La risposta alla domanda riportata come titolo all’articolo è tanto banale, quanto poco considerata: tutte le imprese, private e pubbliche. Non sono escluse neanche le associazioni, le cooperative, i piccoli esercenti, le ditte individuali ed i professionisti.
Parlando con i clienti, molto spesso si sente dire: ” …ma io non tratto dati sensibili..”. In realtà, però, il regolamento sulla privacy si riferisce al trattamento di “dati personali”, di cui, i “dati sensibili (o particolari, come vengono ora definiti) ne rappresentano un sottoinsieme. Ciò significa che un semplice numero di telefono o una mail, se legati ad una persona fisica, già rientrano nella categoria dei dati personali. Ovviamente, se vengono trattati anche dati relativi alla salute; al credo religioso; alla situazione economica; alle idee politiche; etc., allora si parla di “dati particolari” che devono essere gestiti in modo differente.
Pensiamo poi alla gestione dei dipendenti e dei collaboratori in genere. Ecco, allora, che anche una semplice officina meccanica o un ristorante si ritrovano a gestire dati particolari.
A volte si sentono alcuni medici o dentisti, affermare che “loro sono esentati”. Questo perché si è generato un malinteso: il Garante ha affermato che nei casi di trattamento finalizzato alla medicina di base, preventiva e del lavoro, non è necessario far firmare il consenso al paziente, a meno che non venga compilato il fascicolo sanitario elettronico. Ma ciò non significa che il professionista non debba effettuare un’analisi del rischio (art. 24-32); compilare il registro dei trattamenti (art. 30); nominare i responsabili esterni (art. 28); effettuare la formazione agli eventuali collaboratori (art. 29); esporre l’informativa (art. 13 -14); etc.
È abbastanza intuitivo che nel mirino dei controlli a campione ci saranno proprio quei soggetti che trattano dati particolari come studi medici; case di riposo; ospedali; grosse società che trattano con i privati, come le compagnie telefoniche (molte già sanzionate col vecchio ordinamento), società finanziarie e chi svolge attività di profilazione dei clienti.
Si ricorda, però, che le segnalazioni al Garante possono essere effettuate da chiunque, in particolare da alcuni organi di controllo che hanno un ruolo ispettivo, come la Guardia di Finanza e la Polizia Amministrativa, ma non è escluso che possano essere determinate da controversie nate tra datore e dipendente o tra cliente e fornitore.
Tra notizie non sempre vere, malintesi ed errate interpretazioni del regolamento e delle linee guida, siamo quasi arrivati al termine del periodo di “tolleranza”, i tanto discussi 8 mesi dalla pubblicazione del decreto di “armonizzazione” (d.lgs. 101/2018), richiesti dal legislatore al Garante, per creare una sorta di “cuscinetto” atto a favorire un graduale processo di adeguamento delle PMI.
Entro breve, quindi, non ci saranno più scuse ed una parziale o totale inadempienza al regolamento verrà sanzionata.
Ricordiamo che uno degli adempimenti cardine del GDPR, il già citato, “registro dei trattamenti”, è obbligatorio, pur se in forma semplificata, per tutti gli imprenditori che hanno almeno un dipendente e per chi tratta dati particolari, quindi, un parrucchiere o un tatuatore, anche se operano da soli in negozio, non ne sono esclusi.
Avremo quindi, nell’immediato futuro, una maggior tutela dei nostri diritti di cittadini, ma anche un ulteriore stimolo alle best practices, riguardo la protezione dei dati, che non deve essere sottovalutato dalle aziende e dagli enti.
Daniele Umberto Spano
Per approfondimenti, adeguamenti, consulenza privacy e analisi di sicurezza del sistema informatico contattaci CLICCANDO QUI
i