19
Mag2018

Nuovo GDPR: cosa cambia per le agenzie investigative? (parte I)

Come sapete, il 25 maggio 2018 entrerà in vigore il Nuovo Regolamento Europeo 679/2016 sulla protezione dei dati, detto anche GDPR.

Trattasi di una vera e propria rivoluzione in ambito privacy. La legge dovrebbe garantire una migliore protezione dei dati personali, dati che vengono spesso forniti indistintamente a chiunque (soprattutto in rete) senza rendersi conto delle conseguenze disastrose che tale condotta comporta.

Di per sé la legge è positiva, salvo per le aziende che entro il 25 maggio saranno costrette ad adeguarsi alla nuova normativa a pena di aspre sanzioni, anche in ambito penale. Oltre all’arresto, in auge sanzioni amministrative con cifre che vanno dai 2 ai 10 milioni di euro, oppure pari al 4% del fatturato.

Il Nuovo Regolamento Europeo dovrebbe (in teoria!) sostituire e abrogare in toto il D.lgs. 196/2003 (Codice Della Privacy) ma ad oggi esistono dei vuoti normativi che a tutti gli effetti tengono in vigore la vecchia legge, la quale dovrà essere “adeguata” dal garante italiano con provvedimenti ad hoc. Questo dovrebbe accadere nel breve periodo.

Il vuoto normativo è così ampio che, ad oggi, non è ancora chiaro CHI sia l’autorità “Garante”. Perciò state tranquilli riguardo alle sanzioni: se ancora non si conosce da chi è composta l’autorità deputata a comminare sanzioni è difficile che piombino multe a raffica. Tenete conto che il GDPR è stato scritto in inglese, ciò ha creato dei problemi interpretativi riguardanti alcune specifiche terminologie che hanno perso il loro significato nella traduzione.

Siamo pertanto in attesa di una normativa nazionale che risolva tutti i vuoti interpretativi che ad oggi non consentono di stabilire regole e schemi precisi.

Dal momento che il GDPR a breve sarà in vigore, vediamo cosa cambia effettivamente in ambito privacy per i titolari di agenzia investigativa.

I punti trattati riguarderanno:

  1. PRIVACY COME SISTEMA
  2. PARTICOLARI CATEGORIE DI DATI
  3. I SOGGETTI DEL TRATTAMENTO
  4. ACCOUNTABILITY (PRIVACY BY DESIGN & BY DEFAULT)
  5. REGISTRO DEL TRATTAMENTO
  6. DPIA
  7. DPO
1. PRIVACY COME SISTEMA

Fondamentale deve essere la presa di coscienza, da parte dell’imprenditore, che d’ora in avanti la privacy è da considerarsi a tutti gli effetti un sistema, un processo che deve essere costantemente monitorato e aggiornato. Non è più possibile pensare alla privacy come qualcosa di statico, del tipo “predispongo la valutazione dei rischi e me ne infischio”.

Il GDPR prevede che la privacy e il trattamento dei dati siano sviluppati in un’ottica di continua valutazione e gestione del rischio. La qualità da questo punto di vista è fondamentale. Si richiede pertanto che il Titolare del trattamento (cioè l’investigatore/imprenditore) faccia delle valutazioni ad hoc e che, quando il rischio è particolarmente elevato, predisponga una valutazione d’impatto sui rischi che lo specifico trattamento potrebbe comportare per la sfera delle persone interessate.

2. PARTICOLARI CATEGORIE DI DATI

Sono i cosiddetti DATI PARTICOLARI, cioè i dati ex-sensibili. Vi ricordate i famosi dati sensibili del Codice Privacy? Nel GDPR vengono appellati “particolari categorie di dati”, o più semplicemente dati particolari. Sono quei dati personali particolarmente delicati, che vanno a indagare elementi rilevanti della sfera dell’Interessato.

Si tratta dei dati riguardanti:

  • origine razziale/etnica
  • opinione politica
  • appartenenza sindacale
  • convinzione religiosa
  • salute/orientamento sessuale
  • DATI BIOMETRICI

Per quanto riguarda il Nuovo Regolamento Europeo, la legge dice che queste tipologie di dati in generale non possono essere trattate, se non previa consenso.

Vi sono naturalmente delle eccezioni. Da questo punto di vista nulla cambia per l’investigatore rispetto alla legge precedente, tanto più che (per ora!) il Codice Deontologico e di Buona Condotta rimane in vigore. Pertanto se i dati sono trattati per difendere un diritto in sede giudiziaria del Cliente (tipica casistica dell’investigatore) il trattamento è lecito ed esente da informativa e consenso (pensate alla situazione paradossale in cui un detective sarebbe costretto a fornire l’informativa al soggetto che sta seguendo durante un pedinamento, o addirittura a chiedere il suo consenso!).

I dati biometrici sono stati posti in maiuscolo volutamente. Gli stessi infatti non erano considerati “sensibili” ai sensi del D. lgsl. 196/2003 (Codice Privacy), mentre il GDPR li pone allo stesso livello dei dati medici o sull’orientamento sessuale e considerati meritevoli di maggiore tutela, rientrando a tutti gli effetti tra i dati particolari.

Per quanto riguarda i dati biometrici c’è da chiarire che una fotografia (anche quella scattata da un investigatore) NON E’ un dato biometrico, perciò non rientra nelle “particolari categorie di dati”. Dati biometrici sono invece: controllo accessi con riconoscimento volto e impronte digitali; fotografie utilizzate a unico scopo di riconoscimento volto; impronte digitali ecc.

