Privacy: i dati sensibili nel settore alimentare

Approfondimenti

Privacy: i dati sensibili nel settore alimentare ^{In evidenza}

Dal prossimo 25 maggio sarà applicabile il nuovo Regolamento Europeo in tema di privacy (Reg. UE 679/2016 - GDPR).

Questa rivoluzione della normativa privacy costituisce un'ottima occasione per parlare del trattamento dei dati personali nel settore agroalimentare, settore tradizionalmente rimasto ai margini della normativa privacy con molti operatori che, per tale motivo, hanno trascurato l'adeguamento agli standard in tema di privacy (sinora contenuti nel Codice Privacy italiano, D.Lgs. 196/03).

In realtà il settore agroalimentare non è per nulla estraneo alla normativa privacy, che in realtà interessa un ventaglio estremamente ampio di potenziali destinatari (va escluso infatti dal rispetto della normativa privacy solamente l'uso personale dei dati: pensiamo alla classica agenda dei contatti personali, amici e parenti, di un soggetto).

Le aziende del settore agroalimentare, in particolare, si trovano in molte occasioni a trattare dati sensibili, ovvero quei dati che quelli che possono rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, lo stato di salute e la vita sessuale.

Nel trattare tale tipologia di dati, l'azienda deve prestare particolare attenzione e deve rispettare, ove previste, particolari misure e accorgimenti a tutela dell'interessato.

Ancora il trattamento dei dati sensibili è subordinato all'acquisizione del "consenso scritto dell'interessato" e della "previa autorizzazione del Garante" (l'autorizzazione in certi casi è però conferita in via generale dal Garante).

Il termine "dati sensibili" viene meno con il Regolamento UE 679/2016, ma non cambia l'attenzione richiesta per il loro trattamento.

I vecchi "dati sensibili" vengono infatti definiti nel nuovo Regolamento come "Categorie particolari di dati (art. 9 Reg. UE 679/2016). In proposito la normativa europea è categorica e dispone:

"È vietato trattare dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona."

La normativa poi consente il trattamento di tali particolari categorie di dati in una serie di ipotesi, prima fra tutte quella in cui l'interessato abbia prestato il proprio esplicito consenso per una finalità specifica.

Scompare quindi la "previa autorizzazione del Garante" prevista dal Codice Privacy italiano, ma a farle da contraltare a questo alleggerimento formale, compare una pesante responsabilizzazione del titolare nel trattamento di queste categorie di dati, con sanzioni importanti in caso di violazione (fino a 20 milioni di Euro o fino al 4% del fatturato).

Da questa breve disamina salta all'occhio quindi come anche le aziende agroalimentari si trovino a trattare dati sensibili, basta pensare a tutti i dati raccolti e relativi ai dipendenti.

Vi sono però casi in cui un'impresa del settore agroalimentare si trova a trattare dati sensibili senza nemmeno rendersene conto.

Di questo si è occupato il Garante (Ordinanza di ingiunzione nei confronti di Regione Emilia Romagna n. 430 del 20 dicembre 2012) nel valutare un trattamento dati effettuato dalla Regione Emilia Romagna in relazione ad alcune mense scolastiche, che comprendeva i dati relativi anche ad esempio alle intolleranze alimentari degli studenti (dati evidentemente raccolti con l'intenzione di fornirli al personale delle mense per poter correttamente servire gli studenti con intolleranze e/o allergie).

In tale occasione il Garante non ha dubbi nel sottolineare come i dati relativi ad intolleranze o allergie siano dati sensibili (nella fattispecie dati sanitari) e come tali vadano trattati.

Per di più si tratta di dati relativi a minori, che in ogni caso, anche a mente del GDPR (considerando 38) richiedono "specifica protezione".

Ne discende che un catering, una mensa o anche solo un ristorante che apre un conto in favore di un cliente con delle intolleranze o allergie, appuntando magari, per fornire un miglior servizio, la connessione fra il nome del cliente e l'allergia specifica di cui soffre, trattano dati sensibili con tutte le conseguenze del caso.

Pensiamo ancora ad un soggetto che produce e vende a consumatori individuati prodotti certificati per la consumazione da parte di soggetti che seguono regole alimentari religiose (ad es. casherut o ḥalāl), o di nuovo ad un catering o ad una mensa che si occupa di tali menù, è chiaro che l'impresa, nel caso, è in grado di individuare la religione del cliente e questo dato deve essere trattato solo dietro esplicito consenso e proteggendolo così da evitare pericolose intrusioni esterne.

Questi esempi dimostrano come solo l'affrontare con consapevolezza il problema privacy in azienda può portare a rendersi conto effettivamente di quali dati vengono trattati e di quali rischi sono connessi al trattamento.

Per questo motivo si raccomanda un approccio pro-attivo da parte delle imprese nell'implementare quei principi di privacy by design e privacy by default previsti dal Regolamento GDPR, così da sviluppare l'architettura aziendale avendo a mente come, quando e perché si trattano determinati dati, per farlo in modo sicuro, conforme alla normativa e, perché no, per saperlo evitare quando non è realmente necessario ai fini aziendali.

Articolo a cura di: Avv. Riccardo Berti, Foro di Verona.

Pubblicato in Approfondimenti

Etichettato sotto

Agrilegal

info@agrilegal.it
haccp@agrilegal.it
legale@agrilegal.it

P.I.: 04094210236

Mappa

info@agrilegal.it | +39 327 6328052 | PI 04368220234