La protezione dei dati personali nel ciclo di gestione dei rifiuti
L’inconsueto e convulso profluvio di informative, per lo più giunte nei giorni immediatamente antecedenti il 25 maggio 2018, è stato il segno tangibile di un evento storico di grande impatto: la simultanea applicazione in tutta l’Unione Europea del regolamento del Parlamento Europeo e del Consiglio sulla protezione dei dati personali 2016/679/Ue (in sigla Gdpr).
Il regolamento europeo si applica al trattamento dei dati personali da intendersi come ogni informazione, in qualsiasi forma rappresentata, riguardante una “persona fisica”, identificata o identificabile, anche indirettamente (articolo 4 n.1 Gdpr).
Restando dunque esclusi i dati riferiti alle persone giuridiche (Cons.14); anche se – è bene evidenziare – vi rientrano i dati delle persone fisiche che lavorano per l’ente / persona giuridica; con la conseguenza che tale distinzione, il più delle volte, assume una valenza meramente teorica divenendo priva di concreta rilevanza.
L’obiettivo perseguito è quello di dare maggiore tutela ai dati personali destinati alla libera circolazione all’interno dell’Unione (articolo 1).
Da annoverare tra le novità, è il ruolo attribuito al titolare del trattamento il quale è chiamato non più ad attuare un elenco prestabilito di compiti, uguali per tutti, ma a raggiungere un obbiettivo finale, ossia la salvaguardi dei dati personali trattati.
Si tratta dell’ormai celebre principio dell’accountability che vuol significare che alla responsabilità di merito alla legittimità dei trattamenti si affianca l’obbligo di comprovare la conformità al precetto normativo (articoli 5 e 32).
Un drastico cambio di scena in cui il titolare diventa il regista di ogni processo valutativo e di ogni scelta conseguente: un ruolo senza dubbio strategico ai fini dell’effettivo raggiungimento degli obiettivi perseguiti dal Gdpr.
In quest’ottica si spiega la previsione di un apparato di sanzioni amministrative pecuniarie che, nel massimo edittale, risultano a dir poco draconiane: “fino a’’ 10 o 20 milioni di euro; e, per le imprese, “fino all’’ 2 o 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore (articolo 83).
In base alla disciplina comunitaria, quindi, la data protection è un processo dinamico che evolve nel tempo e che, sia pur per gradi diversi, interessa ogni fase aziendale.
Il processo di compliance, benché vada adattato in funzione dell’organizzazione aziendale e delle attività di trattamento eseguite, si articola nei seguenti passaggio essenziali:
- Un preliminare gap analysis, sia di tipo normativo che di tipo tecnologico, al fine di individuare gli interventi corretti che appaiono necessari;
- Un’analisi dettagliata dei trattamenti eseguiti, nonché delle relative finalità e basi giuridiche;
- Un’approfondita mappatura dei rischi (rischi che incombono sui dati e rischi inerenti al trattamento), e la progettazione delle adeguate misure di sicurezza;
- La definizione di ruoli e procedure (chi fa, che cosa, e come);
- La nomina del DPO (ove necessario), la designazione dei responsabili del trattamento, l’individuazione di eventuali contitolari;
- La previsione di una procedura di data breach per l’efficace e tempestiva rilevazione degli incidenti;
- La regolamentazione di una procedura per consentire l’esercizio dei diritti degli interessati;
- La periodica formazione del personale;
- L’organizzazione di sessioni di audit interno;
- L’adeguamento del sito internet e la gestione dei consensi raccolti on-line.
La designazione del responsabile del trattamento
Casi e obblighi
Il menzionato principio di accountability oltre al titolare riguarda anche il responsabile del trattamento, sia pur con sfumature diverse.
Il Gdpr identifica quest’ultimo come la persona fisica o giuridica e/o l’autorità pubblica, servizio o altro organismo che tratta dai personali “per conto” del titolare.
Per quanto presenti una certa autonomia decisionale in merito all’attuazione dei compiti affidatigli, il responsabile del trattamento non concorre in alcun modo con il titolare nell’individuazione delle scelte strategiche inerenti al trattamento.