3. I SOGGETTI DEL TRATTAMENTO

Chi sono i soggetti del trattamento nel nuovo Gdpr?

Eccoli:

  1. il TITOLARE del trattamento
  2. il RESPONSABILE del trattamento

Il Titolare del Trattamento è colui che determina le finalità e i mezzi del Trattamento. Nel caso di un’agenzia investigativa (e di qualsiasi altra impresa) è SEMPRE la società! Nel mio caso, anche se si tratta di ditta individuale, il Titolare del trattamento è Aenigma Investigazioni (nella persona di Andrea Frighi, che sarei io).

Il Responsabile del Trattamento è colui che tratta dati personali per conto del Titolare del Trattamento.

La grande novità è che, con il Nuovo Regolamento, diventano Responsabili anche tutti i fornitori di servizi in outsourcing. Ad esempio lo studio paghe, il responsabile del servizio IT, un’azienda che fornisce segretariato on-line. Un qualsiasi fornitore della vostra azienda che tratti in qualunque modo i dati dei vostri clienti, dovrà essere nominato Responsabile del Trattamento. Rientrerebbero in questa lista anche i vari commercialisti, consulenti del lavoro ecc. In realtà, per ora, gli esercenti di attività professionali riconosciute (cioè iscritte a un Albo) non devono essere nominati Responsabili.

Le novità (purtroppo!) non sono finite. Oggi non basta più la famosa “lettera di nomina”. Il GDPR stabilisce che serve una vera e propria “delega” da parte del Titolare del Trattamento.

L’unico strumento giuridico entro il quale è ammessa tale delega è un CONTRATTO. Perciò dal 25 maggio la nomina del Responsabile del Trattamento avverrà attraverso un contratto, che deve essere accettato (e firmato) da entrambe le parti. Inoltre tale contratto deve essere sufficientemente specifico e contenere elementi ben precisi, indicati in un’apposita sezione del Regolamento (che qui non vado ad elencare poiché esula dai nostri scopi).

Capite bene come le cose diventino più complesse. Immaginate di dover nominare colossi come Aruba, Register o Google (che a tutti gli effetti trattano i dati dei vostri clienti) Responsabili del Trattamento e di dover far loro firmare un contratto in cui voi (piccola azienda) dettate le condizioni: probabilmente non vi prenderanno nemmeno in considerazione. Perciò anche in questo caso esiste un vuoto normativo che presto dovrà essere colmato.

Tenete conto che, secondo il GDPR, l’eventuale Responsabile del Trattamento che si rifiuti di firmare il contratto assumerà direttamente il ruolo di Titolare del Trattamento (per i dati trattati dal vero Titolare) con tutte le conseguenze del caso. E’ perciò un’assunzione di responsabilità piena e automatica da parte dell’eventuale Responsabile del Trattamento che non firma il contratto (questo accade anche se il contratto firmato non rispetta i parametri indicati dal Regolamento). Ciò non esenta però da colpe il Titolare del Trattamento (cioè il povero investigatore) poiché se l’eventuale Responsabile non dovesse firmare il contratto, esisterebbe un trasferimento illecito dei dati, con tutte le sanzioni conseguenti per il Titolare del Trattamento.

Il mio consiglio è quello di inviare a questi colossi una mail dove si dimostri di aver fatto di tutto per nominarli Responsabili. Qualora i giganti ignorassero la mail (cosa molto facile!), stampatela e conservatela come prova del fatto che avete agito.

Nel vecchio Codice della Privacy si faceva menzione dell’Incaricato del Trattamento, che altro non era che il vostro dipendente o collaboratore. Oggi il termine “incaricato” non compare da nessuna parte, ma nella realtà esiste ancora. Difatti la legge esplicita che chiunque abbia accesso ai dati personali trattati dal Titolare DEVE essere istruito e formato in materia di Privacy. Perciò dovete predisporre un programma di formazione specifico per i vostri collaboratori e dipendenti, i quali saranno considerati “de facto” Incaricati del Trattamento.

Per quanto riguarda i rimanenti punti rinvio alla seconda parte della guida sul Nuovo Regolamento Europeo, che sarà on-line a breve.

2 Commenti

  1. Dunque, se ho ben capito, dal suo punto di vista un investigatore che riceve incarico da parte di un soggetto (imprenditore, professionista, privato cittadino ecc.) per svolgere attività investigativa, sarebbe Titolare del trattamento dei dati che raccoglie durante le investigazioni e non Responsabile?

    1. Buongiorno Niccolò. La ringrazio per aver commentato.
      Assolutamente sì. Quando il Cliente conferisce i dati all’investigatore, quest’ultimo diviene automaticamente Titolare del Trattamento. Precisando ulteriormente, è l’agenzia investigativa in quanto società ad essere Titolare del Trattamento. Nel mio caso Aenigma Investigazioni nella persona di Andrea Frighi.
      Resta inteso che il collaboratore dell’agenzia investigativa che in un dato momento si ritrova a scattare una fotografia al soggetto su cui viene svolta l’indagine rimane Responsabile del Trattamento.
      Tenga conto che il Responsabile del trattamento è, nella maggior parte dei casi, una figura esterna all’azienda.
      Cordiali saluti

Leave your comment

Please enter your name.
Please enter comment.

Il Blog del Detective

Un blog che si rivolge a tutti gli appassionati di questo affascinante universo. Dedicato soprattutto a coloro che intendono seriamente intraprendere la professione di detective e farne uno stile di vita.

Leggi il nostro articolo di benvenuto
Clicca qui →

Ultimi articoli