Le società di logistica devono applicare la normativa privacy?
Studio Legale Internazionale Torrente Vignone
Chi deve nominare la nuova figura del DPO o Data Protection Officer?
La nuova normativa Privacy introdotta con il regolamento europeo UE 679/2016 nasce dall’esigenza di assicurare un’applicazione omogenea della normativa vigente fra tutti i paesi europei, al fine di creare un clima di fiducia per lo sviluppo delle attività economiche.
Ha anche un’importante aspetto legato alla protezione dei dati dei singoli.
Si pensi a quello che successo con Facebook e Cambridge Analytica: certamente l’applicazione delle misure offerte dal nuovo regolamento Privacy avrebbero offerto tutele agli utenti, che, se non altro, avrebbero dovuto prestare il consenso “documentabile”, per il trasferimento dei propri dati e il loro utilizzo.
Questa esperienza mostra come questi adempimenti, molte volte non compresi, possano, invece, rivelarsi positivi per gli utenti (ossia tutti noi), che non si sentiranno più derubati dei propri dati e impotenti rispetto al loro utilizzo da parte di terze parti non conosciute, ma potranno acquisire un ruolo attivo.
Le nuove regole si applicano certamente alle imprese logistiche, in quanto anch’esse al loro interno effettuano trattamenti di dati personali di persone fisiche, siano essi i dipendenti, i clienti o fornitori.
Le aziende, d’altra parte dovranno valutare l’impatto per il loro business. Non sempre tale impatto sarà alto.
Molte volte comporterà un aumento di professionalità. Fra gli operatori economici “vincerà” la sfida “privacy” chi più avrà saputo sfruttare le opportunità della nuova normativa; un esempio pratico è attuare le misure privacy e, così facendo, consolidare o acquisire la fiducia del cliente o del fornitore, perché riconosciuti come aziende che proteggono i propri dati.
Per quanto riguarda il DPO, si tratta di una nuova figura istituita per assistere i titolari dei trattamenti, ossia le aziende e si delinea come figura manageriale, con funzioni di consulenza e controllo. Può essere un soggetto interno od esterno all’azienda. Valutiamo tale aspetto attentamente con i nostri clienti caso per caso.
Ma quando è obbligatorio nominare il DPO?
Il regolamento indica i seguenti casi:
- (i) il trattamento sia effettuato da un’autorità pubblica o da un organismo pubblico;
- (ii) le attività principali consistano in trattamenti che, per loro natura, campo di applicazione e/o finalità richiedano il controllo regolare e sistematico degli interessati su larga scala;
- (iii) il Titolare o il Responsabile trattino dati sensibili o giudiziari.
Il secondo punto lascia molto spazio interpretativo riguardo ai concetti di "attività principali", "monitoraggio regolare e sistematico" e "larga scala" e le aziende dovranno compiere una valutazione delicata a tale proposito, in quanto il criterio non è di tipo solo “quantitativo”
Per quanto riguarda invece il concetto di "monitoraggio regolare e sistematico", tale nozione include sicuramenti i vari strumenti di tracciatura elettronica e profilazione on line, ma anche qualsiasi forma di tracciatura.
Altro elemento da considerare nella scelta del DPO è il requisito che deve adempiere alle sue funzioni in piena indipendenza e in assenza di conflitti di interesse. Ne consegue che tale ruolo non potrà essere ricoperto da un soggetto che decide sulle finalità o sugli strumenti del trattamento di dati personali.
In conclusione, anche le imprese di logistica sono tenute ad osservare ed implementare le nuove misure della privacy. Tuttavia, non sempre ciò comporterà cambiamenti di modelli di business e la nomina del DPO. Inoltre, l’implementazione, se utilizzata bene, potrà anche diventare una leva di “marketing”.
