IL MACELLAIO E LA PRIVACY

di | 13 June 2018

Nei giorni scorsi circolava la foto di un manifesto appeso in una macelleria che recava la seguente scritta:

Nella nostra macelleria, alcune volte potremmo chiedere il vostro nome e ricordare le vostre preferenze in fatto di carne.

Se la cosa è per voi molesta, vi preghiamo di entrare gridando: “nego il consenso”.

Da oggi in poi faremo finta di non conoscervi.

 In questo momento non interessa valutare se il fatto sia realmente accaduto o sia una delle tante fake news che circolano in rete; quello che mi interessa evidenziare è uno degli aspetti più innovativi introdotti dal GDPR e che è passato del tutto inosservato.

A differenza di quanto accade con il D.Lgs 196/03 dove qualunque azione della vita privata o professionale comporta un trattamento di dati personali:

Art. 4. Definizioni

Ai fini del presente codice si intende per:

a) “trattamento”, qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati;

l’ambito di tutela del GDPR è stato limitato, come prevede l’articolo 2:

Articolo 2 Ambito di applicazione materiale

1.Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.

Escludendo di fatto l’applicazione dello stesso quando il trattamento avviene con modalità manuali e i dati sono conservati in fascicoli non strutturati.

Al riguardo non è molto facile capire in determinate situazioni se si è o meno nel perimetro di tutela e già il considerando (15), che recita quanto appena riportato alla riga precedente, evidenzia i possibili rischi di elusione.

 

(15) Al fine di evitare l’insorgere di gravi rischi di elusione, la protezione delle persone fisiche dovrebbe essere neutrale sotto il profilo tecnologico e non dovrebbe dipendere dalle tecniche impiegate. La protezione delle persone fisiche dovrebbe applicarsi sia al trattamento automatizzato che al trattamento manuale dei dati personali, se i dati personali sono contenuti o destinati a essere contenuti in un archivio. Non dovrebbero rientrare nell’ambito di applicazione del presente regolamento i fascicoli o le serie di fascicoli non strutturati secondo criteri specifici, così come le rispettive copertine.

 Tuttavia appare abbastanza evidente che il nostro macellaio nel chiedere il nome dei propri clienti e nel ricordarne le preferenze non effettua alcun trattamento automatizzato e probabilmente nemmeno manuale, visto che le preferenze di un cliente sono “ricordate” e non annotate manualmente in un registro.

Quindi il nostro macellaio può stare tranquillo, può continuare a chiedere il nome dei clienti e ricordare le loro preferenze senza mettere in atto alcuno degli adempimenti previsti dal GDPR.

Questo almeno fino al momento del pagamento della merce acquistata.

Qui si prospettano di fatto due diversi scenari.

Se il pagamento avviene per contanti, il nostro negoziante potrà continuare a trattare i dati in forma anonima, e sebbene l’emissione di uno scontrino sia “forse” un processo automatizzato (da non confondere con l’uso di strumenti elettronici), nessun dato del cliente viene trattato e quindi continuiamo per altri ambiti a restare fuori del campo di applicazione del GDPR.

Se invece il pagamento avviene con una carta inizieremo si a trattare dei dati personali di un soggetto identificabile (anche se non da parte del nostro negoziante) e quindi si aprono nuovi e complessi scenari e dovranno essere valutate le azioni da compiere.

La posizione del nostro eroe è comune a quella di altre decine di titolari, ma come si evince dallo sviluppo dell’articolo, solo una precisa e puntuale analisi dei flussi informativi e una altrettanto precisa analisi dei processi può determinare se e quando vi sia un trattamento di dati personali nel perimetro del GDPR.

Nessuna generalizzazione è quindi possibile, ed una delle maggiori capacità richieste a chi professionalmente si occupa di privacy è proprio questa capacità di analisi dei processi e dei flussi di dati, così come avvengono nella realtà del singolo titolare.

Diffidate quindi dalle soluzioni fotocopia, dal riuso di documenti di altri, dal pensare che si possa essere in regola con il GDPR semplicemente ricopiando qualche documento: il rispetto della normativa privacy è un abito su misura, che ogni titolare deve costruire sulla propria realtà.

Categoria: Legal framework

Informazioni su Giancarlo Butti

Deals with ICT, organization and legislation since the early 80s covering different roles: security manager, project manager, auditor at banking groups, consultant in security and privacy to companies of different sectors and sizes. Performs regular activity of dissemination through articles (over 700), books (21 between books and white papers also used as university texts, 11 collective works within the ABI LAB, Oracle Community for Security and CLUSIT), technical manuals, courses, seminars, conferences… participates in working groups to ABI LAB on Business Continuity, Risk and GDPR, ISACA-AIEA on GDPR and 263, Oracle Community for Security, UNINFO, ASSOGESTIONI and the Committee of experts for the innovation of OMAT360. He is a member of the faculty of ABI Training. He is a partner and proboviro of ISACA-AIEA Member of CLUSIT and BCI. He is certified (LA BS7799), (LA ISO IEC 27001:2013), CRISC, ISM, DPO, CBCI, AMBCI.

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.