Per la protezione dei dati serve il consenso, non basta la mail
5 Luglio 2018
Il Sole 24 Ore 9 GIUGNO 2018 di Franco Broccardi
No al silenzio assenso, serve acquisire l’autorizzazione
Nei giorni scorsi tutti si sono ritrovati a scrivere mail per poter mandare mail, moltissime nel mondo dell’arte. Tutti a mandarsi a vicenda mail sulla privacy come in un grande scambio di figurine e consensi. A partire dal 25 maggio è entrato in vigore il nuovo regolamento europeo sulla protezione dei dati (GDPR) e il panico si è impossessato degli italiani. Meglio, degli europei tutti. Con l’entrata in vigore delle nuove norme sulla privacy, infatti, è necessario per chi tratta dati di altre persone fisiche applicare, minimizzando i rischi e integrando le garanzie, ogni possibile procedura al fine che l’acquisizione, la conservazione e il trattamento di tali dati (qualsiasi dato come anche le mail, appunto, e non solo i dati “sensibili” di cui alla precedente normativa ) siano adeguati ai principi cardine della normativa: riservatezza, integrità e disponibilità.
Per tutto quanto sopra è necessario procedere all’acquisizione del consenso espresso dei proprietari del dati (non vale, pertanto, un generico silenzio assenso) per ogni singolo tipo di trattamento effettuato (profilazione, commerciale, ecc….).
Il consenso non è però necessario in alcuni casi come per l’esecuzione di un contratto di cui l’interessato è parte, per adempiere un obbligo legale al quale è soggetto il titolare del medesimo o la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica.
Il senso del panico che ha colto anche le gallerie d’arte, è dato dalle decine e decine di mail ricevute. In molte, peraltro, il consenso viene dato per acquisito in caso inattività e senza altra comunicazione. Non è esattamente così e comunque questo non esaurisce gli obblighi. Non si può, infatti, configurare come consenso il silenzio, l’inattività o la preselezione di caselle. Non può esserlo certamente in caso di profilazione della clientela per la quale sarà opportuno acquisire la specifica autorizzazione.
È chiaro che la norma e i controlli non si concentreranno sull’invio di inviti a mostre a mailing list che per quanto polpose non potranno certamente essere considerate ‘massive’ ma, soprattutto, sulla consapevole conservazione dei dati. In questa fase però, in attesa di opportuni chiarimenti che specifichino meglio le diverse situazioni, è opportuno:
analizzare i rischi legati ai dati trattati (o anche solo “trattabili”) ponendo in atto procedure al fine di minimizzare i rischi e integrare le garanzie;
mettere a conoscenza della normativa, dei limiti e dei rischi connessi i dipendenti, i collaboratori e tutti i soggetti interessati ai processi interni di trattamento dei dati. Questo risulta molto importante ai fini delle responsabilità in caso di manomissione e violazione dei dati (anche, ad esempio, di cryptolocker o virus informatici, così come del trattamento della documentazione personale cartacea senza adeguata riservatezza);
portare a conoscenza di tutti i soggetti interessati di una informativa che spieghi più dettagliatamente possibile le procedure intraprese per garantire riservatezza, integrità e disponibilità dei dati trattati.
Ovviamente tutto questo sarà da rapportare alle dimensioni del soggetto che tratta i dati, ma non per questo anche i “piccoli” potranno dirsi esentati da alcuna norma. Non sono previsti controlli da parte dell’autorità garante prima del prossimo anno. Questo non vuol dire che in caso di violazioni delle norme queste non verranno sanzionate. Occorre pertanto dimostrare di essersi attivati nel solco di quanto sopra espresso evitando per quanto possibile manomissioni, perdite e furti da parte di terzi e, comunque, denunciando entro 72 ore eventuali violazioni dei dati. Il sistema dell’arte è avvisato.