1 150 Table of Contents 152 154

AO_438

MAGGIO 2022 AUTOMAZIONE OGGI 438 | 151 no dei problemi che si possono rilevare all’interno delle aziende riguarda, sempre più frequente- mente, le materie inerenti alla privacy. Quella della privacy è una tema- tica che si è venuta ad affacciare sul panorama italiano aziendale piuttosto recentemente. La prima normativa italiana di riferimento, infatti, risale al 2003, con il d.lgs. n.196 o ‘Co- dice in materia di protezione dei dati perso- nali’, il cui scopo era quello di assicurare ai cittadini livelli di tutela tali da non inficiare le libertà e i diritti di persone fisiche i cui dati vengono raccolti. Nel d.lgs. 196/2003 vengono dunque elencate le tutele minime applicabili alla protezione dei dati personali degli utenti, tutele riprese e ampliamente approfondite dalla normativa europea, in particolare dal Regolamento Europeo n.679 del 2016 ‘Gene- ral Data Protection Regulation’, in breve Gdpr. Tale normativa ha puntualmente enunciato la metodologia più corretta di trattamento dei dati personali, specificando modalità di rac- colta, utilizzo, protezione e condivisione degli stessi. Introduce dunque un superiore livello di tutela dei dati personali riferibili alle persone fi- siche, dettando precise tipologie di prassi a cui le aziende e le pubbliche amministrazioni sono state chiamate ad adeguarsi nel minore tempo possibile. Tuttavia, tali adeguamenti hanno ri- chiesto una tempistica decisamente superiore rispetto a quanto preventivato dal legislatore europeo prima, e dal legislatore italiano poi, il quale solo nel 2018 ha apportato lemodifiche richieste dal Gdpr al testo normativo del 2003. Sebbene l’adeguamento normativo sia stato recepito dal legislatore italiano nel 2018, a tutt’oggi all’interno delle pubbliche ammini- strazioni, e ancor più delle aziende private, è difficile trovare un assetto di tutela della privacy interamente conforme a quanto det- tato dal Gdpr. Il Gdpr individua, tra l’altro, una serie di fi- gure, altamente professionalizzate e formate in materia di privacy, alle quali vengono at- tribuite rilevanti responsabilità, quali il Data Protection Officer (DPO), il Titolare del trat- tamento, il Responsabile del trattamento dei dati, l’Amministratore di sistema e l’In- caricato del trattamento finalizzate alla sal- vaguardia e alla tutela dei dati personali che vengono trattati per lo svolgimento dell’at- tività di impresa. Basti pensare che, qualora i suddetti soggetti non dovessero agire se- condo i dettami previsti dalla normativa in materia di privacy, gli stessi sono chiamati a rispondere dei propri comportamenti non solo personalmente in sede penale, ma anche solidalmente a livello aziendale. Il Garante prevede per le aziende che non si adeguano ai dettami del Gdpr sanzioni che variano tra il 2% e il 4% del fatturato annuale. Nonostante le conseguenze per chi non ri- spetta le norme del Gdpr siano gravi, ancora oggi molte aziende non si sono dotate di un apparato strutturato come richiesto dalla normativa. Tale atteggiamento potrebbe dipendere da svariate cause, tra le quali la carenza di esperti in materia di privacy, in grado di riformare l’assetto aziendale e for- mare il personale in modo appropriato. Spesso, inoltre, le questioni relative alla pri- vacy comportano un rallentamento dei rapporti commerciali tra le singole aziende. È noto, infatti, che le aziende utilizzano fre- quentemente la fattispecie dell’appalto. Un appalto tra aziende comporta, senza dubbio, uno spostamento di dati (personali) dalla sta- zione appaltante o committente, che richiede un lavoro o una prestazione, all’appaltatore, che si obbliga nei confronti dell’appaltante o committente a fornire un’opera e/o una pre- stazione con mezzi propri. In suddetti casi, l’appaltante o committente, in qualità di Tito- lare del trattamento dei dati personali, al fine di permettere all’appaltatore di trattare lecita- mente i dati oggetto del contratto, sarà tenuto ai sensi dell’art.28, comma 3 Gdpr a nominare quest’ultimo Responsabile (esterno) del trat- tamento “tramite contratto o atro atto giuri- dico a norma del diritto dell’Unione o degli Stati membri, che vincoli il Responsabile del trattamento al Titolare del trattamento (…)”. Tale passaggio spesso comporta un rallenta- mento nelle trattative tra le parti, le quali pre- feriscono, quindi, ‘rimandare’ l’aspetto relativo agli adempimenti della privacy e procedere alla conclusione dell’accordo contrattuale. In realtà, però, questa prassi è altamente dannosa e sarebbe auspicabile evitarla, dal momento che di fatto espone le aziende a enormi rischi, per esempio sono passibili di sanzioni da parte dell’Autorità Garante in caso di controlli effettuati dalla stessa. Inol- tre, si potrebbe ravvisare una minore ‘cre- dibilità’ del soggetto a livello contrattuale. Sicuramente un’azienda ‘in regola’ anche sotto l’aspetto della privacy è considerata più solida agli occhi dei soggetti privati o pubblici che intendono sottoscrivere con essa accordi contrattuali. Se non altro per- ché, in primis, sono sicuri di tutelare i pro- pri dati personali in modo adeguato, poi, aspetto da non sottovalutare, gestiscono il rapporto contrattuale con maggiore se- renità, in quanto meno passibili di sanzioni sotto l’aspetto della privacy. U Aziende e Gdpr: un adeguamento difficile Cristiano Cominotto ALP – Assistenza Legale Premium @cri625 AUTOMAZIONE OGGI AVVOCATO

RkJQdWJsaXNoZXIy Mzg4NjYz