Introduzione
Questo libro fa parte di una collana dedicata alla recentissima normativa europeo sul trattamento dei dati personali ed intende offrire a tutti i lettori gli strumenti giuridici e pratici per predisporre nella maniera migliore possibile la documentazione necessaria in materia di trattamento dei dati personali oppure, se già esistente, per verificare la correttezza di ciò che è stato scritto.
Per tale motivo si è pensato di inserire in questo testo - oltre al modello di documento (template)- anche la descrizione del contenuto e la spiegazione dei vari elementi da tener presente per compilare il documento stesso. Il lettore troverà quindi un modello di informativa, un modello di dichiarazione di consenso, un modello di lettera di nomina ad Incaricato, Responsabile, un modello di registro dei trattamenti, l’indicazione del contenuto della Dpia, l’indicazione del contenuto delle Policy.
La conoscenza di questa materia non può e non deve essere limitata i soli addetti ai lavori, ricordiamoci come ognuno di noi possa essere – allo stesso tempo - Titolare o Responsabile di un trattamento ed Incaricato/Autorizzato dello stesso se ci riferiamo ad un ambito lavorativo oppure commerciale. Sicuramente ognuno di noi è – in numerosissimi casi - Interessato in relazione ad un trattamento dei dati realizzato da altri soggetti. Tuttavia, rispetto a pochi anni fa, ci sono stati degli enormi cambiamenti veicolati da un progresso tecnologico in continua evoluzione. Ciò rende opportuno fare qualche considerazione.
Si sente spesso affermare come, al giorno d’oggi, il dato personale sia l’oro nero del XXI Secolo. In effetti il dato personale è diventato, nel corso degli anni, un bene dotato di un rilevante valore economico.
L’aspetto positivo – ed anche curioso - è che siamo Noi stessi a produrlo ed utilizzarlo come meglio crediamo e ciò anche con finalità meramente economiche in un’ottica essenzialmente “speculativa”.
All’epoca della prima normativa italiana in materia di privacy (la Legge n°675/96) vi era una notevole diffidenza e preoccupazione nel rilasciare i propri dati personali; spesso, innanzi alla richiesta di conferimento di informazioni, ci si sentiva rispondere: “No, questo non glielo posso dire, c’è la legge sulla privacy”.
Era un atteggiamento sicuramente errato, originato da un grande malinteso fondato sull’uso “improprio” del termine privacy. Improprio perché la parola privacyveniva – e viene tuttora - immediatamente associata alla riservatezza di un soggetto, alla necessità di evitare la comunicazione di informazioni che riguardano la propria persona, la propria vita, la propria “sfera privata”.
Anche gli stessi addetti ai lavorihanno contribuito ad alimentare questo misunderstandingutilizzando il termine privacyper riferirsi – convenzionalmente – ad ogni normativa emanata per la tutela i dati personali: la Legge 675/96 sulla privacy, il Codice sulla privacyDecreto Legislativo 196 del 2003 - ed oggi - il Regolamento Europeo sulla privacy.
Come è noto si dovrebbe parlare più correttamente di leggi, regolamenti o norme aventi la finalità di tutelare le informazioni riferite o riferibili ad una persona fisica.
Con l’emanazione del Regolamento europeo n°679/16 è stata esplicitata una finalità da sempre ricompresa nel concetto di trattamento del dato personale ma che – forse per timore di ricevere un diniego da parte dell’interessato – si preferiva sottacere ed omettere di menzionare. Stiamo parlando – ovviamente - della comunicazionedel dato personale. Il Regolamento Europeo in vigore dal 25 di Maggio del 2018 afferma già dalla denominazione di riguardare “..la protezione delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione dei dati stessi personale”.
Il mutamento della normativa sta determinando un cambiamento anche nel modo di approcciarsi alla materia da parte di tutti i soggetti, a partire dal Titolare del trattamento al Responsabile, dal soggetto Autorizzato/Incaricato di compiere una o più operazioni di trattamento sino a giungere all’Interessato. Il Titolare del trattamento, maggiormente responsabilizzato dal Legislatore Europeo con l’introduzione dei principi dell’accountability e della privacy by design e privacy by default, teme le onerose sanzioni previste dalla normativa europea e perciò si organizza per garantire l’applicazione e l’osservanza delle norme regolamentari e delle misure di sicurezza. Le imprese ed i professionisti sono maggiormente consapevoli di come trattare dati personali costituisca un’attività “pericolosa” possibile fonte di responsabilità civile, penale ed amministrativa per il Titolare del trattamento.
Si può affermare - senza timore di smentita – di come si stia sviluppando una maggior sensibilità ed un costante interesse verso la materia.
