di AVV. TOMMASO ROSSI
Il GDPR riguarda tutte le imprese, i professionisti e i lavoratori autonomi, quindi anche gli AGENTI DI COMMERCIO, ovviamente con obblighi e adempimenti diversi a seconda delle dimensioni aziendali, della tipologia dei dati trattati e delle modalità in cui vengono diffusi.
Ricordiamo che l’agente di commercio è colui che opera in base ad un contratto di agenzia ex artt. 1742 ss. Codice civile. Col contratto di agenzia una parte assume stabilmente l’incarico di promuovere, per conto dell’altra , verso retribuzione, la conclusione di contratti in una zona determinata
Dunque anche l’Agente di commercio, in qualità di imprenditore autonomo, quindi anche il libero professionista che non lavora in struttura societaria, è da considerare Titolare del trattamento dei dati e dovrà essere in regola con la normativa in materia di privacy (lo avrebbe dovuto essere anche in precedenza con la vecchia normativa)e adeguarsi al regolamento; resta invece escluso dalla nomina della figura del Data Protection Officer, specie i professionisti che lavorano autonomamente o che comunque non trattano dati rilevanti su larga scala.
L’Agente di Commercio, quale “Titolare del Trattamento” deve ottemperare al GDPR diventando “compliance” e poter dimostrare alle varie società mandanti la piena conformità al trattamento dei dati di clienti e fornitori ed evitare eventuali sanzioni.
Già i nomi e gli indirizzi dei clienti sono DATI PERSONALI, e cederli alla mandante è un’attività di trattamento e di cessione, che per essere lecita deve essere basata su un consenso esplicito rilasciato dal cliente dopo che lei abbia fornito un’informativa chiara sul modo in cui i dati vengono trattati e conservati.
Va ricordato poi che il titolare dei dati è responsabile anche di eventuali rischi informatici legati al trattamento dei dati: ci si deve assicurare che le procedure seguite siano adeguate per evitare la perdita o la cancellazione dei dati o l’accesso a terzi. E, in ogni caso, nel caso in cui ci siano violazione dei dati, deve informare tempestivamente l’interessato e l’Autorità garante della Privacy.
Val la pena fare un riepilogo dei punti salienti della nuova normativa, considerando ovviamente che per poter fornire una adeguata risposta ai vari quesiti e dubbi bisogna analizzare più a fondo la singola realtà aziendale:
Informativa
Fatte salve alcune eccezioni, chi intende effettuare un trattamento di dati personali deve prima fornire all’interessato alcune informazioni (articolo 13 del Regolamento UE 2016/679) per metterlo nelle condizioni di esercitare i propri diritti (articoli 15-22 del Regolamento medesimo).
In particolare, l’informativa deve spiegare:
a) per quale scopo e la base giuridica sulla quale si fonda il trattamento dei dati personali;
b) se il conferimento dei dati personali è obbligatorio o facoltativo;
c) le conseguenze di un eventuale rifiuto a rendere disponibili i dati personali;
d) a chi saranno comunicati o se saranno saranno trasferiti all’estero i dati personali;
e) i diritti previsti dagli articoli 11-22 del Regolamento (UE) 2016/679;
f) chi è il titolare e (se è stato designato) il responsabile del trattamento;
g) gli eventuali legittimi interessi del titolare, se questi costituiscono il fondamento di liceità del trattamento;
h) il periodo di conservazionie dei dati e il diritto di revocare il consenso;
i) l’esistenza di un processo decisionale automatizzato;
l) l’origine dei dati, se raccolti presso terzi.
L’omessa o inidonea informativa è punita con la sanzione amministrativa pecuniaria stabilita dall’articolo 83, paragrafo 5, lett. b), del Regolamento (UE) 2016/679.
CONSENSO:
Il titolare deve sempre essere in grado di dimostrare che l’interessato ha prestato il proprio consenso (articolo 7 del Regolamento UE 2016/679), che è valido se:
• all’interessato è stata resa l’informazione (articoli 12 e 13 del Regolamento);
• è stato espresso dall’interessato liberamente e può essere sempre revocabile;
• è stato espresso esplicitamente, per una o più finalità specifiche, qualora il trattamento abbia ad oggetto categorie particolari di dati personali.
