. per le imprese agroalimentari massima attenzione

Dallo scorso 25 maggio è applicabile il nuovo Regolamento Europeo in tema di privacy (Reg. UE 679/2016 - GDPR).

Questa rivoluzione della normativa privacy costituisce un'ottima occasione per parlare del trattamento dei dati personali nel settore agroalimentare, settore tradizionalmente rimasto ai margini della normativa privacy con molti operatori che, per tale motivo, hanno trascurato l'adeguamento agli standard in tema di privacy (sinora contenuti nel Codice Privacy italiano, D.Lgs. 196/03).

Il settore agroalimentare non è per nulla estraneo alla normativa privacy, che in realtà interessa un ventaglio estremamente ampio di potenziali destinatari (va escluso infatti dal rispetto della normativa privacy solamente l'uso personale dei dati: pensiamo alla classica agenda dei contatti personali, amici e parenti, di un soggetto).

Le aziende del settore agroalimentare, in particolare, si trovano in molte occasioni a trattare dati sensibili, ovvero quei dati che quelli che possono rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, lo stato di salute e la vita sessuale.

Nel trattare tale tipologia di dati, l'azienda deve prestare particolare attenzione e deve rispettare, ove previste, particolari misure e accorgimenti a tutela dell'interessato.

Ancora il trattamento dei dati sensibili è subordinato all'acquisizione del "consenso scritto dell'interessato" e della "previa autorizzazione del Garante" (l'autorizzazione in certi casi è però conferita in via generale dal Garante).

Il termine "dati sensibili" viene meno con il Regolamento UE 679/2016, ma non cambia l'attenzione richiesta per il loro trattamento.

I vecchi "dati sensibili" vengono infatti definiti nel nuovo Regolamento come "Categorie particolari di dati (art. 9 Reg. UE 679/2016). In proposito la normativa europea è categorica e dispone:

"È vietato trattare dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona."

 

La normativa poi consente il trattamento di tali particolari categorie di dati in una serie di ipotesi, prima fra tutte quella in cui l'interessato abbia prestato il proprio esplicito consenso per una finalità specifica.

Scompare quindi la "previa autorizzazione del Garante" prevista dal Codice Privacy italiano, ma a farle da contraltare a questo alleggerimento formale, compare una pesante responsabilizzazione del titolare nel trattamento di queste categorie di dati, con sanzioni importanti in caso di violazione (fino a 20 milioni di Euro o fino al 4% del fatturato).

Da questa breve disamina si evince come anche le aziende agroalimentari si trovino a trattare dati sensibili, basta pensare a tutti i dati raccolti e relativi ai dipendenti.

Vi sono però casi in cui un'impresa del settore agroalimentare si trova a trattare dati sensibili senza nemmeno rendersene conto.

Di questo si è occupato il Garante (Ordinanza di ingiunzione nei confronti di Regione Emilia Romagna n. 430 del 20 dicembre 2012) nel valutare un trattamento dati effettuato dalla Regione Emilia Romagna in relazione ad alcune mense scolastiche, che comprendeva i dati relativi anche ad esempio alle intolleranze alimentari degli studenti (dati evidentemente raccolti con l'intenzione di fornirli al personale delle mense per poter correttamente servire gli studenti con intolleranze e/o allergie).

In tale occasione il Garante non ha dubbi nel sottolineare come i dati relativi ad intolleranze o allergie siano dati sensibili (nella fattispecie dati sanitari) e come tali vadano trattati.

Per di più si tratta di dati relativi a minori, che in ogni caso, anche a mente del GDPR (considerando 38) richiedono "specifica protezione".

Ne discende che un catering, una mensa o anche solo un ristorante che apre un conto in favore di un cliente con delle intolleranze o allergie, appuntando magari, per fornire un miglior servizio, la connessione fra il nome del cliente e l'allergia specifica di cui soffre, trattano dati sensibili con tutte le conseguenze del caso.

Pensiamo ancora ad un soggetto che produce e vende a consumatori individuati prodotti certificati per la consumazione da parte di soggetti che seguono regole alimentari religiose (ad es. casherut o ḥalāl), o di nuovo ad un catering o ad una mensa che si occupa di tali menù, è chiaro che l'impresa, nel caso, è in grado di individuare la religione del cliente e questo dato deve essere trattato solo dietro esplicito consenso e proteggendolo così da evitare pericolose intrusioni esterne.

Questi esempi dimostrano come solo l'affrontare con consapevolezza il problema privacy in azienda può portare a rendersi conto effettivamente di quali dati vengono trattati e di quali rischi sono connessi al trattamento.

Per questo motivo si raccomanda un approccio pro-attivo da parte delle imprese nell'implementare quei principi di privacy by design e privacy* by default previsti dal Regolamento GDPR, così da sviluppare l'architettura aziendale avendo a mente come, quando e perché si trattano determinati dati, per farlo in modo sicuro, conforme alla normativa e, perché no, per saperlo evitare quando non è realmente necessario ai fini aziendali.