Anche il soggetto Interessato al trattamento ha compreso che sarebbe inutile rifiutare la comunicazione dei propri dati, allorquando acquisti un bene o si avvalga di un servizio. In sostanza è mediamente informato e consapevole di possedere dei diritti nei confronti del Titolare del trattamento.
Nel quadro normativo e socio-economico sopra descritto, lo stepimmediatamente successivo è costituito dallo sfruttamento economico del dato personale. In buona sostanza il soggetto interessato da un trattamento comincia a pensare, “va bene comunico i miei dati personali, ma ci posso anche guadagnare qualcosa?”.
Termini come fidelizzazione del cliente, profilazione del consumatore, direct marketing non atterriscono più come prima. L’Interessato – consumatore di beni, utente di un servizio – è consapevole della possibilità di ottenere un vantaggio economico, una agevolazione, uno sconto, una condizione di favore, semplicemente rinunziando ad una porzione della propria sfera di riservatezza. Non manca chi, emulo di George Orwell, si spinga ad immaginare un mondo futuro nel quale non esista più il danaro, ma beni e servizi vengano pagati attraverso la cessione dei propri dati personali. Scenario fantascientifico frutto della fantasia di qualche aspirante scrittore? No, affatto, in parte è già così oggi.
Ci siamo mai chiesti il motivo per il quale aziende diventate colossi a livello mondiale ci abbiano offerto beni a prezzi di favore, consegnati a casa in uno o massimo due giorni, senza spese di spedizione? Abbiamo mai riflettuto su quale possa essere il guadagno di un provider di servizi gratuiti di posta elettronica o di web hosting o clouding? O ancora ci siamo mai chiesti perché un’azienda dovrebbe metterci a disposizione una piattaforma socialattraverso la quale è possibile contattare tutto il mondo oppure un servizio di messaggistica, un servizio per fare chiamate gratuite o, addirittura, videochiamate? La risposta è semplice: il servizio non è gratuito, non abbiamo pagato nulla (in apparenza), ma abbiamo accettato di cedere alcune nostre informazioni personali. Non ci credete? Andate a leggere le condizioni generali di contratto del Vostro provider di posta, del Vostro account social, del Vostro servizio di messaggistica preferiti… Si, esattamente, quella parte che abbiamo velocemente fatto scorrere con il mouse al momento dell’attivazione del servizio, prima di cliccare sul tasto “ACCETTO”.
Alla luce di quanto sopra esposto, gli autori ritengono opportuno fornire all’interessato alcuni consigli - molti dei quali dettati più dal buon senso che non dalle norme – al fine di evitare che una fonte di possibile ricchezza,come il dato personale, sia ceduta e quindi usata in maniera inconsapevole e/o errata:
- chiedere sempre di poter leggere l’informativa che deve essere obbligatoriamente consegnata/rammostrata dal titolare nel momento in cui vengono richiesti i dati personali (e non dopo averli raccolti) per l’acquisto di un bene o l’attivazione di un servizio;
- esaminare le finalità che il Titolare intende perseguire, in particolar modo le finalità differenti da quelle relative all’adempimento del contratto inter partes;
- ricordare che nessuna attività di trattamento dei dati non strettamente riconducibile all’adempimento contrattuale può essere realizzata se non in presenza di altra condizione capace di conferire legittimità al trattamento come – generalmente - il legittimo interesse del titolare o il consenso;
- rammentare che le attività di profilazione e marketing sono consentite solo con il consenso dell’interessato, prestare attenzione quando sono utilizzare formule poco chiare come i riferimenti all’effettuazione di “ricerche di mercato e statistiche” oppure l’“invio di comunicazioni e materiale informativo”;
- ricordare che il consenso conferito per l’utilizzo dei dati per finalità specifiche come la profilazione ed il marketing deve essere informato, basato su un’informativa resa conoscibile, libero, non può subordinarsi l’adempimento di un obbligo contrattuale al rilascio del consenso per profilazione e marketing ed è revocabile in qualunque momento;
- rammentare che le manifestazioni di consenso precompilate dal titolare (sì a profilazione e marketing) sono vietate;
- ricordare che la partecipazione a raccolte punti, concorsi a premio non può essere subordinata al rilascio del consenso per profilazione e marketing;
- aver ben presenti i diritti da poter esercitare nei confronti del Titolare del trattamento.
Ogni sistema privacy deve avere a proprio fondamento, oltre alla corretta applicazione della normativa, anche un’equilibrata interazione tra i soggetti portatori di interessi contrapposti - quindi da una parte i Titolari del trattamento e dall’altra gli Interessati (utenti/clienti/consumatori) - in un’ottica nella quale ognuno possa ricevere vantaggi (win/win) – e non anche pregiudizi - dal trattamento dei dati personali.
Avv. Gianluca Amarù