Chiediamo all'avvocato Gualtiero Roveda, consulente di Fruitimprese quali sono le principali novità e l'impatto che la nuova disciplina avrà sulle aziende del settore ortofrutticolo, considerando che il non essere in regola potrà comportare sanzioni eccezionalmente elevate (fino a 20 milioni di euro o al 4% del fatturato totale dei trasgressori) e in alcuni casi anche responsabilità civili e/o penali.FreshPlaza (FP): Il Regolamento 2016/679è teso a rispondere alle esigenze di tutela dei dati personali sempre più avvertite dai cittadini europei. Qual è il nuovo impianto normativo?
Gualtiero Roveda: La nuova disciplina del trattamento e della tutela degli interessati è strutturata su un impianto ormai consolidato: consenso informato, adozione di misure di sicurezza, apparato sanzionatorio amministrativo e giurisdizionale. Diventano, tuttavia, più stringenti le modalità per informare il titolare dei dati personali sull'uso di questi ultimi. In particolare è previsto che l'informativa sia concisa, trasparente, intelligibile e facilmente accessibile.
FP: La novità maggiore?
GR: E' stata introdotta e disciplinata la cosiddetta portabilità dei dati personali: un interessato, cioè, può pretendere che il soggetto a cui ha conferito dati li restituisca su un supporto elettronico, di modo che possa farne ulteriore uso presso un altro fornitore; ha anche il diritto a essere totalmente dimenticato da chi ha raccolto informazioni personali che lo riguardano. I titolari e i responsabili del trattamento devono, inoltre, essere in grado di dimostrare di aver adottato tutte le misure per proteggere i dati che gestiscono (accountability). E' stata introdotta la figura obbligatoria del DPO (data protection officer o responsabile della protezione dei dati), ossia di un professionista capace di controllare e coordinare le politiche di privacy, quando le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala.
FP: Quali sono i dati personali che un'impresa agricola può essere chiamata a gestire?
GR: A titolo d'esempio, le informazioni personali relative a dipendenti, collaboratori e terzi in genere (quando si tratta di persone fisiche), quali residenza, recapiti telefonici, nucleo familiare, origine razziale ed etnica, convinzioni religiose, dati sanitari, l'appartenenza a categorie protette, l'adesione a sindacati o associazioni, i provvedimenti disciplinari, le note personali, i dati patrimoniali, le informazioni commerciali, i provvedimenti giudiziari, le immagini fotografiche o video.
FP: Chi sono i destinatari degli obblighi imposti dalla nuova normativa?
GR: Le imprese (c.d. titolari del trattamento) che trattano dati personali di persone fisiche (interessate del trattamento) presenti all'interno di uno Stato dell'Unione Europea.
FP: Cosa si intende per trattamento?
GR: Con tale termine, semplificando, si indica qualunque operazione concernente la gestione di dati personali, anche se non contenuti in una banca dati, effettuata da un Titolare del trattamento.
FP: Chi può essere definito titolare del trattamento?
GR: La persona fisica o giuridica che, singolarmente o insieme ad altri, determina la gestione di dati personali. Ad esempio, nel caso di una cooperativa agricola il titolare è la cooperativa stessa. Non sono, quindi, considerate titolari le singole persone fisiche che l'amministrano o che la rappresentano, quali l'amministratore delegato, il direttore generale, il presidente, il legale rappresentante.
Nell'ipotesi di imprenditore agricolo individuale il titolare sarà, invece, la persona fisica che esercita l'impresa. Il titolare non deve essere confuso con il responsabile del trattamento rappresentato dalla persona fisica o giuridica che, in alcune ipotesi, tratta dati personali per conto del titolare. E' il caso, ad esempio, del consulente del lavoro o dell'associazione di categoria (responsabile del trattamento) che elabora i cedolini paga per conto dell'azienda agricola (titolare del trattamento).
FP: Quali sono i dati personali?
GR: Il Regolamento definisce dato personale qualsiasi informazione riguardante una persona fisica identificata o identificabile (interessato).
FP: I dati delle persone giuridiche non sono pertanto oggetto di questa disciplina?
GR: Esatto. La portata applicativa delle disposizioni del Regolamento che riguardano gli interessati è stata limitata in via esclusiva alle persone fisiche e ai trattamenti di informazioni personali che vi si riferiscono.