FAQ Gallerie: il GDPR e il trattamento dei dati personali

BBS-Lombard

6 min read
FAQ Gallerie: il GDPR e il trattamento dei dati personali

Nell'ambito della nostra attività di consulenza alle gallerie, supportiamo gli operatori del mercato dell'arte nella risoluzione di questioni legate all'Iva, alla Siae, all'antiriciclaggio, alle normative nazionali e internazionali.  Sul nostro sito raccogliamo alcune delle domande più frequenti che ci vengono poste.

A quali dati si applica il Regolamento generale sulla protezione dei dati (GDPR)?

Il GDPR eleva ad oggetto di tutela il trattamento dei soli dati personali, proponendo una definizione di dato personale particolarmente ampia. L’articolo 4 del GDPR stabilisce che per dato personale debba intendersi “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.

In tale definizione si ricomprende, pertanto, anche la profilazione, ossia qualsiasi forma di trattamento automatizzato di dati personali consistente nel loro utilizzo finalizzato a valutare determinati aspetti relativi a una persona fisica e in particolare ad analizzarne o prevederne gli aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti.

Sono esclusi dall’ambito di applicazione del GDPR i dati relativi alle persone giuridiche: in tal caso le disposizioni del GDPR troveranno applicazione con riferimento al trattamento dei dati personali del rappresentante legale.

Quando si applica il Regolamento?

Il regolamento si applica già dalla semplice detenzione del dato, a prescindere dalla circostanza che il trattamento dei dati sia o meno concretamente effettuato e a prescindere dalla nazionalità o dal luogo di residenza dei soggetti cui si riferiscono i dati personali trattati.

Cosa si intende per trattamento dei dati?

Per trattamento dei dati si intende qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione.

Quali condizioni devono sussistere?

Per il GDPR ogni trattamento deve trovare fondamento in un’idonea base giuridica che, oltre al consenso, è individuata nella sussistenza delle seguenti condizioni:

  • il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
  • il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del medesimo;
  • il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
  • il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
  • il trattamento è necessario per il perseguimento del legittimo interesse del titolare del medesimo o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.

In cosa consiste il consenso dell’interessato?

Il consenso deve essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale (principio di libertà delle forme). Non si potrà pertanto configurare come consenso il silenzio, l’inattività o la preselezione di caselle. Se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso.

Cosa deve fare il titolare del trattamento dei dati?

Il titolare del trattamento dovrà necessariamente:

a) Mappare i dati raccolti, trattati e conservati. Nello specifico, deve determinare quali dati personali vengono raccolti e utilizzati, scoprire dove sono archiviati i dati, compresi i sistemi di terze parti che potrebbero ospitarli e dove, geograficamente, si trovano i server, mappare dove i dati passano dal punto di raccolta in tutta l'organizzazione ed esternamente ai fornitori o ad altre terze parti, determinare per quanto tempo i dati vengono conservati e in quali formati.

b) Identificare i casi in cui per eseguire un trattamento è richiesto il (previo) consenso dell'interessato e, in tal caso, richiedere il consenso in modo distinto da altre richieste, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro.

c) Adottare misure appropriate per fornire all'interessato tutte le informazioni relative ai trattamenti gestiti dalla propria organizzazione, in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro. Il titolare è tenuto ad agevolare l'esercizio dei diritti da parte dell'interessato e, in particolare, a fornire un riscontro alla richiesta del medesimo senza ingiustificato ritardo e comunque entro un mese dal ricevimento della medesima.

d) Presentare l’informativa all'interessato che espliciti, tra le altre cose, il periodo di conservazione dei dati personali. Il linguaggio dell'informativa deve essere semplice e chiaro.

e) Adottare misure tecniche e organizzative adeguate al fine di garantire, ed essere in grado di dimostrare, la conformità del trattamento al Regolamento, tenendo conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche.

f) Istruire tutti coloro che siano autorizzati ad accedere ai dati personali, compreso il responsabile del trattamento.

g) Notificare all'autorità di controllo (Garante) ogni violazione della sicurezza dei dati personali che presenti un rischio per i diritti e le libertà delle persone fisiche.

h) Nominare un Responsabile della Protezione dei Dati (Data Protection Officer - DPO), che ha compiti di informazione, formazione, consulenza e sorveglianza dell'adempimento della disciplina 'privacy' e che è l'interlocutore dell'autorità di controllo. La nomina del DPO è adempimento obbligatorio quando il titolare del trattamento: i) è autorità/organismo pubblico; ii) effettua trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; iii) effettua come attività principali trattamenti su larga scala di dati sensibili, genetici, biometrici, giudiziari.

Quali informazioni deve contenere l’informativa?

Se i dati personali sono raccolti presso l’interessato, le informazioni da fornire sono le seguenti:

  • l’identità e i dati di contatto del titolare del trattamento;
  • i dati di contatto del responsabile della protezione dei dati (se nominato);
  • le finalità del trattamento cui sono destinati i dati personali e la base giuridica del trattamento;
  • i legittimi interessi perseguiti dal titolare del trattamento o da terzi, se fungono da base giuridica del trattamento;
  • gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
  • l’intenzione del titolare del trattamento di trasferire dati personali a un Paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o il riferimento alle garanzie appropriate od opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili;
  • il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
  • l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
  • l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso anteriormente prestato, nei casi di trattamento basato sul consenso, anche di categorie particolari di dati;
  • il diritto di proporre reclamo a un’autorità di controllo;
  • se la comunicazione di dati personali è un obbligo legale o contrattuale o un requisito necessario per la conclusione di un contratto e se l’interessato ha l’obbligo di fornire i dati personali, oltre alle possibili conseguenze circa la mancata comunicazione di tali dati;
  • l’esistenza di un processo decisionale automatizzato, compresa la profilazione e, in tali casi, le informazioni significative sulla logica utilizzata, oltre all’importanza e alle conseguenze previste di tale trattamento per l’interessato.

Se i dati non sono stati ottenuti presso l’interessato, occorre rendere note le informazioni di cui sopra (con esclusione del riferimento alla comunicazione dei dati personali come obbligo legale o contrattuale), con l’aggiunta:

  • delle categorie di dati personali oggetto di trattamento;
  • della fonte da cui hanno origine i dati personali e, se del caso, dell’eventualità che i dati provengano da fonti accessibili al pubblico.