Il trattamento di dati personali effettuato in assenza del consenso è punito con la sanzione amministrativa pecuniaria stabilita dall’articolo 83, paragrafo 5, lett. a), del Regolamento (UE) 2016/679.
Modalità del trattamento
Il trattamento deve avvenire nel rispetto dei seguenti principi (articolo 5 del Regolamento UE 2016/679):
• liceità, correttezza e trasparenza del trattamento;
• finalità del trattamento;
• esattezza e aggiornamento dei dati;
• adeguatezza, pertinenza, e limitazione dei dati raccolti rispetto alle finalità del trattamento;
• esattezza e aggiornamento dei dati trattati;
• conservazione dei dati per un tempo non superiore a quello necessario rispetto agli scopi per i quali è stato effettuato il trattamento;
• sicurezza adeguata del trattamento.
Il trattamento di dati personali effettuato in violazione dell’ articolo 5, è punito con la sanzione amministrativa pecuniaria stabilita dall’articolo 83, paragrafo 5, lett. a), del Regolamento (UE) 2016/679.
Misure di sicurezza
Il titolare del trattamento, anche in base al principio di responsabilizzazione, è obbligato ad adottare misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio di distruzione accidentale o illecita, perdita, modifica, rivelazione, accesso non autorizzato che potrebbero cagionare un danno fisico, materiale o immateriale (articolo 32 del Regolamento UE 2016/679).
In particolare, il titolare deve adottare, se del caso, la pseudonimizzazione e la cifratura dei dati; misure pe garantire la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; il tempestivo ripristino della disponibilità dei dati; procedure per verificare e valutare regolarmente l’efficacia delle misure di sicurezza adottate.
L’omessa applicazione delle misure di sicurezza è punita, a seconda dei casi, con la sanzione amministrativa pecuniaria stabilita dall’articolo 83, paragrafo 4, lett. a), ovvero paragrafo 5, lett. a), del Regolamento (UE) 2016/679.
TITOLARE, RESPONSABILE, REGISTRO:
Dovrà certamente essere nominato un titolare e un responsabile del trattamento, e individuate tutte le persone che possono venire a contatto di questi dati; dovrà poi essere tenuto un registro delle attività di trattamento così come previsto dall’art. 30 GDPR, in forma scritta e/o in formato elettronico.
– Tutti i dati di cui si dipone dovranno essere protetti (cifrati e/o pseudonimizzati o inseriti in cartelle protette all’interno di un sistema informatico protetto) e dovrà essere garantito un rapido backup degli stessi
– Potrà essere opportunio effettuare la valutazione di impatto sulla protezione dei dati, per i quali è disponibile anche un ottimo software gratuito (si veda, https://www.rpcstudiolegale.it/2018/05/23/la-valutazione-di-impatto-sulla-protezione-dei-dati-dpia-ecco-il-software-gratuito-anche-in-italiano-rilasciato-dallautorita-francesce/)
– Non ritengo sia necessario invece che si nomini un Data Protection Officer (DPO) in quanto non ritengo che l’agente di commercio per sua natura professionale tratti dati di categorie particolari (gli ex dati sensibili) così come previsti dall’art. 9 GDPR.
– Gli unici dati sensibili potrebbero essere quelli relativi al personale dipendente, di cui si potrebbe essere venuti in possesso e che in ogni caso sarebbe lecito trattare (con maggiori accorgimenti) senza necessità di nomina del DPO purché non trattati su “larga scala”:
-
- quei dati personali idonei a rivelare l’origine razziale ed etnica di una persona,
- le sue convinzioni religiose, filosofiche o di altro genere,
- le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale,
- i dati personali idonei a rivelare il suo stato di salute e la vita sessuale.
PER ULTERIORI E MAGGIORI APPROFONDIMENTI E PER SVILUPPARE UN PERSONALIZZATO ADEGUAMENTO ALLA NORMATIVA IN MATERIA DI PROTEZIONE DEI DATI PERSONALI, CONTATTATE LO STUDIO ALL’INDIRIZZO MAIL: INFO@RPCSTUDIOLEGALE.IT