privacy”, prospettiva alla quale ci avevano abituati la precedente Direttiva europea e, soprattutto, la nostra legislazione interna.
Si passa, infatti, da una serie di adempimenti formali, cui oramai nessuno più prestava e presta la minima attenzione, ad una severa “cura” del dato e della sua protezione, da parte di tutti coloro che lo tratteranno, che dovrà preoccupare fin da quando si incomincia anche solo a progettare l’attività imprenditoriale ( e non…).
Gli adempimenti concreti richiesti a tutte le organizzazioni nell’UE – sia aziende commerciali sia autorità pubbliche – che raccolgono, conservano e trattano i dati personali delle persone fisiche nell’Unione, implicheranno una predisposizione di mezzi e risorse neppure vagamente paragonabili a quelli necessari sotto la vigenza delle precedenti normative.
Uno degli adempimenti che potrebbe creare problemi alle aziende, è, a mio parere, quello previsto dall’art. 14 del Regolamento.
Vi si stabilisce, infatti, l’obbligo del Titolare dei dati (cioè di chi ne determina le finalità e le modalità di trattamento), qualora tali informazioni non siano state raccolte “presso” l’interessato (cioè la persona fisica cui i dati fanno riferimento) di fornire a quest’ultimo tutta una serie non indifferente di informazioni specifiche (l’identità e i dati di contatto del titolare del trattamento e del suo rappresentante; i dati di contatto del responsabile della protezione dei dati; le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento; le categorie di dati personali in questione; gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali; l’intenzione del titolare del trattamento di trasferire dati personali a un destinatario in un paese terzo o a un’organizzazione internazionale), il tutto, per di più, nel brevissimo termine di un mese!
Al di là del fatto che questo obbligo possa o meno applicarsi anche per i dati già in possesso del titolare al 25 maggio 2018, resta, comunque, la difficoltà anche in futuro di attivare questa operazione di informativa in così poco tempo e per così tante persone per chi abitualmente fa uso di campagne fondate su dati acquistati in massa da altre parti.
L’articolo 14 nella traduzione italiana (come pure in quella francese) fa uso, come abbiamo visto, dell’espressione “presso”, la quale potrebbe ingenerare l’equivoco che tutto questo “pandemonio” debba riguardare solo chi raccoglie i dati non “presso” (nel senso di “al domicilio del”) l’interessato ma altrove.
In realtà, confrontando il testo italiano con il testo inglese e tedesco (dove l’uso delle preposizioni “from” e “bei”non lasciano dubbi sul significato di complemento “di agente” e non già “di luogo” dell’espressione “dati raccolti da” come invece l’italiano “presso” ed il francese “auprés” potrebbero ingenerare), si può concludere che l’art. 14 del regolamento detti gli obblighi di informativa ed i relativi (stringentissimi) termini a carico dell’imprenditore o comunque di ogni Titolare del trattamento nel caso in cui abbia acquisito i dati da terzi e non dal diretto interessato. Il che avviene quando l’imprenditore fruisca di banche dati acquistate da altri soggetti e non raccolte da ciascun singolo costumer.
Tutti gli imprenditori che improntano il proprio business su un marketing che fa uso – in vario modo – di dati acquisiti da terzi, dovrà, dal 25 maggio 2018 in poi, entro il termine di un mese, far pervenire a tutti gli interessati (cioè tutte le persone cui i dati si riferiscono) un considerevole quantitativo di informazioni.
Siamo pronti?
Abbiamo predisposto i mezzi tecnologici, le risorse umane e le procedure per ottemperare a tale obbligo?
Siamo consapevoli dei costi e dei rischi?
Ad altro post riserverò l’esame delle “presunte” esenzioni da tale obbligo.
Avv. Francesco Cucci
