{"id":4076,"date":"2018-06-13T17:31:31","date_gmt":"2018-06-13T15:31:31","guid":{"rendered":"https:\/\/blog.europrivacy.org\/?p=4076"},"modified":"2018-07-03T09:10:34","modified_gmt":"2018-07-03T07:10:34","slug":"the-butcher-and-privacy","status":"publish","type":"post","link":"https:\/\/blog.europrivacy.info\/it\/2018\/06\/13\/the-butcher-and-privacy\/","title":{"rendered":"IL MACELLAIO E LA PRIVACY"},"content":{"rendered":"

Nei giorni scorsi circolava la foto di un manifesto appeso in una macelleria che recava la seguente scritta:<\/p>\n

Nella nostra macelleria, alcune volte potremmo chiedere il vostro nome e ricordare le vostre preferenze in fatto di carne.<\/strong><\/p>\n

Se la cosa \u00e8 per voi molesta, vi preghiamo di entrare gridando: “nego il consenso”.<\/strong><\/p>\n

Da oggi in poi faremo finta di non conoscervi<\/strong>.<\/em><\/p>\n

\u00a0<\/em>In questo momento non interessa valutare se il fatto sia realmente accaduto o sia una delle tante fake news che circolano in rete; quello che mi interessa evidenziare \u00e8 uno degli aspetti pi\u00f9 innovativi introdotti dal GDPR e che \u00e8 passato del tutto inosservato.<\/p>\n

A differenza di quanto accade con il D.Lgs 196\/03 dove qualunque azione della vita privata o professionale comporta un trattamento di dati personali:<\/p>\n

Art. 4. Definizioni<\/em><\/p>\n

Ai fini del presente codice si intende per:<\/em><\/p>\n

a) “trattamento”, qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati<\/strong>;<\/em><\/p>\n

l\u2019ambito di tutela del GDPR \u00e8 stato limitato, come prevede l\u2019articolo 2:<\/p>\n

Articolo 2 <\/em>Ambito di applicazione materiale <\/em><\/strong><\/p>\n

1.Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.<\/em><\/p>\n

Escludendo di fatto l\u2019applicazione dello stesso quando il trattamento avviene con modalit\u00e0 manuali e i dati sono conservati in fascicoli non strutturati.<\/p>\n

Al riguardo non \u00e8 molto facile capire in determinate situazioni se si \u00e8 o meno nel perimetro di tutela e gi\u00e0 il considerando (15), che recita quanto appena riportato alla riga precedente, evidenzia i possibili rischi di elusione.<\/p>\n

\u00a0<\/em><\/p>\n

(15) Al fine di evitare l’insorgere di gravi rischi di elusione<\/strong>, la protezione delle persone fisiche dovrebbe essere neutrale sotto il profilo tecnologico e non dovrebbe dipendere dalle tecniche impiegate. La protezione delle persone fisiche dovrebbe applicarsi sia al trattamento automatizzato che al trattamento manuale dei dati personali, se i dati personali sono contenuti o destinati a essere contenuti in un archivio. Non dovrebbero rientrare nell’ambito di applicazione del presente regolamento i fascicoli o le serie di fascicoli non strutturati secondo criteri specifici, cos\u00ec come le rispettive copertine.<\/strong><\/em><\/p>\n

\u00a0<\/em>Tuttavia appare abbastanza evidente che il nostro macellaio nel chiedere il nome dei propri clienti e nel ricordarne le preferenze non effettua alcun trattamento automatizzato e probabilmente nemmeno manuale, visto che le preferenze di un cliente sono \u201cricordate\u201d e non annotate manualmente in un registro.<\/p>\n

Quindi il nostro macellaio pu\u00f2 stare tranquillo, pu\u00f2 continuare a chiedere il nome dei clienti e ricordare le loro preferenze senza mettere in atto alcuno degli adempimenti previsti dal GDPR.<\/p>\n

Questo almeno fino al momento del pagamento della merce acquistata.<\/p>\n

Qui si prospettano di fatto due diversi scenari.<\/p>\n

Se il pagamento avviene per contanti, il nostro negoziante potr\u00e0 continuare a trattare i dati in forma anonima, e sebbene l\u2019emissione di uno scontrino sia \u201cforse\u201d un processo automatizzato (da non confondere con l\u2019uso di strumenti elettronici), nessun dato del cliente viene trattato e quindi continuiamo per altri ambiti a restare fuori del campo di applicazione del GDPR.<\/p>\n

Se invece il pagamento avviene con una carta inizieremo si a trattare dei dati personali di un soggetto identificabile (anche se non da parte del nostro negoziante) e quindi si aprono nuovi e complessi scenari e dovranno essere valutate le azioni da compiere.<\/p>\n

La posizione del nostro eroe \u00e8 comune a quella di altre decine di titolari, ma come si evince dallo sviluppo dell\u2019articolo, solo una precisa e puntuale analisi dei flussi informativi e una altrettanto precisa analisi dei processi pu\u00f2 determinare se e quando vi sia un trattamento di dati personali nel perimetro del GDPR.<\/p>\n

Nessuna generalizzazione \u00e8 quindi possibile, ed una delle maggiori capacit\u00e0 richieste a chi professionalmente si occupa di privacy \u00e8 proprio questa capacit\u00e0 di analisi dei processi e dei flussi di dati, cos\u00ec come avvengono nella realt\u00e0 del singolo titolare.<\/p>\n

Diffidate quindi dalle soluzioni fotocopia, dal riuso di documenti di altri, dal pensare che si possa essere in regola con il GDPR semplicemente ricopiando qualche documento: il rispetto della normativa privacy \u00e8 un abito su misura, che ogni titolare deve costruire sulla propria realt\u00e0.<\/p>","protected":false},"excerpt":{"rendered":"

Nei giorni scorsi circolava la foto di un manifesto appeso in una macelleria che recava la seguente scritta: Nella nostra macelleria, alcune volte potremmo chiedere il vostro nome e ricordare le vostre preferenze in fatto di carne. Se la cosa \u00e8 per voi molesta, vi preghiamo di entrare gridando: “nego il consenso”. Da oggi in\u2026 Leggi tutto »<\/a><\/span><\/p>\n","protected":false},"author":42,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2],"tags":[],"class_list":["post-4076","post","type-post","status-publish","format-standard","hentry","category-legal-framework"],"_links":{"self":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/4076","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/users\/42"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/comments?post=4076"}],"version-history":[{"count":5,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/4076\/revisions"}],"predecessor-version":[{"id":4105,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/4076\/revisions\/4105"}],"wp:attachment":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/media?parent=4076"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/categories?post=4076"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/tags?post=4076"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}