La cosiddetta Privacy, materia delicata e sempre in aggiornamento, cambia ancora una volta a seguito dell’entrata in vigore del Dal 25 maggio 2018 Regolamento UE 2016/679 sulla privacy (GDPR Regolamento europeo in materia di protezione dei dati personali) in vigore a partire dallo scorso 25 maggio 2018.
Il regolamento affronta la tutela dei cosiddetti “dati personali”, sia dal punto di vista della loro gestione sia dal punto di vista della circolazione ed utilizzo di tali dati.
Anche le imprese agricole, per determinati aspetti, devono conoscere e rispettare il regolamento in attesa che escano le più precise indicazioni legislative nazionali.
Al momento la cosa certa è che Il principale campo di applicazione di questa norma, per le imprese agricole, in forma individuale o collettiva, riguarda essenzialmente il trattamento dei dati dei seguenti soggetti:
i dati del personale impiegato in azienda, relativo a tutti coloro che prestano, a qualunque titolo attività lavorativa subordinata (operai, impiegati, quadri, dirigenti) o autonoma (collaboratori, contoterzisti, etc.);
i dati dei fornitori, ovvero tutti quei soggetti a cui le imprese agricole si rivolgono per l’acquisto e la fornitura di beni, servizi o risorse necessarie allo svolgimento della loro attività;
i dati dei clienti, ovvero tutti quei soggetti che si rivolgono alle imprese agricole (anche multifunzionali come ad esempio agriturismi, fattorie sociali e didattiche) per acquistarne i prodotti oppure utilizzare i loro beni o servizi offerti.
Il regolamento della Privacy ricalca, come modalità operative, l’HACCP che le imprese agricole e agroalimentari conoscono già per ottemperare agli obblighi della sicurezza alimentare.
Occorrerà quindi fare una valutazione del rischio cagionato dal trattamento dei dati personali (rischio molto elevato ad esempio nel trattamento dei cosiddetti “dati sensibili” ovvero l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, lo stato di salute, ecc) e sulla base di tale valutazione adottare opportune misure di sicurezza.
I dati che saranno utilizzati dalle imprese (per ciò che attiene alle 3 categorie viste prima: dipendenti clienti e fornitori) dovranno esser registrati nel cosiddetto “registro dei trattamenti” di cui al paragrafo 4 dell’articolo 30 del regolamento che recita ““su richiesta, il titolare del trattamento o il responsabile del trattamento e, ove applicabile, il rappresentante del titolare del trattamento o del responsabile del trattamento mettono il registro a disposizione dell'autorità di controllo.”
L'obbligo di redazione e adozione del registro non è, tuttavia, generale. Il par. 5 dell'art. 30 del Regolamento 679/2016 specifica che esso non compete “alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell'interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all'articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all'articolo 10.”
Il registro dei trattamenti -se necessario-dovrà contenere informazioni relative a:
· finalità del trattamento;
· categorie di interessati e delle categorie di dati personali;
· categorie di destinatari a cui i dati personali siano stati o saranno comunicati, compresi i destinatari di paesi terzi;
· trasferimenti di dati personali verso paesi terzi e la loro identificazione;
· termini ultimi previsti per la cancellazione delle diverse categorie di dati;
