Prime valutazioni in merito all’impatto del Regolamento Europeo Privacy (UE) 2016/679 sull’autotrasporto
Condividi su
La nuova normativa interessa tutte le imprese a prescindere dalle dimensioni e dell’attività svolta, incluse le imprese di autotrasporto. Senza fare allarmismi e cercando di essere il più chiari possibile, in modo sintetico si vuole fornire una visione generale sulla nuova disciplina e sul probabile impatto che questa avrà sull’autotrasporto. Proprio in ragione dell’approccio generale e sintetico, la presente newsletter non costituisce un parere rivolto alle singole imprese, cui si consiglia di procedere ad una valutazione della propria posizione specifica.
Perché il nuovo regolamento sulla privacy si applica anche agli autotrasportatori?
il nuovo Regolamento Europeo (UE) 2016/679 sulla privacy disciplina il trattamento dei dati personali nell’Unione Europea stabilendo i principi e norme che sono direttamente applicabili nel territorio italiano come in quello degli altri Stati membri dal 28 maggio 2018.
Per trattamento s’intende qualsiasi operazione applicata a dati personali come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.
Per dato personale s’intende qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); Esempi di dati personali sono il nome e il cognome, il domicilio o la residenza, l’indirizzo email in cui sia riportato il nome e il cognome, un numero identificativo, come il codice fiscale, il numero telefonico.
Non sono considerati dati personali i dati relativi alle persone giuridiche, come ad esempio la partita iva o l’indirizzo della loro sede sociale. Tuttavia, sono considerati dati personali i dati delle persone fisiche relativi alla loro attività lavorativa, come ad esempio la loro email aziendale nome.cognome@società.it o il numero del loro telefono aziendale.
Le imprese di autotrasporto trattano, quindi, inevitabilmente dati personali, fossero solo quelli dei loro dipendenti. Ovviamente tale trattamento non è vietato, anzi può avvenire senza aver raccolto il preventivo consenso, se il trattamento è necessario all’esecuzione del contratto di trasporto o all’esecuzione di misure precontrattuali, come ad esempio la verifica della fattibilità del trasporto. Allo stesso modo non è necessario il consenso dei dipendenti al trattamento dei loro dati personali necessari all’adempimento in capo all’azienda dei relativi obblighi legali, come ad esempio quelli di natura contributiva e fiscale.
Quali sono gli obblighi che il regolamento pone a carico di una piccola impresa di autotrasporto?
La nuova disciplina sulla privacy richiede a tutte le imprese di adottare misure per garantire la trasparenza e la legittimità del trattamento dei dati personali.
Gli oneri che la nuova disciplina pone a capo delle imprese possono essere gravosi, in particolare, per le imprese che trattano dati che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona, dati relativi a condanne penali. In tal caso è previsto che l’impresa tenga obbligatoriamente un registro delle attività di trattamento e nomini un responsabile della protezione dei dati.
Per le altre imprese con meno di 250 impiegati e che non trattano dati personali su larga scala le attività essenziali da porre in essere possono essere riassunte in:
•Verifica che i dati personali che l’impresa tratta sono necessari per l’esecuzione dei contratti, o altrimenti se sia stato raccolto il consenso per le altre finalità per cui sono utilizzati:
•Predisporre l’informativa da mettere a disposizione delle persone fisiche che forniscono i propri dati personali, qualsiasi sia la finalità del trattamento;
• Garantire l’accesso agli interessati ai loro dati personali e il diritto alla cancellazione dei dati personali che non sono più necessari rispetto alle finalità per cui sono stati raccolti;
•Mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio (privacy by design) con tutte le necessarie applicazioni di supporto (informatiche e non).
•Raccogliere solo i dati personali che siano necessari alla specifica finalità per cui sono stati raccolti (privacy by default).
Per facilitare le imprese nel processo di adeguamento alla nuova normativa il Regolamento incoraggia le associazioni di categoria ad elaborare codici di condotta, che devo essere sottoposti al parere dell’Autorità Garante per la Protezione dei dati personali. Le imprese potranno servirsi di un meccanismo di certificazione ex art. 42 come elemento per dimostrare la conformità del trattamento ai predetti principi.
Quali sono le conseguenze della violazione della normativa privacy?
Il nuovo regolamento prevede sanzioni pecuniarie per la violazione degli obblighi imposti dalla nuova normativa, ivi compresa l’acquisizione dei dati personali in modo illecito o il loro trattamento per finalità diverse da quelle consentite, nonché l’inadempimento agli obblighi di trasparenza o di predisposizione delle misure a protezione dei dati personali.
Il nuovo Regolamento stabilisce i limiti massimi delle sanzioni pecuniarie applicabili che possono arrivare fino a 20 milioni di euro o il 4% del fatturato mondiale dell’intero gruppo societario di appartenenza. All’interno di tali limiti spetta all’autorità nazionale, in Italia l’Autorità Garante per la Protezione dei dati personali decidere se infliggere una sanzione pecuniaria e stabilire il suo ammontare tenendo conto dei seguenti elementi:
a)la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l’oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito;
b)il carattere doloso o colposo della violazione;
c)le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati;
d)il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli articoli 25 e 32;
e)eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento;
f)il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;
g)le categorie di dati personali interessate dalla violazione;
h)la maniera in cui l’autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione;
i)qualora siano stati precedentemente disposti provvedimenti di cui all’articolo 58, paragrafo 2, nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti;
j)l’adesione ai codici di condotta approvati ai sensi dell’articolo 40 o ai meccanismi di certificazione approvati ai sensi dell’articolo 42; e
k)eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione.
La violazione della nuova normativa comporta la responsabilità civile nei confronti della persona interessata dal trattamento e di tutti i soggetti danneggiati. Il danno risarcibile è quello sia patrimoniale che non patrimoniale che siano conseguenza della violazione della privacy. La Cassazione ha recentemente confermato una sentenza di condanna al risarcimento danni non patrimoniali nei confronti di un Comune che aveva diffuso informazioni sullo stato di salute di una persona fisica, che ha ottenuto in risarcimento della sofferenza morale € 15.000.
Al fine di evitare la responsabilità civile, ai sensi dell’art. 2050 c.c. l’impresa deve dimostrare di aver adottato tutte le misure idonee a evitare il danno e, quindi, aver adempiuto in maniera pedissequa agli obblighi previsti dal nuovo regolamento.