Qualora il titolare decida di esternalizzare il trattamento dei dati personali dell’interessato è obbligo a rivolgersi a soggetti che dispongano di adeguate misure tecniche ed organizzative in grado di assicurare un’efficace protezione dei dati a tutela dei diritti dell’interessato.
Il Gdpr introduce poi la possibilità per il processor, su autorizzazione scritta del titolare, di avvalersi di sub-responsabili per l’esecuzione di specifiche attività di trattamento; in questo caso tale responsabile di secondo livello, avrà, nei confronti del titolare, gli stessi obblighi del responsabile di promo livello.
Il processor deve attenersi alle istruzioni impartite dal titolare, in particolare per quanto attiene alle finalità ed ai mezzi di trattamento: in caso contrario potrà essere considerato un autonomo titolare del trattamento con assunzione delle relative maggiori responsabilità.
Provando a declinare i principi ora esposti ai soggetti della filiera del rifiuto si possono formulare le seguenti esemplificazioni.
- Anzitutto si può pensare ad un impianto iscritto alla cat. 8 dell’Albo nazionale gestori ambientali operante come intermediario senza detenzione che, incaricato dello smaltimento di una partita di rifiuti, comunica i dati personali del committente-produttore (ditta individuale o privato cittadino) all’impianto di destino.La comunicazione dei dati risulta necessaria, sia sotto il profilo burocratico per l’assolvimento degli obblighi di legge (ed in primo luogo per la compilazione del formulario), sia sotto il profilo sostanziale per l’esecuzione dell’intervento. Lo smaltitore va designato come responsabile del trattamento ex articolo 28 in quanto tratta i dati personali del produttore per conto dell’intermediario che ha ricevuto la commessa.
- Altro esempio può riguardare la figura del responsabile tecnico dell’impresa. Come noto il responsabile tecnico va obbligatoriamente nominato dall’impresa che intende iscriversi all’Albo gestori a pena di improcedibilità della relativa domanda.È una figura di supporto avente il compito di porre in essere le azioni necessarie ad assicurare la corretta organizzazione nella gestione dei rifiuti: come tale egli può facilmente venire a conoscenza dei dati personali di dipendenti, fornitori e clienti dell’impresa. Ove soggetto esterno (articolo 12 comma 6 Dm 3 giugno 2014 n.120), anche costui andrà nominato quale processor nella misura in cui tratta dati personali per conto del titolare.Il ragionamento potrà essere esteso ad ogni altra figura che svolge un ruolo strumentale di consulenza ed assistenza tecnica laddove sia ravvisabile un trattamento di dati per conto del titolare.
- Degno di nota il trasporto intermodale di rifiuti. Come chiarito dall’Albo gestori nella circolare n.1235 del 4 dicembre 2017 è possibile che l’impresa che esegue la parte terminale del trasporto sia diversa dall’impresa che esegue la parte terminale del trasporto sia diversa dall’impresa che segue la parte terminale del trasporto sia diversa dall’impresa che esegue il trattamento iniziale a condizioni che ambedue siano iscritte alla medesima categoria dell’Albo in relazione ai Cer trasportati, e che nel formulario venga indicato il nominativo dei vari trasportatori in conformità a quanto previsto al punto 1 lettera v ) della circolare 812/1998 del 4 agosto 1998.
- Ed ancora si consideri il laboratorio d’analisi che, per la verifica di specifici parametri, si rivolge ad un chimico esperto laddove a quest’ultimo vengano anche trasmessi i dati personali del committente – persona fisica.In tale evenienza il chimico assumerà il ruolo di processor posto che tratta i dati personali del committente per conto del laboratorio-titolare del trattamento.
- Volgendo lo sguardo verso un contesto sovranazionale, può osservarsi come anche il notificatore (articolo 2 n. 15 Reg. Ce 1013/2006) che organizza per conto del produttore una spedizione transfrontaliera di rifiuti è assoggettato agli obblighi del Gdpr. Costui sarà tenuto a nominare come processor tutti gli operatori (principalmente vettore e impianto di destino) che, su suo incarico, trattano i dati personali del committente-produttore per portare a termine l’operazione.
Fonte: Rifiuti – Bollettino di Informazione Normativa
Salvo Renato Cerruto (Avvocato del Foro di Padova)