Categories Corporate

La privacy nel settore alimentare: incombenza o opportunità?

Dal 25 maggio 2018 è in vigore il GDPR (General Data Protection Regulation)

Qualunque tipologia di azienda, anche nel settore alimentare, per svolgere la propria attività, deve trattare dati personali nel rispetto della privacy

Il 25 maggio 2018 è entrato ufficialmente in vigore il Reg. UE 679/2016, noto anche come GDPR (General Data Protection Regulation), che ha integrato e, per molti versi significativamente aggiornato, la normativa già esistente in materia di privacy, imponendo oneri aggiuntivi e mutando radicalmente l’approccio al trattamento dei dati delle persone fisiche.

Il corretto trattamento dei dati personali è divenuto un fatto imprescindibile per l’operatività e l’immagine stessa di ogni impresa. Ciò avviene anche nel settore agroalimentare, settore tradizionalmente rimasto ai margini della normativa privacy e, per tale motivo, ancora molte aziende risultano in ritardo con l’adeguamento agli standard del nuovo Regolamento UE 679/2016 (GDPR).

In realtà il settore agroalimentare non è per nulla estraneo alla normativa privacy. Le aziende di tale settore si trovano in molte occasioni a trattare dati sensibili, definiti nel nuovo regolamento “categorie particolari di dati” (art. 9 Reg. UE 679/2016), il cui trattamento è possibile in una serie di ipotesi, prima fra tutte quella in cui l’interessato abbia prestato il proprio esplicito consenso per una finalità specifica.

La normativa europea è categorica e dispone quanto segue:

“È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.”

Basta pensare ai dati personali relativi ai dipendenti per comprendere come qualunque azienda con dipendenti non sia esclusa dall’applicazione della normativa. Ma non solo, anche senza dipendenti potresti avere a che fare con dati sensibili ma non te ne sei ancora reso conto.

Forse tratti dati sensibili e non lo sai, rischiando sanzioni fino a 20 milioni di euro!

Vi sono casi in cui un’impresa del settore agroalimentare si trova a trattare dati sensibili senza nemmeno rendersene conto, proviamo a pensare per esempio alle società di catering o mense scolastiche e aziendali che si trovano a raccogliere dati relativi a intolleranze alimentari di studenti o dipendenti, anziché dati per formulare diete particolari legate all’appartenenza religiosa. Il Garante non ha dubbi nel sottolineare come, per esempio, i dati relativi ad intolleranze o allergie siano dati sensibili (nella fattispecie dati sanitari) e come tali vanno trattati.

Il nuovo regolamento prevede una pesante responsabilizzazione del titolare nel trattamento di queste categorie di dati, con sanzioni importanti in caso di violazione (fino a 20 milioni di Euro o fino al 4% del fatturato).

 

Non trascurare i rischi legali e commerciali

L’adeguamento al nuovo regolamento produrrà inevitabilmente un rilevante impatto sull’operatività di tutti i soggetti economici.

Nel caso in cui la tua azienda non abbia considerato in modo adeguato questo argomento ed abbia tralasciato di valutare i rischi legali e i risvolti commerciali che potrebbero derivarne, di seguito riporto qualche spunto di riflessione che ti aiuterà a comprendere l’importanza capitale del corretto trattamento dei dati personali per gli scenari futuri.

Consideriamo, ad esempio, alcune azioni destinate a ripetersi decine di volte ogni giorno nella tua azienda: la ricezione e l’evasione di ordini, l’acquisizione di contatti per proposte commerciali, la fatturazione di un bene o servizio, la richiesta di assistenza a collaboratori e/o consulenti esterni, ecc.

Hai mai esaminato questi processi sotto il profilo del trattamento dei dati personali?

Lo possiamo fare brevemente insieme per evidenziare le principali attività richieste dal 25 maggio 2018:

  1. adozione di una struttura organizzativa, informatica e documentale, per la gestione di tutti i processi di gestione del trattamento dati secondo norma, in agilità e senza complicazione per la tua azienda e per i tuoi interlocutori (clienti, dipendenti, fornitori etc.);
  2. informativa, raccolta del consenso, utilizzo per scopi determinati, archiviazione e custodia dei dati del cliente (persona fisica) secondo i parametri normativi;
  3. informativa, raccolta del consenso, utilizzo per scopi determinati, archiviazione e custodia dei dati dei dipendenti secondo i parametri normativi;
  4. informativa, raccolta del consenso, utilizzo per scopi determinati, archiviazione e custodia dei dati di consulenti e collaboratori secondo i parametri normativi;
  5. gestione della contitolarità del trattamento con i consulenti e/o collaboratori esterni coinvolti nel processo di trattamento dei dati.

