Privacy, il Codice di categoria ”salverà” le Pmi di Deborah BIANCHI

Fonte: http://www.toscana24.ilsole24ore.com/ Le piccole e medie imprese (Pmi) sono le strutture che soffriranno maggiormente l’adeguamento al nuovo Regolamento privacy europeo (Gdpr 2016/679). Un ennesimo onere richiesto a un tessuto imprenditoriale già gravato da tanti pesi: così verrà vissuta la nuova disciplina privacy se non verrà trovato il modo di semplificare e abbattere i costi di attivazione.

In questo senso l’iniziativa delle varie associazioni di categoria potrebbe dimezzare gli investimenti economici necessari a ciascuna azienda per gli adeguamenti privacy. Come?

La risposta potrebbe consistere nell’attivazione di un tavolo di lavoro per l’elaborazione di un Codice di condotta privacy, omogeneo per ogni settore merceologico, in grado di partorire linee guida da condividere nelle applicazioni e nei costi di adeguamento.
Si tratta di una soluzione individuata dallo stesso Regolamento privacy nell’art. 40, in cui si auspica la redazione di Codici di condotta privacy di categoria: «Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano l’elaborazione di codici di condotta destinati a contribuire alla corretta applicazione del presente regolamento, in funzione delle specificità dei vari settori di trattamento e delle esigenze specifiche delle micro, piccole e medie imprese».

Il legislatore europeo non vuole imporre sacrifici sproporzionati rispetto all’impianto strutturale di ciascuna azienda, e così ex art. 40 esorta «le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento o responsabili del trattamento» a «elaborare i codici di condotta, modificarli o prorogarli, allo scopo di precisare l’applicazione del presente regolamento». Cosa dovrebbero indicare queste linee guida privacy di settore?

A titolo esemplificativo, ma non esaustivo, possiamo descrivere di seguito le indicazioni indispensabili:
– inquadrare il fondamento normativo nazionale del tipo di attività considerata ed esporre all’interessato le finalità dei trattamenti dati eseguiti;
– descrivere la tipologia di dati trattati (personali, particolari, di salute);
– imporre l’adozione di sistemi di minimizzazione dell’utilizzo del dato, come ad esempio la pseudonimizzazione o l’uso di codici identificativi;
– indicare le misure da adottare per garantire la sicurezza del trattamento dati (nei casi di Pmi si tratta più di misure organizzative che tecnologiche);
– descrivere i tempi di conservazione del dato all’interno della struttura o in alternativa i criteri di conservazione;
– descrivere l’ambito del trasferimento dei dati personali all’estero (Paesi extra UE);
– indicare l’esistenza del diritto alla portabilità dei dati;
– indicare l’eventuale esistenza di un processo decisionale automatizzato o di profilazione e specificarne la logica adottata e le conseguenze affinchè l’interessato possa consapevolmente manifestare il proprio consenso o rifiuto;
– indicare l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
– indicare il diritto di proporre reclamo al Garante Privacy e di fare ricorso giurisdizionale;
– stabilire la procedura per notificare il Data Breach alle autorità di controllo e all’interessato.

L’esistenza di un Codice di condotta porrebbe le Pmi al riparo anche da uno dei principi fondamentali della nuova disciplina privacy europea, ovvero il principio della “accountability”.

Secondo il legislatore Ue, l’impresa dev’essere in grado di provare di avere adottato delle misure ad hoc per adeguarsi, o comunque per migliorare il proprio stato di conformità in proporzione alle proprie risorse. Ove siano state elaborate delle linee guida è sufficiente che il titolare del trattamento e dell’impresa dimostri di aver adottato le indicazioni descritte nel Codice di condotta.

Chiaramente in una materia dinamica e in continua evoluzione come la privacy non sarà sufficiente sclerotizzarsi sulle linee guida per sfuggire all’occhio vigilante dell’Autorità di controllo.

Dovrà essere istituito un organismo di monitoraggio dell’attualizzazione del Codice di condotta e di revisione dello stesso quando risulti in qualche parte superato.
Si potrebbe ipotizzare la figura di un Data privacy officer (Dpo) di categoria, pagato con i contributi associativi e in grado di eseguire costantemente l’attualizzazione delle linee guida e di fornire assistenza agli associati.

Soluzione del resto promossa dal regolamento Ue all’art. 37 in cui si stabilisce che «nei casi diversi da quelli di cui al paragrafo 1, il titolare del trattamento, il responsabile del trattamento o le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento o di responsabili del trattamento possono o, se previsto dal diritto dell’Unione o degli Stati membri, devono designare un responsabile della protezione dei dati. Il responsabile della protezione dei dati può agire per dette associazioni e altri organismi rappresentanti i titolari del trattamento o i responsabili del trattamento».

Deborah Bianchi, avvocato specializzato in Diritto internet e privacy
https://www.deborahbianchi.it

© RIPRODUZIONE RISERVATA