Mi accade di continuo di essere contattato da clienti che mi chiedono come si devono comportare di fronte alla richiesta dei loro fornitori di sottoscrivere, a volte addirittura per accettazione, le loro informative privacy.
Cerco di fare chiarezza sul punto, dato che la prassi che si è andata diffondendo in questi ultimi mesi è un manifesto fraintendimento delle norme del Regolamento UE 2016/679 (GDPR) in materia di trattamento dei dati personali.
Occorre, in primo luogo, ribadire che il GDPR si applica unicamente alle persone fisiche individuate o individuabili, così come previsto dall’art. 4 (“dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”).
Già solo in base a tale definizione si comprende che le informative scambiate tra società commerciali – cioè tra due titolari del trattamento – sono fuori dal perimetro di applicabilità del GDPR.
Inoltre, il GDPR stabilisce – ma già era previsto dal nostro Codice Privacy – che l’informativa deve essere fornita prima di raccogliere i dati dell’interessato e di effettuare qualsiasi trattamento: pertanto, non ha alcun senso rinnovare tale adempimento se non si sono apportate modifiche alle informative.
A ben vedere, chi si è sottoposto al gravoso compito di inviare a tutti i propri clienti e fornitori l’informativa sul trattamento dei dati personali ha, di fatto, informato i propri interlocutori di aver, fino ad oggi, ignorato le regole del nostro Codice Privacy, in vigore fin dal lontano 2003.
Ancora, è del tutto superfluo e inutile chiedere la restituzione delle informative inviate, chiedendo la sottoscrizione del destinatario (qualcuno precisa anche, con drammatica ignoranza delle norme del GDPR, “per accettazione”!).
Questa pratica defatigante non è richiesta da alcuna norma, dato che il GDPR pone come unico requisito la dimostrabilità di aver fornito l’informativa, che può avvenire in molteplici modi, molto più efficaci.
Chiedere la restituzione massiva dell’informativa sottoscritta per ricevuta è addirittura controproducente perché genera unicamente l’effetto “cestinamento” da parte dei destinatari, sommersi da decine di richieste di sottoscrizioni di informative privacy, spesso del tutto generiche e vaghe.
Questa pratica può, insomma, produrre solo carta e insofferenza nei destinatari ma nessuna concreta conoscenza, da parte degli interessati, di come vengono trattati i loro dati.
Insomma, tutto il contrario di ciò che si propone il GDPR, cioè rendere trasparente, controllabile e governabile dell’interessato il modo in cui vengono trattati i propri dati; come è stato autorevolmente affermato, “Il principio di trasparenza con il GDPR è il pilastro della nuova società digitale che l’Europa vuole costruire. E segna il passaggio dall’era del consenso privacy a quella del controllo offerto ai cittadini sui dati”.
L’approccio italiano al GDPR deve, quindi, cambiare profondamente, da mentalità burocratica e da “cartari” – per usare un’efficace espressione del Prof. Franco Pizzetti – ad un approccio sostanziale e finalizzato ad una reale tutela dei diritti dell’individuo nella società dell’informazione.
Si può, banalmente, cominciare da un esercizio molto semplice: leggete le vostre informative e domandatevi se, nei panni di interessati e non di titolari del trattamento, sareste in grado di capire come vengono trattati i vostri dati, in concreto, dalla vostra azienda.
Sostanza. Non forma. Questo chiede il GDPR.