Il nuovo impianto normativo si compone dunque sia di nuovi adempimenti e di altri già preesistenti al GDPR, che ugualmente necessitano oggi di essere adeguati.

Un cenno esemplificativo lo fornisce il tema dell’informativa (artt. 13 e 14 GDPR). Dal 25 maggio lo strumento dell’informativa deve essere utilizzato anche nei casi di dati non raccolti direttamente presso l’interessato e dovrà indicare elementi ulteriori rispetto al passato, tra cui il periodo di conservazione dei dati all’interno degli archivi.

L’informativa inoltre dovrà specificare agli interessati la possibilità di esercitare, oltre ai diritti già previsti dall’attuale normativa, anche quelli di nuovo conio quali il diritto alla limitazione del trattamento ed il diritto alla c.d. portabilità dei dati.

Di ciò che farai, come lo farai e quando deciderai di farlo, ne sarai responsabile

Hai dunque adeguato l’informativa e la struttura del sistema per il trattamento dei dati personali al GDPR? Sei certo di averlo fatto in modo adeguato e corretto?

Fai attenzione: la decisione di non adeguarti, ovvero di adeguarti in ritardo (e oggi già lo sei se ancora non l’hai fatto) al GDPR potrebbe avere ricadute significative sulla tua attività futura.

Secondo il nuovo Regolamento infatti, tutto ciò che valuterai di fare, o di non fare, come e quando valuterai di farlo, costituirà un fatto di cui la tua azienda sarà responsabile:

  • nei confronti dei clienti, dipendenti, collaboratori e terze parti in genere, che ben potranno pretendere il risarcimento dei danni loro procurati da un trattamento non a norma;
  • nei confronti dell’Autorità del Controllo (il Garante) che potrà applicare sanzioni amministrative e pecuniarie sino a dieci milioni di euro o, se superiore, sino al 2% del fatturato globale (sanzioni penali sono allo studio da parte del legislatore italiano).

Gli utenti, i clienti ed in generale gli operatori economici sono sempre più sensibili al tema della protezione dei dati personali.

Il mancato adeguamento ai nuovi standard normativi ben potrebbe generare una cattiva reputazione commerciale per la tua azienda:

  • nei confronti dei clienti, ovviamente, che potranno giudicarvi interlocutori validi e tuttavia scarsamente affidabili su un tema di crescente sensibilità;
  • nei confronti di committenti, attuali o potenziali, che potrebbero giudicarvi fornitori che, se non adeguati ai loro standard in materia di dati personali, valutano negativamente l’opportunità di affidarvi ulteriori incarichi o commesse.

Concludendo

Il tema del trattamento dei dati personali è dunque un tema che necessità di essere affrontato e gestito in tempi brevi ed in maniera proattiva da parte delle imprese, così da sviluppare la giusta consapevolezza di come, quando e perché si trattano determinati dati.

Come succede ad ogni scadenza normativa nascono esperti e specialisti da ogni parte, proposte di consulenza con livelli di dettaglio e costi di una variabilità sconcertante. Consulenti informatici che offrono software risolutivi, consulenti di sistemi che offrono manuali cartacei a costi fissi senza nemmeno fare una preventiva analisi della realtà aziendale, proposte di analisi dei rischi legali senza nemmeno avere nel team una figura competente in materia giuridica, e via dicendo. Preventivi da poche centinaia di euro a qualche migliaio di euro per la medesima azienda che si trova nella totale confusione decisionale.

Per tale ragione ho selezionato nella mia rete partner di cui ho testato competenza, specializzazione e affidabilità in tale materia, pertanto ti invito ad approfondire l’argomento e capire il grado di adeguamento della tua impresa ai nuovi processi e parametri indicati dal GDPR.

Contattami, chiedimi quello che vuoi e sarò lieto di aiutarti affinchè un’incombenza possa diventare un’opportunità.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *