{"id":2457,"date":"2017-02-24T05:20:52","date_gmt":"2017-02-24T04:20:52","guid":{"rendered":"https:\/\/blog.europrivacy.org\/?p=2457"},"modified":"2017-02-24T05:20:52","modified_gmt":"2017-02-24T04:20:52","slug":"data-subject","status":"publish","type":"post","link":"https:\/\/blog.europrivacy.info\/it\/2017\/02\/24\/data-subject\/","title":{"rendered":"GLI INTERESSATI"},"content":{"rendered":"

Com\u2019\u00e8 noto uno degli adempimenti pi\u00f9 onerosi sia in termini organizzativi che tecnologici introdotti dal GDPR riguarda l\u2019obbligo della notifica di una violazione dei dati personali dei soggetti interessati di cui il titolare tratta i dati.<\/p>\n

Ma chi sono gli interessati? Una domanda probabilmente considerata da ABC della privacy.<\/p>\n

In realt\u00e0 senza una corretta individuazione e mappatura di tali soggetti cade ogni possibilit\u00e0 di mettere in atto qualunque adempimento previsto non solo dal GDPR, ma anche dalla attuale normativa privacy.<\/p>\n

Ma i titolari hanno chiaro quali siano i soggetti di cui trattano i dati?<\/p>\n

Nella loro classificazione degli interessati i titolari tendono ad inserire i clienti (ora solo se persone fisiche), i dipendenti e forse i fornitori; lo si evince facilmente dalle informative che si recuperano facendo una qualunque attivit\u00e0 di assessment su un\u2019azienda. Ma sono solo questi gli interessati di cui si trattano i dati?<\/p>\n

Per ampliare la nostra visione torniamo a considerare anche i soli casi appena citati.<\/p>\n

Relativamente ad un cliente, se questo \u00e8 una persona giuridica, avr\u00e0 sicuramente un legale rappresentante, persona fisica questa s\u00ec tutelata dalla normativa nonch\u00e9 diversi altri soggetti (persone fisiche) di cui il titolare tratter\u00e0 i dati, fossero anche solo l\u2019indirizzo e-mail ed il nome e cognome, nella normale attivit\u00e0 di relazione. Una relazione fra imprese comporta quasi sempre, di fatto, una relazione fra persone fisiche e quindi un trattamento di dati personali di soggetti tutelati dalla normativa.<\/p>\n

Oltre che per i clienti, simmetricamente la stessa logica vale per i fornitori.<\/p>\n

Per i dipendenti il titolare tratter\u00e0 anche i dati dei loro famigliari compresi, in alcune occasioni, i dati sensibili di questi ultimi.<\/p>\n

Di tutte queste categorie di soggetti, il titolare tratter\u00e0 i dati sia che abbia una relazione reale o solo potenziale, in quanto un trattamento di dati personali avviene anche in fase di richiesta o ricezione di un\u2019offerta, di un preventivo o in fase di ricezione di un CV\u2026<\/p>\n

Inoltre, se il titolare ha un sito internet o un profilo social, tratter\u00e0 i dati di chi lo visita, anche se non offre alcun servizio o operativit\u00e0; tratter\u00e0 i dati ripresi dalle eventuali telecamere di videosorveglianza e molto altro ancora.<\/p>\n

Il numero dei soggetti e le categorie di soggetti di cui un titolare tratta i dati salgono a dismisura dopo una breve analisi.<\/p>\n

Perch\u00e9 \u00e8 importante tutto questo? A parte gli adempimenti previsti gi\u00e0 oggi dall\u2019attuale normativa, come il rilascio di informativa ed eventuale richiesta di consenso a tutti questi soggetti, il GDPR introducendo l\u2019obbligo di una notifica di violazioni di dati personali impone una attenzione molto maggiore nell\u2019individuare correttamente tutti questi soggetti.<\/p>\n

In molti casi infatti il titolare non ha un rapporto diretto con tali soggetti, ma ne tratta i dati nell\u2019ambito delle sue normali relazioni ad esempio con clienti e fornitori.<\/p>\n

\u00c8 quindi importante da parte di chi si appresta ad effettuare direttamente una mappatura degli interessati o da parte di chi, come il DPO, deve dare supporto al Titolare, avere una buona conoscenza dello specifico settore in cui opera il Titolare e dell\u2019organizzazione dello stesso.<\/p>\n

Ottime quindi in questo senso le richieste del WP29 nel contesto delle Linee-guida sui responsabili della protezione dei dati (RPD) il riferimento alle competenze specialistiche:<\/strong><\/p>\n

 <\/p>\n

E\u2019 utile la conoscenza dello specifico settore di attivit\u00e0 e della struttura organizzativa del titolare; inoltre, il RPD dovrebbe avere sufficiente familiarit\u00e0 con le operazioni di trattamento svolte nonch\u00e9 con i sistemi informativi e le esigenze di sicurezza e protezione dati manifestate dal titolare.<\/em><\/p>\n

 <\/p>\n

Fra i casi pi\u00f9 che \u00e8 possibile citare come esempio, dove vi \u00e8 un elevato trattamento di dati personali con soggetti con i quali il titolare non ha un rapporto diretto si possono citare:<\/p>\n