In una piccola azienda, teniamo la contabilità in loco. Vorrei sapere se abbiamo l’obbligo dell’informativa verso i ns. clienti/fornitori o se possiamo rientrare nella voce del Regolamento (UE) 2016/679 dove, nelle considerazioni al punto (62), si dice “…non è necessario fornire l’informativa…se la registrazione o le comunicazioni dei dati personali sono dovute per legge…” e quindi non abbiamo obbligo di nulla essendo i dati in ns. possesso quelli obbligatori che ci impone la normativa fiscale.
Sono d’accordo con la sua interpretazione, che mi pare corretta: in generale, le piccole aziende che gestiscono solo dati di dipendenti, collaboratori, clienti, fornitori e via dicendo, non hanno tutti i nuovi obblighi in materia di privacy in base a quanto prevede il GDPR, la normativa in vigore dal 25 maggio in tutti i paesi UE. La ratio della norma è quella di regolamentare la gestione di dati sensibili su larga scala, e questo non è il vostro caso.
Il riferimento al punto 62 del considerando, come lei giustamente rileva, chiarisce che l’informativa all’interessato non è obbligatoria nel caso di dati personali raccolti in base a norme di legge.
Attenzione, però: questo non significa che i dati in questione non debbano essere trattati nel rispetto delle normative sulla privacy. Nel caso in cui, ad esempio, i dati dei clienti e dei fornitori vengano utilizzati anche per scopi diversi da quelli strettamente connessi al motivo per cui sono stati raccolti, bisogna fornire all’interessato tutte le informazioni relative al trattamento dei dati, e tutti gli altri elementi previsti dall’articolo 13 del GDPR.
Se invece si trattano dati particolarmente a rischio, come quelli sanitari o relativi a condanne penali, allora anche le piccole organizzazioni (come parrucchieri e dentisti, avvocati e commercialisti) devono adeguarsi, ad esempio prevedendo la tenuta del registro delle attività di trattamento, che descrive le operazioni svolte dal titolare e dal responsabile del trattamento.
Questo vale se i dati vengono utilizzati a scopo di marketing oppure pubblicati su un sito aziendale. E’ sempre importante tener presente che la ratio della norma responsabilizza il titolare dei dati, nel vostro caso l’impresa che gestite, a mettere in pratica tutte le disposizioni che ritiene necessarie in basi ai dati che effettivamente gestisce e utilizza, nel rispetto appunto di tutte le regole previste dal GDPR.
Hai una domanda che vorresti fare ai nostri esperti?
Chiedi all'espertoRisposta di Anna Fabi