Privacy, guida per le piccole e medie imprese

Con la Deliberazione 24/05/07 (in G.U. 21 giugno 2007 n. 142) il Garante per la Protezione dei Dati Personali a fronte delle istanze provenienti da associazioni di categoria, con particolare riferimento alle piccole e medie imprese ha riassunto in una Guida Pratica gli adempimenti derivanti dalla disciplina di protezione dei dati personali. Tale Guida è pubblicata on line sul suo sito ed è ripartita in ottoparagrafi. Il primo riguarda i Soggetti che effettuano il trattamento. Ove è indicata, in primo luogo, la figura del "titolare del trattamento" cheè la "entità che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza" (art. 28 del Codice Privacy). In particolare, nell'ambito dello svolgimento dell'attività economica, "titolare del trattamento" può essere la persona fisica (si pensi all'imprenditore individuale) o giuridica (ad esempio, la società) che tratta i dati (con la raccolta, la registrazione, la comunicazione o la diffusione). In secondo luogo, quella del "responsabile del trattamento" (possono essere più d'uno), che è una figura che può essere designata a propria discrezione dal titolare del trattamento con un atto scritto nel quale vanno indicati i compiti affidati. Ed in questo caso occorrerà scegliere persone fisiche o società che per esperienza, capacità ed affidabilità, forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza (art. 29 del Codice). Ed i terzo luogo, quella degli “incaricati del trattamento", che sono soggetti (solo persone fisiche) che effettuano materialmente le operazioni di trattamento dei dati personali e operano sotto la diretta autorità del titolare (o del responsabile) attenendosi a istruzioni scritte.Si passa poi alla Notifica del trattamento affermando che in linea di principio i trattamenti ordinari svolti presso piccole realtà produttive non vanno notificati: si pensi ai trattamenti di dati relativi ai dipendenti, ai fornitori o alla clientela. In particolare, non devono essere notificati i dati relativi agli inadempimenti dei propri clienti tenuti da ciascuna impresa. Il terzo capo attiene all’Informativa con la quale si devono rappresentare agli interessati le caratteristiche essenziali dei trattamenti effettuati e che deve essere resa per i dati raccolti, salvo alcune ipotesi di semplificazione e di esonero. Ad es. in caso di dati raccolti presso l'interessato, l'informativa può essere resa, anche in forma orale, prima delle operazioni del trattamento. Nel rapporto con fornitori, clienti, dipendenti e collaboratori non è necessario ripeterla in occasione di ogni contatto ed è sufficiente fornirla con una formula generale una tantum, all'inizio delle operazioni di trattamento (che potranno anche protrarsi nel tempo). L'informativa deve essere resa anche nel caso in cui i dati personali sono raccolti presso terzi; in tal caso, deve essere fornita al momento della registrazione dei dati o, se è prevista la comunicazione a terzi da parte del titolare, non oltre la prima comunicazione.dati trattati. La Giuda termina poi con i paragrafi dedicati al Consenso dell'interessato, alla Sicurezza dei sistemi, al Trasferimento di dati personali in paesi terzi, ai Doveri del titolare del trattamento in caso di esercizio dei diritti degli interessati ad infine alla c.d. Check list. Che è la lista di controllo predisposta per i "titolari del trattamento" e che mira a riassumere, in forma interrogativa, i punti sopra riassunti infatti la risposta negativa ad uno dei quesiti, denota un possibile profilo critico dal punto di vista della protezione dei dati personali.