L’entrata in vigore del GDPR, il nuovo regolamento UE sul trattamento dei dati personali che ha quasi integralmente sostituito la vecchia disciplina nazionale contenuta nel c.d. codice della privacy, ha introdotto molti cambiamenti nei fatti obbligando le imprese edili ad una riorganizzazione della loro policy interna per la gestione dei dati, tanto dei clienti quanto dei dipendenti.

Il nuovo Regolamento promuove la tutela dei dati personali basata sulla responsabilizzazione dei titolari del trattamento dati (c.d. accountability).

La logica propria del Regolamento è, infatti, quella di procedere ad una messa a punto di processi interni delle imprese (o degli Enti o di tutti coloro chetrattano dati personali) che, partendo da una valutazione dei rischi sull’utilizzo dei dati stessi, possa mettere in atto sistemi di tutela ad hoc.

Per quanto riguarda l’individuazione e nomina di titolari, contitolari e responsabili del trattamento si può, tranquillamente, nella prassi, fare riferimento al commercialistaad esempio, oppure ad un indipendente interno mediante lettera di incarico che individua i ruoli e le responsabilità;quest’ultimo, unitamente al titolare, deve redigere la Valutazione del Rischio in coerenza con la quale devono essere individuate le misure di sicurezza da adottare al fine di evitare rischi.

Se necessario, inoltre, è indispensabile nominare un DPO  e redigere un registro del trattamento da mettere a disposizione dell’Autorità di controllo.

Come evidenziato dal Garante per la Protezione dei dati personali l’individuazione del soggetto da indicare come DPO – Data ProtectionOfficer – deve ricadere su un soggetto in possesso di requisiti specifici (conoscenza della normativa edile e dell’organizzazione aziendale) pur non essendo richiesta l’iscrizione in albi professionali particolari.

Si tratta, come noto, di colui che in posizione di indipendenza dal titolare e dal responsabile ha il compito di sorvegliare in merito al rispetto del Regolamento. In realtà la nomina del DPO  è obbligatoria solo in caso di trattamenti su larga scala; pertanto, in materia edile, tale obbligo potrebbe fondatamente ritenersi non sussistente.

Nei confronti degli utenti, poi, i dati raccolti dovranno essere protetti con particolari accorgimenti (crittografia dei dati conservati nel server) predisponendo ed avendo cura di far sottoscrivere un apposito modulo di consenso redatto in forma chiara e comprensibile.

E’ consigliabile, infine, che il titolare dell’impresa rediga un regolamento/policy interna in materia di trattamento dei dati personali.

Avv. TOMMASO GASPARRO

– Studio Legale Gasparro –

Via Comelico – Milano –

Pec: tommaso.gasparro@coalarino.legalmail.it

Consulenze online via Skype: Tommaso Gasparro