Le sedi CNA sono a disposizione delle imprese per tutte le informazioni necessarie clicca qui: http://www.cna.it/cna/chi-siamo/sedi

*Privacy by design

I principi che reggono il sistema sono i seguenti:

- prevenire non correggere, cioè i problemi vanno valutati nella fase di progettazione, e l'applicativo deve prevenire il verificarsi dei rischi;

- privacy come impostazione di default (ad esempio, non deve essere obbligatorio compilare un campo di un form il cui conferimento di dati è facoltativo);

- privacy incorporata nel progetto (ad esempio, l'utilizzo di tecniche di pseudonimizzazione o minimizzazione dei dati);

- massima funzionalità, in maniera da rispettare tutte le esigenze (rifiutando le false dicotomie quali più privacy = meno sicurezza);

- sicurezza durante tutto il ciclo del prodotto o servizio;

- visibilità e trasparenza del trattamento, cioè tutte le fasi operative devono essere trasparenti in modo che sia verificabile la tutela dei dati;

- centralità dell'utente, quindi rispetto dei diritti, tempestive e chiare risposte alle sue richieste di accesso.

Quindi, il sistema di tutela dei dati personali deve porre l'utente al centro, in tal modo obbligando ad una tutela effettiva da un punto sostanziale, non solo formale, cioè non è sufficiente che la progettazione dei sistema sia conforme alla norma se poi l'utente non è tutelato.

 Articolo 25 - Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita

1.Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.

2.Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica.

3.Un meccanismo di certificazione approvato ai sensi dell'articolo 42 può essere utilizzato come elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del presente articolo.

Dall'articolo 25 si evince che l'approccio del GDPR è centrato sulla valutazione del rischio (risk based approach), con il quale si determina la misura di responsabilità del titolare o del responsabile del trattamento, tenendo conto della natura, della portata, del contesto e delle finalità del trattamento, nonché della probabilità e della gravità dei rischi per i diritti e le libertà degli utenti.

Il GDPR comprende anche la definizione di rischio (Considerando 75 e 76).

Considerando 75

I rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: se il trattamento può comportare discriminazioni, furto o usurpazione d'identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo; se gli interessati rischiano di essere privati dei loro diritti e delle loro libertà o venga loro impedito l'esercizio del controllo sui dati personali che li riguardano; se sono trattati dati personali che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, nonché dati genetici, dati relativi alla salute o i dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza; in caso di valutazione di aspetti personali, in particolare mediante l'analisi o la previsione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l'affidabilità o il comportamento, l'ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali; se sono trattati dati personali di persone fisiche vulnerabili, in particolare minori; se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati.

Considerando 76

La probabilità e la gravità del rischio per i diritti e le libertà dell'interessato dovrebbero essere determinate con riguardo alla natura, all'ambito di applicazione, al contesto e alle finalità del trattamento. Il rischio dovrebbe essere considerato in base a una valutazione oggettiva mediante cui si stabilisce se i trattamenti di dati comportano un rischio o un rischio elevato.

L'obbligo di privacy by design è basato sulla valutazione del rischio, così come altri obblighi (es. notifica ai Garanti nazionali), per cui le aziende dovranno valutare il rischio inerente alle loro attività. Tale valutazione andrà fatta al momento della progettazione del sistema, quindi prima che il trattamento inizi. Chiaramente si dovrà tenere conto anche del tipo di dati trattati, per cui in presenza di un trattamento che coinvolge dati di minori gli obblighi dovranno essere più stringenti, in considerazione del fatto che il rischio è maggiore.

L'approccio basato sul rischio comporta che si deve tenere conto dello stato della tecnologia, per cui il trattamento va adattato nel corso del tempo.

L'utilizzo di software e applicativi di aziende terze comporta che sia l'azienda terza a dover sviluppare le valutazioni del rischio dell'uso dell'applicativo, ovviamente disegnato in maniera conforme al regolamento. Valutazione che dovrà essere opportunamente documentata al titolare del trattamento. L'azienda fornitrice del software potrà anche usufruire di apposite certificazioni.

Privacy by default*

Il principio di privacy by default (protezione per impostazione predefinita) prevede, appunto, che per impostazione predefinita le imprese dovrebbero trattare solo i dati personali nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario a tali fini. Occorre, quindi, progettare il sistema di trattamento di dati garantendo la non eccessività dei dati raccolti.

L'introduzione di tali due principi obbliga, ovviamente, le imprese a predisporre una valutazione di impatto privacy ogni volta che avviano un progetto che prevede un trattamento di dati.

L’Autorità di controllo norvegese ha fornito una guida per l'implementazione del principio di privacy by design rivolta agli sviluppatori di software e ai Data Protection Officer e gli esperti di sicurezza.

Area Tematica: 
Mestiere: