Il primo punto riguarda l’esigenza di stabilire un periodo di conservazione oltre il quale i dati personali devono essere cancellati. Tale esigenza nasce in materia normativa sui sistemi di gestione e trova un’applicazione specifica nell’ambito della sicurezza delle informazioni. Si tratta, infatti, di un tempo conservativo, come è richiesto ad esempio per i dati di backup (salvataggio dei dati).
Il secondo concetto introduce il principio di privacy by design e privacy by default, che impone alle aziende l'obbligo di avviare un progetto prevedendo, fin dal principio, gli strumenti e le impostazioni adeguate a tutela dei dati personali. L’introduzione di questa nuova modalità di prevenzione obbliga le aziende a realizzare già nella fase progettuale una tutela della privacy ad ampio spettro, coinvolgendo gli elementi fondamentali di funzionalità, sicurezza, visibilità e trasparenza, e centralità dell’utente.
Per quanto riguarda l’accountability il legislatore ha introdotto un principio di responsabilità di cui l’azienda si fa carico nel trattamento dei dati personali. Il professionista, l’ente, l’associazione o l’azienda devono essere consapevoli che le informazioni che trattano non sono di loro proprietà e che devono fare tutto il possibile per tutelare i soggetto titolare dei dati.
Infine, il Regolamento amplia il perimetro entro il quale erano definiti i dati personali, estendendolo a tutte quelle informazioni che identificano, direttamente o indirettamente, una persona fisica.
Pertanto, a titolo esemplificativo e non esaustivo, si procede attraverso una maggiore cura dei dati riguardanti, ad esempio, le immagini o le registrazioni audio, l’indirizzo di posta elettronica o l’indirizzo IP e via dicendo.
RIFERIMENTI NORMATIVI E CRITERI FONDAMENTALI DEL GDPR
Di seguito, in sintesi, alcune specificazioni in ordine ai principali aspetti normativi del Regolamento in esame.
Diritto alla cancellazione – diritto all’oblio: l’art. 17 del Regolamento sembrerebbe voler fondere due concetti: il diritto alla cancellazione e il c.d. “diritto all’oblio”. Quest’ultimo si configura come un diritto alla cancellazione dei propri dati personali in forma rafforzata e prevede, l’obbligo per i titolari (se hanno “reso pubblici” i dati personali dell’interessato: ad esempio, pubblicandoli su un sito web) di informare della richiesta di cancellazione altri titolari che trattano i dati personali cancellati, compresi “qualsiasi link, copia o riproduzione”.
Data retention: si tratta senz’altro di uno degli adempimenti maggiormente discussi dal Regolamento UE 2016/679 è il “periodo di conservazione dei dati personali” (appunto data retention) e, in particolare, i “criteri utilizzati per determinare tale periodo” (art. 13, comma 2, lettera a del Regolamento). L’attenta valutazione dell’estensione temporale di tale periodo di conservazione permette di ottenere la compliance in merito a data retention e GDPR. Infatti, detto requisito, viene ricompreso fra le informazioni che dovranno essere inserite nella “nuova” informativa privacy che il titolare al trattamento deve fornire all’interessato proprio al fine di garantire un trattamento corretto e trasparente.
Accountability: letteralmente significa responsabilità ovvero essere degni di fiducia. Significa, più esattamente, che l’azienda, l’ente, l’associazione o il professionista che tratta i dati personali deve avere la consapevolezza che quelle informazioni non sono sue e, pertanto, deve – appunto, trattarle – con la massima attenzione. Chi raccoglie i dati personali deve essere responsabile.
Il principio della responsabilità lo stabilisce il Regolamento Europeo sulla protezione dei dati, ma è anche una questione di etica e di buon senso.
I dati personali sono dei dipendenti, dei clienti, dei pazienti, degli alunni, dei cittadini non sono di chi li raccoglie, come tutte le cose che vengono affidate devono essere protette.
Il GDPR ha, dunque, formalizzato questo dovere di responsabilità con il concetto di accountability.
LO SCENARIO DI APPLICAZIONE NEL SETTORE FLOROVIVAISTICO
Come abbiamo avuto modo di ricordare in apertura di questo articolo, le modalità di applicazione del GDPR all’interno del settore florovivaistico, e più i generale della filiera verde, spesso non sono in linea con i principi e le regole del dispositivo normativo 2016/679.
Questo a nostro avviso a causa di due fattori: la mancanza di una cultura della privacy, che caratterizza soprattutto il nostro paese, e la mancanza di un approccio multidisciplinare al trattamento di dati personali. In primo luogo, molte aziende non sono pienamente coscienti del nuovo quadro normativo che impone un approccio più responsabile in merito ai doveri a loro carico, in particolare nell’ambito del nuovo perimetro indicato dal GDPR in relazione alla definizione dei dati personali. Da una ricerca eseguita su un campione di siti web che operano come punti vendita Garden Center (fonte: RP Soft) è emerso che la redazione dell’informativa sulla privacy e della cookie policy rivela diverse lacune, in quanto è rimasta ferma all’ambito di applicazione della legge 196/2003 e non è mai stata aggiornata. In seconda istanza, si assiste ad una confusione di ruoli di coloro ai quali dovrebbe essere demandata la realizzazione dei documenti e dei processi aziendali che svolgono il controllo sul trattamento dei dati delle persone che entrano in contatto con le realtà dei centri di Giardinaggio. Per esemplificare basti pensare che si chiede al Webmaster di un sito web di “occuparsi” dell’inserimento dell’informativa sulla privacy, come se la stesura di questo documento fosse un elemento isolato dal ben più vasto ed integrato processo di costruzione della documentazione in linea con il dispositivo GDPR. E’ auspicabile, invece, da parte del moderno imprenditore del settore verde, un approccio multidisciplinare alla privacy che sappia individuare delle figure professionali capaci di lavorare in squadra per quanto concerne gli aspetti normativi e informatici. Questo anche alla luce di un regime sanzionatorio consistente, che nel 2019 ha visto comminare sul territorio italiano sanzioni per 4,3 mln di euro (fonte: studio Federprivacy). Risulta, pertanto, sempre più evidente ed indispensabile che, per adottare le misure adeguate in materia privacy, sia necessaria una sinergia tra i professionisti dell’area legale e quelli dell’area informatica, in grado di unire le competenze per realizzare il “prodotto privacy” in modo efficace, aiutando l’azienda della filiera verde a prevenire le possibili problematiche che possono insorgere dal mancato adempimento del GDPR.